Daten schützen

5 Tipps zur Abwehr von Ransomware

Überblick über Maßnahmen, um einen typischen Angriff mit Ransomware abzuwehren, und was man tun kann, sollte es zum Äußersten kommen.

Virus Alert

5 Tipps zur Abwehr von Ransomware

In den letzten Wochen wurde viel über Vorfälle mit Verschlüsselungs-Malware berichtet. Und auch verschiedene Fälle mit Varianten von Ransomware, CryptoWall, Tesla-crypt, KeRanger und den jüngsten Locky-Versionen beschäftigen Unternehmen. Je nachdem, wen man fragt, werden solche Vorfälle nicht unbedingt als Datenverletzung eingestuft, denn gewöhnlich verlassen dadurch keine Daten das Netzwerk, doch ohne vernünftige Backups kann der Datenverlust sehr real spürbar sein. Darren Windham, Senior Security Specialist bei Verizon gibt fünf Tipps, um einen typischen Angriff mit Ransomware abzuwehren.

Empfehlungen zur Abwehr

Die Top-5-Abwehrmaßnahmen, die man im Vorfeld treffen sollte:

  1. GPO zum Blockieren von ausführbaren Dateien und Deaktivieren von Microsoft Office Makros installieren
    Malware wird gewöhnlich aus den Windows-Verzeichnissen %temp% und AppData heraus ausgeführt. Indem man das Ausführen von Dateien an diesen Orten heraus blockiert, lässt sich das Risiko senken, dass unbekannter Code auf den Endpunktsystemen läuft. Dies ist eine gute Vorgehensweise, um unterschiedliche Windows-basierte Infektionen zu verhindern.
    Die neusten Versionen von Verschlüsselungs-Ransomware nutzen Makros, die in Microsoft Office-Dokumenten versteckt sind. Mit den Office Administrative Template-Dateien der Office-Version haben Anwender die Möglichkeit, die Nutzung solcher Makros via Windows Group Policy Objects einzuschränken.
  2. Anwendungen Dritter schnellstmöglich patchen
    Häufig lässt sich beobachten, dass beliebte Anwendungen dazu missbraucht werden, Malware zu verbreiten – siehe Java, Adobe Reader, Adobe Flash und Adobe Shockwave. Diese Desktop-Anwendungen von Drittanbietern immer auf dem neusten Stand zu halten, ist besonders wichtig. Ältere Versionen und besonders Anwendungen, die von bestimmten Endpunkten nicht mehr benötigt werden, sollten deinstalliert werden. So reduziert sich die Zahl der angreifbaren Anwendungen, die sich noch irgendwo im System oder Netz befinden.
  3. Daten-Backup-Prozesse testen und bewerten
    Die jüngsten Varianten von Verschlüsselungs-Ransomware löschen Windows System-Wiederherstellungspunkte und Schattenkopien, mit denen man üblicherweise gekaperte Daten wiederherstellt. Firmen und Behörden bleibt nichts weiter übrig, als gute Backup-Strategien zu entwickeln, mit denen sie ihre Daten wiederherstellen können, ohne Lösegeld an den Angreifer zu zahlen. Zusätzliche Backups auf separaten Systemen erweisen sich in vielen Ransomware-Situationen als Trumpfkarte. Beim Wiederherstellen der Daten sollte unbedingt darauf geachtet werden, dass nur die für die Organisation relevanten Dateien und nicht der Code der Ransomware oder anderer Malware wiederhergestellt werden.
  4. Lokale Admin-Rechte entfernen
    Ein Angreifer, der im Besitz von Admin-Zugangsdaten ist, kann auf einem kompromittierten System verheerende Schäden anrichten. Durch das Entfernen lokaler Admin-Rechte verringert man das Risiko, dass die Malware Persistence-Mechanismen ausnutzt oder sich seitlich innerhalb ihrer Umgebung bewegt.
  5. E-Mail-Anhänge blockieren
    In einigen Beispielen aus jüngster Zeit wurden Dateien mit der Erweiterung „.doc“ und ActiveMime-Headers verwendet, um signaturbasiertes Blockieren zu umgehen. Sinnvoll ist das Einführen von signatur- und erweiterungsbasierter Blockierregeln für E-Mail-Anhängen. Dadurch wird auch das Risiko kleiner, dass Personen auf Anhänge klicken und sie öffnen.

Reaktive Empfehlungen

Hier die Top 5 der reaktiven Maßnahmen während oder nach einem Vorfall:

  1. Zugang zu Command- und Control-Servern blockieren
    Wie bei vielen anderen Malware-Angriffen sind Command- und Control-Server (C2-Server) entscheidend für Ransomware-Angriffe. Ist bekannt, mit welcher Domain oder IP-Adresse die Malware kommuniziert, können Anwender an ihren Endpunkten netzwerkbasierte Blockierungen installieren. Dies kann Firewalls, Router oder sogar Web-Proxies einschließen. Es ist wichtig zu wissen, dass bei vielen Ransomware-Feldzügen Domain-Generierungs-Algorithmen genutzt werden, die dann unter Umständen die Domainnamen so rasch ändern, dass effektives Blockieren unmöglich ist.
  2. Datei-Freigaben auf Read-only setzen
    Verschlüsselungs-Ransomware verbreitet sich gerne über Netzwerk-Freigaben. Indem man im Netzwerk befristet die Genehmigungen für gemeinsame Dateinutzung bei allen Usern auf Read-only setzt, wird verhindert, dass die Malware Ihre Daten ändert und verschlüsselt.
  3. Infizierte System offline nehmen
    Infizierte Systeme sollten zwar eingeschaltet bleiben, der Zugang zum Netzwerk sollte allerdings unterbrochen (einschließlich WLAN) werden. Dadurch bleiben mögliche Artefakte im physischen Speicher für Analysezwecke erhalten. Die Informationen für den Zugriff auf oder die Entschlüsselung der Dateien sind nur in der Memory zu finden; wird das System abgeschaltet, sind diese Daten sehr wahrscheinlich für immer verloren.
  4. Bekannte Phishing-Mails aus den Mailboxen der Empfänger zurückholen
    Nachdem man die bösartige Mail identifiziert hat, gilt es zu verhindern, dass sie sich weiter verbreitet. Sofern das E-Mail-System die Möglichkeit bietet, bereits zugestellte Mails zurückzurufen oder zu entfernen, sollten Anwender diese Funktion nutzen, um solche gefährlichen Mails zu löschen. Anwender können solche Nachrichten nach Absender, Betreff, Anhang oder sogar abgehendem SMTP suchen. Dadurch wird auch das Risiko verringert, dass die Ransomware von noch mehr Usern angeklickt wird
  5. Prüfen, wem die verschlüsselten Dateien gehören, um infizierte User zu identifizieren
    Falls eine freigegebene Datei oder die Daten eines Servers in Folge einer Attacke verschlüsselt sind, gilt es zu prüfen, wem die Datei oder das Verzeichnis gehört oder wer zuletzt darauf zugegriffen hat. Damit können User unter Umständen die Infektionsquelle innerhalb ihres Netzwerks ausfindig machen und anderen Hinweise geben, wie die Infektion frühzeitig eingedämmt werden kann.

Verizon empfiehlt diese Maßnahmen, um das Risiko zu verringern und sich richtig zu verhalten, wenn Anwender feststellen, dass man bereits in ihrer Firma oder Behörde auf diese Art von Vorfällen reagiert. Bei Sicherheit und Verfügbarkeit von Daten sollte man sich nicht auf sein Glück verlassen.


Bildquelle: Thinkstock/ iStock

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok