Jeden Monat erscheinen nach Berechnungen des AV-Test Instituts mehrere Millionen neue Schadprogramme. Allein im vergangenen November sollen es etwa sieben Millionen gewesen sein. Dabei war der November noch ein vergleichsweise harmloser Monat. Im August 2016 verzeichnete der Virenspezialist aus Magdeburg sogar etwa 15 Millionen neue Schädlinge. Bei den meisten Schadprogrammen handelt es sich jedoch um keine komplett neue Malware, sondern um leicht abgewandelte Varianten, mit denen die Kriminellen vor allem Signatur-basierte Antivirenlösungen umgehen wollen.
Foto: Martial Red - shutterstock.com
An Malware, die Computer und Netzwerke infiziert und die versucht, Daten zu stehlen, haben sich viele IT-Administratoren bereits mehr oder weniger gewöhnt. Die seit mehreren Jahren um sich greifende Ransomware ist dagegen oft eine neue und teilweise noch ungewohnte Gefahr. Frühe Varianten waren noch vergleichsweise einfach gestrickt und versuchten etwa den Zugriff auf einen PC mit einem Sperrbildschirm zu verhindern. Aktuelle Erpresser-Trojaner verschlüsseln dagegen geschäftsrelevante Daten und stellen sie erst nach Bezahlung eines Lösegeldes (Englisch: Ransom) wieder zur Verfügung.
Der dabei geforderte Betrag variiert von 150 bis 500 Dollar bei Privatanwendern bis zu mehreren Tausend Dollar oder sogar höheren Summen, wenn Unternehmen betroffen sind. Die geforderte Bezahlung soll dabei meist über nur schwer nachverfolgbare Systeme wie Bitcoin erfolgen, die ein anonymes Bezahlen im Internet ermöglichen. Der kalifornische IT-Security Netwrix hat nun einen Survival Guide veröffentlicht, in dem beschrieben wird, wie Erpresser-Software auf fremde Rechner gelangt, wie sich die Infektion ausbreitet und welche Maßnahmen Sie ergreifen können, um sich dagegen zu schützen.
So verbreitet sich Ransomware
E-Mail ist und bleibt das größte Einfallstor für Schädlinge. Das gilt auch für Ransomware. In den meisten Fällen gelangt ein Erpresser-Trojaner mit Hilfe eines verseuchten Attachments auf einen Computer. Die dabei verwendeten Tricks reichen von versendeten angeblichen Rechnungen, über Einladungen zu Business-Netzwerken bis zu vermeintlich fehlgeleiteten Nachrichten.
Meist verbergen die Kriminellen ihren Schadcode dabei in einer gepackten Datei oder greifen auf den uralten Trick mit den mehreren Dateiendungen zurück. Bis heute weigert sich Microsoft die Dateiendungen per Default anzuzeigen. Unerfahrene oder unzureichend geschulte Anwender fallen deswegen immer wieder auf diesen simplen Trick herein und öffnen vermeintlich harmlose Dateien.
In vielen Fällen nutzen die kriminellen Banden auch Drive-by-Downloads, um Ransomware zu verbreiten. Dabei hacken sie fremde Webseiten oder schleusen verseuchte Banner-Werbung in große Werbenetze ein. So war es immer wieder möglich, dass auch eigentlich seriöse Webseiten als Malware-Schleudern dienten. Exploit-Kits wie Angler, Neutrino und Nuclear enthalten passenden Schadcode zu einer Vielzahl an Sicherheitslücken in Browsern und verbreiteten Plug-ins wie Flash. Mit ihnen ist es ein Leichtes, zahllose fremde PCs zu verseuchen.
Ablauf einer typischen Ransomware-Attacke
Eine Ransomware-Attacke erfolgt meist in mehreren Stufen. Zunächst gelangt der Schädling über einen der im vorherigen Abschnitt genannten Wege auf einen fremden Rechner. Wurde sie erst einmal gestartet, kopiert sich die Ransomware dann an mehrere Stellen auf dem lokalen PC und trägt sich in der Registry ein, damit sie in Zukunft automatisch gestartet wird.
