Verschlüsselungs-Trojaner

Verschlüsselungs-Trojaner (Ransomware) sind die fieseten und mit gewaltig steigender Verbreitung auftretenden Computerschädlinge. Sie gelangen in der Regel per E-Mail auf den Rechner, können mittlerweile aber auch auf Webservern und in Webseiten auftreten.

Aktuell (22.03.2016)
wird eine neue, noch stärkere Version des Erpressungs-Trojaners Tesla-Crypt verteilt. Dieser infiziert die Rechner per so genanntem Drive-By-Download, also ohne das Öffnen eines E-Mail-Anhanges, auf Webseiten und in HTML-Mails. Näheres erfahren Sie im folgenden Artikel: Erpresser rüsten nach: Verschlüsselungs-Trojaner TeslaCrypt 4.0

Was tut Ransomware?

Ransomware verschlüsselt Ihre Daten und erpresst dann Lösegeld von Ihnen.

Ein Verschlüsselungs-Trojaner nimmt sich alle Datendateien die er finden kann und verschlüsselt sie unknackbar. Die Folge ist, dass die Daten unleserlich und unbrauchbar sind. Ohne den passenden Schlüsselcode sind die Dateien unwiederbringlich verloren.

Die Verschlüsselung geht so schnell vonstatten, dass sie vollendet ist, bis Sie es bemerken. Selbst ein schnelles abschalten des Rechners rettet in der Regel nichts mehr.

Dateien auf angeschlossenen USB-Laufwerken, NAS-Laufwerken und Netzwerkverbindungen werden bei Aktivierung eines Verschlüsselungs-Trojaners genau so verschlüsselt und unbrauchbar gemacht wie die Dateien auf der lokalen Festplatte.

Datensicherungen auf angeschlossenen USB-Laufwerken sind somit ebenfalls unbrauchbar.

Was will Ransomware?

Auf einem befallenen und verschlüsselten Rechner findet sich auf dem Desktop oder im Ordner Eigene Dokumente eine Bild- oder HTML-Datei, auf der (mittlerweile sogar zunehmend auf deutsch) erklärt wird, wie Sie an den Schlüsselcode zu Ihren Daten gelangen.

Über den folgenden Link können Sie ein Beispiel für einen solchen Erpresserbrief aufrufen. Es handelt sich um einen Screenshot den wir auf einem verschlüsselten Rechner gefunden haben, der uns zur Rettung vorgestellt wurde. (Da es sich hier um einen Screenshot handelt, besteht keine Gefahr.)
Beispiel Erpresserbrief Verschlüsselungstrojaner

Bezahlen des Lösegeldes

Die Bezahlung des Lösegeldes muss in der Regel in der Internetwährung Bitcoin geleistet werden. Hier stellt sich für die meisten bereits die Frage, wie sie an diese gelangen können.

Aber selbst wenn diese Hürde genommen ist, muss dann noch ein Tor-Browser für den Zugang zum anonymen Internet (oft auch als Darknet bezeichnet) gefunden und installiert werden. Dann muss hier die entsprechende Zahlung völlig anonymisiert geleistet werden.

Zahlungsfristen

Dabei ist dann noch der Zeitfaktor zu beachten. Die Erpresser beginnen in der Regel mit einem Betrag zwischen 300 und 1.000 Euro. Wird nicht innerhalb von zwei Tagen bezahlt, verdoppelt sich der Betrag. Nach weiteren zwei Tagen verdoppelt er sich erneut.

Nach insgesamt sechs Tagen wird der Schlüssel für immer vernichtet, Ihre Daten sind für immer verloren.

Infektionswege

Derzeit verbreitet sich Ransomware sehr stark (ca. 5000 Infektionen täglich, steigend) über E-Mail. Die E-Mails haben meist ein Word-Dokument, ein ZIP oder PDF im Anhang. Wird dieser Anhang geöffnet aktiviert es den Verschlüsselungstrojaner.

Gefährliche Anhänge

Derzeit (Stand: 24.03.2016) sind E-Mail-Dateianhänge mit folgenden Dateitypen

keinesfalls

.doc
.docx
.docm (EXTREM gefährlich!)
.zip

mit Bedacht

.rtf
.pdf

Wenn die Mail mit Anhang von einem Kontakt angekündigt wurde oder Sie auf das Dokument warten und wissen dass der Absender echt ist, können Sie den Anhang öffnen.

Vereinbaren Sie mit Ihren Kontakten, dass das Dokument zunächst mit einer Mail oder SMS unter Nennung des Dateinamens angekündigt wird, bevor es dann als Anhang mit einer zweiten Mail tatsächlich versendet wird.

Das ist zwar etwas umständlicher, bringt aber einen entscheidenden Vorteil zur Absicherung Ihres Dokumentenaustauschs per E-Mail!

Leider gut gemacht

Dabei sind die Mails teilweise so gut gemacht, dass selbst wer Verdacht schöpft und den Absender überprüft, nicht misstrauisch wird. Die Absenderfirmen, Telefonnummern und selbst die E-Mail-Adressen existieren wirklich.

