Ransomware: Bezahlen ist keine Option

Mit Strukturierten Vorgehensweisen und den richtigen Tools lassen sich Ransomware-Angreifer schnell entdecken, abwehren und Daten wiederherstellen. Wir zeigen Tools und Vorgehensweisen um Ransomware aus dem Netzwerk auszusperren.

In den letzten Jahren traten Angriffe mit Ransomware besonders häufig auf. Dabei handelt es sich um Malware, die Dateien auf Computern oder im Netzwerk verschlüsselt und damit für das Unternehmen nicht mehr nutzbar macht. Ransomware ist in den letzten Jahren zur erfolgreichsten Malware-Variante geworden, und Kriminelle verdienen mittlerweile Milliarden mit den Erpressungssummen.

Betroffen sind Windows-Rechner, aber auch Linux. Auch macOS X und andere Betriebssysteme sind betroffen. Es reicht für ein Unternehmen also nicht aus, auf sichere Betriebssysteme zu setzen, sondern umfassende Sicherheitskonzepte und moderne Lösungen für die Sicherheit im Netzwerk sind genauso notwendig, wie die Schulung der Administratoren und Anwendern. Aber nicht nur Windows-Server sind betroffen. Es gibt auch genügend Ransomware für Linux, zum Beispiel „KillDisk“. Die Erpresser fordern in diesem Fall sogar 250.000 US-Dollar und mehr für das Entschlüsseln von Dateien.

Umfrage

War Ihr Unternehmen in den vergangenen Monaten von einer Ransomware-Attacke betroffen?

Ergebnisse anzeigen

Loading ... Loading ...

Ransomware fordert ein geplantes Vorgehen

Verantwortliche im Unternehmen müssen sich Gedanken darüber machen, wie Angriffe von Ransomeware verhindert werden können. Kommt es dennoch zu einem erfolgreichen Angriff, muss strukturiert und gut geplant vorgegangen werden, um die Schäden zu beseitigen. Prominentes Beispiele dafür sind die Ransomware „WannaCry“, „KillDisk“ oder „Petya“. Wir zeigen auf was geachtet werden muss, und warum das Bezahlen der Kriminellen keine Option ist.

Es gibt immer mehr verschiedene Arten von Malware und Angreifer, die auf verschiedenen Wegen Netzwerken und PCs angreifen. Neben Viren und Trojaner treten immer mehr Bots, Ransomware, Rootkits und Zero-Day-Angreifer auf. Aus diesen Gründen ist es auch sinnvoll die Sicherheitskonzepte im Netzwerk mehrstufig anzulegen. Neben sicheren Firewalls, die intern und extern das Netzwerk absichern, spielt auch der Virenschutz eine wichtige Rolle. Dadurch lässt sich Ransomware abwehren, aber auch andere Angreifer im Netzwerk.

Auch hier sollten Unternehmen mit mehreren Stufen arbeiten, und neben herkömmlichen Virenscannern auch auf intelligente Systeme der nächsten Generation setzen. Herkömmliche Virenscanner sind bei solchen Angreifern schlichtweg machtlos. Die neue Endpoint-Cloud-Plattform von Malwarebytes bietet zum Beispiel zuverlässigen Schutz für Unternehmen vor Hackern und Schadsoftware, aber auch vor Ransomware-Attacken.

Tipps für den Schutz vor Ransomware

Unabhängig von Tools und Serverdiensten sollten sich Administratoren umfassende Gedanken zum Schutz gegen Ransomware machen, und zwar bevor ein Angriff erfolgt. Dabei helfen verschiedene Vorgehensweisen und Prozeduren, die Angriffe verhindern, verzögern oder zumindest ausbremsen. Außerdem können die Daten bei einer strukturierten Vorgehensweise schnell und einfach wiederhergestellt werden, ohne dem Entwickler der Ransomware Geld für die Entschlüsselung zahlen zu müssen:

