!!! Warnung !!! Gefährliche Trojaner im Umlauf

Aktuell sind sehr gefährliche Malware Schädlinge unterwegs, die Unternehmen ganz oder teilweise lahmlegen können. Allein der Krypto-Trojaner Locky zählt in Deutschland mehr als 5.000 Neuinfektionen pro Stunde.

Nachfolgend erhalten Sie von der hamcos Informationen über diese Viren und praktische Tipps, wie Sie sich besser schützen und eine Infektion möglicherweise verhindern können. Außerdem zeigen wir Ihnen, wie Sie sich im Falle einer Infektion verhalten sollten.

Als Ihr IT-Security Experte bieten wir Ihnen eine Überprüfung Ihres momentanen Sicherheitsniveaus an, sowie gegebenenfalls eine sinnvolle Erweiterung der Infrastruktur für mehr Sicherheit. Interessiert? Gerne erstellen wir Ihnen ein unverbindliches Angebot.

Wie kann ein Trojaner erkannt werden?

Ransomware, auch bekannt als Erpressungstrojaner, Krypto-Trojaner oder Verschlüsselungstrojaner, finden momentan massenhaft Opfer, da sie hauptsächlich per E-Mails verbreitet werden, die täuschend echt nach Lieferanten, Kunden oder einer seriösen Institution aussehen oder sich sogar als interne E-Mail Absender ausgeben.

Meistens handelt es sich um gefälschte Rechnungen oder Gutschriften, die das Interesse des Empfängers wecken sollen. Eine Infektion kann aber auch direkt im Internetbrowser oder über externe Datenträger wie USB-Sticks oder DVDs erfolgen. Kurz gesagt: Auf allen Datenwegen ins Unternehmen.

Deshalb sollten Sie möglichst alle Mitarbeiter aufklären und sich an folgende Richtlinien halten:

  • Öffnen Sie Word- oder Excel Anhänge niemals direkt per Doppelklick
  • Löschen Sie verdächtige E-Mails unwiderruflich
  • Seien Sie vorsichtig bei E-Mail Anhängen, deren Absender Sie nicht kennen
  • Öffnen Sie verdächtige E-Mails notfalls erst ein paar Tage später. Antiviren-Hersteller benötigen Zeit, um geeignete Gegenmaßnahmen zu ergreifen.
  • Hilfreich kann auch das Öffnen auf Tablets oder Smartphones sein, da die Malware dort meist nicht zuschlagen kann
  • Arbeiten Sie, wenn möglich, mit den Office-Viewer Programmen anstatt mit den vollwertigen Office-Applikationen
  • Erstellen Sie regelmäßige Backups Ihrer Daten auf Offline Medien. Dies sind z.B. das „gute, alte“ Tape aber auch externe USB Festplatte oder Wechselplatten, die nur bei Bedarf mit dem Rechner verbunden werden
  • Stellen Sie sicher, dass die automatische Ausführung von eingebettetem Makro-Code abgeschaltet ist
  • Halten Sie Ihre IT-Umgebung stets auf dem aktuellen Stand und führen Sie regelmäßige Updates durch
  • Schützen Sie Ihr System mit einem Virenscanner, der auf aktuelle Signaturen zurückgreift
  • Setzen Sie geeignete Netzwerkschutzmechanismen wie Firewall mit Content-Filter, Gateway-Schutz oder Email-SPAM-Filter ein. Insbesondere mit Managed Security kann Sie die hamcos hierbei unterstützen.

Was kann ein Krypto-Trojaner anrichten?

In dem betroffenen E-Mail Anhang befindet sich ein Office Dokument mit Makro Code, der die Infektion auslöst. Der Erpressungs-Trojaner verschlüsselt unwiederbringlich Daten auf dem infizierten Rechner sowie alle Informationen, die er über das Netzwerk erreicht. Somit verbreitet sich der Virus über das Netzwerk weiter und infiziert alle Rechner, die er erreichen kann. Der Schädling macht auch vor Cloud Speichern oder Netzwerkfreigaben nicht Halt, die aktuell nicht ins System eingebunden sind.

Im nächsten Schritt wird mit einem Erpresserschreiben ein Lösegeld gefordert, um eine Entschlüsselung zu veranlassen. Die Bezeichnung „Ransomware“ setzt sich zusammen aus „ransom“, dem englischen Wort für Lösegeld, und „ware“, entsprechend dem für verschiedene Arten von Computerprogrammen üblichen Benennungsschema (Software, Malware etc.).

Bitte beachten Sie, dass das Bundesamt für Sicherheit in der Informatik davon abrät, den Erpressern Geld zu bezahlen. Oftmals werden nach Zahlung die Daten nicht entschlüsselt oder es werden sogar Nachforderungen gestellt. Nach wie vor ist jedoch kein Weg bekannt, die verschlüsselten Dateien ohne Zahlung des Lösegelds wieder herzustellen.

Was sollte ich bei einer Infektion mit Ransomware tun?

Fahren Sie das Betriebssystem sofort herunter und unterbrechen Sie die Verbindung zum Netzwerk, um die Verschlüsselung aufzuhalten. Danach können Sie den Computer isoliert mit einer Anti-Malware-Software starten, um den Schädling zu vernichten. Dies ist jedoch nicht ohne Risiken und Sie sollten das nur machen, wenn Sie genau wissen was zu tun ist. Rufen Sie lieber die hamcos an.

Testen Sie, ob Sie bereits verschlüsselte Dateien mit Schattenkopien oder Forensik-Tools wiederherstellen können. Generell sollten verschlüsselte Dateien aufgehoben werden, da oftmals später ein Weg entdeckt wird, die Dateien zu entschlüsseln.

Der Trojaner muss manuell entfernt werden. Aufgrund der Vielzahl an Varianten, ist es unmöglich eine allgemeingültige Schritt-für-Schritt-Anleitung zur Verfügung zu stellen.

Können wir Sie unterstützen?

Als Spezialist im Bereich IT-Security bieten wir Ihnen Unterstützung bei diesem heiklen Thema an. Gerne überprüfen wir den Stand Ihrer momentanen Absicherung und helfen Ihnen gegebenenfalls bei der Erweiterung der Infrastruktur für mehr Sicherheit.

Für folgende Bereiche kann ein Check durchgeführt und gegebenenfalls die Integration in die vorhandene Umgebung vorgenommen werden.

Windows OS:     

  • Vorbeugende Überwachung und Abschottung von Fileablagen über den Ressourcenmanager
  • Einrichtung von Schattenkopien auf Fileservern, um kurzfristig ältere Versionsstände rekonstruieren zu können
  • Systeme auf dem aktuellen Stand halten (Windows-Patches)
  • Einsatz von Microsoft Baseline Security Analyzer monatlich
  • Rechteprüfung der Benutzer innerhalb der Organisation (Vermeidung von Admin-Rechten)

Storage:               

  • Einsetzen von Filter Policies für Dateiablagen (Herstellerabhängig)

Virenschutz (TM):              

  • Einstellungen nach "BestPractices für Malware" prüfen lassen
  • Bei Befall Hilfe über "AntiRansomware Tool"

Backup:                               

  • Aktuelle Backupkonfiguration prüfen und Sicherung testweise wiederherstellen

Mitarbeiter:                          

  • Sensibilisieren, damit User nicht auf unbekannte Mails reagieren und externe Datenträger möglichst vermeiden.

Kommen Sie einfach auf uns zu! Gerne erstellen wir Ihnen ein unverbindliches Angebot.

Natürlich unterstützen wir Sie auch, wenn sie trotz aller Vorsichtsmaßnahmen zu den Betroffenen gehören sollten.