Und wenn es sich dann beim Absender noch um eine Firma handelt, mit der wirklich geschäftlicher Kontakt besteht, ist es geschehen: der Anhang wird geöffnet.

Es sind nun aber auch Verschlüsselungs-Trojaner aufgetaucht, die in JavaScript geschrieben sind. Das bedeutet, dass wir damit rechnen müssen, unsere Rechner auf normalen Webseiten (Drive-By-Download) und über HTML-Mails zu infizieren.

Wer ist betroffen?

Kurz gesagt: wir alle.

Hier spielt weder die Größe der Firma eine Rolle, noch ihre Bekanntheit. Angegriffen werden Handwerksbetriebe genauso wie mittelständische Unternehmen, Großkonzerne, Privatpersonen, Familien-PCs - eben Jede und Jeder.

Wurden anfangs nur Windows-Rechner angegriffen, existieren mit den neueren Varianten der Verschlüsselungs-Trojaner Versionen für Windows, Mac OS, Linux und Synology NAS-Systeme.

Sie benutzen einen Mac? Dann sollten Sie den folgenden Artikel zum Thema Ransomware und Mac OS lesen.

Es handelt sich hier nicht um gezielte Angriffe oder Erpressungen. Vielmehr werden riesige Massen an Schädlingen per E-Mail oder Webseiten verteilt. Und die breite Streuung bringt den Erfolg.

Ransomware ist ein sehr lohnenswertes Geschäft für die Verbrecher! Das Problem wird nicht wieder verschwinden.

Was hilft?

Nicht bezahlen!

Es dürfte klar sein, dass bezahlen in keinem Fall eine statthafte Lösung ist. Denn wie bei jedem Erpresser ist nicht sicher, dass er uns zukünftig verschont. Die Wahrscheinlichkeit, dass ein zahlungswilliges Opfer erneut bezahlt ist immerhin hoch.

Zudem hat sich erwiesen, dass auch mit dem passenden Schlüssel längst nicht alle Dateien und Datenbanken funktionsfähig wieder hergestellt werden können.

Dies zeigt unter Anderem das Beispiel der Stadtverwaltung Dettelbach.

Außerdem ist jede erfolgreiche Erpressung der Antrieb um weiter zu machen.

Virenscanner

Es hat sich gezeigt, dass Virenscanner gegen diese Schädlinge überwiegend machtlos sind. Sie finden nur wenige (bis gar keine) der Schädlinge, und können ihre Ausführung nicht verhindern.

Die Erpresser entwickeln ihre Werkzeuge zudem laufend weiter. Gegen die aktuellen dritten und vierten Generationen der Erpresser-Programme ist keine automatisierte Gegenwehr möglich. Und ein entschlüsseln mit Hilfswerkzeugen - die bei der zweiten Schädlingsgeneration manchmal etwas retten konnten - ist aufgrund der stärkeren Verschlüsselungstechnik bisher nicht gelungen.

Datensicherung!

Eine gute, regelmäßige, konsistente und aktuelle Datensicherung ist die einzige Versicherung die Sie gegen diese Schädlingsklasse einsetzen können. So sind im Schadensfall die Daten in Sicherheit und der auftretende Datenverlust hält sich gering.

Allerdings muss diese Datensicherung ein paar Regeln einhalten um wirksam zu sein:

Es muss auf verschiedene Datenträger im Wechsel (Umlauf) gesichert werden. So dass selbst wenn die aktuell angeschlossene Datensicherungsplatte verschlüsselt wird, keine aktuelle Sicherung betroffen ist.
Die Datensicherungsplatte sollte nur während des Sicherungsvorganges für den PC sichtbar sein. Sobald die Sicherung eines PC abgeschlossen ist, sollte die Sicherungsplatte „unsichtbar” werden.
Alle Rechner im Netzwerk müssen auf die angeschlossene Sicherungsplatte einfach sichern können. So sind alle Daten zentral aufbewahrt und sicher.
Die Sicherung MUSS täglich laufen.
Das Anlegen der Sicherungen darf kein zusätzlicher Aufwand sein, sonst wird sie zu unregelmäßig ausgeführt.
Die Daten der Sicherung müssen im Notfall schnell und einfach zu restaurieren sein.
Das gesamte System muss dabei bezahlbar sein.

Unsere Versicherung

Um für uns selbst und unsere Kunden eine vernünftige, wirksame und bezahlbare Datensicherung verfügbar zu haben, entwickelten wir den BackupMaster.

Das Sicherungssystem schützt uns und bereits einige unserer Kunden, die damit sehr zufrieden sind. (Lesen Sie hierzu bitte auch das Schreiben der Inhaberin der Firma Büroorganisation Krahnke ).

Wenn Sie mehr über unser Sicherungssystem BackupMaster wissen möchten, können Sie sich hier informieren.