Ransomware | 5 Minuten IT

Hallo und herzlich willkommen zu einer neuen Folge 5 Minuten IT, heute mit dem Thema Ransomware. Ransomware ist ein Stück Software, ein bösartiges Programm, ein Schadprogramm, das darauf ausgelegt ist, Daten auf Computersystemen oder Serveranlagen oder in kompletten Netzwerken zu verschlüsseln und da für die vermeintliche Entschlüsselung ein Lösegeld zu erpressen. Der Begriff setzt sich zusammen aus dem Wort Ransom, was quasi für die Lösegelderpressung steht, und das Wort Ware, was dem Schema von Schadprogrammen folgt, also Malware, Spyware etc. Was gibt es da für Einfallstore für Ransomware? Ransomware, klassisch auch da wieder der Einfallsweg der E-Mail, das ist so das Haupteinfallstor an der Stelle, aber natürlich auch klassisch Ausnutzung von Sicherheitslücken, die bekannt werden und dann in möglicherweise ungepatchten Systemen ausgenutzt werden. Genauso auch wie über Webseiten, auf die jemand gelockt wird und dort Dateien zum Download angeboten werden. Oder USB-Sticks, die infizieren. Was gibt es noch für Varianten davon? Also gemein haben sie alle, dass sie Dateien verschlüsseln. Die meisten zeigen dann eben nach Ende der Verschlüsselung ein entsprechendes Schreiben an, ein Screenreader an, in dem dann eine Anweisung steht, was getan werden muss, um die verschlüsselten Dateien wiederzuerlangen. Häufig ist damit eben die Zahlung eines Lösegelds verbunden. Häufig eben in einer Kryptowährung. In einer Kryptowährung wie beispielsweise Bitcoin. Was man ganz wichtig dabei festhalten muss, ist, dass ein großer Teil eben auch bei Zahlung eines Lösegelds die Daten nicht entschlüsseln. Zum einen gibt es Varianten davon, da ist es eben nicht vorgesehen, dass überhaupt eine Entschlüsselung möglich ist. Zum anderen gibt es aber auch Verschlüsselungstrojaner, bei denen das Lösegeld bezahlt wird und das Geld einfach weg ist danach und auch kein Code zur Entschlüsselung kommt. Also darauf sollte man sich nicht verlassen. Was man auch im Blick behalten sollte, ist, dass es auch durchaus Verschlüsselungstrojaner gibt, die darauf ausgelegt sind, nicht nur Dateien zu verschlüsseln, sondern auch Dateien aus dem Netzwerk zu exfiltrieren. Das heißt also Dateien an einen externen Ort zu kopieren, dem Angreifer zur Verfügung zu stellen, um damit eben weitere Erpressungen zu ermöglichen, nachdem quasi das System wiederhergestellt ist. Dann auch mit den gestohlenen Daten, möglicherweise Kundendaten oder ähnliches, den Angegriffenen weiter um Lösegeld zu erpressen. Also auch darauf sollte man achten. Was gibt es für Gegenmaßnahmen? Klassiker, Systeme aktuell halten, alle Patches, die zur Verfügung stehen, installieren. Gerade eben Sicherheitsupdates für Systeme auf dem aktuellsten Stand halten, damit eben da keine Lücken offen bleiben. Dann E-Mails generell immer mit Vorsicht behandeln. Links zu Webseiten nicht direkt anklicken, wenn nicht klar ist, was dahinter steckt. Dateien, die man entweder nicht erwartet hat oder unbekannte Dateitypen sind, nicht öffnen. Man sollte zusätzlich einen Virenschutz auf dem System haben, beziehungsweise eine Endpoint-Protection-Lösung. Und ganz klar die Datensicherung. Eine Datensicherung muss vorhanden sein, die regelmäßig automatisiert. Die sie durchgeführt wird und die vor allen Dingen so angelegt ist, dass sie nach Abschluss des Backup-Vorgangs vom System getrennt wird. Also an einem dritten Ort aufbewahrt wird. Ansonsten würde sie im Fall eines Ransomware-Trojaners mit verschlüsselt werden. Und dieses Backup sollte natürlich auch in regelmäßigen Abständen getestet werden. Damit man eben sicher gehen kann, dass für den Fall, dass man es benötigt, auch alle Daten, die man wiederherstellen können muss, dann auch wiederherstellbar sind, weil sie eben im Backup vollständig enthalten sind. Wenn so ein Befall festgestellt wird, Sofortmaßnahmen, das komplette Netzwerk herunterfahren, alle Systeme vom Netzwerk trennen, alles abschalten, um eben die Weiterverbreitung im Netzwerk zu verhindern oder einzuschränken. Und natürlich sofort die IT-Abteilung oder den zuständigen IT-Denster verständigen. Das war es für heute. Eine Folge Ransomware, 5 Minuten IT bis in 14 Tagen und passen Sie auf sich auf. Vielen Dank.