Ransomware nicht nur in Krankenhäusern: Wie Sie sich gegen die Crypto-Trojaner wappnen
Ob Los Angeles, Neuss oder Arnsberg in Nordrhein-Westfalen: In diesen Wochen legt ein gefährlicher Trojaner zahlreiche Krankenhäuser lahm. Die IT-Systeme müssen heruntergefahren werden, Diagnosen und wichtige Daten werden per Telefon und Fax ausgetauscht — wenn die Leitungen dann mal frei sind. Mit Stift und Papier wird der Betrieb gerade so aufrechterhalten. Was ist passiert?
Derzeit grassiert Ransomware — auch „Crypto-Trojaner“ genannt — sowohl hierzulande als auch weltweit. Wir geben Ihnen einen Überblick über die wichtigsten Fakten.
Was ist Ransomware?
Ransomware ist ein Überbegriff für Schadprogramme, die einen Zugriff auf Daten des gesamten Computersystems sowie der Netzlaufwerke unmöglich machen. Die Malware verschlüsselt Ordner, Verzeichnisse und Laufwerke, sogar Cloud-Zugänge, wenn Sie zum Beispiel Ihren One-Drive-Zugang auf dem Desktop gespeichert haben. Das Ziel ist es, mit der Entschlüsselung oder Freigabe der Daten ein „Lösegeld“ zu erzwingen. Nach heutigem Stand müssen Zahlungen per Bitcoin, Paysafecard oder Ukash vorgenommen werden. Erst vor wenigen Tagen bezahlte ein Krankenhaus in Los Angeles Bitcoins im Wert von 15.000 Euro. Der Leiter des Krankenhauses gab an, das sei der schnellste und effizienteste Weg gewesen, die Verschlüsselung aufzuheben. Ein Trugschluss, wie sich oft herausstellt.
Auf welchen Wegen können Sie sich Ransomware einhandeln?
Ransomware kann über viele verschiedene Wege auf das System gelangen, hierbei unterscheidet sich das Vorgehen nicht von einem Computervirus. Diese Wege sind unter anderem E-Mail-Anhänge, das Ausnutzen von Sicherheitslücken in Webbrowsern oder die Verwendung von fremden Datenträgern.
Dabei werden z. B. E-Mails versandt, die vorgeben, eine im Anhang befindliche ZIP-Datei enthalte eine Rechnung über bestellte Ware. In diesem Anhang befinden sich dann Word-Dokumente, PDF-Dateien oder Javascripts, die beim Öffnen im Hintergrund die Schadsoftware installieren. Auch ein weiterer Versand der schädlichen E-Mail an das gesamte Adressbuch des Betroffenen ist möglich, sodass die Schadsoftware nicht nur von unbekannten Absendern kommt, sondern auch aus scheinbar vertrauenswürdigen Quellen. Ein weiterer Weg, wie Ransomware auf Ihr System gelangen kann, ist über kompromittierte Webseiten. Hier wird durch das Aufrufen der Webseite im Browser automatisch und unbemerkt die schädliche Software installiert — und meist werden bekannte Sicherheitslücken gezielt ausgenutzt.
Wie Sie bemerken, dass Sie infiziert sind
Einfache Varianten äußern sich durch ein Hinweisfenster, das sich nicht schließen lässt. Auch eine Verwendung des Taskmanager wird unterbunden. In dem Hinweisfenster kann die Zahlung des Lösegeldes über Ukash oder Paysafecard vorgenommen werden. Bei dieser Variante der Malware ist eine Datenrettung möglich, ohne dass ein Lösegeld gezahlt werden muss.
Bösartigere Varianten haben ein weitaus größeres Schadpotenzial: Die Dokumente werden direkt verschlüsselt. Grundsätzlich kommen hier alle Dateien in Frage, die für den Besitzer des Systems wichtig sind. Hierzu zählen unter anderem Rechnungen, Mails, Datenbanken, Archive und auch Fotos. Üblicherweise löscht sich Ransomware nach der Verschlüsselung der Dateien selbst, um die Analyse des Schädlings zu erschweren. Um wieder Zugriff auf die verschlüsselte Daten zu bekommen, wird der Nutzer aufgefordert, eine Webseite aufzurufen, um eine Zahlung z. B. mittels Bitcoins durchzuführen.
Wie können Sie sich vor Ransomware schützen?
Der wichtigste Punkt ist hier eine funktionierende Backup-Lösung, mit welcher alle wichtigen Daten gesichert werden. Zwar kann eine Backup-Lösung nicht vor Ransomware schützen, ermöglicht es Ihnen aber, verschlüsselte Daten nach einer Neuinstallation wiederherstellen zu können.
Des Weiteren ist es ratsam, vorbeugende Maßnahmen zur Abwehr zu treffen. Hierzu zählt eine stets aktuell zu haltende Anti-Viren-Lösung, das Vermeiden der Arbeit mit Administratoren-Rechten, ein regelmäßiger Schwachstellenscan sowie eine laufende Aktualisierung des Betriebssystems und des Webbrowsers. E-Mails mit Anhängen von unbekannten Absendern sind immer mit einer gewissen Skepsis zu betrachten und sollten ungeöffnet gelöscht werden.
Ab und an gelingt es, die Ransomware zu knacken, und es wird das passende Werkzeug zur Entschlüsselung zur Verfügung gestellt, mit dem die Daten kostenlos entschlüsselt werden können. So ist es im Februar 2016 gelungen, die Verschlüsselung des TeslaCrypt 2 zu brechen, allerdings ist direkt im Anschluss eine neue Version des TeslaCrypts aufgetaucht.
Nach einer solchen erfolgreichen Entschlüsselung sollte dem System dennoch nicht vertraut werden. Eine Neuinstallation ist unumgänglich.
Was rät das BSI?
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät bei einem bereits befallenen System davon ab, auf die Lösegeldforderungen einzugehen, denn die Dateien werden in vielen Fällen trotz Bezahlung nicht entschlüsselt. Stattdessen sollten die betroffenen Anwender den Bildschirm samt Erpressungsnachricht fotografieren und Anzeige bei der Polizei erstatten.
