Nein zu Ransomware: Auf Erpresser sollte man niemals eingehen

Ein Kommentar von Sicherheitsexperte Udo Schneider, Pressesprecher beim japanischen IT-Sicherheitsanbieter Trend Micro

Tags: #cryptoransomware #erpressersoftware #verschlüsselung #av #trendmicro #bedrohung #datensicherung #backup #löschen #cloudspeicher #sicherheitssoftware #whitelisting #news #nachrichten #teslacrypt #cryptxxx #crypto-ransomware-file-decryptor #trendmicro-anti-ransomware #screenlock #bildschirmsperre

Hallbergmoos, 13. Juni 2016. Ransomware und kein Ende – immer wieder gibt es Nachrichten zu neuen Varianten der Erpressersoftware und deren Opfern. Als erste Hilfe im Fall einer Infektion hilft Trend Micro mit zwei kostenlos abrufbaren Tools: „Trend Micro Crypto-Ransomware File Decryptor“ und „Trend Micro Anti-Ransomware“. Damit können sich betroffene Privatanwender, aber auch Unternehmen in vielen Fällen aus den Fängen der Hintermänner dieser Art von Schadsoftware befreien: Sie können verschlüsselte Dateien auf mit „TeslaCrypt“ und „CryptXXX“ infizierten Rechnern wieder entschlüsseln und eventuelle Bildschirmsperren aufheben. Denn eines sollten sie bei einer Infektion auf keinen Fall tun: Auf die Forderungen der Erpresser eingehen und Lösegeld bezahlen!

Ende 2015 hat Trend Micro vorhergesagt, dass 2016 das Jahr der Cyber-Erpressung werden würde. Und dies nicht, weil den Cyberkriminellen besonders ausgefeilte neue Technologien zur Verfügung stünden, sondern weil das Spiel mit der Angst ein äußerst effektives Mittel darstellt, um an das Geld der Opfer zu kommen. Das erklärt auch, dass – von wenigen Ausnahmen abgesehen – in der Berichterstattung zu Ransomware in diesem Jahr technisch gesehen nicht von gezielten Angriffen die Rede sein kann. Der Erfolg dieser schon seit vielen Jahren bekannten Masche und Technik rührt vielmehr daher, dass den Opfern – zum Beispiel wird im Krankenhauswesen in Deutschland vielfach mit aktivierten Makros in Office-Lösungen gearbeitet – vermeintlich keine andere Wahl bleibt, als auf die Forderungen der Cyber-Erpresser einzugehen, um wieder an ihre Daten zu kommen.

Trotz dieser menschlich nur zu verständlichen Reaktion raten wir allen Betroffenen dringend, das geforderte Lösegeld nicht zu bezahlen. Denn es gibt keine Garantie, dass sie danach den Schlüssel auch tatsächlich bekommen, um mit ihren Dateien wieder arbeiten zu können. Außerdem sind Fälle bekannt geworden, dass nach der Zahlung weitere Geldforderungen erhoben wurden, statt den Schlüssel zu liefern. Es zahlt sich also buchstäblich nicht aus, den Erpressern nachzugeben. Vielmehr führt das dazu, dass diese sich in ihren Machenschaften und immer fieseren psychologischen Spielchen mit ihren Opfern bestärkt fühlen – ein Teufelskreis, den nur die Betroffenen durchbrechen können.

Nein zu Ransomware
Neben den bereits erwähnten Notfall-Tools empfehlen wir daher Privatanwendern wie Unternehmen zwei grundlegende Strategien, um sich vor Infektionen mit Erpressersoftware zu wappnen:

1. Backups anlegen
Eine grundlegende Möglichkeit, sich vor Erpressersoftware zu schützen, sind regelmäßige Datensicherungen (Backups). Dabei sollten die Anwender der 3-2-1-Regel folgen – drei Kopien in zwei Formaten auf einem isolierten Medium. So lassen sich zum Beispiel die Familienfotos erstens auf einem externen Speichermedium (externe Festplatte oder Stick) speichern, zweitens in der Cloud ablegen und drittens auf eine CD brennen. Der Cloud-Speicher und der nicht eingesteckte USB-Stick verhindern dabei, dass der Schädling auch die Sicherungskopien verschlüsseln und löschen kann. Sollte kein Cloud-Speicher vorhanden und der USB-Stick mit dem Rechner verbunden sein, so wären wenigstens die auf CD gebrannten Bilder sicher, selbst wenn diese im CD-Laufwerk eingelegt wäre.

Wichtig dabei ist, nicht nur die Daten und Dateien, sondern auch ein System-Image zu sichern – im Falle von Windows am besten einmal in der Woche. Hierfür eignet sich wegen der Datenmenge idealerweise eine externe Festplatte, die nur während der Sicherung mit dem Rechner per USB-Schnittstelle verbunden wird. Kommt es zu einer Infektion, ist es immer empfehlenswert, den befallenen Rechner komplett neu aufzusetzen – selbst nach geglückter Entfernung des Schädlings. Schließlich kann es immer möglich sein, dass einzelne Komponenten einer Bedrohung weiter auf dem Gerät verbleiben und bei künftigen Kampagnen wieder ihr Unwesen treiben.

2. Mehrschichtige Sicherheitslösungen helfen
Generell sollten Anwender auf ihren Geräten eine moderne Sicherheitssoftware installieren und stets auf dem aktuellen Stand halten. Außerdem sollten diese Schutzlösungen über Cloud-Sicherheitsmechanismen verfügen, damit etwa Webadressen, die zu Erpresser- und anderer Schadsoftware führen, oder E-Mails mit bösartigen Links geblockt und bösartige Dateien gar nicht heruntergeladen oder ausgeführt werden. Zusätzlich bietet die Verhaltensanalyse solcher Sicherheitssoftware Schutz und kann eine unbekannte oder zunächst nicht erkannte Bedrohung noch vor dem eigentlichen Schaden abwehren.

Trend Micro-Kunden – Privatanwender wie Unternehmen – können sich durch Lösungen wie „Security“, „Smart Protection Suites“, „Worry-Free Business Security“, „Deep Discovery Email Inspector“, „InterScan Web Security“, „Deep Security“ und „Endpoint Application Control“ vor Bedrohungen à la „TeslaCrypt“ und „CryptXXX“ schützen. „Endpoint Application Control“ verhindert dabei das Installieren und Ausführen jeglicher Software, die nicht vorher von den Administratoren als vertrauenswürdig und zugelassen definiert wurde (so genanntes „Whitelisting“).

Weitere Informationen
Ein Video mit einer kurzen und – leider – immer noch aktuellen Einschätzung meinerseits zu diesem Thema ist hier abrufbar.


Über Udo Schneider
Udo Schneider kennt sich aus mit den Gefahren, die im Internet lauern, und weiß, wie man sich vor ihnen schützen kann. Bevor er beim IT-Sicherheitsanbieter Trend Micro seine jetzige Position als Pressesprecher antrat, beschäftigte er sich als Solution Architect EMEA mehrere Jahre lang mit der Entwicklung geeigneter Maßnahmen gegen diese Gefahren – mit Fokus auf Cloud-Computing, Virtualisierung, Verschlüsselung und Netzwerksicherheit.
Schneider kommt dabei seine langjährige Erfahrung zugute, die er als Berater, Trainer und Security-Analyst bei verschiedenen Anbietern des IT-Sicherheitsmarktes erworben hat.