1. Ransomware/Verschlüsselungstrojaner

Durch eine Schadsoftware werden die lokalen Daten des infizierten PC und ggf. die eingebundenen Netzfreigaben verschlüsselt. Varianten von Ransomware verbreiten sich danach von Rechner zu Rechner.

Zu den gängigsten Infektionswegen gehören:
  • Infektion durch Ausführen eines schadhaften E-Mailanhangs
  • Infektion durch „Drive-By“, d.h. das Surfen im Internet
  • Infektion durch Aufschalten per Fernwartungssoftware

1.1 Infektion durch Ausführen eines schadhaften E-Mailanhangs

Vorbeugung für diese Art der Infektion können die folgenden technischen Maßnahmen sein (Achtung: Nie 100%-Schutz):
  • Filterung und Scan auf dem Mail-Gateway/beim Provider
  • Aufbau von Vertrauen in den Absender von E-Mails mit Hilfe von Signaturen
  • Blockieren von Windows-Scripting-Host
  • Blockieren von Makros in Office-Dokumenten
  • Einsatz von alternativen Office-Produkten
  • Einsatz von alternativen PDF-Produkten
  • Einsatz von Linux auf den Clients
Organisatorische Maßnahmen:
  • Schulung von Mitarbeitern (Awareness, Wissen um die Bedrohungen)
  • Festlegen einer Whiteliste für Dateianhänge
  • Festlegen von Ansprechpartnern bei „Grenzfällen“
  • Rückfrage beim Versender

1.2 Infektion durch sog. „Drive-By“- dem Surfen im Internet

Das bloße Aufrufen einer Internetseite kann zur einer Infektion mit Schadsoftware führen.

Die folgenden technischen Maßnahmen können die Infektion verhindern oder das Risiko für eine Infektion verkleinern:
  • Deaktivierung von Flash/Java und nicht verwendeten Plugins im Browser
  • Einsatz von alternativen Browsern z.B. Firefox
  • Virenschutz auf dem Gateway
  • Virenschutz auf dem Client
  • Einsatz eines Proxies mit gesonderter Authentifizierung
  • Führen einer Whitelist für den Aufruf von Internetseiten
  • Einrichten von Arbeitsplätzen, getrennt vom Unternehmensnetzwerk, für das Surfen im Internet
  • Kein privater Internetgebrauch im Unternehmensnetz

1.3 Infektion durch die Ausnutzung von Fernwartungsprogrammen

Täter scannen im Internet nach offenen Zugängen zur Administration von Netzwerken bzw. Lesen Kennwörter von administrativen Fernzugängen aus. Danach schalten sie sich auf die System und verschlüsseln die Systeme, um dann einen bestimmten Betrag für die Freigabe der Daten zu erpressen.

Die folgenden technischen Maßnahmen können die Gefahr einer Ausnutzung von Fernwartungsprogrammen verkleinern.
  • Erhebung der bestehenden Fernzugänge
  • Ggf. Deaktivierung von Fernwartungszugängen
  • Ggf. Deaktivierung von Netzzugängen z.B. via WLAN
  • Verwendung von sicheren Fernwartungsprogrammen (optimal: via VPN, ggf. auch Produkte wie Teamviewer)
  • Kein Einsatz von unverschlüsselten Fernwartungsprogrammen
  • Deaktivierung und Entfernung von inaktiven und alten Benutzeraccounts
  • Keine Passwörter im Klartext, z.B. in Skripten auf den Clients oder Servern (Beispiel: Anmeldeskripte auf Windows-Systemen i.Z.m. „net use“)

Maßnahmen bei Feststellung einer Verschlüsselung:

  • Ermittlung des Infektionsweges
  • Ermittlung des auslösenden Rechners und Runterfahren dieses Systems
  • Wiederherstellung von Daten aus dem Backup (siehe Backup)
  • Regeln erstellen, um erneutes Eindringen bzw. Auslösen zu verhindern
  • Alle Systeme im Netzwerk auf Befall prüfen
  • Benachrichtigung aller Benutzer über den Infektionsweg

Weiter

Zurück

Klicken Sie hier, um zur Übersicht zu gelangen.