Erpressungs-Trojaner bedrohen Unternehmens-IT

Krypto-Trojaner

Unternehmen werden zum zweiten Mal in diesem Jahr von Erpressungs-Viren heimgesucht. Die Schädlinge verschlüsseln den Datenbestand und geben ihn erst nach einer Lösegeldzahlung wieder frei. Wabnitz IT erklärt die Arbeitsweise der sogenannten Krypto-Trojaner, was im Ernstfall zu tun ist und welche Vorsichtsmaßnahmen helfen.

So arbeiten Krypto-Trojaner

Wer denkt bei einer ZIP-Datei an einer Bewerbungs-Email an kriminelle Absichten? Besonders dann, wenn das Unternehmen gerade Stellen ausgeschrieben hat. Oder ein Geschäftspartner schickt ein Excel-File mit der Bitte, die Rechnung zu kontrollieren. Wer würde dem nicht nachkommen? Die Zeiten in denen Hacker mit dubiosen Gewinnspielen, Gratis-Downloads und angeblichen Chatbekanntschaften ihre Opfer fanden, sind vorbei. Harmlosigkeit ist die beste Tarnung.

So auch bei der Welle von Erpressungs-Trojanern 2016. Im Winter kursierten vor allem manipulierte Excel-Files, im Frühjahr und Sommer sind es ZIP-Dateien. Die Email-Anhänge selbst sind im Grunde harmlos. Ihr einziger Zweck ist es, aus dem Internet selbsttätig die eigentliche Schadsoftware nachzuladen. Die manipulierten Anhänge fallen nicht durch ihre Größe auf, da sie nur den Download auslösen. Der Virus selbst ist wenige Megabyte groß und schnell heruntergeladen.

Wurde der Download des Trojaners durch das Öffnen des manipulierten Anhangs durchgeführt, beginnt sich das Virus im System einzunisten. Server, einzelne PCs, USB-Festplatten werden mittels der Software verschlüsselt. Selbst im Netzwerk freigegebene Ordner werden angegriffen. Das besonders Perfide dabei ist, dass schon in der ersten Viren-Welle Anfang des Jahres, unter dem Namen „Locky“ bekannt, eine Art Zeitschaltung integriert war. Die Verschlüsselung großer Datenbestände ist rechenintensiv. Daher verlegt der Trojaner seine Arbeit in die Abendstunden, wenn die Systeme wenig ausgelastet sind. Die Geräte verlangsamen nicht und der Schädling bleibt unentdeckt.

Betroffene sehen sich am nächsten Morgen mit einer Meldung auf dem Bildschirm konfrontiert, die für die Zahlung eines Lösegeldes den Entschlüsselungs-Code anbieten. Die Daten sind zwar noch vorhanden, aber nicht mehr auszulesen und nicht mehr nutzbar. Die Verschlüsselungstechnik befindet sich auf sehr hohem Niveau. Mit vertretbarem Aufwand ist für den Einzelfall die Verschlüsselung bis auf einige Ausnahmen nicht aufzuheben. Zahlt der Erpresste für den Code, können in der Regel die Daten innerhalb weniger Stunden wieder zurückgesetzt werden.

Was tun im Ernstfall?

An erster Stelle steht, einen Fachmann hinzuzuziehen. Als unmittelbare Maßnahme vor Ort sollten die betroffenen Geräte heruntergefahren, mindestens aber vom Netzwerk getrennt werden. Besser ist es, das ganze Netzwerk vorübergehend stillzulegen, bis der Grad der Infektion festgestellt wurde. Ebenso sollten externe Laufwerke, wie USB-Sticks, Speicherkarten und Festplatten ausgesteckt werden. Wichtig ist, alle externen Geräte, die zur Zeit der Infektion mit dem Netzwerk, bzw. dem Computer Kontakt hatten, beiseite zu legen. Oft werden z.B. Notebooks von Außendienstmitarbeitern oder PCs im Home Office vergessen. Ebenso Smartphones, die sich automatisch synchronisieren und so den Trojaner speichern. Jeder Gerätespeicher, auch wenn er nicht verschlüsselt ist, könnte die manipulierte Datei oder den Trojaner in sich tragen.

Der Fachmann kann ermitteln, mit welcher Art Virus das System infiziert ist und welche Maßnahmen zu ergreifen sind. Es stehen zwei praktikable Lösungsansätze zur Verfügung. Einige Trojaner-Varianten wurden bereits selbst gehackt. Dadurch kann die Verschlüsselung mit entsprechenden Tools rückgängig gemacht und der Trojaner entfernt werden. Leider trifft dies nicht auf alle Versionen zu. Dann bleibt nur, die Daten über ein Backup wiederherzustellen.

Sollte weder das eine noch das andere möglich sein, bleibt nur, zu zahlen oder die verschlüsselten Daten aufzubewahren, in der Hoffnung, dass der Trojaner in Zukunft geknackt werden kann.

In jedem Falle muss die primäre Infektion, d.h. der kontaminierte Email-Anhang, gefunden werden. Alle Datenträger müssen auf einen Befall mit dem Trojaner hin untersucht, bzw. anschließend gereinigt werden.

