Viren und Trojaner unterwegs Das sollten Sie wissen Sie heissen Locky, Cryptowall oder TeslaCrypt. Seit einigen Wochen treiben sogenannte Verschlüsselungs- respektive Crypto-Trojaner ihr Unwesen. Es häufen sich Schlagzeilen zu betroffenen Nutzern und geschädigten Unternehmen. Das folgende sollten Sie wissen. Wie gefährlich sind Crypto-Trojaner? Obwohl die meisten Unternehmen Sicherheitsmechanismen wie Firewalls, Anti-Spam und Virenscanner bereits im Einsatz haben, gelingt es dem Verschlüsselungstrojaner die Daten zu kapern. Einige Versionen von Antivirensoftware können solche Trojaner zwar entfernen, die verschlüsselten Dateien sind aber meist nicht wiederherstellbar. Besonders gefährlich sind Crypto-Trojaner, weil sie die Daten auf allen angehängten Festplatten und erreichbaren Netzlaufwerken verschlüsseln. Sie können ganze Server-Landschaften lahmlegen und einen Totalausfall der ICT-Umgebung provozieren. Was macht die Dinger so effektiv? • E-Mails mit infizierten Anhängen sehen verblüffend echt aus und täuschen zusätzlich durch stilsichere Sprache. • Crypto-Trojaner verteilen sich auch als Drive-by-Downloads über manipulierte Websites. • Da diese Trojaner über verschiedene Wege mit ihren Kontrollservern kommunizieren, ist ihr Aufspüren durch Verhaltensanalyse kaum möglich. • Sämtliche Dateien, zu welchen ein Benutzer Zugriff hat (Netzlaufwerke etc.) werden unbrauchbar. • Die Verschlüsselungen sind nicht zu knacken. Wie wird ein Rechner infiziert? 1) Sie erhalten eine E-Mail, welche auf den ersten Blick vertrauenswürdig erscheint oder sogar von einem bekannten Absender stammt. Sie werden im Betreff aufgefordert ein angehängtes Dokument zu kontrollieren oder anzupassen. 2) Bei dieser Datei (Rechnung, Infoschreiben oder ähnliches) scheint es sich um ein «normales» Word- oder Excel-File zu handeln, weshalb weder Spamfilter noch Virenscanner Alarm schlagen. Sie öffnen das Dokument und der Befall startet. 3) Die Urheber von Crypto-Trojaner nutzen die Vielseitigkeit von Office aus, indem sie Dokumente mit Makros ver sehen, welche bei einem Öffnen der Datei automatisch ausgeführt werden. 4) Die Makros rattern hinterlegte URLs durch, laden so den Trojaner und führen diesen auch aus. 5) Der Trojaner kontaktiert im Hintergrund seinen Kontrollserver und tauscht Informationen über den infizierten Rechner aus. Es wird ein individueller öffentlicher Schüssel generiert und an den Rechner gesendet. 6) Mit diesem öffentlichen Schlüssel macht sich der Trojaner ans Werk und löscht zuerst alle systemeigenen Wiederherstellungspunkte und Schattenkopien der Daten und verschlüsselt dann sämtliche gängigen Dateitypen (doc, xls, pdf, icc, indd, xml uvm.). Dabei wird nicht nur das lokale Laufwerk verschlüsselt, sondern auch sämtliche angehängten Netzlaufwerke. 7) Hat der Trojaner seine Arbeit getan, wird dem Benutzer auf dem Desktop eine Nachricht angezeigt. Die konkrete Form dieser Nachricht variiert je nach Trojaner. In den meisten Fällen wird eine Lösegeldzahlung in Form von Bitcoins gefordert. Welche Auswirkungen kann ein Befall haben? Bei Unternehmen, welche einen derartigen Ransomware-Befall erleiden und die Verschlüsselung der Daten nicht früh genug entdecken, kann es zu einem Totalausfall der ICT-Umgebung kommen. Je nach Branche und Grösse des Unternehmens können die