30.01.2018 Erpressungstrojaner – Vorbeugende Maßnahmen

In den letzten Jahren beherrschte die IT-Sicherheitswelt kein anderes Thema so sehr wie Erpressungstrojaner - auch Ransomware oder Krypto-Trojaner genannt. Damit Sie dadurch nicht selbst finanzielle Einbußen oder Datenverlust erleiden, sollten Sie Vorsichtsmaßnahmen treffen.

Bei Ransomware handelt es sich um Schadsoftware, die Dateien auf einem Computer verschlüsselt und für deren Entschlüsselung Lösegeld fordert. Die Betroffenen verlieren dadurch den Zugriff auf eventuell wichtige Dateien und sind daher bereit beziehungsweise gezwungen die entsprechende Lösegeldsumme zu zahlen. Dabei beschränken sich die Erpressungsversuche jedoch nicht nur auf Privatpersonen, sondern treffen auch Unternehmen. Laut einer BSI Studie sind sogar ein Drittel der Unternehmen von Ransomware betroffen. 

Unternehmen sind begehrte Ziele für Ransomware Angriffe, da sie in der Regel über bedeutend mehr Kapital verfügen als Privatpersonen und auch wichtigere Daten besitzen. Je größer die Anzahl an Mitarbeitern in einem Unternehmen ist, desto mehr potentielle Infektionsmöglichkeiten stehen den Kriminellen zur Verfügung. Aufgrund der Bedeutung der Daten für ein Unternehmen ist dessen Zahlungsbereitschaft auch wesentlich größer, da etwa der Geschäftsbetrieb nicht mehr fortgeführt werden kann, wenn Kundendatenbanken oder Ähnliches nicht mehr verfügbar sind.

Diese Art der digitalen Erpressung wurde erst durch die Krypto-Währung Bitcoin in solch einem Ausmaß möglich, da die Lösegeldzahlungen weltweit und anonym abgewickelt werden können. Somit ist die Erpresserin bzw. der Erpresser weder an eine bestimmte Region gebunden, noch kann sie bzw. er rückverfolgt werden. 

Mittlerweile existiert eine Vielzahl verschiedener Ransomware Varianten, wovon es die meisten in erster Linie auf Windows PCs abgesehen haben. Andere Systeme bleiben jedoch nicht verschont, so wurden ebenso Erpressungstrojaner für Linux, OS X, iOS und Android entdeckt.

Um für den Ernstfall – also einer Infektion mit einem Erpressungstrojaner – gerüstet zu sein, müssen vorbeugende Maßnahmen ergriffen werden. Sobald die Dateien nämlich verschlüsselt wurden, gibt es in der Regel keinen Weg diese wieder zu entschlüsseln. Im besten Fall hat man Glück im Unglück und ist mit einem der unausgereifteren Erpressungstrojanern infiziert worden, für den es eine unentgeltliche Lösung zur Entschlüsselung gibt. Die meisten Krypto-Trojaner werden jedoch ständig weiterentwickelt und somit wird diese Chance immer geringer.

Etwa drei Viertel der Ransomware wurde durch E-Mail Anhänge verteilt. Dies ist also der mit Abstand häufigste Infektionsweg und sollte entsprechend abgesichert werden. Die zweithäufigste Verteilmethode ist durch Verwendung von Schadcode auf Webseiten. Dieser Code prüft den Browser der Besucher auf bekannte Schwachstellen und nützt diese aus, um die Ransomware einzuschleusen und auszuführen. Dabei wird nicht nur der Browser selbst analysiert, sondern auch alle installierten Plug-Ins und Erweiterungen.

Die folgenden Maßnahmen sollten ergriffen werden, um sich ausreichend vor Krypto-Trojanern zu schützen. Ziel ist es die unerlaubte und unbeobachtete Ausführung von Programmen und Skripten zu verhindern. Dabei ist zu erwähnen, dass diese Auflistung auch wirksam gegen so ziemlich viele andere Bedrohungen schützt und allgemein für einen sicheren Betrieb des Computers sorgt. Somit sollten diese Maßnahmen als Voraussetzung für den Betrieb eines Computers gesehen werden.

