Fünf erste Schritte bei Ransomware-Attacken

17. Dezember, 2019

Spätestens mit WannaCry und NotPetya im Jahr 2017 wurde Ransomware weitreichend bekannt. Die sogenannten „Erpressungstrojaner“, die Daten verschlüsseln und teilweise hohe Lösegelder in Kryptowährung fordern, haben sowohl bei Privatpersonen, als auch im Unternehmens- und öffentlichen Bereich hohe Schäden verursacht.

Die Angriffe erfolgen über verschiedene Kanäle, oft über E-Mails. Ausgenutzt werden gerne aktuelle Schwachstellen, die überraschte Opfer vor vollendete Tatsachen stellen: Die Daten sind plötzlich verschlüsselt und sollen nur gegen Lösegeld wieder freigeben werden. Aber stimmt das wirklich? Gibt es andere Wege, an die verlorenen Dateien zu kommen, und werden diese nach Bezahlung tatsächlich entschlüsselt?

Während Behörden generell davon abraten das Lösegeld zu bezahlen, um die BetrügerInnen nicht weiter zu ermutigen, werden trotzdem jährlich Millionen Dollar an Cyberkriminelle überwiesen. Bevor Sie als Betroffener darüber nachdenken, eine solche Forderung zu erfüllen, stellen Sie sich bitte folgende fünf Fragen:

1) Welche Infektion liegt genau vor?

Erpressertrojaner existieren in vielen verschiedenen Varianten. Wenn Sie Glück im Unglück haben, sind Sie nur von einem oberflächlichen „Screenlocker“ betroffen, der nicht die Daten, sondern nur den Zugriff auf Ihr System sperrt. Von manchen, meist schon etwas älteren Varianten existieren Anti-Ransomware-Tools und Decryptoren, mit denen sich die Verschlüsselung oft wieder rückgängig machen lässt. Ziehen Sie also ExpertInnen hinzu, um diese Möglichkeit zu überprüfen.

Zusatztipp: Sichern Sie vor jeder Aktion oder auch einem Wiederherstellungsversuch das gesamte System im betroffenen Ursprungszustand möglichst vollständig, z.B. auf eine externe Festplatte. Auch eine Wiederherstellung kann fehlschlagen – und so können Sie mehrere Versuche starten.

2) Gibt es (alternative) Wiederherstellungsmöglichkeiten?

Die beste Möglichkeit zur Rettung verlorener Daten besteht in einem validen, aktuellen Backup auf externen Medien. Daneben können z.B. auch Cloud-Dienste wie Google Drive, Dropbox oder Microsoft Onedrive genutzt werden. Durch Versionierung können diese Services helfen, wichtige Daten wiederherzustellen – vergessen Sie also nicht, auch dort nachzuprüfen, ob Daten noch zu retten sind.

Falls Sie diesen Artikel lesen, ohne betroffen zu sein: Sichern Sie Ihre Daten regelmäßig auf ein externes Medium, das Sie danach wieder vom System trennen!

3) Können Sie auf Zeit spielen und noch warten?

Es mag schmerzhaft sein, aber können Sie den Verlust der Daten vielleicht doch verkraften? Denn auch wenn Sie das Lösegeld bezahlen: Eine Garantie, dass die Wiederherstellung einwandfrei funktioniert, gibt es nicht. Im schlimmsten Fall bezahlen Sie umsonst, und die Daten bleiben trotzdem verloren. Mit etwas Glück wird in naher Zukunft eine Möglichkeit zur Entschlüsselung bzw. ein passendes Decyrptor-Tool veröffentlicht.

Auch hier gilt: Bevor Sie das System verändern und etwas ausprobieren, führen Sie auf jeden Fall eine Komplett-Sicherung durch.

4) Wird die Zahlung des Lösegeldes wirklich etwas nützen?

Wenn Sie das Lösegeld bezahlen, sollten Sie die Schlüssel zur Wiederherstellung der Daten bekommen. Das ist ein Grundprinzip dieser Art von Schadsoftware, sonst würde niemand mehr daran denken, das Lösegeld zu bezahlen. Aber es gibt auch Fälle, in denen das nicht funktioniert. Es kann eine Version der Software sein, die Fehler enthält oder weitaus mehr zusätzliche Wiederherstellungsmaßnahmen erfordert, welche die Zahlung des Lösegeldes fast wertlos macht. Spielen Sie ein wenig auf Zeit und warten Sie Erfahrungsberichte anderer Betroffener ab, um Ihre Chancen besser einschätzen zu können.

5) Haben Sie eine Versicherung, die die Zahlung des Lösegelds übernimmt?

Manche Versicherungen decken Lösegeld-Forderungen in Fällen, die durch Cyberkriminalität ausgelöst wurden, ab. Bei Vertragsabschluss sollten die Bedingungen genau abgeklärt werden. Typische Einschränkungen könnten z.B. der Ausschluss von Social Engineering oder auch nur ein reduzierter Ersatz der Schadenssumme sein. Die Existenz einer solchen Versicherung sollte ebenso wie die Höhe der gedeckten Schadenssumme streng vertraulich behandelt werden, um keine unerwünschte Aufmerksamkeit bei Kriminellen zu wecken.

Die endgültige Entscheidung, auf eine Lösegeldforderung einzugehen, sollte gut überlegt sein. Auch wenn Sie unter Druck stehen: Warten Sie im Fall des Falles einen Moment (oder auch einen Tag) ab, bis Sie den ersten Schreck verdaut haben und eine sachliche Entscheidung treffen können.

Vielleicht scheint die Zahlung des Lösegeldes auf den ersten Blick der einfachste und schnellste Ausweg zu sein. Doch es gibt keine Erfolgsgarantie. Investieren Sie jetzt gleich in ein gutes Backup, das hilft am wirksamsten gegen diese und viele andere mögliche Probleme!

Linktipps:

Experten-Tipps für eine gute Backup-Routine

Schutz vor Ransomware, Spam und gezielten Angriffen

Red Teams, Blue Teams, Purple Teaming

MSSP of the Year 2024

SIEM

Was ist ein SIEM?

Nozomi Guardian Air
HarfangLab Guard
MITRE ATT&CK Framework
v.l.n.r.: Joe Pichlmayr (CEO IKARUS) – Anouck Teiller (CSO HarfangLab) –Alexander van der Bellen (Bundespräsident Österreich) - Frédéric Joureau (Erster Botschaftsrat der französischen Botschaft in Wien) – Christian Fritz (COO IKARUS)
EDR
Cyber Kill Chain
Business Email Compromise
Prognosen für die zehn größten Cybersecurity-Bedrohungen für 2030
E-Mail Verschlüsselung
Schritt für Schritt zum Notfallplan für IT-Security-Incidents
Account Management
Bedrohung

WIR FREUEN UNS AUF SIE!

IKARUS Security Software GmbH
Blechturmgasse 11
1050 Wien

Telefon: +43 1 58995-0
Sales Hotline: +43 1 58995-500
sales@ikarus.at

SUPPORT-HOTLINE:

Support-Infoseite

Support-Hotline:
+43 1 58995-400
support@ikarus.at

Support-Zeiten:
Mo bis Do: 8.00 – 17.00 Uhr
Fr: 8.00 – 15.00 Uhr
24/7 Support nach Vereinbarung

Fernwartung:
AnyDesk Download