Locky, Samsa, Petya, Jigsaw – das sind nur einige Namen von Ransomware, die in letzter Zeit über die Nachrichtenticker liefen. Doch was ist Ransomware? Darauf gehen wir in diesem Beitrag ein und geben hilfreiche Tipps, wie Sie sich als Anwender und als IT-Administrator schützen können.
Was ist Ransomware?
Es handelt sich um Schadsoftware, die den Nutzern den Zugriff auf die Daten auf dem eigenen Computer bzw. im eigenen Netzwerk verhindern. Meistens geschieht dies durch Verschlüsselung der Daten. Damit der Nutzer wieder auf seine Daten zugreifen kann, muss er die Forderungen der Cyber-Kriminellen erfüllen, um den Schlüssel zur Entschlüsselung zu erhalten. Häufig wird ein Lösegeld gefordert, das auf ein anonymes Bitcoin-Konto überwiesen wird. Daher wird dieser Typ Schadsoftware auch häufig als "Erpressungstrojaner" bezeichnet.
Der Schadcode befindet sich häufig in Dateien, die als Anhang per E-Mail versendet werden. Nach dem Öffnen solcher Dateien wird der Code ausgeführt und verrichtet sein desaströses Werk. Doch auch Sicherheitslücken in eigentlich vertrauenswürdigen Programmen wie zum Beispiel MS Office oder Adobe Flash werden ausgenutzt, um Schadprogramme auf dem Zielsystem zu installieren. Wer denkt, das wäre nur für Computer mit Windows Betriebssystem ein Problem, der irrt: auch für Linux-Systeme und Apple Betriebssysteme gibt es unzählige Varianten von Erpressungstrojanern. Für Smartphones und Tablets kommt die Gefahr als Fake-App im App-Store daher. Besonders Android-Geräte sind hierbei betroffen.
Die Bedrohung durch Ransomware wächst
Praktisch alle führenden Hersteller von Firewalls und Antivirusprogrammen beobachten ein verstärktes Aufkommen von Ransomware. So gab Kaspersky Labs bekannt, dass seine Kunden allein im Februar 2016 rund 40.000 Infizierungsversuche gemeldet haben, so viel wie in den fünf Monaten davor. McAfee Labs registrierte im vierten Quartal 2015 rund sechs Millionen Fälle, doppelt so viel wie noch im ersten Quartal 2015. Und auch die Frequenz, in der neue Ransomware geschrieben wird, hat sich erhöht. Dies ist unter anderem darauf zurückzuführen, dass es mittlerweile Open-Source Schadcode und Programme gibt, die es auch unerfahrenen Cyber-Kriminellen ermöglicht, ihre eigenen Verschlüsselungstrojaner zu erstellen. IT-Sicherheitsanalysten gehen daher von einem weiteren Anstieg der Angriffe aus.
Vier aktuelle Beispiele von Ransomware
Die Angreifer finden immer wieder neue Wege, ihre Schadcodes in unzähligen Varianten auf den Zielsystemen zu platzieren. Die folgenden vier Beispiele verdeutlichen dies.
- Anfang des Jahres machte der Trojaner Locky Schlagzeilen. Er breitete sich als Anhang über E-Mail aus und betraf sowohl Windows- als auch MacOS-Geräte. Sobald der Nutzer das angehängte MS Office Dokument öffnet, wird er aufgefordert, Makros zu aktivieren. Damit wird ohne sein Wissen Programmcode ausgeführt, der einen Downloader installiert. Über diesen Downloader wird dann der eigentliche Trojaner heruntergeladen und im Zielsystem platziert. Im nächsten Schritt sucht Locky alle wichtigen Nutzerdaten mit bestimmten Dateierweiterungen zusammen und verschlüsselt sie. Alle diese Daten erhalten die Endung .locky und können vom Nutzer nun nicht mehr geöffnet werden. Auch Schattenkopien werden gelöscht. Im letzten Schritt erscheint die Lösegeldforderung mitsamt Anleitung zur Bezahlung als Desktophintergrundbild. Mittlerweile gibt es von Locky über 60 Varianten, die sich im Inhalt der E-Mail und der angehängten Datei unterscheiden.
- Der Trojaner Petya zielt vor allem auf Firmen im deutschsprachigen Raum ab, die Windows-Systeme nutzen. Die Angreifer schicken eine E-Mail an das Opfer, in der sie sich als Job-Bewerber ausgeben und den Empfänger bitten, die Bewerbungsunterlagen vom Cloud-Speicherdienst Dropbox herunterzuladen. Wenn das Opfer diese Datei öffnet und der Aufforderung nach erweiterten Rechten nachkommt, extrahiert sie sich und installiert unbemerkt den Trojaner, während das Opfer die Bewerbungsmappe liest. Daraufhin wird zunächst der Master-Boot-Record des Betriebssystems verschlüsselt und es wird ein Bluescreen eingeblendet, der zum Neustart auffordert. Nachdem der arglose Nutzer das System neu startet, werden zusätzlich alle angeschlossenen Festplatten verschlüsselt. Dem Nutzer wird anschließend ein Totenkopf und eine Anleitung eingeblendet, wie er an den Key zu Entschlüsselung gelangt, natürlich gegen Bezahlung.