  • Halten Sie Betriebssystem (Windows, OS X, …), Webbrowser (Firefox, Chrome, Internet Explorer, …), Office-Pakete (Microsoft Office, LibreOffice, OpenOffice, …), Adobe Flash, Acrobat Reader und Java auf dem neuesten Stand.

Windows und andere installierte Microsoft Produkte, wie etwa Office oder Internet Explorer, können über Windows Update aktualisiert werden. Wie Sie automatische Updates einrichten, wird unter Sicherheitseinstellungen beschrieben. Bei Adobe Flash, Acrobat Reader oder Java – sofern installiert – sollten ebenfalls automatische Updates aktiviert werden. Das Intervall in dem nach Updates gesucht wird, sollte auf einmal täglich eingestellt werden. Überprüfen Sie auch eventuell installierte Browser-Erweiterungen auf Updates oder deinstallieren Sie nicht mehr benötigte Erweiterungen um die potentielle Angriffsfläche zu reduzieren. Dies gilt im Übrigen auch für die oben erwähnten Plug-Ins, sowohl Adobe Flash als auch Java sind bereits als auslaufend gekennzeichnet und werden immer seltener benötigt.

  • Installieren und aktualisieren der Anti-Viren-Software.

Eine kurze Übersicht kostenloser Virenscanner finden Sie hier am Portal.

  • Installieren Sie eine Firewall und kontrollieren die dadurch abgesicherten Netzwerke.

Bei Windows Systemen ist standardmäßig die Windows-Firewall installiert und aktiv. Kontrollieren Sie trotzdem, ob die Firewall für das Netzwerk, mit dem Sie gerade verbunden sind, auch aktiv ist.

  • Erstellen Sie regelmäßig Datensicherungen (Backups).

Legen Sie regelmäßig Backups Ihrer Daten an und speichern Sie diese auf Cloud-Speicher oder externen Datenträgern, welche explizit nur für den Kopiervorgang mit dem Computer verbunden werden. Die Trennung der Laufwerke ist wichtig, da viele Erpressungstrojaner auch verbundene Laufwerke und Netzwerk-Laufwerke bzw. -Freigaben verschlüsseln. Details dazu finden Sie unter Datensicherung & Wiederherstellung.

  • Deaktivieren Sie Office-Makros 

Office Programme unterstützen die Verwendung von sogenannten Makros. Das sind kleine Skripte die bestimmte Aktionen ausführen. Im Normalfall werden solche Makros nicht benötigt und man kann sie ohne weiteres deaktivieren. Sollten Sie diese doch benötigen, dann achten Sie darauf, dass Sie nur signierte Makros ausführen.

  • Verwenden Sie ein Standardkonto

Verwenden Sie für Ihre alltägliche Computerarbeit ein so genanntes Standardkonto. Dieses Konto hat im Gegensatz zu einem Administratorkonto nur beschränkte Rechte, wodurch jedoch bei Infektion durch eine Schadsoftware diese ebenfalls nur beschränkte Möglichkeiten hat. Eine ausführlichere Erklärung finden Sie unter Kontomanagement.

  • Aktivieren Sie die Benutzerkontensteuerung

Um unerlaubte Änderungen zu verhindern, sollte auf Windows Systemen die Benutzerkontensteuerung aktiviert und auf die höchste oder zweithöchste Stufe gestellt werden. Dadurch werden Änderungen der Windows Konfiguration oder die Installation eines Programmes erst nach Bestätigung durchgeführt. Diese Einstellungen finden Sie in den Anleitungen für Windows 8.1 und Windows 10.