  • Schreibrechte auf Dateiservern sollten auf das Minimum reduziert werden. Die Verschlüsselung findet mit den Schreibrechten des Anwenders statt. Hat dieser umfassende Rechte auf dem Dateiserver, werden auch mehr Daten verschlüsselt.
  • Eingehende E-Mails sollten besonders sorgfältig auf Archive und Word-Dokumente gescannt werden. Ein vernünftiger Virenschutz für E-Mail-Server spielt eine wichtige Rolle für die Verteidigung gegen Ransomware. Hier sollte besonders restriktiv vorgegangen werden.
  • Die Abstände der Datensicherungen und deren Aufbewahrungszeit sollten optimiert werden, also häufigere Datensicherungen, die länger aufbewahrt werden. Werden Daten im Netzwerk durch Ransomware verschlüsselt, können die Daten aus der Datensicherung wiederhergestellt werden. Eine Entschlüsselung ist in diesem Fall nicht notwendig. Dabei gehen allerdings alle Änderungen seit der letzten Datensicherung verloren.
  • Die Anwender aber auch Administratoren und Support-Mitarbeiter sollten über Ransomware aufgeklärt werden, und wie sie sich selbst schützen können oder bei Angriffen vorgehen sollen. Verantwortliche im Unternehmen müssen einen Maßnahmenkatalog erstellen und sicherstellen, dass dieser auch umgesetzt wird.
  • Die Abstände für Aktualisierungen der Definitionsdateien für Virenscanner auf Servern und Arbeitsstationen sollte verringert werden. Moderne Tools, die mit Ransomware zurechtkommen, helfen dabei das Netzwerk erfolgreich zu verteidigen.

Updates für das Betriebssystem installieren – Windows, Linux und macOS X schützen

Windows 10, aber auch die Vorgänger Windows 7/8/8.1 können mit Bordmitteln schon recht sicher konfiguriert werden. Allerdings sollten Unternehmen darauf achten, dass das Betriebssystem auf dem aktuellen Stand ist. Dadurch lassen sich Angreifer einfacher aussperren, da Malware wie „WannaCry“ vor allem Schwachstellen in Windows nutzen. Dazu sollten Administratoren einige Schritte nach der Installation durchführen, denn die Standardeinstellungen in Windows sind nicht immer ideal gewählt.

Die wichtigsten Sicherheits-Einstellungen von Windows 10 sind über die Start-Schaltfläche in den Einstellungen und dann über Update und Sicherheit zu finden. Hier sollten Anwender oder Administratoren zunächst alle Menüpunkte durcharbeiten, und Einstellungen so setzen, dass diese möglichst sicher sind. Die meisten Einstellungen lassen sich auch über Gruppenrichtlinien zentral im Netzwerk vorgeben. Der wichtigste Schritt ist die Installation von Updates. Durch die Aktualisierung der Windows-Rechner werden wichtige Neuerungen und viele Sicherheitsverbesserungen im System integriert. Außerdem sollten sich Windows-Rechner im Netzwerk regelmäßig automatisch aktualisieren. Dabei helfen zum Beispiel Tools wie Windows Server Update Services.

Zusätzlich müssen natürlich auch die Linux-Server und macOS X-Rechner im Netzwerk geschützt werden. Auch hier müssen Administratoren darauf achten, dass durch automatische Vorgänge Sicherheitslücken in den Betriebssystemen geschlossen werden.

Schattenkopien helfen bei Windows-Servern

Arbeiten Unternehmen mit Schattenkopien auf Windows-Servern, lassen sich verschlüsselte Dateien über die Schattenkopien des Servers in Windows wiederherstellen. Unternehmen, die diese Funktion noch nicht nutzen, sollten diese für Windows-Dateiserver also auf jeden Fall aktivieren und optimal einstellen.  Erpressungs-Trojaner verschlüsseln zwar die aktiven Dateien, aber nicht die Schattenkopien, die sich schnell und einfach wiederherstellen lassen.

Samba-Server vor Ransomware schützen – Fail2ban

Wer auf Linux als Datei-Server setzt, kann ebenfalls durch Ransomware angegriffen werden. Die Daten werden in diesem Fall von Windows-Arbeitsstationen aus verschlüsselt, die über das Netzwerk auf den Server zugreifen.  Hier ist es wichtig, dass die Benutzerrechte der Anwender eingeschränkt werden. Um Angriffe von Arbeitsstationen aus zu verhindern, kann das Tool Fail2ban helfen.

Dazu muss Samba so konfiguriert werden, dass der Server Zugriffe der Anwender protokolliert. Nur dadurch lassen sich Aktionen der Erpressungs-Trojaner entdecken. Sobald Fail2ban die Dateiendungen von Locky und anderen Erpressungstrojanern findet, kann das Tool aktiv werden. Dazu nutzen Administratoren am besten die bekannten Dateiendungen und Dateien der Erpressungstrojaner. Diese Liste muss ständig erweitert werden. Mit Fail2ban kann ein infizierter Client vom Server gesperrt werden. Damit das Tool zuverlässig funktioniert muss es regelmäßig aktualisiert und gewartet werden.

