Die Masche der Kriminellen
Die Computer von Unternehmen und Privatleuten sind gleichermaßen von einem neuen Angriffstyp bedroht: Ransomware. Ransom ist englisch und bedeutet „Lösegeld“, Ransomware ist der Überbegriff für eine kriminelle Betrugsmasche, die man recht frei als „Erpressungssoftware“ oder „Verschlüsselungstrojaner“ übersetzen kann.
Lösegeld wofür? Für die eigenen Dateien!
Ransomware kommt üblicherweise per E-Mail und wird von seinen Urhebern gern als Rechnung, Kontoauszug oder Mitteilung eines Paketdienstes getarnt. Der Empfänger wird z.B. mit einer wahnwitzig hohen Telefonrechnung konfrontiert und zum Öffnen des Anhanges aufgefordert. Der Anhang ist dann entweder gleich die Erpressungssoftware oder ein Skript, das die Ransomware aus dem Internet nachlädt und ausführt.
Zur Zeit ist es oftmals eine Ransomware namens TeslaCrypt, ebenfalls häufig anzutreffende Versionen von Ransomware sind Cryptolocker und CryptoWall. Im Prinzip funktionieren sie alle gleich, sobald sie vom ahnungslosen Anwender geöffnet werden:
- der Verschlüsselungstrojaner sucht nach allen vom Anwender selbst gespeicherten Dateien, vor allem nach typischen Microsoft Office Dokumenten, Fotos und Videos
- die gefundenen Dateien werden verschlüsselt und die originalen, unverschlüsselten Dateien gelöscht und mehrfach überschrieben
- der Code für die Entschlüsselung wird an die Erpresser via Internet gesendet
- der Bildschirm wird von der Ransomware gesperrt und dem verdutzten Anwender wird mitgeteilt, dass seine Daten nun verschlüsselt wurden und er nie wieder an sie gelangt, wenn er nicht via Bitcoin eine anonyme Zahlung von ~ 500 Euro an die Kriminellen leistet
Jetzt kommt der Moment, an dem man verzweifelt, wütend und traurig werden darf.
Das Video mit den ersten Schritten seines Kindes: verschlüsselt.
Die digitalen Fotos der eigenen Hochzeit: verschlüsselt.
Die Bachelorarbeit, in die vier Monate Freizeit gesteckt wurden: verschlüsselt.
Sie werden auf keine dieser Dateien mehr zugreifen können, praktisch sind diese unwiederbringlichen Erinnerungen erst einmal weg. Nun die Gretchenfrage: das Lösegeld zahlen oder nicht? Kann man diesen Verbrechern 500 Euro in der Hoffnung schicken, anschließend von ihnen den Code für die Entschlüsselung zu erhalten? Das amerikanische FBI sagt „Ja, wenn Sie die Dateien zurück wollen, kommen Sie um eine Zahlung nicht herum“. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sagt „Nein, das Geld ist dann weg“. Meine Empfehlung dazu: „Nicht zahlen, abwarten und eine neue Festplatte kaufen.“ Doch später mehr dazu.
Schutz vor Ransomware
Zu den besten Schutzmöglichkeiten gegen Cryptolocker und Co. zählen die Basics gegen digitale Bedrohungen:
- ein Virenscanner, der regelmäßig aktualisiert wird
- regelmäßige Aktualisierungen und Patches des Windows Betriebssystems
Und mit Aktualisierung meine ich, sich endlich von Windows XP zu trennen. Das aktuelle Windows Betriebssystem ist Windows 10! - Mißtrauen gegenüber unverlangt zugesandten E-Mails und ihren Anhängen
Wenn Sie per E-Mail einen angeblichen Kontoauszug der Sparkassse erhalten, selbst aber Kunde der Volksbank sind, sollten Sie eine solche E-Mail gleich löschen - der beste Schutz gegen eine Erpressung durch Ransomware, Diebstahl, Feuer und den Ausfall der Festplatte ist eine funktionierende Datensicherung
Datensicherung
Nur wenn Sie eine Kopie ihrer wichtigsten Daten als Datensicherung haben, sind Sie vor den Konsequenzen einer Verschlüsselung durch Ransomware geschützt. Aber nicht nur Ransomware, auch andere Schadsoftware kann ihre Daten löschen, verändern oder infizieren. Für eine Datensicherung bietet sich eine Doppelstrategie an: sowohl in der Cloud (Dropbox, iCloud, OneDrive und andere) als auch auf einer lokalen USB Festplatte. Einzelne Dokumente, die besonders wichtig oder arbeitsintensiv sind, kann man auch guten Freunden per E-Mail senden, das habe ich in einem früheren Blogeintrag schon einmal beschrieben. Warum eine Doppelstrategie? Dienste wie Microsoft OneDrive synchronisieren die Dateien eines Ordners. Was passiert nun, wenn TeslaCrypt die Daten genau dieses Ordners verschlüsselt? Genau, die verschlüsselten Daten werden dann ins OneDrive synchronisiert, während die Ransomware sich den Rest der Festplatte vornimmt….Der große Vorteil der Sicherung in der Cloud ist der Schutz vor Feuer und Diebstahl der ganzen Festplatte.
