UPDATE: Ihre Rechnung ist da!
UPDATE: Ihre Rechnung ist da!
Erpressungs-Trojaner: "Derzeit ist die Hölle los"
So titelt ein Computermagazin in Bezug auf die aktuelle Welle an infizierten PCs. Anders als bei vielen Attacken in der Vergangenheit zielen die Attacken wie von "Locky" aber nicht nur darauf ab, "nur" Schaden anzurichten. Mittels aktueller Verschlüsselungstechnik ist es möglich, die Daten der Festplatte so zu verschlüsseln, dass ohne dem dabei verwendeten Schlüssel keine Möglichkeit besteht, seine Fotos, Videos, Dokumente oder Musiksammlung wieder zu bekommen.
Diesen privaten Schlüssel erhält man, nach Lösegeldzahlung über nicht rückverfogbare Kanäle, von den Erpressern. Wer die erste Frist verstreichen lässt erhält meist noch eine Chance, jedoch zu einem weit höheren Preis, bevor der Schlüssel vom Server der Erpresser gelöscht wird und die Daten "sicher" verloren sind.
Vertraue niemanden!
Was kann man nun tun, um sich vor solchen Angriffen zu schützen? Welche Regeln gilt es zu befolgen, um nicht selbst Opfer dieser oder ähnlicher Attacken zu werden? Erwin Preuner gibt einige Tipps, mit denen sie relativ sicher durchs Internet kommen.
Vertrauenswürde Absender nicht vertrauen!
Auch wenn ihnen vermeintlich ein Bekannter ein E-Mail schickt - hier lauert schon die erste Falle. Viele Viren durchstöbern gezielt die E-Mail Adressbücher oder gehackte Kundendatenbanken und erhalten so viele echte Namen aus Ihrem Bekanntenkreis.
Den Absender einer E-Mail zu fälschen ist in etwa so "komplex" wie das fälschen des Absenders einer Postkarte: Es reicht, einfach etwas falsches anzugeben, überprüfen tut dies weder der der Briefkasten noch der E-Mail Server.
Ich hab doch gar nichts bestellt?
Die Bitte der LFW Ludwigsluster Fleisch- und Wurstspezialitäten, doch bitte die Rechnungsanschrift zu ändern oder endlich die Rechnung zu bezahlen können Sie getrost ignorieren.
Wie auch hier werden oft Absender fingiert, um Vertrauen beim Empfänger zu erwecken. Das kann nun die eigene Bank sein, die deutsche Telekom, ein Paketdienst oder - wie im Fall von Locky - eine Fleischhauerei im norddeutschen Ludwigslust.
Der vermeintliche Absender ist dagegen nahezu Machtlos.
Diese Masche nennt sich übrigens "Social Engineering". Dies reicht von vermeintlichen Anwerbungsversuchen attraktiver Damen bis hin zum Hinweis, dass eine Bestellung im Onlineshop aufgrund von Unregelmäßigkeiten storniert wurde und man bitte sein Passwort auf der (fingierten) Website ändern soll. Die Methoden des "Social Engineerings" sind mittlerweile perfektioniert worden, erkannte man diese früher noch anhand auffälliger Fehler im Design oder im Text so wirken manche dieser E-Mails und Websiten absolut authentisch.
Diese Dateianhänge sind tabu!
Wie auch bei Insekten gilt es, sich typische Krankheitsüberträger zu meiden. Insbesondere daher:
- keine Word- oder andere Office-Dokumente, Faxe,
- keine zugesandten Virenscanner oder Viren-Entfernungstools und schon gar
- keine ausführbaren Dateien (.exe, .bat, .js) öffnen!
Im Falle von Office-Dokumenten sollten unbedingt Makros deaktiviert werden! Diese werden nur in seltenen Fällen benötigt können jedoch ein Einfallstor für Viren und Trojaner sein.
Damit leider nicht genug. Etwa durch sogenannte Speicherüberläufe gelingt es Viren, sich in vermeintlich harmlosen Inhalten zu verstecken. Daher gilt bei jeglichen Dokumenten Achtung!
Update: Windows Script Host deaktivieren
Eine rasche aber recht effektive Sofortmaßnahme ist, den sogenannten Windows Script Host zu deaktivieren. Dieses Programm wird nur selten wirklich benötigt, jedoch wird es sehr häufig für Viren und Trojaner missbraucht.
Überprüfen Sie zuerst, ob Ihr PC Betroffen ist:
- Drücken Sie die Tasten [Win] + [R] gleichzeitig
- Geben Sie wscript in das Textfeld neben "Öffnen" ein und klicken Sie auf "OK"
- Erscheint die Fehlermeldung "Der Zugriff auf Windows Script Host wurde für diesen Computer deaktiviert. [..]" ist Ihr Computer zumindest vor diesem Einfallstor bereits geschützt.
Erscheint das Fenster mit dem Titel "Windows Script Host Einstellungen" sollten Sie diesen umgehend deaktivieren!
Deaktiveren Sie den Windows Script Host:
- Laden Sie die Datei windows_script_host_deaktivieren.reg herunter und führen Sie diese aus. Es erscheinen mehrere Sicherheitswarnungen, die Sie akzeptieren können
- Es erscheint die Meldung "Die Schlüssel und Werte von [..]\windows_script_host_deaktivieren.reg wurden erfolgreich in die Registrierung eingetragen"
- Falls dies nicht klappt, müssen Sie den Wert manuell eintragen:
- Drücken Sie die Tasten [Win] + [R] gleichzeitig
- Geben Sie regedit ein und bestätigen Sie mit OK
- Suchen Sie im Baum links nach dem "Ordner" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings
- Klicken Sie in der rechten Fensterhälfte auf die rechte Maustaste und wählen Sie "Neu" => "Zeichenfolge"
- Als "Name" geben Sie "Enabled" ein und in der Spalte "Daten" (Doppelklick) den Wert 0
Führen Sie unbedingt die oben angeführten Schritte durch, um die Deaktivierung zu überprüfen!
