1. DS Austria GmbH
  2. Allgemein
  3. Ransomware (Online-Erpressung) – akut steigende Gefahr für alle Anwender

Ransomware (Online-Erpressung) – akut steigende Gefahr für alle Anwender

Bereits 2015 hat sich das Thema Online-Erpressung als eine große Gefahr herausgestellt. Der IT-Sicherheitsanbieter Trend Micro sieht aber eine Steigerung und ist sich sicher, dass 2016 das Jahr der Online-Erpressung wird.

Wir erklären, was sich hinter diesem Phänomen verbirgt, welche präventiven Maßnahmen ratsam sind und wie man im Falle einer Infektion reagiert.

Was ist Ransomware?
Das Phänomen Online-Erpressung wird Ransomware genannt (Ransom = Erpressung) und bedeutet, dass Schadprogramme – die über Trojaner eingeschleust wurden – Dateien, Verzeichnisse oder schlimmstenfalls die gesamte Festplatte eines Computers sperren. Um eine Entsperrung zu aktivieren, soll dann eine Art Lösegeld bezahlt werden.

Ransomware Computer locked

 

Wie gelangt Ransomware auf einen Rechner?
Es gibt zwei verschiedene Wege, wie man sich Ransomware „einfangen“ kann:

Manipulierte Anhänge oder Links
Öffnet man manipulierte Dateianhänge oder Links (via eMail, Chats, oder soziale Netzwerke wie z.B. Facebook) gerät die Schadsoftware unbemerkt auf den Rechner. Oft wird sehr trickreich gelockt, eine Datei zu öffnen oder einem Link zu folgen; z.B. über persönlich anmutende Fragen wie „bist das nicht Du auf dem Bild?“

Drive-by-Downloads
Gerät man auf eine infizierte Website, wird im Hintergrund ein Schadcode heruntergeladen.

Was passiert, wenn ein Rechner infiziert ist?
Ein infiziert Rechner wird meist erst nach einem Neustart erkannt. Dann erfährt der User über einen Sperrbildschirm, dass seine Daten gesperrt sind. Oftmals wird angegeben, dass es sich um eine Sperrung durch eine offizielle Stelle (z.B. Polizei, BKA) oder eine Firma (z.B. Microsoft) handle und die Daten aufgrund einer illegalen Handlung des Users gesperrt seien. Die Daten würden erst nach einer Zahlung (über Bitcoins oder Prepaidcode wie z.B. Paysafecard) wieder freigegeben werden. Selbstverständlich handelt es sich niemals um eine Behörde oder eine legale Firma, die eine solche Sperrung verursachen. Solch eine Art der Strafverfolgung ist gar nicht erlaubt.

Wie kann man sich vor Ransomware schützen?

  • Der beste Schutz ist natürlich, keine schädlichen links oder Websites anzuklicken. Da aber die Angreifer immer raffinierter werden, fällt es nicht immer leicht, potentielle Gefahren eindeutig zu erkennen. Security Leitlinien eines Unternehmens, die Mitarbeiter auf die Gefahren hinweist und gewisse Aktivitäten untersagt, dienen zumindest einer Sensibilisierung der User.
  • Datensicherung auf externe Medien ist per se wichtig und sollte auch in Hinblick auf Ransomware regelmäßig durchgeführt werden. Eine Kontrolle der gesicherten Dateien auf Vollständigkeit und Unversehrtheit sollte ebenfalls regelmäßig erfolgen. Im Idealfall werden die Dateien – zusätzlich zur lokalen Sicherung – in einer Cloud gesichert. Über die Möglichkeit in der Cloud und/oder lokal vor Ort zu sichern, erfahren Sie hier: http://www.kct.de/wp-content/uploads/2014/12/Datenblatt-KCT_flexBACKUP_v1.pdf
  • Setzen Sie eine leistungsstarke Anti-Viren-Software ein und scannen regelmäßig Ihren Rechner auf Schadsoftware. Aufgrund unserer bisherigen Erfahrung empfehlen wir Kaspersky Internet Security, das sehr viele Arten von Schadprogrammen effizient blockiert. Bei einer Infizierung werden alle wichtigen Dateien über eine besondere Funktion geschützt.
  • Ebenfalls zu den unabdinglichen Basics gehört die stets zeitnahe Aktualisierung des Virenschutzes, der Firewall sowie der eingesetzten Programme (Sicherheits-Updates), um Sicherheitslücken zu schließen.
  •  In den Windows-Einstellungen können Sie die Funktion „Dateinamenerweiterung“ aktivieren. Dadurch erkennen Sie, ob es sich bei den Dateien um (versteckte) Programme handelt. Endungen wie z.B. „.exe“, „.scr“, „vbs“ zeigen, dass es sich um ausführbare Programme handelt, also ggf. eingeschleuste Schadsoftware beinhalten. Alarmstufe ROT gilt, wenn mehrere Endungen verwendet werden, z.B. „sonnenuntergang.jpg.exe, oder „Bilanz.docx.exe.“ Hier werden Schadprogramme als Bilderdateien, Worddokumente o.ä. getarnt. Es gibt viele potentiell gefährliche Endungen. Eine Übersicht bietet die Seite How-To Geek http://www.howtogeek.com/137270/50-file-extensions-that-are-potentially-dangerous-on-windows/
  • Sofern Sie einen ungewöhnlichen/auffälligen Prozess auf Ihrem Rechner bemerken, unterbrechen Sie umgehend die Internetverbindung. Eventuell hat die Ransomware zu diesem Zeitpunkt noch nicht den Entschlüsselungs-Key gelöscht und Sie können die Dateien wiederherstellen. Sollte es sich um Ransomware der neuen Generation handeln, hilft dies leider nicht, da diese vordefinierte Schlüssel benutzen.

Was macht man, wenn man sich infiziert hat?
NICHT ZAHLEN! Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät Opfern dringend davon ab, auf die Lösegeldforderung einzugehen. Die Wahrscheinlichkeit, dass auch nach einer Zahlung die Daten gesperrt bleiben, ist extrem hoch.

  • Fotografieren Sie die angezeigte Meldung und erstatten sofort Anzeige bei der Polizei.
  • Leider ist nicht bei jeder Art von Ransomware ein Reinigen des verseuchten Rechners möglich. Sofern eine aktuelle Datensicherung vorliegt, bleibt Ihnen zwar nicht der Weg erspart, den Rechner neu aufzusetzen, aber zumindest können Sie zeitnah wieder auf Ihre Daten zugreifen. Kaspersky bietet kostenlos ein Programm an, das infizierte Rechner untersucht und Malware entfernt. Das infizierte Betriebssystem muss dabei nicht gestartet werden. Kaspersky Rescue CD http://support.kaspersky.com/de/viruses/rescuedisk

 

Wir beraten Sie gerne hinsichtlich Präventionsmaßnahmen, aber natürlich auch im akuten Fall einer Bedrohung/Infizierung.

Telefon: 09431 7173-120
Telefax: 09431 7173-192
vertrieb@kct.de

Share This:

Neueste Beiträge