Für die Sicherung auf eine separate USB Festplatte:
- externe USB Festplatte mit dem PC oder Notebook verbinden
- alle wichtigen Daten rüberkopieren oder die Windows Sicherung nutzen
- während dieser Zeit nicht mit dem Computer arbeiten, also am besten die Datensicherung am Abend oder in der Mittagspause starten
- das Kabel abziehen und somit die externe Festplatte vom PC trennen
Dieser letzte Punkt ist extrem wichtig! Die aktuelle Ransomware, sei es nun TeslaCrypt oder CryptoLocker, greift auf alle beschreibbaren Datenträger zu. Wenn Sie die externe Festplatte mit dem infizierten PC verbunden lassen, wird auch ihre Datensicherung verschlüsselt!
Auch auf Netzlaufwerke greift Ransomware zu und besonders dieser Punkt macht sie für Unternehmen so gefährlich: eine ganze Abteilung arbeitet mit Dokumenten auf einem Dateiserver und ein einziger, unvorsichtiger Angestellter verschlüsselt von seinem Computer aus die gespeicherten Dokumente seiner hundert Kollegen über das Netzwerk gleich mit.
Zu spät….
Es ist zu spät. Die angebliche Rechnung von Amazon hat sich als TeslaCrypt Ransomware entpuppt und verschlüsselt nun ihre Daten. Wenn Sie dies mitbekommen, weil plötzlich Dokumente vor ihren Augen ihre Dateiendung ändern (.micro) und nicht mehr zu öffnen sind, hilft nur die sofortige Trennung vom Strom:
- bei einem PC den Netzstecker ziehen
- ein Notebook sollten Sie gleich zuklappen und im laufenden Betrieb den Akku rausnehmen
- wird gerade ein Dateiserver von einem Client aus verschlüsselt, trennen Sie den Server vom Netzwerk
Mit hoher Wahrscheinlichkeit wird eine laufende Verschlüsselung ihrer Daten das Herunterfahren verzögern und weitere Daten verschlüsseln. Lassen Sie das Gerät ausgeschaltet und rufen Sie einen Profi oder bauen Sie selbst die Festplatte aus und schließen Sie an einem anderen PC an.
Sollte der Verschlüsselungstrojaner sein Werk vollendet haben und alle Daten sind verschlüsselt, wird normalerweise der Bildschirm gesperrt und Sie erhalten die Aufforderung, eine gewisse Summe in Bitcoin an diese Kriminellen zu überweisen. Dies ist nun die Stunde der Datensicherung- Windows neu installieren, gesicherte Daten zurück kopieren. Haben Sie keine Datensicherung, dürfen Sie jetzt verzweifeln- siehe oben. In diesem Moment sind ihre Daten weg und selbst ein IT-Forensiker kann ihnen jetzt nicht mehr weiterhelfen, weil die originalen Daten mehrfach überschrieben wurden. Solche Aufträge nehme ich auch nicht an, weil es bedeuten würde, dem Kunden sinnfrei Geld aus der Tasche zu ziehen.
Dennoch ist nicht alles verloren, es gibt durchaus noch die Chance, dass Sie ihre Digitalfotos der letzten 10 Jahre doch noch wiederbekommen:
- das amerikanische FBI ist recht erfolgreich im Kampf gegen diese Kriminellen
Sobald eine Gruppe dieser Erpresser festgenommen wurde, werden die Codes zur Entschlüsselung in aller Regel kurz danach veröffentlicht - nicht jeder Erpresser ist auch ein guter Programmierer und einige Verschlüsselungsalgorithmen wurden fehlerhaft programmiert (symmetrische Verschlüsselung statt dem angeblichen RSA Key)
Unternehmen wie Cisco stellen eine Webseite zur Entschlüsselung bereit
Wichtig ist, die alte (verschlüsselte) Festplatte zur Seite zu legen und auf gar keinen Fall darauf eine Neuinstallation durchzuführen, sonst würden die verschlüsselten Daten überschrieben und endgültig vernichtet werden . Ab jetzt brauchen Sie einfach nur Glück- wenn Sie keine Datensicherung haben.
Falls Sie Interesse an weiteren Details zum Thema Ransomware haben, empfehle ich Ihnen von Symantec das Whitepaper „The evolution of ransomware“.
Nachtrag: Heise hat einen Artikel über ein amerikanisches Krankenhaus veröffentlicht, dass für die Entschlüsselung seiner Daten umgerechnet 15.000 Euro Lösegeld gezahlt hat.