Ransomware ist ein immer größer werdendes Problem. Sehr gut vernetzte Verbrecher-Organisationen haben erkannt, dass es so gut wie keine technische Möglichkeit gibt, einen Ransomware-Angriff zu erkennen oder abzuwehren und das nützen sie gnadenlos aus.
Täglich erreichen uns Emails mit Auftragsbestätigungen, Rechnungen, Bewerbungen ..., an denen ein Word- oder EXCEL-Dokument hängt, welches das Malheur auslöst. Im täglichen Stress klickt man schnell einmal auf den Anhang und setzt damit eine Welle in Gang, die schnell zum Tsunami wird.
Die Dokumente sind clever aufgebaut: Sie enthalten nicht den Trojaner, so dass Virenschutzprogramme keine Chance haben, etwas zu finden. Sie enthalten ein Makro, welches den Trojaner von einer speziellen Webseite läd. Die URL der Webseite wechselt ständig, so dass auch darüber kein Schutz möglich ist. Weiterhin werden die Programme nicht sofort aktiviert. Sie schlummern so lange, bis der Zusammenhang zwischen Klick und Schaden nicht mehr ersichtlich ist. Da das Office-Dokument teilweise sogar noch einen einigermaßen "sinnvollen" Inhalt hat, fällt nicht auf, dass im Hintergrund eine Bombe gelegt wurde.
Wenn der Trojaner dann aktiv wird, dann sucht er sich alle Laufwerke, alle Verzeichnisse und verschlüsselt alle Dateien mit einem unbekannten Schlüssel. Die Verschlüsselung ist im Normalfall stark genug, dass man sie nicht mit gängigen Methoden knacken kann. Am Bildschirm erscheint dann ein Hinweis, dass man per Bitcoin einen gewissen Betrag bezahlen soll um ein Entschlüsselungsprogramm zu erhalten. Der Betrag bewegt sich derzeit in der Größenordnung von 3000 - 4000 Euro. Man kann per E-Mail mit den Ganoven kommunizieren. Die E-Mailadressen wechseln jedoch ständig, so dass eine Verfolgung praktisch ausgeschlossen ist. Der Weg der Zahlung über Bitcoins kann ebenfalls nicht nachverfolgt werden, so dass eine Strafverfolgung äußerst schwierig ist.
Was kann man tun, um sich zu schützen?
Linux-User und Mac-User haben es gut. Hier ist es aufgrund der Rechtestruktur für Angreifer ungleich schwieriger, einen Trojaner wirkungsvoll zu platzieren. Außerdem sind diese Systeme weitaus seltener, so dass es für die Verbrecher uninteressant ist, hier aktiv zu werden.
Windows-Benutzer müssen immer die aktuellen Virenschutzprogramme einsetzen. Das reicht aber nicht aus! Die Verbrecher sind clever, und es ist ein Hase/Igel-Spiel zwischen denen und den Antivirenprogramm-Herstellern. Leider sind die Verbrecher meist einen Schritt voraus.
Das größte Risiko ist der Benutzer! Wenn eine Mail mit einem Anhang kommt, den man nicht erwartet, dann öffnet man diesen Anhang keinesfalls, ganz egal ob das ein Docx, xlsx, pdf, jpg oder sonst eine Datei ist!
Tägliche Datensicherung ist Pflicht. Mehrere Generationen der Datensicherung sind Pflicht!
Sicherungslaufwerke dürfen keinesfalls permanent im Zugriff sein, sonst wird die beste Sicherung gleich mitverschlüsselt!
Und wenn der Trojaner zugeschlagen hat....
...dann kann man glücklich sein, eine gute Datensicherung zu haben. Alle Versuche, an die verschlüsselten Daten wieder heran zu kommen sind fragwürdig und wenig Erfolg versprechend. Zumindest kurz- und mittelfristig sind die Daten weg!
Wichtig:
- Server sofort(!) vom Netz trennen (Verbindungskabel zum Switch wegnehmen). Keine Verzögerung, auch wenn man mitten in der Arbeit ist!
- Kriminalpolizei einschalten - das hilft zwar nicht, aber je mehr Informationen die Polizei hat, desto größer wird die Chance, gegen die Verbrecherorganisationen vor zu gehen
- keinesfalls bezahlen - Die Erfolgsaussichten sind gering und die Verbrecher haben ihr Ziel erreicht
- Alle PCs und Server von Grund auf neu installieren - keiner weiß wo der Trojaner versteckt ist
- Daten nach dem Neuaufbau von der Sicherung wieder herstellen