Ransomware: Definition, FAQ und Prävention
Ransomware: Definition, FAQ und Prävention
Ransomware: Moderne Erpressung und Lösegeldforderung
Was ist Ransomware?
„Ransomware“, aus dem englischen „Ransom-Software“, wird als aggressive Schadsoftware klassifiziert die Festplatten von PCs und anderen Geräten verschlüsselt und die Benutzer aussperrt, bis eine Lösegeldforderung gezahlt wird (=Ransom, Lösegeldforderung). Die klassischen Folgen eines Ransomware-Angriffs beinhalten ungeplante Störungen des Betriebs und Datenklau.
Bin ich infiziert? Symptome einer Infizierung durch Ransomware
Meistens ist es leicht zu erkennen, ob man von einer Ransomware betroffen ist. Folgende Symptome gehören zu den üblichsten:
- Das Öffnen normaler Dateien endet in Fehler wie „Datei Korrupt“ oder „Falsche Dateiendung“
- Eine Benachrichtigung über eine Infektion wird angezeigt mit Instruktionen zu der Zahlung des Lösegelds.
- Das Ransomware-Programm oder Webseite zeigt einen runter laufenden „Countdown“ der über die Erhöhung des Lösegelds oder das endgültige Vernichtung der Daten berichtet.
- Ein nicht schließbares Fenster eines Ransomware-Programms ist vorhanden.
- Dateien wie „HOW TO DECREYPT FILES.TXT” oder “DECRYPT_INSTRUCTIONS.HTML” tauchen in fast allen Verzeichnissen Ihres Systems auf.
Prävention
Wie allgemein in der Informationssicherheit gilt, „Defense in Depth“ (=koordinierter Einsatz mehrerer Sicherheitsmaßnahmen), gilt es auch bei der Prävention gegen Ransomware:Wie allgemein in der Informationssicherheit gilt, „Defense in Depth“ (=koordinierter Einsatz mehrerer Sicherheitsmaßnahmen), gilt es auch bei der Prävention gegen Ransomware:
Schulungen zum Thema IT-Sicherheit: Das verstehen der Gefahren, die im Internet lauern vereinfacht es sich dagegen zu schützen. Verfolgen Sie einen proaktiven Ansatz und schulen Sie sich und Ihr Personal über die Gefahren und sensibilisieren Sie somit zum Thema Ransomware.
Sicherheitsprodukte: Viele Anti-Ransomware, Anti-Viren und andere Produkte werden angeboten. Keiner dieser Produkte ist eine 100%ige Lösung gegen Ransomware aber der Einsatz im Zusammenhang mit anderen Praktiken wie Sensibilisierung, Updates und Backups sind ein effektiver Schutz gegen Ransomware.
Whitelisting-Software: „Whitelisting-Software“ Setzt in einer Konfigurationsdatei fest welche Software auf ein System installiert und benutz werden darf. Somit kann man festlegen das nur sichere, geprüfte und signierte Software auf einem System installiert werden darf, was gegen eine Ransomware-Infektion sehr effektiv funktioniert.
Der häufigste Weg über den sich Ransomware verteilt ist per E-Mail. Scheinbar legitime E-Mail-Anhänge mit verschiedenen Dateiendungen werden versandt und sobald diese gedownloadet oder geöffnet werden führt es zu einer Infektion. Immer häufiger kommt es aber auch zu sogenannten „Drive-By-Downloads“, die ein System durch das Besuchen einer kompromittierten Webseite infizieren können durch den Einsatz von „Exploit Kits“ die bekannte Schwachstellen auf dem betroffenen System ausnutzen. Mods, freie Software und andere „gecrackte Software“ wird oft als Vektor für die Infizierung benutz. Dabei wird der ungebetener Gast „Ransomware“ quasi freiwillig durch die Einwilligung der Installation von eigentlicher Schadsoftware hereingelassen.
Auf der Webseite ID Ransomware kann man die Ransomware-Benachrichtigung oder eine verschlüsselte Datei hochladen. Das vorhandene Tool kann dann die genaue Ransomware-Variante bestimmen und in machen Fällen Tools zur Entschlüsselung der Dateien bereitstellen.
Bitcoin ist eine anonymisierte online Kryptowährung die ein „Peer-to-Peer“ Netzwerk für Transaktionen benutzt und hat somit auch keine zentrale Autoritätsinstanz. Alle Transaktionen sind publik aber die Empfänger und Sender der Zahlungen bleiben 100%ig anonym. Somit ist Bitcoin eine sehr lukrative Art und Weise für kriminelle Erpressungsgelder anzufordern.
Nein! Es ist wichtig zu beachten das nur weil das Lösegeld gezahlt und das System wieder freigegeben wurde, dies somit nicht auch wieder sicher ist. Die Schwachstelle, die initial zu einer Infektion geführt hat und die infizierten Dateien sind immer noch auf dem System vorhanden. Um weitere und schwerwiegendere Infektionen zu vermeiden wird empfohlen das System neu aufzusetzen, auf den neusten Stand der Technik zu bringen und zusätzliche Schutzmechanismen zu implementieren.