Vorsichtsmaßnahmen

Virenscanner schützen nur bedingt vor einer Infektion mit Krypto-Trojanern. Die Viren-Schreiber variieren fortlaufend ihre Programme. Erst nachdem ein Virus ausgebrochen ist, kann die Wirkungsweise analysiert und die Sicherheitssoftware auf die neue Bedrohung abgestimmt werden. Das verschafft den Kriminellen einen Zeitvorsprung. Auf einen Viren-Scanner sollte man dennoch nicht verzichten. Schon erfasste Viren-Typen werden zuverlässig blockiert. Die Sicherheits-Software kann unter Umständen sogar das Virus an seinem Verhalten, d.h. dem Verschlüsseln großer Datenmengen, erkennen und stoppen. Wabnitz IT arbeitet seit Jahren mit der Firma F-Secure zusammen, die ein umfassendes Sicherheitspaket anbietet.

Zudem nutzen Viren-Schreiber bekannte, aber nicht durch Updates geschlossene Sicherheitslücken auf den Systemen. Diese Chance sollte man den Hackern nicht lassen. Regelmäßige und lückenlose Updates sind kein Selbstzweck, sondern wichtiger Bestandteil der IT-Sicherheit. Daher hat Wabnitz IT Software-Updates in sein Care Management – Konzept aufgenommen.

Wenn der Krypto-Trojaner sein Werk vollendet hat, steht und fällt alles mit dem Backup. Es bietet die schnellste Möglichkeit, das System funktionsfähig und virenfrei wiederherzustellen. Care Management–Kunden profitieren bei Wabnitz IT von den täglichen System-Backups. Auf diese Weise minimieren sich Datenverluste auf einen kleinen Zeitraum.

Der Nutzer kann durch sein Verhalten zur Sicherheit beitragen. Unbekannte Email-Anhänge sollten vorsichtig machen. Leider verbreiten sich die Viren über gekaperte Computer, so genannte Bot-Netze, die nicht von außen als solche zu erkennen sind. Nichts desto trotz kann ein genauer Blick auf die Email helfen. Weicht der Ausdruck und die Rechtschreibfähigkeit des Absenders stark vom gewohnten Niveau ab, mahnt das zur Vorsicht. Archive als Anhang dienen dazu, die tatsächlichen Dateitypen zu verschleiern. Virenscanner können Archive geschützt entpacken und überprüfen. Schon der Umstand, ein einzelnes Excel-Sheet oder Word-Dokument als ZIP-File zu verpacken, verheißt nichts Gutes.

Grundsätzlich sollten Dateien aus Email-Anhängen nie „ausgeführt“ werden. Der Sicherheitsmechanismus unter Windows fragt nur bei einem Programm, ob es ausgeführt werden soll. So entpuppt sich das vermeintliche PDF als trojanische Programm-Datei.

Benötigt ein Dateianhang weitere Daten aus dem Internet, sollte der Download nicht autorisiert werden.

Ein wichtiger Aspekt für mehr Sicherheit auf dem PC ist die Einstellung des Systems. Ein professionell eingerichtetes IT-System bewahrt durch genau definierte Befugnisse für den einzelnen Nutzer das Gesamtsystem vor Schaden. Jeder Nutzer hat nur auf die Teile des Systems Zugriff, die für seine Arbeit notwendig sind. Software zu installieren oder auf den gesamten Server zuzugreifen, bleibt Personen mit administrativen Aufgaben vorbehalten.

Zudem sollten anfällige Komfortfunktionen ausgeschaltet werden. Excel-Dateien sollten zum Beispiel standardmäßig keine Makros ausführen. Es ist zwar umständlich für jede Datei die Erlaubnis zum Ausführen von Makros zu erteilen, verhindert aber, dass versehentlich geöffnete unsichere Excel-Sheets Viren aus dem Netz nachladen. So verhält es sich auch mit den Vorschaufunktionen in Outlook. Solange die Quellen nicht als sicher eingestuft wurden, sollte darauf verzichtet werden, Inhalte direkt aus dem Internet anzuzeigen.

IT-Sicherheit am Arbeitsplatz

Wabnitz IT Sicherheitsinformation

 

Für die IT-Sicherheit am Arbeitsplatz haben wir die Informationen aus diesem Blogbeitrag in einem kleinen, online- und Smartphone-optimierten PDF zusammengefasst. Teilen Sie es mit Freunden, Kollegen und Mitarbeitern. Es ist der einfachste Weg, für die IT-Sicherheit zu sensibilisieren.

Wabnitz IT hilft

Unser Care Management – Konzept enthält bereits viele Sicherheitsmaßnahmen, die eine Infektion verhindern können. Wir beraten im Hinblick auf Upgrades, Sicherheitssoftware und Backups. Darüber hinaus führen wir Mitarbeiterschulungen durch, um das Sicherheitsniveau zu verbessern.

Wir beraten Sie gerne. Wünschen Sie weitere Informationen, können Sie sich hier an unsere IT-Spezialisten wenden.