Netzwerk Shutdown durch Verschlüsselung
Verschlüsselung: Netzwerk Shutdown
|14.04.2016|
Ransomware, auch Erpressungs-, Krypto- oder Verschlüsselungstrojaner, sind gefährliche Schadprogramme, mit deren Hilfe Eindringlinge Zugriffs- oder Nutzungsverhinderung der Daten oder gesamter Computersysteme erwirken. Dabei werden Daten auf einem Computer verschlüsselt oder der Zugriff auf sie wird verhindert, um für die Entschlüsselung oder Freigabe ein „Lösegeld“ zu fordern. Ihre Bezeichnung setzt sich zusammen aus ransom, dem englischen Wort für Lösegeld, und ware, entsprechend dem für verschiedene Arten von Computerprogrammen üblichen Benennungsschema (Software, Malware etc.). Im zweiten Quartal 2012 gab es laut Kindsight Security etwa 123.000 neue Varianten (Quelle teilweise Wikipedia). Diese Art der kriminellen Zugriffe auf Daten hat sich seit 2012 weiterentwickelt.
Das Problem
Trojaner greifen ein System oft per Drive-By-Download ohne aktive Benutzer-Aktion an. Der dabei auch benutzte Flash Player wird inzwischen kaum noch benötigt, da immer mehr Webseiten ihre Inhalte per HTML5 wiedergeben.
Nicht immer gelingt es Sicherheitsforschern, Ransomware zu knacken und Entschlüsselungswerkzeuge zeitnah zur Verfügung zu stellen, mit denen die verschlüsselten Daten dann wieder entschlüsselt werden können.
Maßnahmen nach erfolgter Infizierung eines Systems oder Netzwerks sind schwierig und zeitraubend, weil das System oder Netzwerk aus Sicherungen teilweise oder vollständig wiederhergestellt werden muss. Kritisch in Netzwerken sind die Shares (freigegebene Serverbereiche / zugeordnete "Netzwerklaufwerke"). Sobald ein Crypto-Trojaner erfolgreich einen Client beispielsweise über das Internet erreicht hat, kann er sämtliche diesem Client zugeordneten Server-Shares ebenfalls verschlüsseln. Die Auswirkungen beeinträchtigen die Funktion des gesamten Netzwerks bis zur erfolgreichen Beseitigung des Problems.
Trojaner legt Stadtverwaltung lahm
Ein stellvertretendes Beispiel ist Dettelbach, eine Kleinstadt in Bayern. Die Verwaltung fällt auf einen Verschlüsselungs-Trojaner rein - und muss zahlen. Der Erpressungs-Trojaner Tesla Crypt hat in der Kleinstadt Dettelbach die gesamte Verwaltung lahmgelegt. Den Verantwortlichen blieb keine Wahl: Sie zahlten das Lösegeld. Alle Daten bekamen sie trotzdem nicht wieder. Die Stern-Story können Sie hier lesen.
Empfohlene Gegenmaßnahmen
- Wichtige Daten regelmäßig auf externe Datenträger sichern
- Nutzung aktueller Anti-Viren-Software
- Einschränken von Anmeldung + Arbeit mit administrativen Rechten
- Regelmäßige Aktualisierung von Betriebssystem und Webbrowsern
- Restriktive Prüfung von Mails, insbesondere von Anhängen
- Deinstallieren von Flash Player
Prävention
Inzwischen gibt es Lösungen, welche die Infizierung von Systemen verhindern:
Malwarebytes Anti-Malware von Malwarebytes bietet Produkte für Privatanwender und Unternehmen. Für Privatanwender gibt es eine Gratisversion, welche jedoch nicht alle Features der Lizenzversion beinhaltet. Malwarebytes versucht anhand unterschiedlicher Kriterien Malware zu identifizieren und deren Aktivität zu unterbinden. Unternehmen können das Produkt je Client lizenzieren. Malwarebytes sichert die problemlose Integration in bestehende Schutzstrukturen zu.
Der Security Lösungsanbieter Kaspersky Lab hat sein in den Unternehmenslösungen integriertes Servermodul vollständig erneuert: Kaspersky Security 10 for Windows Server. Integriert wurden die neu entwickelten Komponenten Anti-Cryptor und Untrusted Hosts Blocking. Anti-Cryptor erkennt Verschlüsselungsangriffe und unterbindet sie. Untrusted Hosts Blocking blockiert den Zugriff von Clients auf das Netzwerk unmittelbar nach Erkennen eines Verschlüsselungsversuchs. Dieses in die Kaspersky Gesamtlösung integrierte Verfahren arbeitet äußerst effektiv.
Live Demo Kaspersky Schutz gegen Verschlüsselung
Die Funktion ist HIER in einer Live-Demo [Dauer 6 Minuten] zu sehen.