Consato IT-Lösungen für Unternehmen

Fernwartung Soforthilfe

Tel: 09191 / 35398 – 0

 
  • Startseite
  • Blog
  • Locky & Co • Schutz für die IT in Unternehmen • Teil I

Locky & Co • Schutz für die IT in Unternehmen • Teil I

Im ersten Teil der Reihe geht es um allgemeine Fragen rund um Locky und ähnliche Erpressungssoftware („Ransomware“).

Seit vielen Wochen verschlüsseln Locky und andere Ransomware Daten und erpressen Lösegeld. Die Angriffe erfolgen mit höchster Präzision, so dass zum Höhepunkt der Welle im Februar 2016 alleine in Deutschland stündlich etwa 5.000 PCs verschlüsselt wurden.

Ransomware (von englisch ransom = Lösegeld) ist der neue Fachbegriff für diese Art von Schädlingen. Dabei ist Locky der bekannteste seiner Art, doch treiben auch viele andere wie Cryptowall und Teslacrypt ihr Unwesen. So hat Teslacrypt im März etwa die Gemeindeverwaltung in Dettelbach befallen.

Derzeit hat sich die Lage etwas entspannt. Ein Grund zur Entwarnung besteht allerdings nicht. Jeder Mailanhang, der geöffnet wird, kann zum Verhängnis werden, ebenso der Besuch einer beliebigen Webseite. Vieles spricht dafür, dass sich derzeit eine neue Art von Bedrohung dauerhaft etabliert.

Unsere Serie erklärt, wie Unternehmen die Risiken einer Infektion auf ein Minimum senken können und wie man im Fall der Fälle wieder an seine Daten kommt. Die Maßnahmen sind verhältnismäßig einfach. Sie sind aber nur wirksam, wenn sie vor einer Infektion ergriffen werden.

Teil 1: Die wichtigsten 13 Fragen

Kann man sich zuverlässig vor Krypto-Trojanern schützen?
Nein. Aber es gibt einige einfache Maßnahmen, um die Gefahr auf ein Minimum zu senken. Denn: Die Krypto-Trojaner nutzen keine neuen Sicherheitslücken, sondern verbreiten sich über bekannte Wege.

Sind Unternehmen besonders gefährdet?
Ja. Seit spätestens Mitte März 2016 werden Unternehmen gezielt angegriffen. Die Forderungen der Erpresser sind in solchen Fällen oft deutlich höher als gegen über Privatpersonen. Sie können Beträge von mehreren tausend Euro betragen. Dabei scheint es keine Rolle zu spielen, welche Größe oder welchen Bekanntheitsgrad die Unternehmen haben.

Warum erkennen Virenscanner die Trojaner nicht?
Die Trojaner werden in Wellen ausgesendet. Die Hersteller von Antiviren-Programmen brauchen mehrere Stunden bzw. Tage, bis sie die Trojaner zuverlässig erkennen. Für die nächste Welle wird der Trojaner so lange verändert, bis kein Antiviren-Programm ihn mehr entdeckt. Dann wird diese neue Variante erneut in großem Stil verschickt.

In der Regel kommen die Hersteller von Schutzprogrammen also zu spät, weil die Trojaner schon verbreitet sind.

Gibt es keine sonstigen Möglichkeiten das Verschlüsseln frühzeitig zu erkennen?
Derzeit werden Produkte entwickelt die erkennen, wenn ein Verschlüsselungstrojaner „wütet“ (sogenannte Verhaltenserkennung). Fertige Versionen, die auf produktiven Systemen funktionieren, sind uns nicht bekannt (Stand: 22.3.2016).

Allerdings reagieren diese Schutzprogramme derzeit nur darauf, dass in großem Umfang Dateien umbenannt werden. Die Entwickler der Trojaner haben sich aber bereits darauf eingestellt und benennen die Dateien offenbar nicht mehr um. Es ist abzusehen, dass auch hier die Hersteller von Schutzprogrammen bei aktuellen Angriffen zu oft das Nachsehen haben werden.

Wie verbreiten sich die Krypto-Trojaner?
Derzeit verteilen sich die Krypto-Trojaner überwiegend durch Anhänge in Emails. Aber auch alle anderen Infektionswege werden genutzt. Dazu gehören primär bekannte Sicherheitslücken in Programmen wie Java, Flash, Acrobat-Reader und in sonstigen Anwendungen, wie Web-Browsern, Windows, Office etc.

Aktualisierung: Aktuell (22.3.2016) wird gemeldet, dass sich der Trojaner TeslaCrypt nun überwiegend durch verseuchte Webseiten verbreitet. (sogenanntes Drive-by-Download)

Gibt es eine Möglichkeit, nach einem Befall die Daten zurückzubekommen, ohne zahlen zu müssen?
Ja, vorausgesetzt es liegt eine zuverlässige Datensicherung vor. Liegt keine Datensicherung vor, oder wurde auch diese von der Ransomware verschlüsselt, dann gibt es eine – wenn auch geringe – Chance die Daten wiederherzustellen.

