26. September 2008 - Ransomware

So reagieren Sie richtig auf Erpresserviren

Vertrauliche Dateien zu verschlüsseln, ist sicherlich eine Selbstverständlichkeit für Sie. Doch was passiert, wenn ein Unbefugter Ihre Daten verschlüsselt und Sie keine Möglichkeit mehr finden, die Dateien zu entschlüsseln? Dazu reicht es, wenn Sie sich im Internet spezielle Schadprogramme namens Ransomware einfangen. Diese Erpresserviren werden meist von einem Schreiben begleitet, das Geld für die Entschlüsselung verlangt. Wer nicht bei diesem bösen Spiel mitmachen möchte, sollte sich vorher entsprechend schützen.

so-reagieren-sie-richtig-auf-erpresserviren.jpeg
Nur Vorsorge hilft (Foto: Gerd Altmann/PIXELIO)!

Kurz vor einer wichtigen Sitzung wollen Sie einige Dateien ausdrucken. Sie öffnen das entsprechende Verzeichnis und versuchen, die erforderlichen Dateien über Ihr Office-Programm zu starten.

Dateien sind plötzlich nicht mehr verfügbar

Doch Sie erhalten eine Fehlermeldung. Keine Datei in dem Verzeichnis lässt sich mehr öffnen. Sie denken bereits an einen Neustart Ihres Rechners, sehen dann aber eine Datei namens readme.txt, die Sie nicht in dem Ordner abgelegt hatten.

Vorsichtig scannen Sie die Textdatei. Doch Ihr Anti-Malware-System kann nichts Gefährliches entdecken.

Readme.txt als Erpresserbrief

Also öffnen Sie diese Datei und finden darin ein Anschreiben, das Sie auffordert, eine bestimmte Summe an ein ausländisches Konto zu überweisen. Andernfalls würden Sie keinen Zugang mehr zu Ihren Dateien erhalten. Verwirrt stellen Sie fest: Es handelt sich um eine Erpressung.

Verschlüsseln durch einen Dritten macht die Daten unzugänglich

Ihre Dateien wurden nicht etwa durch einen unbekannten Dritten gelöscht oder zerstört, um nach Zahlung des Lösegeldes Ihnen wieder zugestellt zu werden.

Vielmehr wurden die Daten verschlüsselt, von einem Unbefugten, der Ihnen so den Zugriff auf Ihre Daten verwehrt.

Dazu muss dieser Erpresser keinen Zugang zu Ihrem Büro und keinen direkten Zugriff auf Ihren Rechner erlangt haben. Vielmehr könnten Sie eine verseuchte E-Mail empfangen und eine Website besucht haben, wobei sich ein spezielles Schadprogramm auf Ihrem Rechner eingenistet hat.

Ransom = Lösegeld

Genannt wird diese Malware auch Ransomware, da sie dazu dient, Lösegeld (ransom) zu erpressen. Doch was können Sie tun, wenn Sie Opfer einer solchen Internetattacke werden?

Bei Erpressung weder antworten noch zahlen

Auch wenn Sie die Daten dringend benötigen, sollten Sie weder den oftmals angegebenen Kontakt per E-Mail anschreiben, noch eine Überweisung auf das genannte Konto leisten. Sonst würden Sie sich zum einen als Opfer identifizieren und zum anderen zur Wiederholung animieren.

Allerdings müssen Sie sich auch verdeutlichen, dass je nach eingesetzter Verschlüsselung die Verfügbarkeit Ihrer fremdverschlüsselten Daten dauerhaft ausgeschlossen sein könnte.

Trotzdem bestehen gewisse Möglichkeiten einer Wiederherstellung der Daten.

Professionelle Hilfe holen

Virenanalysten empfehlen für den Fall einer Verseuchung mit Ransomware, den Rechner nicht abzuschalten oder neu zu starten, sondern den eigenen Systemadministrator zu verständigen.

Dieser wird von einem unverseuchten Rechner aus den Kontakt suchen zu einem Anti-Malware-Dienstleister und dort unter anderem den Zeitpunkt der Infektion sowie die vor der Attacke genutzten Anwendungen und besuchten Websites melden.

Ebenso könnten zuvor empfangene Spam-Mails von Interesse für die Virenanalysten sein. Auf Basis der ersten Informationen werden Sie dann in der Regel konkrete Vorschläge zur Datenwiederherstellung erhalten.

Suche nach Ursprungsdaten kann helfen

Mitunter arbeiten die Erpresserviren so, dass sie eine neue verschlüsselte Version Ihrer Dateien anlegen und die unverschlüsselten oder von Ihnen verschlüsselten Daten löschen.

Der erste Versuch der Wiederherstellung besteht deshalb darin, die mögliche Löschung rückgängig zu machen, um an die Dateien gelangen zu können.

Dabei werden Verfahren eingesetzt, wie sie bei der Datenrettung im Allgemeinen üblich sind, also auch dann, wenn Sie selbst versehentlich Daten löschen sollten.

Knacken der Erpresser-Verschlüsselung immer schwieriger

War es zu Beginn der Erpresserviren-Epidemie noch einfach, die Verschlüsselung der Erpresser zu knacken, sind inzwischen Verschlüsselungsstärken im Einsatz, die kaum noch eine Entschlüsselung ohne Kenntnis des geheimen Schlüssels des Angreifers ermöglichen.

Da davon auszugehen ist, dass die Erpresserviren in Zukunft verstärkt eingesetzt und mit immer raffinierteren Methoden ausgestattet sein werden, ist die eigentliche Abwehr von Ransomware nur in der Prävention zu sehen.

Vorbeugen ist der einzige dauerhafte Schutz
  • Anbieter von Anti-Malware-Programmen empfehlen deshalb nicht nur, die Viren-Signaturen immer aktuell zu halten und entsprechend die Updates des Viren-Scanners zu installieren. Wichtig ist es auch, den Anti-Malware-Scanner tatsächlich immer zu aktivieren – direkt mit dem Start des Rechners – und Downloads aus dem Internet sowie andere unbekannte Dateien immer vor dem Öffnen zu scannen.
  • Gleichzeitig sollten Abwehrprogramme genutzt werden, die den Versuch einer Chiffrierung erkennen können und dem Anwender melden.
  • Schließlich sind Backups auf externen Medien oder Web-Backups eine gute Möglichkeit, die eigenen Daten im Zugriff zu behalten. Sollte eine Version der Daten von einem Erpresservirus verschlüsselt werden, steht immer noch das extern gehaltene Backup bereit. Dabei ist es wichtig, dass die Datensicherung regelmäßig und zeitnah geschieht.

Es sind also durchaus bekannte Maßnahmen, die gegen neuartige Gefahren wie Ransomware schützen können. Ein Grund mehr, dass Sie Ihre Kolleginnen und Kollegen entsprechend unterweisen.

Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker und Fachjournalist.

 

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln