Ransomware wannacry – wie schützen?

Erstellt von Stegemann | unter Aktuell | am 15-05-2017

0

Schutz vor Kryptotrojanern und Ransomware

Am Wochenende ging es weltweit durch die Presse: Die Ransomware wannacry bzw. wannacrypt hat überall auf der Welt PC-Systeme verschlüsselt. Nach Angaben von Europol sind bisher in mindestens 150 Ländern mehr als 200.000 Betroffene gezählt worden. Laut Spiegel Online sind darunter Unternehmen wie die Deutsche Bahn, FedEx und Renault, aber auch Krankenhäuser haben aufgrund blockierter Computer darum gebeten, nur in wirklichen Notfällen zu kommen.

Das zeigt zwei Probleme auf: Veraltete Systeme und fehlende Schutzmaßnahmen.

Die IT bzw. Software in vielen Unternehmen ist veraltet: Gerade in Spezialumgebungen wird häufig immer noch Windows XP eingesetzt, welches dieser Attacke völlig schutzlos ausgeliefert war. Häufig sind es Insellösungen wie die Terminalanzeigen, Kinoprogrammtafeln und Bankautomaten, aber auch Produktionsumgebungen in der Industrie, Rechner mit Steuerungssoftware für die Produktion, welche aus Kostengründen nicht aktualisiert werden. Manchmal ist es auch einfach nur der Mangel an Programmierern, die hier noch Knowhow haben und die Migration der Systeme nicht schnell genug durchführen können.

Der zweite Aspekt sind fehlende Schutzmaßnahmen: Der Einsatz von Firewalls wird oft vernachlässigt. Sehr häufig ist lediglich ein Standardrouter im Einsatz, welcher kaum bzw. nicht ausreichend Schutz bietet. Um vor solchen Angriffen zumindest nicht vollkommen schutzlos zu stehen, benötigt man eine Firewall, die aktiv die Datenströme analysiert und blockiert. Natürlich ist das mit zusätzlichen Kosten und Mehraufwand verbunden, ist aber eine unumgängliche Maßnahme, wenn man mit Computern im Unternehmen arbeitet. Ein Standardrouter kostet zwischen 60 und 190 Euro und wird häufig noch vom DSL-Anbieter subventioniert und geliefert. Eine Firewall benötigt mehr Leistung (schnellere Prozessoren und mehr Arbeitsspeicher), damit die Datenströme analysiert werden können. Diese muss an die Anzahl der Mitarbeiter angepasst werden. Dazu kommen je nach Hersteller noch Pflegegebühren für die Updates (Virensignaturen, Blacklists…), welche eine Firewall schnell das doppelte eines Routers kosten lassen. Das schreckt Entscheider häufig ab und es kommt zu der fatalen Fehlentscheidung hier Geld zu sparen.

Standardmäßig sollten Sicherheitsupdates auf PC, Servern und MAC eingespielt werden. Diese Updates schließen i.d.R. Sicherheitslücken, Schwachstellen und sind nicht nur für mehr Komfort und „Benutzererlebnis“ zuständig. Microsoft hat am 14. März dieses Jahres ein Sicherheitsupdate veröffentlicht, welches die Schwachstelle (ETERNALBLUE oder MS17-010) schließt, die Wannacry ausnutzt (https://technet.microsoft.com/en-us/library/security/ms17-010.aspx).

Seit einigen Monaten warnen wir auch in Vorträgen vor Kryptotrojanern (Cryptotrojaner, Verschlüsselungstrojaner) wie Wannacry und versuchen hier zu sensibilisieren und aufzuklären. Gerne unterstützen wir auch Sie bei der Prävention, beim Schutz durch Firewalls, Spamfilter und Mailanalysesoftware, sowie bei der Einrichtung von Backupmaßnahmen, die im Fall der Fälle die verschlüsselten Daten wiederherstellen können. Wir haben Erfahrung bei der Umsetzung von Schutzmaßnahmen und dem Schutz der Backupsysteme. Gerne beraten wir Sie vor Ort in der Metropolregion Rhein-Neckar, Mannheim, Heidelberg und Viernheim. Unsere Kunden unter anderem in Frankfurt, Gießen, Rastatt Karlsruhe und Sinsheim vertrauen bereits auf die Unterstützung durch die CNS GmbH – Ihrem Systemhaus aus Walldorf. Wir freuen uns auf Ihren Anruf!

