Schutz vor Ransomware

Von: Kâmuran Cankurt, Ressortleiter Informatik

14.12.16

Was ist eigentlich Ransomware?

Unter Ransomware (ransom "Lösegeld" und Software) versteht man eine spezielle Art schädlicher Software / Malware, die den Zugriff auf Geräte sperrt oder darauf enthaltene Daten verschlüsselt und anschliessend vom Opfer ein Lösegeld für die Wiederherstellung verlangt. Bedingt durch ihre Arbeitsweise wird diese Malware auch als Erpressungs- oder Verschlüsselungstrojaner bezeichnet.

 

Gefahr welche von Ransomware ausgeht?

Ransomware gehört zurzeit zu den gefährlichsten Typen von Schadsoftware überhaupt. Nach einer Infektion werden die Dateien auf der Festplatte, auf einem USB Stick usw. durch einen sogenannten Filecoder verschlüsselt oder das kompromittierte System gesperrt. Anschliessend wird dem Nutzer eine Popup-Nachricht mit einer Lösegeldforderung angezeigt. Hier versprechen die Angreifer, nach Eingang der Zahlung den für die Wiederherstellung des Zugriffs nötigen Entschlüsselungscode bereitzustellen. Da die Cyberkriminellen oftmals asymmetrische Verschlüsselungstechnologien einsetzen, ist eine selbstständige Entschlüsselung aber meist unmöglich.

 

Funktionsweise von Ransomware?

Die Technik hinter Ransomware ist oft sehr komplex und vielseitig, die Art der Verbreitung dagegen gestaltet sich i.d.R. recht simpel. Häufig werden die Schädlinge über E-Mail-Anhänge verbreitet. Dabei werden manipulierte ZIP-, PDF- oder Office-Dateien sowie versteckte ausführbare Programme, oftmals als Rechnung oder Mahnung getarnt, an die Opfer verschickt. Beim Öffnen dieser Dateien wird der Rechner mit der Ransomware infiziert. Weitere beliebte Angriffsmethoden sind manipulierte Programme oder kompromittierte Webseiten. Einmal gestartet, ist die Sperrung der eigenen Daten nicht aufzuhalten. Aggressive Crypto-Trojaner verschlüsseln ganze Festplatten und Netzwerkspeicher.

 

Gibt es einen Schutz vor Ransomware?

E-Mail-Anhänge als beliebteste Angriffsquelle sollten stets mit Vorsicht behandelt werden. Öffnen Sie Anhänge nur, wenn Sie den Absender kennen. Zur Sicherheit kann eine zusätzliche Verifizierung beim Absender von Vorteil sein. Da es sich bei den schädlichen Dateien oftmals um manipulierte Office-Dateien handelt, sollten Makros deaktiviert werden. Ausführbare Dateien (*.com, *.bat, *.exe, *.js *.vbs etc.) sollten nicht geöffnet werden. Oft werden Dateien auch getarnt indem dem Empfänger im Namen der Datei ein "harmloses" Dokument (brief.pdf.exe, rechnug.pdf.js etc.) vorgegaukelt wird.

Achten Sie bei Dokumenten oder Dateien also immer auf die letzten Zeichen! Achten Sie stets auf die Aktualität des Betriebssystems und aller anderen Programme, insbesondere des Webbrowsers. Es empfiehlt sich auch den Flash-Player zu deinstallieren um eine Infektion durch Drive-By-Downloads zu vermeiden. Auch der Einsatz eines Werbeblocker ist äusserst nützlich. Die Ausführung von JavaScript zu unterbinden wird ausdrücklich empfohlen. Für alltägliche Aufgaben sollten Benutzerkonten mit eingeschränkten Rechten benutzt werden. Regelmässige Backups sind eine eine simple aber effektive Methode zum Schutz Ihrer Daten vor Ransomware und anderem Schadcode. Wichtig ist, dass das Speichermedium (extern) nicht mit dem produktiven System verbunden ist auf welchem Sie arbeiten, damit die Schadsoftware keinen Zugriff darauf erhält. Nutzen Sie deshalb für das Backup immer externe Datenträger. Aktuelle Antiviren-Programme können den Computer zusätzlich vor Ransomware schützen oder aber zumindest deren Ausbreitung eindämmen. Bedenken Sie auch, dass Smartphones und Tablets ebenfalls immer häufiger Ziel von Ransomware-Angriffen sind und durch eine Sicherheits-App geschützt werden sollten.

 

Soll man das Lösegeld bezahlen?

Experten und die Melde- und Analysestelle Informationssicherung (MELANI) raten, nicht auf die Lösegeldforderung einzugehen. Es gibt keine Garantie dafür, dass nach Zahlung die betroffenen Daten oder Geräte tatsächlich wieder entschlüsselt bzw. entsperrt werden. Vielmehr kann die signalisierte Zahlungsbereitschaft dazu führen, dass in Zukunft weitere und noch höhere Geldforderungen gestellt werden.

 

Weitere sehr nützliche und wichtige Informationen:

  • KOBIK Koordinationsstelle zur Bekämpfung der Internetkriminalität
  • nomoreransom.org
  • MELANI Melde- und Analysestelle Informationssicherung