Das Thema Ransomware ist so aktuell wie lange nicht mehr. Selbst nach Jahren finanziell motivierter Malwareverbreitung finden die Schadsoftware-Entwickler immer noch einen Weg, lange Zeit unentdeckt zu bleiben. Das rasche und aufsehenerregende Eindringen in fremde Computersysteme von WannaCryptor und Petya-ähnlicher Malware konnte niemand vorhersehen und überraschte. Selbst wenn die Verbreitung dieser Ransomware Furcht einflößend erscheinen mag, können schon ein paar Regeln und Einstellungen dazu beitragen, Schäden zu verhindern oder zumindest abzuschwächen.
Was ist Ransomware?
Ransomware ist schädliche Software, die Kriminelle verwenden, um mit Computern oder Computerdateien Lösegeldzahlungen von Opfern zu erpressen. Ihnen wird versprochen, dass sie wieder Zugang zu ihrem Computer und wichtigen Dateien erhalten. Leider ist Ransomware eine von Malware-Entwicklern zunehmend beliebte Form, Geld von Unternehmen zu erpressen.
Es ist keine gute Idee, Lösegeld an Cyber-Kriminelle zu zahlen, selbst wenn es dienlich erscheint. Bei der aktuellen Petya-ähnlichen Variante – von ESET als WIN32/Diskcoder.C (aka ExPetr; PetrWrap; Petya; NotPetya; GoldenEye; and PetyaCry) erkannt – hilft die Lösegeldzahlung durch einen eingebauten Programmierfehler überhaupt nicht weiter.
Ransomware-Entwickler sind Gesetzlose und fühlen sich nicht verpflichtet, den Entschlüsselungsschlüssel bei geleisteter Lösegeldzahlung herauszugeben. Es gibt genügend Fälle, bei denen der Schlüssel nicht funktioniert, oder die Malware-Entwickler keine Information darüber erreicht, dass das Lösegeld gezahlt wurde. Selbst wenn Malware-Entwickler nicht gerade für ihre Software-Entwicklungen und Kundenservicefreundlichkeit bekannt sind, verwundert es doch, wie schlampig WannaCryptor oder Diskcoder.C zusammengestellt wurden sind.
Das Ziel finanziell motivierter Malware-Entwicklung wie Ransomware ist nicht zurückzuverfolgendes Lösegeld zu erpressen. Allerdings trägt das Einbauen elementarer Fehler nicht gerade zur Zielerreichung bei.
Was kann ich dagegen unternehmen?
Ransomware kann extrem beängstigend sein - die verschlüsselten Dateien können im Wesentlichen als beschädigt und irreparabel betrachtet werden. Wer sein System aber entsprechend vorbereitet, braucht nichts außer ein kleines Ärgernis zu befürchten.
Man kann ein paar Einstellungen und Regeln befolgen, um sich nicht den Tag vermiesen zu lassen. Beginnen wir damit, was man unternehmen kann, damit Malware nicht ins System gelangt und Schaden anrichtet.
Das Backup hilft bei Datenverlust
Die Datensicherung ist oft die einzige Möglichkeit, um im Ernstfall wieder an seine Daten zu gelangen. Dafür sollte das Backup in regelmäßigen Abständen erfolgen. In einem Backup-Artikel haben wir einmal genauer beschrieben, welche Möglichkeiten der Datensicherung es gibt, und wann sie Sinn ergeben.
Diskcoder.C verschlüsselt beispielsweise den Master Boot Record, sodass der User überhaupt nicht mehr an seine Daten gelangt. Wenn das Backup ein Abbild des gesamten Systems umfasst, kann das den Wiederherstellungsprozess erheblich beschleunigen. Viele Ransomware-Varianten verschlüsseln sogar Festplatten im selben Netzwerk. Das umfasst jede externe Festplatte genauso wie USB-Speichermedien oder NAS-Systeme – Im Prinzip alles, was ein Laufwerksbuchstaben besitzt. Aus diesem Grund sollte das Backup auf externen, sonst vom Netzwerk abgekapselten, Festplatten oder bei Cloud Storage Anbietern erfolgen. Die digitale Datensicherung sollte selbst auch geschützt werden, beispielsweise gegen physische Umwelteinflüsse.