- Beim Trojaner Samsa brechen die Angreifer über Sicherheitslücken in ein Netzwerk ein, sehen sich dann zunächst im infiltrierten Netzwerk um und versuchen, die Kontrolle über weitere Geräte zu gewinnen. Anschließend starten sie die Datenverschlüsselung manuell per Fernzugriff. Nebenbei löschen oder verschlüsseln sie auch Schattenkopien und Backups, wodurch die Wiederherstellung der Systeme erheblich erschwert wird. Die Opfer sehen sich daher gezwungen, das in Bitcoin angegebene Lösegeld pro infiziertem Rechner zu zahlen.
- Der Trojaner Jigsaw nimmt die Dateien eines infizierten Windows-Rechners als "Geisel": Nachdem die Dateien verschlüsselt wurden, erhält das Opfer die Lösegeldforderung. Dann wird solange stündlich eine Datei unwiderruflich gelöscht, bis das Lösegeld bezahlt wurde. Dies geht bis zu 72 Stunden lang. Wer seinen Computer jedoch neu startet, verliert auf einen Schlag 1.000 Dateien pro Neustart. Es scheint so, als würde man im "besten" Fall nur 72 Dateien verlieren. Jedoch müssen mit Pech wichtige Dateien daran glauben. Glücklicherweise lässt sich das Zerstörungswerk einfach stoppen: Man muss nur die versteckten Prozesse des Trojaners stoppen, die entsprechenden Einträge aus der msconfig.exe-Datei entfernen und dann die Verschlüsselung mit dem JigSawDecryptor rückgängig machen.
Wie können sich Anwender vor Ransomware schützen?
Im Grunde genommen müssen Anwender nur einige einfache Verhaltensregeln einhalten, um das Risiko einer Infizierung durch einen Großteil der Erpressungstrojaner zu mindern. Diese Regeln gelten für Trojaner und Viren generell. Da es jedoch immer noch zu Ansteckungen ganz klassisch per E-Mail kommt, kann nicht oft genug auf diese Regeln hingewiesen werden:
- Prüfen Sie bei einer eingehenden E-Mail immer die Senderadresse.
- Prüfen Sie anschließend, ob der Schreibstil der E-Mail dem erwarteten Schreibstil des Senders entspricht.
- Öffnen Sie Anhänge nur, wenn die E-Mail anhand der oben genannten Punkte vertrauenswürdig ist. Exe-Dateien sollten Sie nicht ausführen, wenn Sie keine Datei dieses Typs erwarten.
- Überprüfen Sie regelmäßig, dass das Antivirenprogramm eingeschaltet und auf dem neuesten Stand ist. Falls dies nicht der Fall ist, aktualisieren Sie die Virendefinitionen bzw. informieren Sie Ihren IT-Administrator.
Falls Sie eine Infektion bemerkt haben:
- Versuchen Sie, so schnell wie möglich herauszufinden, um welchen Trojaner es sich handelt.
- Schalten Sie das Gerät erst aus, wenn Sie sicher sind, dass der Trojaner dadurch nicht noch mehr Schaden anrichtet.
- Falls vorhanden, holen Sie in jedem Fall Ihren IT-Administrator zur Hilfe.
Wie können IT-Administratoren einer Ransomware-Infektion vorbeugen?
Wenn Sie der IT-Admin sind, können Sie neben den oben beschriebenen Schutzmaßnahmen weitere Maßnahmen ergreifen. Denn die Gefahr lauert nicht nur in der E-Mail. Sie sollten daher folgendes tun:
- Melden Sie sich im Netzwerk nur mit vollen Admin-Rechten an, wenn dies für Ihre aktuelle Aufgaben nötig ist. Sobald Sie diese Aufgaben erledigt haben, schränken Sie Ihre eigenen Rechte auf das Niveau von gewöhnlichen Nutzern ein, um Schadsoftware möglichst wenig Angriffsfläche über die Rechteverwaltung zu geben.
- Stellen Sie sicher, dass das Antivirenprogramm auf allen Rechnern auf dem aktuellsten Stand und aktiv ist. Stellen Sie außerdem sicher, dass die zentralen Dateiablagen ebenfalls durch das Programm geschützt sind.
- Konfigurieren Sie die E-Mail-Spamfilter so, dass möglichst wenig Spam an die Nutzer gelangt.
- Instruieren Sie die Nutzer über die oben angegebenen Nutzerverhaltensweisen. Nutzen Sie zur Schulung Beispiele von besonders perfiden Angriffsversuchen, um klar zu machen, dass jeder Nutzer (inklusive Sie selbst als Admin) auf verseuchte E-Mails, Dateien und dubiose Webseiten reinfallen kann.
- Schließen Sie Sicherheitslücken, sobald der jeweilige Patch verfügbar ist.
- Ziehen Sie Alternativen zu besonders anfälliger Anwendersoftware in Betracht.
- Lesen Sie die tagesaktuelle IT-Presse. Zwar können Sie nicht auf jeden einzelnen Trojaner individuell reagieren, dafür sind es zu viele. Jedoch können Sie Schutzmaßnahmen ergreifen, wenn sich ein Trend zu bestimmten Angriffswegen abzeichnet.
Jeder Angriffsversuch ist individuell. Aufgrund der stetigen Softwareupdates gibt es auch stets wieder neue Sicherheitslücken, die manchmal erst Monate oder sogar Jahre später geschlossen werden können. Unsere Ratschläge sollen Ihnen daher helfen, das generelle Risiko zu minimieren.
Garantiert nicht ansteckend: Unsere Community
Was Sie auf jeden Fall und gefahrlos tun können: Treten Sie unserer Community bei und teilen Sie Ihre Erfahrungen und Vorfälle mit Erpressungstrojanern.
Bildquelle: © akf - Fotolia.com