Welche Systeme werden befallen?
Derzeit werden fast ausschließlich Windows-Systeme befallen. Aber auch erste Schädlinge für Apple OS X, Linux und Android wurden gesichtet.

Wie macht sich der Krypto-Trojaner bemerkbar?
Nach dem Verschlüsseln wird auf dem System eine Meldung eingeblendet. Darin wird die Freigabe der Daten nach Zahlung eines Lösegelds in Aussicht gestellt. Die meisten Dateien (Texte, Datenbanken, Bilder, Zeichnungen etc.) sind nicht mehr im Original vorhanden. Der Dateiname ist meist um eine Endung erweitert. Beispiel: Aus „Kalkulation.xlsx.“ wird „Kalkulation.xlsx.locky“. (weitere bekannte Endungen sind u.a.: .crypt, .vault, .clf aber auch .exe)

Aktualisierung: Die ersten Trojaner sind unterwegs (etwa TeslaCrypt 4.0), die keine Dateien mehr umbenennen, sondern nur noch verschlüsseln. Das erschwert die Erkennung und die Vorsorge.

Soll bei einem Befall gezahlt werden?
Wenn alle Mittel ausgeschöpft sind, um ohne Bezahlung an die Daten zu kommen, dann muss sich ein Unternehmen die Frage nach der Wirtschaftlichkeit stellen und anhand dessen entscheiden.

Bekommt man die Daten nach der Zahlung zuverlässig zurück?
Derzeit scheinen die meisten Erpresser nach Zahlung des Lösegelds die Entschlüsselung zu ermöglichen. Eine Garantie gibt es aber nicht.

Wie wird das Lösegeld gezahlt?
In der Regel erfolgt die Zahlung mittels sogenannter Bitcoins. Bitcoins sind eine rein elektronische (digitale) Währung. Sie können über entsprechende Online-Anbieter gegen „reguläres“ Geld erworben werden.

Wer steckt hinter den Krypto-Trojanern?
Es spricht vieles dafür, dass es sich um mehrere organisierte kriminelle Banden handelt, die jeweils ihre eigenen Trojaner programmieren lassen. In den seltenen Fällen, in denen die Verursacher dingfest gemacht werden konnten, hat sich diese Vermutung bestätigt.

Wie schwierig ist es einen Krypto-Trojaner zu erstellen?
Zur Erstellung und zur Pflege der Trojaner und der „Logistik“ ist ein sehr hohes IT-Wissen mit einem gut organisierten „Qualitäts-Management“ nötig.

In der sogenannten „Underground Economy“ des Internets werden aber fertige Trojaner angeboten, die ohne weitere Kenntnisse eingesetzt werden können. Ebenso kann man die nötige Infrastruktur mieten, um die Trojaner zu verteilen und dann das erpresste Geld unerkannt in Empfang zu nehmen.

Hier braucht es außer krimineller Energie keine speziellen IT-Kenntnisse.


 

Meine Kollegen und ich stehen Ihnen bei Fragen gerne zur Verfügung.

Robert Sappert-Ernst

 


>> Weiter zum Teil 2 der Serie (Datensicherung als letzter Anker)
>> Weiter zum Teil 3 der Serie (Mit einmaligen Maßnahmen die Gefahr senken)


Locky & Co • Schutz für die IT in Unternehmen • Teil I

Teil 1: Die wichtigsten Fragen

Teil 2: Die Datensicherung als Rettungsanker bei Krypto-Trojanern

Teil 3: Präventive, einmalige Maßnahmen - die Infektion verhindern

Teil 4: Sonstige präventive Maßnahmen - die Infektion verhindern  (in Vorbereitung)

Schutz vor Locky - Kennenlern-Angebot

Sie möchten wissen ob Sie einen ausreichenden Schutz vor Locky & Co haben?

Wir helfen Ihnen kostenlos und unverbindlich!

So gehen wir vor:

  • Telefonische Vorbesprechung
  • Untersuchung per Fernwartung
  • Abschlussbericht mit konkreten Handlungsempfehlungen
  • Abschlussgespräch

Umfang: 4 Stunden. Kostenlos und ohne weitere Verpflichtungen.

Für: Unternehmen mit mindestens 10 Arbeitsplätzen

Vereinbaren Sie einen Termin
  • Telefon: 09191/353 98-0
  • E-Mail:

IT Leistungen der Consato

IT Sicherheit, Anti-Viren, Anti-Spam, Patch-Management, Monitoring

Datenrettung und Daten-Wiederherstellung

Soforthilfe - Ersten vier Stunden kostenlos - Fehlerbehebung bei akuten Problemen

Server und Virtualisierung unter Windows und Linux

Netzwerke, VPN, WLAN, VLAN, Lan-Lan Kopplungen, Netzwerk-Trennungen, heterogene Netze

Unterstützung von Administratoren - Beratung von IT Entscheidern - Erstellung von Konzepten

Software- und Schnittstellen-Entwicklung

Diese Webseite verwendet essentielle Cookies, die für den Betrieb der Website notwendig sind. Andere Cookies werden nicht eingesetzt. Weitere Infos finden Sie in unserer Datenschutzerklärung.