Die Software auf dem neusten Stand
Gelegentlich verlassen sich Malware-Entwickler auf die schlechte Angewohnheit einiger User, Software nicht zu aktualisieren. Zurück bleiben Schwachstellen, die Cyber-Kriminelle ausnutzen, um unbemerkt in Systeme einzudringen. Dabei können regelmäßige Aktualisierungen das Risiko für Malware-Kompromittierungen signifikant senken. Oft besteht sogar die Möglichkeit, Software automatisch aktualisieren zu lassen. Ansonsten geschieht das manuell über interne Update-Prozesse oder über die Hersteller-Webseiten.
Für ihre Verbreitung verließen sich WannaCryptor und Diskcoder.C auf Schwachstellen in älteren Server Message Block (SMB) Versionen. ESET hat ein freies Windows Tool veröffentlicht, um den eigenen Windows-Computer auf WannaCryptor, WannaCry und EternalBlue Schwachstellen zu prüfen. Wer noch nicht SMBv1 deaktiviert hat, sollte das jetzt schnell nachholen.
Deaktivieren von SMBv1 über Gruppenrichtlinien
Deaktivieren von SMBv1 auf einem einzelnen Server
Manchmal tarnen Malware-Entwickler ihre Schöpfungen als Benachrichtigung über ein Software-Update. Wer also auf bekannte Software-Repositories zurückgreift, erhöht die Chancen, saubere und sicherheitsgeprüfte Updates zu bekommen. Mit Windows-Bordmitteln können alte und potentiell gefährliche Softwareversionen aufgespürt und entfernt werden.
Seriöse Sicherheitssuite verwenden
Es ist sehr empfehlenswert, sowohl eine Anti-Malware Software als auch eine Firewall installiert zu haben, um Bedrohungen und verdächtiges Verhalten von vornherein abzuwehren. Malware-Entwickler aktualisieren ihre Programme häufiger, damit diese nicht auffliegen. Es ist also wichtig, beide genannten Schutzschichten zu haben. Selbst wenn eine noch sehr neue Ransomware von einem Antivirenprogramm nicht erkannt werden sollte, kann sie trotzdem die Firewall aufhalten. Das geschieht vor allem dann, wenn die Malware versucht eine Verbindung zum C&C-Server aufzubauen, um anschließen Dateien zu verschlüsseln.
Unsere nächsten Tipps zeigen, wie mit den Methoden der aktuellen Ransomware Varianten umgegangen wird. Natürlich helfen diese Tipps nicht in jedem Einzelfall, dennoch sind sie günstige und minimal aufwendige Wege, um die verwendeten Einfallstore für eine Vielzahl von Malware-Familien zu verriegeln.
Sicherheit bei Admin-Kontos erhöhen
Diskcoder.C verhält sich mit Administratorrechten anders als ohne. Admin-Konten sollten ohnehin so gut wie möglich gesichert sein, damit die Angreifer davon nicht nutznießen können.
Befindet sich ein lokales Admin-Konto auf dem eigenen Computer, sollte sichergestellt werden, dass ein starkes und einzigartiges Passwort vergeben wurde. Gleiches gilt im Übrigen für Computer, die einer Domain angehören. Eine Mehrfachverwendung von Anmeldeinformationen an verschiedenen Workstations und auf unterschiedlichen Servern sollte unbedingt vermieden werden. Eine seitliche Ausbreitung kann durch den Einsatz der Zwei-Faktor-Authentifizierung wirksam verhindert werden. Das trifft vor allem für den Fernzugriff auf Server zu.
Bei der Wahl der Vergabe von Administratorrechten sollte Bedacht werden, dass keinem User oder System mehr Rechte als zur Aufgabenerfüllung einzuräumen sind. Generell sollten die wenigsten User über Admin-Privilegien verfügen. Darüber hinaus ist der Zugriff auf Ressourcen außerhalb ihres Geltungsbereichs einzuschränken. Möglicherweise müssen auch versteckte Standardadmin-Konten (ADMIN$) oder die Kommunikationsverbindung dorthin deaktiviert werden.
