Krypto-Trojaner-Welle hält an (Locky, TeslaCrypt, …)

Die Gefahr durch  Erpressersoftware (Ransomware) steigt stetig. Gründe hierfür sind zum einen die wachsende Anzahl der kursierenden Versionen (TeslaCrypt, Locky usw.) zum anderen neue Infektionswege: Neben der klassischen Verbreitung durch E-Mail-Anhänge (häufig mit Dateianhängen vom Typ .doc / .zip und z.B. getarnt als Rechnung, Fax usw.) werden fast täglich neue Verbreitungswege bekannt: angefangen von einer Infektion durch das Surfen auf speziell präparierten Webseiten, bis hin zu aktiven Angriffen auf unterschiedliche Server-Typen (Web-Server, RDP-Server). Weitere Details dazu finden Sie in den Link-Sammlung am Ende dieses Artikels.

Ransomware geht dabei stets ähnlich vor: Dateien des betroffenen Nutzers (oder Server-Dienstes) werden verschlüsselt und die Originale gelöscht. Anschließend wird der Nutzer darüber informiert, wie er durch Zahlung von Lösegeld (oft in digitaler Währung) den zur Entschlüsselung der Daten notwendigen Schlüssel erhalten kann.

Sofort-Maßnahmen im Falle einer Infektion

Sollte eine Infektion erfolgt sein, empfiehlt das RRZE folgendes Vorgehen:

  • Fahren Sie den betroffenen Rechner sofort herunter
  • Informieren Sie umgehend Ihren zuständigen IT-Betreuer bzw. das für Sie zuständige IT-Betreuungszentrum (IZI, IZH, IZN)

Hintergrund: Die Verschlüsselung von Dateien benötigt ein laufendes System und Zeit für das  Lesen/Schreiben/Verschlüsseln von Daten. Durch das Abschalten des Systems entziehen Sie dem Trojaner diese Ressourcen – er kann keine weiteren Dateien verschlüsseln.

Grundsätzlich ist eine Wiederherstellung der Daten (ohne Zahlung des Lösegelds) aufgrund der mittlerweile eingesetzten, starken Verschlüsselungsmechanismen nicht möglich. Im speziellen Fall von TeslaCrypt 2.0 gibt es aber seit Anfang Februar Hoffnung für die Opfer: Durch einen Fehler in der Implementierung der Malware ist es hier möglich die verschlüsselten Daten zu rekonstruieren – das ist jedoch aktuell die große Ausnahme!

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt der Lösegeldforderung nicht nachzugehen.

Präventionsmaßnahmen

Bitte beachten Sie immer folgende Grundregeln zur Vorbeugung und Sicherung Ihres Systems :

  • Installation von Virenscanner und automatische Aktualisierung der Virensignaturen
  • Zeitnahes Einspielen von Sicherheitspatches für Betriebssystem und Anwendungen
  • Sicherung wichtiger Daten auf ein getrenntes System
Virenscanner

Ein aktueller Virenscanner kann Ihre Systeme vor vielen typischen Übergriffen schützen. Dennoch gilt: Bitte verlassen Sie sich nicht blind auf Ihren Virenscanner!

Hintergrund: Um Schadsoftware erkennen zu können, muss diese vom Hersteller registriert, analysiert und ein passendes Erkennungunsmerkmal an alle Virenscanner verteilt werden. In der Zeit zwischen dem ersten Auftreten der Schadsoftware und einer wirksamen Erkennung durch den Virenscanner können einige Tage vergehen. In dieser Zeitspanne sind Systeme trotz Virenscanner verwundbar!

Daten und Dateien aus nicht vertrauenswürdigen Quellen sollten deshalb immer mit Vorsicht behandelt werden.

Sicherheitspatches

Oft nutzen Schädlinge existierende Sicherheitslücken in lokal installierter Software (Betriebssystem, aber auch Standard-Anwendungen wie Office usw.) um sich weitreichende Rechte auf Systemressourcen zu verschaffen. Auch die Erpressersoftware nutzt diese Schwachstellen, um zugreifbare Dateien ohne Ihr Zutun zu verschlüsseln. Dabei beschränkt sich der Zugriff nicht auf lokale Medien (interne Festplatte, angesteckte USB-Medien), sondern kann auch Daten auf Netzlaufwerken (z.B. des Lehrstuhls) durch ungewollte Verschlüsselung unleserlich machen.

Datensicherung

Nicht nur im Falle einer Schädlingsinfektion – ein aktuelles Backup wichtiger Daten ist immer Pflicht. Allerdings gelten für die Auswirkungen einer Infektion durch einen Erpressungstrojaner die gleichen Rahmenbedingungen wie für das unbeabsichtigte Löschen von Dateien:

Erfolgt die Sicherung auf ein vom Nutzer beschreibbares Speichermedium (USB-Medium, Netzlaufwerk), können auch die Sicherungsdaten durch die Schadsoftware unbrauchbar gemacht werden. Eine klassische Backup-Lösung mit eigener Client-Software zum Transfer der Backup-Daten auf ein getrenntes System und mehreren, zeitlich gestaffelten Sicherungskopien kann diesem Datenverlust vorbeugen. Bitte beachten Sie dies bei der Umsetzung Ihrer Datensicherungsstrategie – im Zweifelsfall wenden Sie sich bitte an den für Sie zuständigen IT-Betreuer bzw. an das für Sie zuständige IT-Betreuungszentrum (IZI, IZH, IZN) oder nutzen Sie das Backup-Angebot des RRZE.

Vorfälle der letzten Tage