Auswirkungen und Kosten eines solchen Ausfalls verheerend sein. Wie kann ich mich und mein Unternehmen schützen? Momentan sind die Wege und Versionen dieser Crypto-Trojaner so variabel, dass es keine hundertprozentige Lösung gibt – ein gewisser Schutz lässt sich aber durch folgende Massnahmen erreichen. üü Jegliche Mails mit Anhängen, welche Sie nicht ausdrücklich erwarten, sollten Sie sofort löschen. üü Stellen Sie sicher, dass Sie ein funktionierendes Backup haben und kontrollieren Sie dieses regelmässig. üü Simulieren Sie die Wiederherstellung Ihrer Daten. üü Klären Sie, wie schnell Ihre Daten aus dem Backup wiederhergestellt sind und wo Ihre Backupdaten liegen. Fragen Sie sich, ob es eventuell Anpassungen bei Ihrem Backupkonzept braucht. üü Achten Sie darauf, dass Ihre Sicherungsdatenträger (USB-Datenträger) nur während eines Backups mit dem Computer verbunden sind. üü Überprüfen Sie die Benutzerrechte: Hat jede und jeder wirklich nur solche, welche er oder sie für das Tagesgeschäft benötigen? Benutzer mit zu hohen Rechten haben in der Regel auch Zugriff auf eine grosse Datenmenge, was wiederum zu grösserem Schaden führen könnte. üü Halten Sie Ihre Systeme immer auf dem neusten Stand und spielen Sie aktuelle Patches ein. üü Deaktivieren Sie das automatische Ausführen von Makros. üü Betreiben Sie auf Ihren Arbeitsstationen immer eine aktuelle Antivirensoftware und überprüfen Sie deren Konfiguration. üü Kontrollieren und regeln Sie die Internet-Zugriffe Ihrer Mitarbeiter mittels eines Web-Content- resp. URL-Filters. So erreichen Sie, dass Verkehr zu bereits bekannten Kontrollservern unterbunden wird und Sie zusätzlich an Transparenz gewinnen, was in Ihrem Netz vor sich geht. Sensibilisieren Sie Ihre Mitarbeitenden, Kolleginnen und Kollegen. Locky, Cryptowall oder TeslaCrypt, was sind das für Trojaner? Bei der aktuellen Trojanerwelle handelt es sich um sogenannte Crypto-Trojaner. Sie werden auch Verschlüsselungs-, Erpressungs- oder Lösegeldtrojaner sowie Ransomware (ransom; englisch für Lösegeld) genannt. Die Schädlinge verschlüsseln sämtliche Dateien auf Ihren Rechnern und machen so jegliche Daten unbrauchbar. Damit Sie wieder auf die eigenen Dateien zugreifen können, wird Lösegeld gefordert. Was tun, falls es mich/uns trotzdem erwischt? Ist ein Gerät infiziert, nehmen Sie dieses so schnell wie möglich vom Netz. Durch eine rasche Isolation können Sie womöglich einen weiteren Fortgang stoppen. Daten, welche durch einen Crypto-Trojaner verschlüsselt wurden, lassen sich kaum wieder entschlüsseln. Auch die Bezahlung des geforderten Lösegeledes garantiert nicht, dass Sie alle Daten unbeschädigt zurückerhalten. Sämtliche Anlaufstellen raten davon ab, auf die Erpressung einzugehen. Bei einem Gesamtbefall empfiehlt sich eigentlich nur die Wiederherstellung der Daten aus Ihrem letzten Backup. Stellen Sie sicher, dass Sie stets über ein aktuelles Backup und bestenfalls über eine Offline- Generation Ihrer Daten verfügen. Ist Ihre Umgebung befallen oder haben Sie einen Verdacht? Wollen Sie wissen, ob Ihr Backup-Konzept auf dem neuesten Stand ist? Kontaktieren Sie uns: Guido Steger System Consultant [email protected] +41 41 925 71 11 Sinisa Dragojevic System Engineer Microsoft [email protected] +41 41 925 71 11 www.a-f.ch www.a-f.ch
© Copyright 2024 ExpyDoc