Makros in Microsoft Office Anwendungen deaktivieren
Die meisten User sind sich nicht bewusst, dass Microsoft Office Dokumente so etwas wie ein Dateisystem innerhalb eines Dateisystems sind. Das beinhaltet die Fähigkeit der Automation durch eine leistungsfähige Skriptsprache. Nahezu jede Aktion kann mit Hilfe einer vollständig ausführbaren Programmdatei automatisiert werden.
Ausgeblendete Dateienden anzeigen lassen
Eine von Cyber-Kriminellen gerne angewandte Methode ist das Vergeben von zwei Dateiendungen, um eine Malware unschuldig aussehen zu lassen. Ein Beispiel ist „.PDF.EXE“. Standardmäßig blenden Windows und OSX bekannte Dateierweiterungen aus. Davon profitiert Malware. Damit schädliche Dateien schneller erkannt werden, sollten auch die bekannten Dateierweiterungen wieder eingeblendet werden. Bei Windows befindet sich diese Einstellung in den Ordneroptionen, bei Mac OSX in den erweiterten Finder-Einstellungen.
E-Mails mit ausführbaren Programmdateien filtern
Wessen Gateway Mail Scanner die Möglichkeit besitzt, E-Mails mit ausführbaren Programmdateien wie „.EXE“ zu filtern, sollte diese nutzen. Unter Umständen ist es aber notwendig, ausführbare Dateien innerhalb eines Unternehmens zu versenden. Wenn „.EXE“-Dateien oder andere ausführbare Programme vom Gateway gefiltert werden, sollte man diese als .ZIP packen und versenden. Das besitzt gleichzeitig den Vorteil, ein unternehmenseigenes Passwort für das Archiv zu vergeben und zusätzlich zu sichern. Damit können auch fremde ZIP-Archive enttarnt werden.
Ausführen von Dateien in AppData und LocalAppData verhindern
Durch Softwareeinschränkungsrichtlinien unter Windows oder Angriffserkennungssoftware (IDS) wird Verhalten von Ransomware erkannt und unterbunden. Dazu gehört beispielsweise das Ausführen der Ransomware-Executable vom AppData- oder LocalAppData-Verzeichnis. Einige legitime Software-Anwendungen werden aus dem AppData-Verzeichnis heraus gestartet. Normalerweise kann der User aber schon bei der Installation einen anderen Installationsordner auswählen. Es sollte also eine Ausschlussregel für das AppData- bzw. LocalAppData-Verzeichnis erstellt werden.
RDP deaktivieren
Ransomware gelangt in einigen Fällen auch via Remote Desktop Protokoll (RDP) auf Computersysteme. Das Protokoll erlaubt anderen den Zugriff auf den eigenen Computer. Wer diese Funktion nicht benötigt, sollte diesen Dienst deaktivieren. Die folgenden Microsoft Knowledge Base Artikel beschreiben wie das geht:
User und Kollegen aufklären
Unfälle können passieren. Trotzdem ist es wichtig, dass alle User innerhalb eines Netzwerks den angemessenen Umgang mit den gegebenen Ressourcen verinnerlichen. Das geschieht allerdings nicht durch eine einmalige Einweisung bei Einstellung, sondern muss geübt werden. Verschiedene Lernmaterialien können an prominenten Stellen bzw. an Arbeitsplätzen mit Internetverbindung ausgelegt werden.
ESET bietet ein Awareness Training an: ESET Cybersecurity Awareness Training (Englisch).
Die Mitarbeiter sollten nicht davor zurückschrecken, Fehler zu berichten. Sie sollten dazu ermutigt werden, lückenlos aufzuklären, damit durch schnelle Korrekturmaßnahmen eventuelle Schäden eingedämmt oder verhindert werden können. Das gemeinsame Lernen aus Fehlern schafft ein aufmerksameres Sicherheitsbewusstsein.
Der Handlungsspielraum von Personen, die bereits eine Ransomware ausgeführt haben, ohne die oben angesprochenen Vorkehrungen zu treffen, ist allerdings sehr beschränkt. Es gibt nur wenige Optionen die übrigbleiben, einen Schaden nun noch abzuwenden:
Wi-Fi- bzw. Netzwerkverbindung sofort kappen
Wer eine unbekannte Datei (womöglich Ransomware) bereits ausgeführt, aber noch nicht die typische Einblendung einer Lösegeldzahlung gesehen hat, sollte schnellstmöglich die Netzwerkverbindung kappen. Unter Umständen unterbricht man damit die Kommunikationsverbindung zum C&C-Server und unterbindet die Dateiverschlüsselung. Konkret müssen LAN-, WLAN- oder Bluetooth-Verbindungen deaktiviert werden, um eventuell eine Verschlüsselung zu stoppen.