Zahlen oder nicht zahlen, das ist die Frage

Anwender erhalten generell erst wieder Zugriff auf die durch Ransomware verschlüsselte Dateien, wenn sie dem Programmierer eine Geldsumme ausbezahlt haben. Allerdings ist selbst bei Zahlung nicht sicher, ob die Dateien freigeschaltet werden, denn Kriminelle sind sicher keine zuverlässigen Geschäftspartner. In vielen Fällen halten sich Erpresser schlicht nicht an das Versprechen die Daten auch wieder zu entschlüsseln.

Außerdem wird dadurch auch für Programmierer anderer Ransomware-Schädlingen klar, dass bei dem entsprechenden Unternehmen Geld zu holen ist. Dennoch haben laut einer Studie von IBM im letzten Jahr 70% der Unternehmen die Erpresser bezahlt, und zwar oft mit fünfstelligen Summen, teilweise deutlich mehr. Das zeigt, wie hilflos die meisten Unternehmen sind, und wie wenig geschützt die Infrastruktur ist.

Das IT-Sicherheitsunternehmen Malwarebytes hat im ersten Quartal eine Zunahme von Malware von über 500% im Vergleich zum Vorjahr festgestellt. In Deutschland wurde ein Anstieg von über 900% gemessen. Der SMB Threat Report von Malwarebytes macht also schnell klar, dass Unternehmen auf dieses Wachstum von Angriffen reagieren müssen.

Generell ist die Bezahlung also keine Option, vor allem weil dadurch nicht sicher ist, ob Reste des Angreifers im Unternehmen verbleiben, und Daten erneut verschlüsseln. Zuverlässige Tools und Vorgehensweisen helfen dabei Ransomware abzuwehren und im Notfall die Daten selbst zu entschlüsseln oder wiederherzustellen. Die Polizei rät ebenfalls davon ab zu bezahlen.

Es gibt zuverlässige Werkzeuge gegen Ransomware

Moderne Virenscanner, wie zum Beispiel Malwarebytes 3 stellen den Virenschutz der nächsten Generation für Arbeitsstationen dar. Solche Virenscanner erkennen auch Zero-Day-Angreifer und Ransomware.  Mit dem kosten Tool Malewarebytes Anti Ransomware schützen Anwender ihre Rechner zu Hause weitgehend zuverlässig vor dem Befall von Ransomware. Das Tool bekämpft die Trojaner Locky, CryptoWall4, CryptoLocker, Tesla und CTB-Locker sowie neue Versionen dieser Angreifer.

Auch mit kostenlosen Tools können Angreifer abgewehrt werden (Screenshot: Thomas Joos).Auch mit kostenlosen Tools können Angreifer abgewehrt werden (Screenshot: Thomas Joos).

 

Die neue Endpoint-Cloud-Plattform von Malwarebytes bietet Schutz für Unternehmen vor Hackern und Schadsoftware. Die Lösung kann Virenscanner in Netzwerken komplett ersetzen. Die neue Plattform fasst die Lösungen Incident Response und Endpoint Protection zusammen. Verwaltet wird die Umgebung mit einer cloudbasierten Managementlösung. Der starke Anstieg von Malware zeigt, dass Unternehmen dringend reagieren müssen und herkömmlichen Virenscanner kaum mehr ausreichen. Endpoint-Cloud-Plattform geht beim Schutz von Netzwerken deutlich weiter als herkömmliche Virenscanner.

Malwarebytes Endpoint-Cloud-Plattform erkennt Ransomware in Unternehmensnetzwerken und verhindert das Verschlüsseln von Dateien, selbst wenn es Ransomware in das Netzwerk schafft. Für den Schutz wird Machine Learning eingesetzt sowie verschiedene Verhaltensregeln.

Mit Malwarebytes Endpoint-Cloud-Platform lassen sich Ransomware-Angreifer zuverlässig aufhalten (Screenshot: Thomas Joos).Mit Malwarebytes Endpoint-Cloud-Platform lassen sich Ransomware-Angreifer zuverlässig aufhalten (Screenshot: Thomas Joos).

Durch die Machine Learning-Funktionen und die Signaturlose Erkennung von Angreifern kann Malwarebytes Endpoint-Cloud-Plattform Angreifer und Schadsoftware in Echtzeit erkennen und entsprechend reagieren. Die Software verwendet bekannte und vertraute Dateien als Modell und erkennt dadurch welche Dateien im Netzwerk verdächtig sind. Klassische Antivirenanwendungen verwenden ältere Beispiele von Malware, um Angreifer im Netzwerk zu erkennen. Dadurch können klassische Anwendungen mit neuen Bedrohungen erst dann umgehen, wenn die Definitionsdateien aktualisiert wurden. Das ist ein klarer Nachteil im Vergleich von Endpoint-Cloud-Plattform, die durch Machine Learning neue Angreifer schnell und einfach erkennt, und das auch ohne Definitionsdateien. Das ist bei Ransomware natürlich besonders wichtig, denn hier erscheinen sehr schnell Abwandlungen und neue Versionen, die sich mit klassischen Werkzeugen kaum entdecken lassen.