- Verseuchte E-Mails
Ransomware verbreitet sich häufig über verseuchte E-Mail-Attachments oder über Nachrichten mit Links auf mit Schadcode versehene Webseiten. - Drive-by-Downloads
Ein weiterer häufiger Infektionsweg sind Drive-by-Downloads. Dabei werden Anwender auf manipulierte Webseiten gelockt, die Sicherheitslücken ausnützen und Malware einschleusen. - Kontrolle der Zugriffsrechte
Damit sich Ransomware nicht unkontrolliert im Unternehmen ausbreiten kann, sollten die Zugriffsrechte kontrolliert und auf die wirklich benötigten Rechte begrenzt werden. - Achtung bei Änderungen an der Registry
Änderungen an der Registry der Rechner im Unternehmen sollten automatisch überprüft werden, um die Infektion mit neuer Malware schnell zu erkennen. - Zugriffe überwachen
Ein Grund zur Besorgnis sind außerdem, wenn von einem Anwender plötzlich ungewöhnlich viele Zugriffe auf vernetzte Laufwerke und Ordner ausgehen. - Überblick über gelöschte Dateien
Eine Analyse der von einem infizierten Rechner aus gelöschten Dateien und Ordner hilft bei der Wiederherstellung der Dateien, sofern vorher rechtzeitig ein Backup erstellt wurde.
Nach diesen Schritten beginnt der Erpresser-Trojaner mit seiner eigentlichen Aufgabe: Er identifiziert wichtige Dokumente auf dem lokalen PC, auf angeschlossenen externen Datenträgern und im Netzwerk und verschlüsselt diese danach mit einem neu erstellten Schlüssel. Nach der Verschlüsselung löscht er die Originale und weist auf die Erpressung hin.
Es gibt mehrere Gründe dafür, warum Infektionen mit Ransomware gelingen. Zunächst waren die Sicherheitsvorkehrungen offensichtlich nicht ausreichend. Dazu kommen oft unnötige Sicherheitslücken, weil veraltete und nur unzureichend gepatchte Software verwendet wurde. Oft waren aber auch die Mitarbeiter zu wenig geschult und über die aktuellen Gefahren nicht ausreichend aufgeklärt.
Maßnahmen gegen Ransomware
Die Wiederherstellung von durch Ransomware verschlüsselten Dateien und Dokumenten ist in der Regel unmöglich. In manchen Fällen und bei älteren Erpresser-Trojanern gibt es manchmal ein kostenloses Tool eines Antivirenspezialisten, um wieder auf die Dateien zugreifen zu können. Meist ist dies jedoch vergeblich. Der beste Schutz gegen Ransomware sind deswegen Maßnahmen, die eine Infektion nicht nur verhindern, sondern den Schaden auch weitgehend begrenzen.
Dazu gehören regelmäßige Backups auf externe und nicht dauerhaft angeschlossene Medien. Tritt ein erfolgreicher Ransomware-Angriff auf, können die Systeme gesäubert und die vorher gesicherten Daten wieder eingespielt werden. Sehr hilfreich ist zudem eine saubere Rechteverwaltung im Unternehmen, so dass jeder Anwender nur auf die Ordner und Laufwerke im Netzwerk Zugriff hat, die er wirklich für seine Arbeit benötigt. Wann immer möglich, sollten die Anwender zudem nur Leserechte im Netzwerk erhalten. So lässt sich vermeiden, dass eine Infektion auf einem einzelnen Rechner schnell um sich greift und weitere Computer in Mitleidenschaft zieht.
Darüber hinaus sollten alle Systeme auf dem aktuellsten Stand gehalten und sicher konfiguriert sein. Über Group Policys lassen sich zum Beispiel Makros in Office-Dokumenten deaktivieren oder ausführbare Dateien blockieren. Gut gepflegte Whitelists sind ebenfalls eine geeignete Maßnahme, um eine Infektion mit Malware zu verhindern.