Ransomware wannacry – wie schützen?

Erstellt von Stegemann | unter Aktuell | am 15-05-2017

0

Schutz vor Kryptotrojanern und Ransomware

Am Wochenende ging es weltweit durch die Presse: Die Ransomware wannacry bzw. wannacrypt hat überall auf der Welt PC-Systeme verschlüsselt. Nach Angaben von Europol sind bisher in mindestens 150 Ländern mehr als 200.000 Betroffene gezählt worden. Laut Spiegel Online sind darunter Unternehmen wie die Deutsche Bahn, FedEx und Renault, aber auch Krankenhäuser haben aufgrund blockierter Computer darum gebeten, nur in wirklichen Notfällen zu kommen.

Das zeigt zwei Probleme auf: Veraltete Systeme und fehlende Schutzmaßnahmen.

Die IT bzw. Software in vielen Unternehmen ist veraltet: Gerade in Spezialumgebungen wird häufig immer noch Windows XP eingesetzt, welches dieser Attacke völlig schutzlos ausgeliefert war. Häufig sind es Insellösungen wie die Terminalanzeigen, Kinoprogrammtafeln und Bankautomaten, aber auch Produktionsumgebungen in der Industrie, Rechner mit Steuerungssoftware für die Produktion, welche aus Kostengründen nicht aktualisiert werden. Manchmal ist es auch einfach nur der Mangel an Programmierern, die hier noch Knowhow haben und die Migration der Systeme nicht schnell genug durchführen können.

Der zweite Aspekt sind fehlende Schutzmaßnahmen: Der Einsatz von Firewalls wird oft vernachlässigt. Sehr häufig ist lediglich ein Standardrouter im Einsatz, welcher kaum bzw. nicht ausreichend Schutz bietet. Um vor solchen Angriffen zumindest nicht vollkommen schutzlos zu stehen, benötigt man eine Firewall, die aktiv die Datenströme analysiert und blockiert. Natürlich ist das mit zusätzlichen Kosten und Mehraufwand verbunden, ist aber eine unumgängliche Maßnahme, wenn man mit Computern im Unternehmen arbeitet. Ein Standardrouter kostet zwischen 60 und 190 Euro und wird häufig noch vom DSL-Anbieter subventioniert und geliefert. Eine Firewall benötigt mehr Leistung (schnellere Prozessoren und mehr Arbeitsspeicher), damit die Datenströme analysiert werden können. Diese muss an die Anzahl der Mitarbeiter angepasst werden. Dazu kommen je nach Hersteller noch Pflegegebühren für die Updates (Virensignaturen, Blacklists…), welche eine Firewall schnell das doppelte eines Routers kosten lassen. Das schreckt Entscheider häufig ab und es kommt zu der fatalen Fehlentscheidung hier Geld zu sparen.

Standardmäßig sollten Sicherheitsupdates auf PC, Servern und MAC eingespielt werden. Diese Updates schließen i.d.R. Sicherheitslücken, Schwachstellen und sind nicht nur für mehr Komfort und „Benutzererlebnis“ zuständig. Microsoft hat am 14. März dieses Jahres ein Sicherheitsupdate veröffentlicht, welches die Schwachstelle (ETERNALBLUE oder MS17-010) schließt, die Wannacry ausnutzt (https://technet.microsoft.com/en-us/library/security/ms17-010.aspx).

Seit einigen Monaten warnen wir auch in Vorträgen vor Kryptotrojanern (Cryptotrojaner, Verschlüsselungstrojaner) wie Wannacry und versuchen hier zu sensibilisieren und aufzuklären. Gerne unterstützen wir auch Sie bei der Prävention, beim Schutz durch Firewalls, Spamfilter und Mailanalysesoftware, sowie bei der Einrichtung von Backupmaßnahmen, die im Fall der Fälle die verschlüsselten Daten wiederherstellen können. Wir haben Erfahrung bei der Umsetzung von Schutzmaßnahmen und dem Schutz der Backupsysteme. Gerne beraten wir Sie vor Ort in der Metropolregion Rhein-Neckar, Mannheim, Heidelberg und Viernheim. Unsere Kunden unter anderem in Frankfurt, Gießen, Rastatt Karlsruhe und Sinsheim vertrauen bereits auf die Unterstützung durch die CNS GmbH – Ihrem Systemhaus aus Walldorf. Wir freuen uns auf Ihren Anruf!

 

Vom Kryptotrojaner wannacrypt haben wir zum Glück noch keinen Screenshot machen können.

Vom Kryptotrojaner wannacrypt haben wir zum Glück noch keinen Screenshot machen können.

Schützen Sie Ihren Server vor Ransomware

Erstellt von Stegemann | unter Aktuell, Aus unserer Technik | am 04-03-2016

0

Wer nur ein wenig mit offenen Augen durch das Web surft oder die Zeitung liest, hat es schon mitbekommen: Weltweit kommt es teilweise zu erheblichen Problemen aufgrund von verschlüsselten Dateien. Die Ransomware „Locky“ ist in Deutschland besonders aktiv und auch wir haben bei unseren Kunden schon mit ihm zu tun gehabt.

Da die Trojaner meist von einem Client aus beginnen Dateien zu verschlüsseln, bringt daher selbst ein gutes Antivirusprogramm auf dem FileServer direkt sehr wenig. Jedoch gibt es eine Lösung, um den Schaden, die die Trojaner anrichten, in Grenzen zu halten: Der „Ressourcen-Manager für Dateiserver“. Dieser muss eventuell vorher noch installiert werden.

Was macht dieser Ressourcen-Manager? Mit ihm kann man festlegen, was passiert, wenn eine der bekannten Dateien (Dateiname, Dateityp…) erstellt wird. So lässt sich beispielsweise das Recht entziehen, Dateien zu speichern, die von dem Trojaner erstellt werden. Das führt dazu, dass der Trojaner verschlüsselt, aber diese Dateien nicht speichern kann. Falls versucht wird eine Datei mit den eingefügten Endungen zu speichern, wird eine „Zugriff verweigert“-Meldung angezeigt.

 

Screenshot vom Ressourcenmanager

Screenshot vom Ressourcenmanager

 

Jedoch kann man nicht sicher sein, ob der Trojaner dann die Datei nicht löscht, anstatt sie zu verschlüsseln. Im schlechtesten Fall hat man dann ohne Backup nicht einmal mehr die verschlüsselten Dateien. Daher empfehlen wir eine automatisierte Benachrichtigung des Administrators oder ein herunterfahren des Servers. Deshalb gibt es die Möglichkeit den Dienst, der die Freigabe bereitstellt, zu beenden oder den Server herunterzufahren.

Um den Schutz aufrecht zu erhalten, muss die Liste der Dateiendungen der Trojaner ständig aktualisiert werden. Es können nur Dateien geblockt werden, die der Dienst kennt. Wir unterstützen bundesweit Unternehmen rund um die IT und helfen unseren Kunden vor allem in der Metropolregion Rhein-Neckar bei der Einrichtung, Wartung und Pflege ihrer EDV. In diesem Zusammenhang möchten wir darauf hinweisen, dass ein professionelles, regelmäßiges Backup enorm wichtig ist. Wir helfen unseren Kunden bei der Backuperstellung, dem Monitoring und dem Backup ins Rechenzentrum. Damit kann auf die Daten zurückgegriffen werden, auch wenn Locky bereits aktiv wurde.

Sie benötigen Unterstützung, oder wollen einfach nur wissen, ob Ihr Backup wirklich läuft? Kontaktieren Sie uns! Wir helfen Ihnen gerne!