Ransomware – Wenn Daten unter Verschluss geraten
Bewegt man sich eine Weile im Internet, gerät man sicher auch sehr bald mit den Unannehmlichkeiten darin in Kontakt: Spam, Phishing, Viren, Trojaner, Würmer etc.
Vor Kurzem sorgte eine sehr spezielle Art Trojaner mit dem Namen “WannaCry” für Aufsehen. Er gehört zur Kategorie der Ransomware (engl., to ransom – auslösen, freikaufen), die, einmal gestartet, Festplatteninhalte verschlüsseln und die so unbrauchbar gewordenen Daten nur gegen Zahlung von Lösegeld wiederherstellen.
Von der Diskette zum Internetwurm, die Evolution der Schadsoftware
“WannaCry” ist dabei nur die Spitze des Eisberges und Ransomware an sich keineswegs neu. Davor trieben beispielsweise schon “Locky” (den wir im März 2016 unter die Lupe genommen haben), “Goldeneye” und “KeRanger” ihr Unwesen. Erstmals tauchte vergleichbare Schadsoftware im Jahr 1989 auf, die damals noch per Diskette Verbreitung fand und deren erpresste Gelder schließlich der AIDS-Forschung gespendet wurden.
Von der Attacke, die sich am zweiten Mai-Wochenende 2017 abgespielt hat, waren hauptsächlich Rechner mit den Windows-Betriebssystemen 7, 8.x und 10 betroffen, die ohne aktuelle Updates der Betriebssysteme liefen. Entgegen den ersten Meldungen trugen Computer mit Windows XP weit weniger dazu bei, dass der Schädling sich automatisch verbreiten konnte. Das seit April 2014 von Microsoft nicht mehr unterstützte System ist laut Forschern der Sicherheitsfirma Kryptos Logic schlicht zu instabil.
Funktionsweise der Ransomware WannaCry
Einmal infiziert, zum Beispiel durch Öffnen manipulierter Mailanhänge, nutzt der Trojaner eine Schwachstelle des NetBIOS-Protokolls, um sich in Netzwerken massiv zu verbreiten. Dabei baut er sowohl ins Internet, als auch zum TOR-Netzwerk Verbindung auf, lädt von dort Daten nach, verschlüsselt währenddessen die Dateien auf dem infizierten System und sucht weitere Workstations und Server, um sich dort einzunisten.
Ist ein Rechner befallen, muss er sofort von LAN und Internet isoliert werden. Danach gibt es verschiedene Ansätze, die vorhandenen Daten eventuell doch noch retten zu können:
- Von den Daten auf dem befallenen Computer wird mit Hilfe externer Tools ein Backup gezogen. Die Hoffnung stirbt bekanntlich zuletzt.
- Der PC kann unter Umständen mit den Werkzeugen WannaKey bzw. WanaKiwi dechiffriert werden. Dafür müssen aber die von WannaCry erzeugten RSA-Schlüssel noch im RAM liegen. Das heißt, das System darf nicht neu gestartet worden sein. Diese Methode funktioniert allerdings nicht unter Windows 8 und 10. In diesen Versionen wurde das Speichermanagement verändert.
Schutz vor Trojaner, Viren und anderen Schädlingen
Der Schutz gegen solche Bedrohungen besteht vor allem darin, ein gesundes Misstrauen gegenüber unangekündigten Mailanhängen von unbekannten Absendern zu hegen. Niemand wird Ihnen ohne vorherige Absprache vorgebliche Rechnungen, Personaldatenbanken oder Auflistungen von Vorstandsgehältern schicken.
Prüfen Sie stets folgende vier Punkte:
- Sind Ihre Downloadquellen vertrauenswürdig?
- Ist das Betriebssystem auf dem aktuellsten Stand?
- Sind die Signaturen Ihres Antiviren-Programms frisch?
- Sind Ihre Netzwerke mit Intrusion-Detection- und Prevention-Systemen ausgestattet?
Um sich ausreichend zu schützen, hat sich eine Mischung aus segmentierten Netzen, Firewalling und Sandboxes, die solche Bedrohungen schon recht gut im Zaum halten können, bewährt. Die IT-Sicherheitsexperten der kreITiv helfen Ihnen und Ihrem Unternehmen gern weiter und wappnen Ihre IT-Infrastruktur für zukünftige Vorfälle.