Ransomware wie Wannacry und Notpetya sorgten vor einigen Jahren weltweit für Angst und Schrecken. Die Schadprogramme verbreiteten sich im Handumdrehen in den Netzwerken von Behörden, Flughäfen und Unternehmen. Die Kosten für Lösegeldzahlungen, Aufräum- und Säuberungsarbeiten sowie die Umsatzverluste betrugen Medienberichten zufolge hunderte Millionen Euro.
Es vergeht auch kein längerer Zeitraum, in dem nicht über aktuelle Ransomware-Angriffe berichtet wird. Weiterentwicklungen von Schadprogrammen wie Ryuk, suchen bei einem Netzwerkbefall zuerst nach Sicherungskopien, vernichten diese und verschlüsseln erst dann die Daten, um in der Folge Lösegeld zu fordern. Angegriffen werden mittlerweile nicht nur IT-Systeme, sondern immer häufiger auch industrielle Infrastrukturen zur Steuerung von Produktionsprozessen.
Lesetipp: Von Hackern erpresst - Die 5 größten Ransomware-Attacken
Ransomware - Eine Definition
Unter dem Begriff Ransomware versteht man Schadprogramme, welche letztendlich darauf abzielen, das Ziel der Cyber-Attacke zu erpressen. Angriffe mittels Ransomware können sowohl private Internetnutzer als auch Firmen betreffen. Der oder die Angreifer verschlüsseln Daten auf den infizierten Computern oder der Zugriff darauf wird verhindert. Die Konterminierung des Systems kann zum Beispiel über das Öffnen einer infizierten E-Mail oder das Anklicken eines Browserlinks erfolgen. Anschließend wird dem Opfer eines Angriffs Glauben gemacht, dass der Zugriff auf seine Daten nach Zahlung einer Lösegeldforderung wieder freigeschaltet wird.
Ransomware erkennen
Bei einer Ransomware-Infektion helfen einige Hinweise, um einen Angreifer korrekt zu identifizieren. Der GDATA Sicherheitsexperte Karsten Hahn verweist darauf, dass sich Ransomware nicht mehr auschließlich über veränderte Dateiendungen identifizieren lassen. Und er nennt weitere Hinweise, die sich zur Identifizierung einer Ransomwareinfektion nutzen lassen:
Sind betroffene Dateien korrupt oder verschlüsselt?
Lässt sich ein auffälliges Schema bei der Umbenennung von Dateien erkennen?
Welche Dateiformate wurden von der Ransomware verschlüsselt?
Lassen sich Dateien am System identifizieren, die einer Malware zugeordnet sind?
Nützliche Tools, um eine Ransomware-Infektion auf eigenen Systemen zu erkennen, sind ID-Ransomware vom MalwareHunterTeam oder der Crypto Sheriff von nomoreransom.org. Die web-basierten Dienste ermöglichen betroffenen Anwendern einen Upload der Erpressernachricht oder einer verschlüsselten Datei. Die übermittelten Informationen werden online ausgewertet und, falls möglich, einer entsprechenden Ransomware zugeordnet. Wenn Sie Glück haben, dann findet sich gleich noch eine Lösung zum Entschlüsseln ihrer Dateien bei en Anbietern.
Eine gute Quelle, um bei Ransomware am Laufenden zu bleiben, ist das Portal Bleepingcomputer.com. Die Online-Plattform bietet laufend aktualisierte Berichte zu neuesten Entwicklungen bei Ransomware und eine Reihe von nützlichen Tools zur Identifikation und zur Beseitigung von schadhaften oder verschlüsselten Dateien.
Ransomware entfernen
Ist ein System bereits kontaminiert, heißt es schnell und richtig zu handeln. Der erste Schritt ist: das befallene System sofort vom Netz zu nehmen. Dadurch werden etwaige weiterlaufende Verschlüsselungsvorgänge im Hintergrund unterbrochen. Polizei und Sicherheitsdienste raten zudem davon an, Lösegeld zu zahlen. Das biete keine Garantie, dass der Zugang zu den Daten wiederhergestellt werden kann oder weitere Angriffe unterbleiben.
Unternehmen, die über ein aktuelles und funktionsfähiges Backup ihrer System- und Geschäftsdaten verfügen, profitieren bei einem Ransomware-Vorfall davon. In der Regel ist das Neuaufsetzen der betroffenen Systeme mit Backups der schnellste und sicherste Weg, um wieder eine funktionierende IT-Infrastruktur zu erhalten.
Ansonsten ist es wichtig, dass die beim Angriff verwendete Ransomware zweifelsfrei identifiziert wird. Zahlreiche Anbieter haben Entschlüsselungsprogramme für bekannte Ransomware im Portfolio, welche die Beseitigung der durch einen Angriff verursachten Schäden ermöglichen können.Identifiziert eine solche Software eine Datei, die von einem noch nicht identifizierten Schadprogramm befallen ist, muss diese noch nicht sofort gelöscht werden. Durch das Verschieben in den Quarantäne-Ordner besteht die Möglichkeit, dass die Security-Software das Schadprogramm nach einem Update erkennt und die befallene Datei wieder nutzbar machen kann.
Sind keine passenden Tools vorhaben, um befallene Dateien zu entfernen oder zu reparieren, hilft nur noch die manuelle Analyse der Systeme, soweit möglich, und der Versuch, die Schadprogramme händisch von den betroffenen Systemen zu entfernen.
Schutz vor Ransomware
Eine permanente Sensibilisierung und Schulung der Anwenderinnen und Anwender in Bezug auf mögliche Formen von Cyberangriffe ist ein wichtiger Baustein, um das Sicherheitsniveau im Betrieb zu erhöhen. Mitarbeiter sollten trainiert werden, um mögliche Ransomware-Attacken im E-Mail- und Datenverkehr sowie beim Zugriff auf Internetseiten zu erkennen.
Schutz vor Ransomware-Angriffen bietet der Einsatz einer Server-basierten Managed-E-Mail-Security-Lösung mit integrierter Advanced Thread Protection (ATP). ATP führt eine Analyse von potenziell gefährlichen Nachrichten durch und identifiziert und eliminiert Schadprogramme, bevor sie im Mail-Konto des Unternehmens landen.
Standard sollte zudem sein, dass alle Systeme immer mit den aktuellen Sicherheits-Updates des jeweiligen Herstellers ausgestattet sind. Des Weiteren ist es empfehlenswert, eine Firewall einzusetzen und Virenscanner zum Schutz von Endgeräten zu installieren.
Abschließend sollten Unternehmen im Falle eines überstandenen Cyber-Angriffs grundsätzlich in der Lage sein, jederzeit auf aktuelle Backups ihrer wichtigsten System- und Geschäftsdaten zugreifen zu können, die frei von Malware sind.