 

Vom Kryptotrojaner wannacrypt haben wir zum Glück noch keinen Screenshot machen können.

Vom Kryptotrojaner wannacrypt haben wir zum Glück noch keinen Screenshot machen können.

Neuer Cryptotrojaner “Goldeneye”

Erstellt von Stegemann | unter Aktuell, Aus unserer Technik | am 09-12-2016

0

Schadsoftware verbreitet sich rasant!

Die häufigste Verbreitungsart von Cryptotrojanern sind E-Mails. So auch bei dem sich aktuell stark verbreitenden Trojaner “Goldeneye”. Dieser wird als Bewerbung getarnt verschickt und teilweise vom Inhalt her auf die Stellenausschreibungen der Unternehmen angepasst, damit er wie eine echte Bewerbung wirkt. Auch E-Mail-Adressen, die nicht öffentlich bekannt sind, können von dieser Methode betroffen sein. Die Ransomware versteckt sich hinter dem Namen “Bewerbung.xls” – also einer Exceltabelle, die angeblich das Kompetenzprofil enthalten soll.

Mail

Die E-Mail ist in korrektem deutsch verfasst und hat im Anhang eine PDF-und eine Excel-Datei. Die PDF ist ungefährlich, jedoch sollte man die Excel-Datei nicht öffnen, da sich darin die Ransomware befindet. Beim Öffnen der Datei wird man aufgefordert, die Bearbeitungsfunktion (Makros) zu aktivieren. Sollte man der Aufforderung Folge leisten, infiziert Goldeneye den Computer und beginnt unbemerkt mit der Verschlüsselung. Nach einem eigenständigen Neustart des PC, gibt dieser vor die Festplatte zu überprüfen – stattdessen wird die Festplatte von dem Trojaner verschlüsselt und die Dateien sind verloren. Den Trojaner findet man in Form zweier EXE-Dateien (Programme) auf dem PC.

Exceldatei

Wie kann man sich schützen?

 

  • Makros in Office deaktivieren
  • Backup der Daten regelmäßig durchführen und überprüfen lassen
  • Keine Mail mit Excel-Anhang öffnen
  • Aktuelles Anti-Virus Programm (wird leider nicht immer erkannt)
  • Vorsicht bei Initiativbewerbungen, gegebenenfalls den Absender bitten, die E-Mail nochmals ohne Excel-Datei zu senden

Wir haben bereits mehrere Fälle in Bearbeitung, wo die Datei trotz Warnung in den Medien geöffnet wurde. Daher möchten wir an dieser Stelle noch einmal explizit darauf hinweisen, dass keine Dateien geöffnet werden dürfen, bei denen die Herkunft nicht zu 100% sicher ist. Im Zweifel den Absender / die Absenderin anrufen.

In dem Fall einer Infektion kann man zum Beispiel den Trojaner mit dem Tool von eset oder hitman.pro entfernen, welche unter folgenden Adressen herunterzuladen sind:

 

https://www.eset.com/de/home/products/online-scanner/

Hier reicht es „prüfen“ anzuklicken – es ist keine Testversion notwendig

alternativ dazu auch hierüber der „hitman.pro“

https://www.botfrei.de/de/eucleaner/hitmanpro.html

hitmanpro-pc

Diese Programme entfernen lediglich die Schadsoftware – eine Entschlüsselung ist momentan noch nicht möglich. Daher kann man die Daten nur aus einem Backup wiederherstellen. Achten Sie unbedingt auf ein funktionierendes Backup! Dies ist im Moment die einzige Lösung, wenn die Dateien verschlüsselt wurden!

Sie glauben, dass Sie betroffen sind? Sie benötigen Beratung zum Thema Backup oder IT-Sicherheit? Rufen Sie uns an – wir beraten Sie gerne! Unsere Kunden rund um Mannheim, Karlsruhe, Sinsheim, Heilbronn und Heidelberg vertrauen bereits auf unser Knowhow und lassen Ihre EDV von uns betreuen. Das Team der CNS GmbH ist unter 06227 – 8398680 für Sie da!