Versucht ein Angreifer Schwachstellen von Anwendungen auf geschützten Rechnern auszunutzen, oder das Betriebssystem anzugreifen, erkennt das die Sicherheits-Lösung und blockiert die Ausführung. Selbst wenn ein Angreifer es schafft eine Anwendung zu kompromittieren, erkennt Malwarebytes Endpoint-Cloud-Plattform auch das durch das verdächtige Verhalten der entsprechenden Anwendung. Die Sicherheitslösung verhindert in diesem Fall, dass andere Anwendungen oder Endpunkte infiziert werden und blockiert die kompromittierte Anwendung.

Mit Tools Ransomware-Dateien entschlüsseln

Hersteller wir Malwarebytes stellen aber auch kostenlose Tools zur Verfügung, mit denen verschlüsselte Dateien wieder entschlüsselt werden können. Das Decryptor-Tool für Petya kann zum Beispiel alle verschlüsselten Dateien wiederherstellen, die durch die Ransomware Petya verschlüsselt worden sind. Kriminelle gehen beim Programmieren von Ransomware immer intelligenter vor, sodass ein Tool zwar eine Variante des Angreifers abwehren und dessen Daten entschlüsseln kann, nicht jedoch Varianten des Angreifers. Aus diesem Grund sollten sich Administratoren regelmäßig über neue Angreifer informieren und sich auf die Suche nach passenden Tools machen. Malwarebytes bietet Tools für Windows an, aber auch Live-CDs, mit denen sich Daten entschlüsseln lassen.

Malwarebytes hilft beim Entschlüsseln von Ransomware (Screenshot: Thomas Joos).Malwarebytes hilft beim Entschlüsseln von Ransomware (Screenshot: Thomas Joos).

 

Vor einer Bereinigung erst Rechner sichern

Vor einer Bereinigung sollten Server und Arbeitsstationen, die durch Ransomware befallen sind zunächst gesichert werden, damit der Ursprungszustand vor der Entschlüsselung erhalten bleibt. Auch Desinfektionstools können Probleme verursachen. Liegen alle Daten als Sicherung vor, können diese wiederhergestellt werden, wenn es Probleme bei der Entschlüsselung gibt.  Clonezilla  ist eine der bekanntesten Lösungen für das Klonen von kompletten Festplatten. Booten Administratoren einen Rechner mit der Live-CD, lassen sich alle Festplatten, inklusive aller Partitionen, sichern und wiederherstellen. Clonezilla ist auch Bestandteil der Ultimate Boot CD.

Fazit: Darum ist bezahlen keine Option

Das Bezahlen eines Erpressers ist in allen Szenarien die schlechteste Variante, die in jedem Fall verhindert werden sollte. Unternehmen machen dadurch klar, dass sie erpressbar sind, und die Sicherheit im Netzwerk ist weiter gefährdet. Ob die Daten entschlüsselt werden, ist bei Bezahlung ebenfalls nicht klar. Besser ist die optimale Vorbereitung. Zunächst sollte mit effizienten Sicherheitswerkzeugen wie Endpoint-Cloud-Plattform von Malwarebytes gearbeitet werden, um das Netzwerk mit einem mehrstufigen Konzept vor Angreifern zu schützen, nicht nur vor Ransomware.

Zusätzlich sollten sich Unternehmen für den Befall von Ransomware vorbereiten. Daten sollten häufiger gesichert und strukturierte Vorgehensweisen etabliert werden. Mit entsprechenden Tools lassen sich die meisten Angreifer wieder entfernen und Daten entschlüsseln. Gelingt das nicht, können die verschlüsselten Daten aus der Datensicherung oder Schattenkopien wiederhergestellt werden. Außerdem sollten Administratoren und Anwender gleichermaßen im Umgang mit Ransomware geschult werden. Dadurch wird ein erfolgreicher Angriff verhindert, vermindert oder recht einfach wieder rückgängig gemacht.

Themenseiten: Malwarebytes, Malwarebytes Cybersecurity, Ransomware

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Artikel empfehlen: