Bedrohung durch Verschlüsselungstrojaner

Verschlüsselungstrojaner sind eine neue Form der Bedrohung, bei denen herkömmliche Virenscanner bisher nur unzureichenden Schutz bieten. Infizierte Computer verschlüsseln im Hintergrund innerhalb weniger Minuten sämtliche Dokumente auf dem Computer, externen Festplatten und allen erreichbaren Netzwerklaufwerken. Danach taucht eine Bildschirmmeldung auf, die dazu auffordert, innerhalb einer kurzen Frist Geld zu bezahlen, damit die Dateien wieder entschlüsselt werden können, andernfalls verfalle die Möglichkeit zur Rückholung.

Selbst die Zahlung des Lösegelds garantiert nicht die Entschlüsselung, manche Schädlinge zerstören sogar nachweislich die Dateien und täuschen eine Rückholmöglichkeit nur vor. Besonders perfide: Manche Schädlinge warten nach dem Befall Tage oder Wochen, bevor sie auf allen befallenen Rechnern gemeinsam zuschlagen. Das macht es fast unmöglich, die Ursache des Befalls herauszufinden und zu verhindern, dass der Schädling nach dem Neu-Aufsetzen die PCs erneut befällt.

Bei einigen älteren Trojanern gibt es inzwischen eine technische Möglichkeit zur Entschlüsselung der Dateien ohne Zahlung des Lösegelds, bei neueren Trojanern ist das meist nicht möglich.

Wie verbreiten sich die Schädlinge?

Die häufigsten Verbreitungswege sind Emails mit infizierten Dokumenten, meist getarnt als Rechnungen, Scans oder Faxe. Hier ist große Vorsicht geboten, weil diese Emails in Form und Inhalt inzwischen kaum noch von echten Mails zu unterscheiden sind. Manche Emails täüschen sogar eine scheinbar echte Antwort auf eine real existierende Stellenausschreibung vor oder geben als (gefälschte) Absenderadresse Ihre eigene Firma an.

Neuerdings reicht auch der einfache Besuch einer kompromittierten Webseite zur Infizierung aus, ohne dass Sie irgendetwas herunterladen oder anklicken müssen.

Diese neuartigen Schädlinge wechseln inzwischen derart schnell ihre Verbreitungsmechanismen, dass sie sich wahrscheinlich bald auch von selbst im Netzwerk verbreiten, sobald ein einziges infiziertes Notebook mit dem Netzwerk verbunden wird.

Besonders heimtückisch: Die Schädlinge können sich Tage oder Wochen lang als Schläfer in Ihrer Firma verbreiten, bevor sie plötzlich aktiv werden. Damit ist der Infektionsweg nur noch schwer nachzuvollziehen.

Was können Sie zur Vorbeugung tun?

Herkömmliche Virenscanner bieten in der Regel keinen ausreichenden Schutz gegen Verschlüsselungstrojaner, daher kommen Sie nicht umhin, selbst bestimmte Vorsichtsmaßnahmen zu beachten:

  • Öffnen Sie niemals unbekannte Dateianhänge, selbst wenn die Emails scheinbar von bekannten Personen oder Firmen stammen
  • Klicken Sie niemals auf Links in Emails, an denen auch nur der kleinste Verdacht besteht, dass etwas nicht mit Rechten Dingen zugeht. Denken Sie daran, dass ein infizierter Rechner von Kollegen oder Freunden in deren Namen aber ohne deren Wissen Emails verschicken kann!
  • Stellen Sie sicher, dass Microsoft Office so eingestellt ist, dass nicht automatisch Makros ausgeführt werden können
  • Verwenden Sie zum Surfen nach Möglichkeit die neueste Version von Firefox, keinesfalls veraltete Versionen vom Microsoft Internet Explorer
  • Computer mit Windows XP sind ein extremes Sicherheitsrisiko und sollten selbst dann stillgelegt werden, wenn sie keinen Internetzugang und keinen Email-Client haben. Um sie zu infizieren, reicht das Einstecken eines USB-Sticks, das Öffnen eines Dokuments oder – ganz ohne eigenes Zutun – eine Dateifreigabe auf die lokale Festplatte
  • Stellen Sie sicher, dass die Windows-Updates, Virenscanner und insbesondere Hilfsprogramme wie Adobe Reader, Adobe Flash und Java auf dem jeweils aktuellen Stand sind. Verwenden Sie insbesondere keine veralteten Versionen von Microsoft Word oder Excel
  • Legen Sie alle Dokumente auf einem Fileserver ab, von dem ein tägliches Backup gemacht wird. Eine permanent angeschlossene USB-Festplatte ist zur Datensicherung ungeeignet, denn der Schädling kann auch alle darauf befindlichen Dokumente unbrauchbar machen
  • Natürlich müssen auch Ihre Server und Firewalls gepflegt und gesichert sein. Darum kümmern wir uns im Rahmen des Wartungsvertrags, aber das schützt nicht vor dem üblichen Infektionsweg durch einen PC oder ein Notebook

Wie erkenne ich einen Befall?

Wenn auf Ihrem PC oder Ihrem Dateiserver statt der Ihnen bekannten Dateien plötzlich merkwürdige Dateinamen auftauchen, ist ein Befall wahrscheinlich. Typische Dateiendungen sind .aaa oder ,locky. In den befallenen Verzeichnissen liegen meist zusätzlich Dateien mit Namen wie „Howto_Restore_FILES“ oder „HOW TO DECRYPT FILES.txt“, in der eine Anleitung zur Zahlung des Lösegelds steht

Was tun nach einem Befall?

Besteht der Verdacht, dass Ihr Rechner betroffen sein könnte, ziehen Sie sofort das Netzwerkkabel von Ihrem Computer ab und fahren Sie ihn herunter. Ist ein Fileserver betroffen, müssen sofort alle PCs vom Netz getrennt werden, die Zugriff darauf haben. Rufen Sie uns danach umgehend an, damit wir geeignete Maßnahmen ergreifen können.

Danach müssen Sie davon ausgehen, dass Sie selbst bei einer vorhandenen Datensicherung bis zur kompletten Diagnose aller PCs und Server für mehrere Tage nicht mehr arbeitsfähig sein werden, denn wenn nur ein einziger befallener Computer vorzeitig wieder ans Netz ginge, würde das zerstörerische Werk dieser Schasoftware von neuem beginnen.

Noch Fragen? Rufen Sie uns an, wir beraten Sie gerne!