  • Aktivieren Sie Click-to-Play

Um generell vor sicherheitstechnisch problematischen Browser-Plug-Ins geschützt zu sein, bieten einige Browser die Möglichkeit, die sogenannte Click-to-Play Funktion zu aktivieren. Dabei werden die auf einer Webseite vorhandenen Plug-Ins, wie etwa Java oder Flash, nicht mehr automatisch ausgeführt. Erst nach ausdrücklicher Zustimmung der Benutzerin bzw. des Benutzers wird das jeweilige Plug-In ausgeführt.

  • Installieren Sie Werbeblocker für Browser

Oft werden Schadcodes oder Links zu schädlichen Seiten auf legitimen Seiten als Werbung eingebettet. Weder die Seiteninhaber noch die Werbenetzwerke wissen zu diesem Zeitpunkt, dass es sich dabei um Schadcode handelt und so kann es mitunter einige Stunden dauern bis diese als bösartig entlarvt werden. Werbeblocker – auch Ad-blocker genannt – sind Erweiterungen für einen Browser, wie etwa Mozilla Firefox, Google Chrome oder Microsoft Edge, die Werbung einer Webseite filtern. Somit wird die Webseite ohne Werbung angezeigt, wodurch weder der gefilterte Schadcode ausgeführt wird, noch auf schädliche Links gedrückt werden kann.

  • Seien Sie vorsichtig beim Öffnen vom E-Mail Anhängen

Öffnen Sie niemals Anhänge aus E-Mails von unbekannten Absendern und klicken Sie auch nicht auf darin enthaltene Links. Vorsicht ist jedoch auch bei E-Mails geboten, deren Absender Sie zwar kennen, dessen Inhalt aber ungewöhnlich oder unerwartet ist.

  • Deaktivieren Sie die Ausführung von JavaScript und das Anzeigen externer Inhalte bei E-Mails

Da Schadcode aus E-Mails oft über JavaScript oder externe Inhalte, wie etwa Bilder, verbreitet wird, sollte dies entsprechend unterbunden werden. Für Microsoft Outlook finden Sie diese Einstellungen unter Datei -> Optionen -> Sicherheitscenter. Bei Mozilla Thunderbird sind sie unter Extras -> Einstellungen -> Erweitert -> Allgemein -> Konfiguration bearbeiten zu finden, stellen Sie hier den Wert für javascript.enabled auf false und mailnews.message_display.disable_remote_image auf true.

  • Informieren Sie sich

Neue Angriffswellen von Spam- oder Phishing-Mails sind oft nur schwer als solche zu erkennen, daher ist es von Vorteil sich zumindest überblicksmäßig über aktuelle Gefahren zu informieren. Informationen hierzu finden Sie zum Beispiel auf der Infoseite des Bundeskriminalamtes zu aktuellen Betrugsformen, bei Watchlist Internet, bei Futurezone oder bei Heise Security.

Wie Sie für Ihre entsprechende Windows Version die Benutzerkontensteuerung aktivieren, automatische Updates einstellen, die Firewall aktivieren oder Sicherungskopien anlegen wird unter Sicherheitseinstellungen für Windows 8.1 und Windows 10, sowie auf Botfrei.de für andere Betriebssysteme beschrieben. 

Zusätzlich zu herkömmlichen Anti-Viren Scannern eignen sich für die Erkennung von Ransomware sogenannte verhaltensbasierte Scanner, wie etwa Malwarebytes Anti-Ransomware oder RansomFree.

Sollten Sie Apples OS X Betriebssystem verwenden, empfiehlt es sich, das Programm RansomWhere oder ein funktionsgleiches Programm zu installieren. Es überwacht den Computer automatisch auf verdächtige Verschlüsselungsvorgänge und stoppt diese. Über einen Info-Dialog kann man die Verschlüsselung dann abbrechen oder, falls es sich um einen legitimen Vorgang handelt, zulassen.

Weitere Informationen:

Datum der Veröffentlichung: 30.01.2018

Für den Inhalt verantwortlich:
  • A-SIT Zentrum für sichere Informationstechnologie – Austria