In letzter Zeit haben erneut weltweite Angriffe mit Verschlüsselungstrojanern, auch «Erpressungstrojaner» genannt, Schlagzeilen gemacht. Dabei handelt es sich um Schadsoftware, die Dateien auf dem Computer des Opfers sowie auf verbundenen Netzlaufwerken verschlüsselt und unbrauchbar macht. Das Opfer wird dann aufgefordert, eine bestimmte Summe an die Angreifer zu bezahlen, damit die Dateien wieder entschlüsselt werden. Wie kann man das verhindern und wie muss man sich als Opfer verhalten?

Backup ist das A und O

Es ist eigentlich selbstverständlich, wird aber im Arbeitsalltag von Unternehmen immer noch zu oft vernachlässigt: Wer regelmässig eine Sicherungskopie aller Daten und Systeme erstellt, kann diese Daten und Systeme dann auch wiederherstellen. Das Backup muss extern und vom laufenden System getrennt gelagert werden. Der Grund: Die mit dem Backup gesicherten Daten können dann bei einem Befall durch Schadsoftware nicht unbrauchbar werden.

Virenschutz und Firewall

Stets einen aktuellen Virenschutz sowie eine bewährte Firewall einsetzen. Darauf achten, dass sowohl Virenschutz wie Firewall stets auf dem neusten Stand sind.

Immer Updates machen

Alle Betriebssysteme und eingesetzten Applikationen müssen stets geupdated werden. Überall, wo man kann, die automatischen Updatefunktionen nutzen. Viele Updates sind nur dazu da, die Software gegen die neusten Angriffsmöglichkeiten immun zu machen.

Keine verdächtigen oder unbekannten E-Mails mit Anhängen und Links öffnen

Jeder weiss es und trotzdem wird es immer wieder gemacht: Man soll nie E-Mails mit einem total unbekannten Absender öffnen. Und: Nie auf Anhänge von verdächtigen E-Mails klicken, nie die Anweisungen im E-Mail-Text befolgen, nie auf Links in den verdächtigen E-Mails klicken.

Massnahmen nach einem erfolgreichen Verschlüsselungstrojaner-Angriff

Zweitens: Die verseuchten Teile des Systems von allen Netzwerken trennen. Wenn alles gesäubert ist, das Backup einspielen. Liegt kein Backup vor, die von den Angreifern verschlüsselten Daten behalten und sichern: Allenfalls gibt es später eine Möglichkeit für die Entschlüsselung, wenn hierzu eine Lösung gefunden wird.

Zusätzliche Massnahmen

• Windows AppLocker einsetzen und die Programme definieren, die nie ausgeführt werden dürfen.
• Den Empfang von gefährlichen E-Mail auf dem E-Mail-Gatewey blockieren. Dazu zählen: .js (JavaScript), .jar (Java), .bat (Batch file), .exe (Windows executable), .cpl (Control Panel), .scr. (Screensaver), .com (COM file), .pif (Program Information File), .vbs (Visual Basic Script), .ps1 (Windows PowerShell)
• Sicherstellen, dass gefährliche E-Mail-Anhänge auch dann blockiert werden, wenn diese in Archiv-Dateien wie beispielsweise ZIP, RAR oder aber auch in verschlüsselten Archive-Dateien an Empfänger im Unternehmen versendet werden. Zusätzlich sollten sämtliche E-Mail-Anhänge blockiert werden, welche Makros enthalten - beispielsweise Word, Excel oder PowerPoint-Anhänge mit Makros.

Wichtig: Wer das Cloud-Computing von META10 einsetzt, ist bei den Massnahmen zum Schutz vor Schäden von Verschlüsselungstrojanern täglich auf dem neusten Stand. Und: Ein umfassender Ratgeber ist das Merkblatt IT-Sicherheit für KMUs der Melde- und Analysestelle Informationssicherung MELANI.