Termine
09. - 12.09. | WithSecure Training |
02. - 04.10. | Virus Bulletin Conference |
22. - 24.10. | it-sa |
11. - 14.11. | WithSecure Training |
Rückruf-Service
Wann sind Sie wirklich sicher?
call
backWir beraten Sie gerne!
Rufen Sie uns an: 040 6962816-0
Verschlüsselungstrojaner und Erpressungstrojaner
Diese Seite wurde zuletzt am 05.10.2022 um 13:07 Uhr geändert.
Kryptotrojaner, Erpressungstrojaner, Crypto-Ransomware, CBT-Locker, TeslaCrypt, Ransom32, Petya, NomadSnore, Locky, Crysis, Cerber, CryptXXX, CoinVault, Bitcryptor, Xort, ZCryptor, HDDCryptor, Goldeneye, WannaCry/WannaCrypt/WannaCryptor/WCry, NotPetya, GandCrab, ... Die Bedrohung, die von Krypto-Trojanern ausgeht, ist nach wie vor hoch. Die Entschlüsselung der Dateien ist normalerweise ohne die Hilfe der Erpresser nicht möglich. Ausnahmen sind beispielsweise TeslaCrypt , Petya , CryptXXX , CoinVault, Bitcryptor , Jigsaw, CryptoHitman , FilesLocker odere Mira. Schlimmer noch als die verschlüsselung ist oft die Erpressung mit geklauten Daten.
Das FBI zeigt mit dem folgenden Zitat, in welcher schwieriger Situation sich die Opfer befinden: "To be honest, we often advise people just to pay the ransom." Das BSI hingegen rät von Lösegeldzahlungen ab: "Stattdessen sollten betroffene Nutzer den Bildschirm samt Erpressungsnachricht fotografieren und bei der Polizei Anzeige erstatten."
Die meisten Krypto-Trojaner verbreiten sich nicht von alleine sondern treten nur auf einzelnen Rechnern auf und verschlüsseln von dort lokale Daten und Netzwerkfreigaben. Ausnahmen sind die Krypto-Würmer WannaCry und NotPetya, die sich auch aktiv im Netzwerk verbreiten.
perComp empfiehlt, vorzubeugen:
- Sichern
- Halten Sie ein regelmäßiges Backup vor und proben auch die Wiederherstellung.
- Heben Sie das Backup offline auf, damit es nicht auch bei einem Angriff verschlüsselt oder überschrieben wird.
- Rechte einschränken
- Schränken Sie den Zugriff von Benutzern auf Server-Laufwerke möglichst umfassend ein, auch über Nur-Lese-Freigaben.
- Auch das Unterbinden von Programmen in Benutzer- und Temp-Verzeichissen sollten Sie erwägen (z.B. mit der WithSecure Client Security Premium).
- Office-Makros können über Gruppenrichtlinien deaktiviert werden und mit AMSI überwacht werden.
- Der Windows Scripting Host (JS, VBS) kann deaktiviert werden.
- Die Benutzer sollten keine Admin-Rechte haben.
- Es sollten sichere Passwörter durchgesetzt werden.
- Der lokale Administrator sollte auf jeder Maschine ein anderes Passwort haben.
- Alle Geräte über eine (lokale) Firewall schützen. Beispielsweise RDP (TCP 3389) sollte normalerweise nicht aus dem Internet erreichbar sein. Clients müssen normalerweise nicht untereinander kommunizieren.
- Schützen
- Benutzen Sie einen aktuellen Anti-Virus auf jedem Gerät. Deaktivieren Sie Ihren verhaltensbasierten Schutz nicht.
Endpoint Detection and Response erhöht nochmal das Schutzniveau des Anti-Virus. - Das Filtern von E-Mail- und HTTP-Verkehr erhöht Ihre Sicherheit, auf den Gateways (z.B. über WithSecure Anti-Virus für Exchange oder WithSecure für Office 365 oder Clearswift) und/oder auf den Clients (z.B. mit der WithSecure Client Security Premium).
- besonderes gefährlich in E-Mail:
JavaSkript, Office-Dokumente mit Makros, Binärdateien - Spam-Filter erhöhen auch den Schutz vor Malware.
- besonderes gefährlich auf Web-Seiten:
Flash, Binärdateien - unterstützend wirkt das Blockieren dieser URL-Kategorien:
Anonymizer, Bösartige Sites, Illegale Downloads, Software-Downloads, Spam, Webmail, Werbung
- besonderes gefährlich in E-Mail:
- Benutzen Sie einen aktuellen Anti-Virus auf jedem Gerät. Deaktivieren Sie Ihren verhaltensbasierten Schutz nicht.
- Schwachstellen minimieren
- Halten Sie Ihre Windows- und Programminstallationen aktuell (z.B. mit der WithSecure Client Security Premium).
- Durchsuchen Sie Ihr Netzwerk nach Schwachstellen (z.B. mit WithSecure Elements Vulnerability Management) und schließen diese.
- Protokollieren
- Aktivieren Sie unter Berücksichtigung des Datenschutzes die Überwachung von Dateiänderungen auf Dateiservern.
- Aktivieren Sie unter Berücksichtigung des Datenschutzes die Überwachung von Dateiänderungen auf Dateiservern.
- Benutzer sensibilisieren
- Es sollte nicht jedes E-Mail-Attachment geöffnet werden. Besonders bei Rechnungen ist Vorsicht geboten.
- Für Office-Dokumente aus E-Mail-Anhängen sollten keine Makros zugelassen werden.
- Viele Trojaner kommen als Drive-By-Downloads oder über Download-Portale.
- Der nächste (Crypto-)Trojaner kann selbstverständlich andere Erscheinungsformen und Verbreitungswege nutzen.
Bei Fragen wenden sich perComp-Kunden an den Support .