Sollten Sie Windows Script Host für bestimmte Antwendungen benötigen können Sie diesen jederzeit wieder aktivieren (einfach Wert 1 anstatt 0 in Schritt 3.5 eingeben).
Virenschutz, Windows und Programme am aktuellen Stand halten
Ein Virenscanner darf heute auf keinem Rechner mehr fehlen, aber dieser, das Betriebssystem (im aktuellen Fall vor allem Windows) und auch die installierten Programme sollten immer mit Updates versorgt werden. Die Herstellet, etwa Microsoft, gehen dabei einen schmalen Grad zwischen Verantwortung und potentieller Verärgerung. Nur all zu oft übersieht man die Aufforderung zum Neustart für ein dringendes Update und der PC ist 15 Minuten mit sich beschäftigt, während Kollegen oder Kunden auf die wichtige Präsentation warten.
Wer sich nicht überraschen lassen will sollte Updates selbst regelmäßig und gezielt abrufen und einspielen.
Abwehrmaßnahmen
Es gibt bereits eine Reihe von Abwehrmaßnahmen. Neben Schutzmechanismen, die Dateiserver auf Linux-Basis vor infizierten Windows-PCs schützt, gibt es auch für Windows PCs bereits eine Beta-Software von Malwarebytes, die jedoch noch nicht gänzlich ausgereift ist.
Backup. Backup. Backup.
Wenn die Vorsichtsmaßnahmen und Schutzprogramme versagt haben - und das kommt vor - gibt es nur eins: Computer formatieren, Backup wiederherstellen.
Nun für letzteres muss man natürlich erst ein Backup erstellt haben. Viele Anwender finden es zu komplex, Backups zu erstellen - was ich durchaus nachvollziehen kann. Dem Erpressern ist dies jedoch egal, daher meine Tipps:
Einzelne Rechner unbedingt mittels externer USB-Festplatte sichern
Diese Festplatten gibt es bereits unter 100 EUR. Backup-Programme sind bei aktuellen Windows-Versionen bereits vorinstalliert, auch die Festplatten-Hersteller packen oft bereits kostenlose Versionen gängiger Backup-Programme dazu.
Bitte beachten:
- Der Festplatten-Anschluss sollte mittels USB 3.0 (schnell, weit verbreitet, günstig) erfolgen.
Noch besser ist ein sogenannter "eSATA" Anschluss, der jedoch weder an PCs noch bei externen Festplatten sehr üblich ist - Klein oder groß?
Es gibt externe Festplatten mit bis zu 2 Terrabyte im sogenannten Mobil oder 2,5" Format (dabei haben die integrierten Scheiben 2,5" also rud 6cm Durchmesser). Diese können meist mit nur einem Kabel am PC betrieben werden.
Externe "Desktop"-Festplatten (3,5") sind aktuell mit Kapazitäten bis zu 8 Terrabyte verfügbar, benötigen zusätzlich zum USB-Anschluss aber meist auch ein Netzteil zur Stromversorgung. - Festplatte vom PC trennen!
Die aktuellen Erpressungstrojaner zeigen, dass auch Festplatten und Netzwerklaufwerke, die mit dem PC verbunden sind, vor diesem nicht geschützt sind. - Den infizierten PC ja nicht an das Backup-Laufwerk lassen!
Unternehmen: Effiziennte Storage- und Backup-Lösungen
Auch Firmen sind nicht per se vor Attacken geschützt. Hier gilt, zentrale Speichermöglichkeiten für Dokumente, Datenbanken und E-Mails zu schaffen und diese wiederum effizient zu sichern. Je weniger Daten auf den PCs der Mitarbeiter oder Laptops liegen, desto höher die Chance, dass ein zentrales Backup alle unternehmenswichtigen Daten erfasst.
Für kleinere Unternehmen gibt es bereits Lösungen um unter 1.000 EUR, die weitgehend automatisiert Sicherungen erstellen. Auch "Cloud"-Lösungen, bei denen die Daten in einem externen Rechenzentrum gesichert werden, sind für den Unternehmenseinsatz sehr gut geeignet.
Was tun, wenns passiert ist?
Hat man sich bereits infiziert gilt, wie bei anderen Infektionen auch:
- Isolieren - Stecker ziehen, Netzwerke trennen!
- Am besten nur noch eine Fachkraft an den PC lassen!
- Ist ein Backup vorhanden den PC neu formatieren und neu aufsetzen lassen
Gibt es kein Backup so hilft oft nur, die geforderte Summe zu zahlen oder darauf zu warten, dass eine Schwachstelle in der Verschlüsselung bekannt wird und die Daten so - vielleicht erst in Monaten oder Jahren - entschlüsselt werden können. Auch die Zahlung der Summe garantiert nicht, dass die Daten tatsächlich entschlüsselt werden können. Geld-zurück Garantie gibt es bei Betrügern nicht.
Professionelle Hilfe bieten Ihnen etwa die WIFF-Mitglieder.
UPDATE vom 27. Juni 2016
Nachdem die Infektionsrate kontinuierlich zurück gegangen ist kommt es in den letzten Tagen wieder verstärkt zu Infektionen - auch Firmen in Frankenburg sind bereits davon betroffen!
Wenn Sie Fragen zum Thema PC-Sicherheit haben können Sie uns einfach über den Link "Kontakt" eine Nachricht hinterlassen!