Was nach Ransomware-Angriffen zu tun ist

Nicescene / Shutterstock.com

Erpresser-Trojaner gehören zu den gefährlichsten Plagen im Netz. Wie man sich vor Ransomware schützen kann und was im Ernstfall zu beachten ist, erfahren Sie hier.

Ransomware verbreitet sich in der Regel über E-Mail-Anhänge. Einmal infiziert, verschlüsselt Ransomware Dateien auf dem Computer des Opfers sowie auf verbundenen Netzlaufwerken. Die verschlüsselten Dateien werden dadurch für das Opfer unbrauchbar. Erst wenn eine Art Lösegeld, in der Regel in der Form von Bitcoins, an die Angreifer bezahlt wird, werden die Daten freigegeben. Eine Garantie dafür gibt es allerdings nicht.

Was für Private mühsam ist, ist für KMUs, die immer häufiger Ziele solcher Attacken werden, noch schlimmer. Oftmals werden unternehmenskritische Daten wie beispielsweise Verträge, Kunden- und Buchhaltungsdaten verschlüsselt und so unbrauchbar.

Um sich dagegen zu schützen, hat die Schweizer Melde- und Analysestelle Informationssicherung Melani einige Tipps für Privatnutzer und KMUs zusammengestellt. Für den erfahrenen ITler klingen manche dieser Tipps sicher trivial, sie immer wieder zu hören schadet aber auch nicht.

Präventive Maßnahmen

Regelmäßiges Backup. Die Sicherungskopie sollte offline, beispielsweise auf einer externen Festplatte, gespeichert werden.
Regelmäßige Updates. Sowohl Betriebssysteme als auch alle auf den Computern installierte Applikationen (z. B. Adobe Reader, Adobe Flash, Sun Java etc.) müssen konsequent auf den neuesten Stand gebracht werden.
Vorsichtiger Umgang mit E-Mails. Bei unbekannten Absendern oder unerwarteten Nachrichten keine Textanweisungen befolgen, keine Anhänge öffnen und nicht auf Links klicken.
Aktuelle Virenschutzprogramme verwenden
Personal Firewall installieren und aktuell halten

2. Teil: „Maßnahmen im Ernstfall und Tipps für Unternehmen“

Maßnahmen im Ernstfall und Tipps für Unternehmen

Maßnahmen nach einem erfolgreichen Angriff

Den Computer sofort von allen Netzwerken trennen. Danach ist eine Neuinstallation des Systems und das Ändern aller Passwörter unumgänglich.
Backup aufspielen. Wenn kein Backup der Daten vorliegt, ist es empfehlenswert, die verschlüsselten Daten zu behalten und zu sichern, damit Sie sie allenfalls später noch entschlüsseln können, sollte hierzu eine Lösung gefunden werden.
Kein Lösegeld bezahlen! Eine Garantie für die Entschlüsselung gibt es nicht, stattdessen stärkt man damit die kriminellen Infrastrukturen.

Zusätzliche Hinweise für KMUs

Sie können den Schutz Ihrer IT-Infrastruktur vor Schadsoftware (wie beispielsweise Ransomware) durch die Verwendung von Windows AppLocker zusätzlich stärken. Durch den Einsatz von Windows AppLocker können Sie definieren, welche Programme auf den Computer in Ihrem Unternehmen ausgeführt werden dürfen.
Durch die Verwendung des Microsoft Enhanced Mitigation Experience Toolkit (EMET) können Sie verhindern, dass sowohl bekannte wie auch unbekannte Sicherheitslücken in Software, welche in Ihrem Unternehmen eingesetzt werden, ausgenutzt und beispielsweise für die Installation von Schadsoftware (Malware) verwendet werden kann.
Blockieren Sie den Empfang von gefährlichen E-Mail-Anhängen auf Ihrem E-Mail-Gateway. Zu solche gefährlichen E-Mail-Anhängen zählen unter anderem: .js; .bat; .exe;.cpl; .scr; .com; .pif; .vbs; .ps1
Stellen Sie sicher, dass solche gefährliche E-Mail-Anhänge auch dann blockiert werden, wenn diese in Archiv-Dateien wie Beispielsweise ZIP, RAR oder aber auch in verschlüsselten Archive-Dateien (z.B. in einem Passwortgeschützen ZIP) an Empfänger in Ihrem Unternehmen versendet werden.
Zusätzlich sollten sämtliche E-Mail-Anhänge blockiert werden, welche Makros enthalten.