Entschlüsselungs-Programme suchen
Malware-Entwicklern unterlaufen gelegentlich Fehler bei der Produktion von Schadsoftware. Für von Ransomware betroffene Personen kann das von Vorteil sein, denn daraus entstehen immer wieder Decryptor. Einige Cyber-Kriminelle zeigen auch Reue für ihre Taten, stoppen die Ransomware-Entwicklung und hinterlassen einen Entschlüsselungsschlüssel. Meistens lohnt sich die schnelle Suche im Internet nach einer kostenlosen Problemlösung. Allerdings ist auch hier Vorsicht geboten, denn es gibt genug Menschen, die um die Verzweifelten wissen und diese (erneut) in eine Falle locken wollen. Wir raten dazu, immer die Quelle und Herkunft einer Problemlösung (z.B. Decryptor) auf ihre Vertrauenswürdigkeit zu prüfen.
Mit der Systemwiederherstellung zum vorigen sauberen Zustand
Wer unter Windows die Systemwiederherstellung aktiviert hat, kann sein System in einen Zustand zurückversetzen, in dem noch alles einwandfrei funktionierte. Das hängt allerdings vom Systemwiederherstellungszeitpunkt ab. Einige Ransomware unterbindet dieses Gebaren. Dennoch kann ein Versuch nicht schaden.
BIOS Clock zurücksetzen
Manche Ransomware-Varianten besitzen einen Lösegeld-Timer. Je weiter die Zeit vorangeschritten ist, desto mehr muss das Opfer bezahlen. Betroffene können versuchen, die BIOS Clock auf eine Zeit vor der Deadline zurückzusetzen, um so Zeit zu gewinnen.
Weiterführende Informationen
Wer bereits ESET-Kunde ist und Bedenken bezüglich seines Schutzes gegen Ransomware hegt, oder glaubt, von dieser Malware bereits betroffen zu sein, sollte den Kundendienst seines Landes kontaktieren. Dort kann Auskunft über Präventionsmaßnahmen und Fehlerbehebung gegeben werden.
Außerdem haben wir im Folgenden zusätzliche Informationsquellen zusammengetragen, die Abhilfe bei dieser Bedrohung schaffen.
- Neue WannaCryptor-ähnliche Ransomware mit weltweiten Auswirkungen
- ESET erkennt und blockiert "NotPetya" Diskcoder.C Malware
- Erkennen und Beheben von SMBv1
- ESETs kostenfreies Tool zur Erkennung der EternalBlue-Schwachstelle, die von WannaCryptor, WannaCry und DiskCoder.C verwendet wird
- Spezialtools zur Malware-Beseitigung
- Ransomware Einmaleins Podcast (Englisch)
Für ESETs Business Kunden sind außerdem noch folgende Informationen interessant:
- Konfiguration der ESET Mail Security zum Schutz vor Ransomware
- Best Practices zum Schutz vor Filecoder Malware (Ransomware)
- HIPS-Regeln für ESET Business-Produkte zum Schutz gegen Ransomware konfigurieren
Abschließend müssen wir erwähnen, dass die jüngste Ransomware-Angriffswelle eine nie dagewesene Berichterstattung nach sich zog. Grund dafür ist die Abkehr von wie früher eingesetzter finanziell motivierter Ransomware (diese tarnte sich besser und schädigte nicht so viele Dateien).
Ransomware kann sicherlich erschreckend sein. Es gibt aber auch wesentlich harmlosere Probleme, die folgenschwere Konsequenzen nach sich ziehen. Gegen Datenverluste kann sich ein User nur mit einer Vorgehensweise absichern – dem regelmäßigen Erstellen von offline gespeicherten Backups. Egal was passieren mag, mit einer digitalen Sicherung kann das digitale Leben schneller wieder neugestartet werden.