WeBLOG
Schutz vor Ransom-Verschlüsselungs-Trojaner (20.02.2016)
Derzeit kursieren "Locky" (spricht auch Deutsch) oder "TeslaCrypt", sog. Verschlüsselungs-Trojaner (Ransomware), die die Vorgänger Cryptolocker & Co. abgelöst haben. I.d.R. kommen diese Trojaner per eMail-Anhang oder eMail-Link von vermeintlich sicheren Absendern oder die eMail-Empfänger gehören einem bekannten Kreis an (Stichwort Mail-Spoofing über eMail-Adresshandel), weshalb der unvorsichtige Empfänger schnell zum Klick verleitet wird. Auch ist die Verbreitung über Exploit-Kits wie z.B. Neutrino üblich. Hierbei wird versucht, Sicherheitslücken im Browser oder Browser-(Flash-)Plug-ins auszunutzen, um entsprechende Malware über manipulierte Webseiten zu platzieren.

Anschliessend werden Dateien auf dem Rechner und erreichbaren Verzeichnissen im Netzwerk und in der Cloud meist unwiederbringlich verschlüsselt. Die Zahlung des geforderten Betrages an die Erpresser führt i.d.R. ins Leere.

Wie kann man sich - über den Einsatz von Hirn 2.0 (gesunder Menschenverstand, der beste Virenscanner) hinaus - davor schützen? Wir geben nachfolgend ein paar profunde Tipps:
  • Wir haben es schon erwähnt: Zuerst nachdenken, dann klicken! Bestehen nur geringste Zweifel an der Vertrauenswürdigkeit einer Quelle, Finger weg. Insbesondere Rechnungs-Mails mit Office-Anhängen (vermeintliche Word- bzw. Exceldateien) oder Tracking-Links von Versanddiensten ist besondere Beachtung zu schenken. Des weiteren kursieren eMails von der eigenen Domain, beispielsweise "scanner@ihredomain.tld" mit einem vermeintlich gescannten Dokument...

    Durchaus können es aber auch plausible eMails sein, lieber einmal zu wenig als einmal zu viel klicken (siehe Mail-Spoofing am Bsp. von Yahoo).

  • Aktuell kursieren sog. Makroviren, d.h. konfigurieren Sie Microsoft-Office diesbzgl. so, dass kein Makrocode zugelassen bzw. nur auf Nachfrage ausgeführt wird. Z.B. "arbeitet" der Ransom-Trojaner "Locky" u.a. per Makrocode (aber er kann auch anders). Excel- oder Word-Anhänge haben im eMail-Verkehr eigentlich nichts zu suchen. Erhalten Sie von einer Firma eine ERWARTETE Rechnung in einem Office-Format, öffnen Sie diese nicht und fordern stattdessen eine PDF-Datei an. Erwarten Sie keine Rechnung, eMail sofort löschen.

    Office-Einstellungen zu Makros sind zu finden unter den Optionen. Dort "Einstellungen für das Trust Center" respektive "Einstellungen für das Sicherheitscenter" und "Einstellungen für Makros" bzw. "Makroeinstellungen":


  • Evtl. sollte in Erwägung gezogen werden, den Windows Script Host (COM-basierte Laufzeitumgebung für Script-Sprachen) zu deaktivieren. Dazu können Sie HIER zwei Registry-Import-Dateien herunterladen, welche den WSH einfach deaktivieren und aktivieren können. Ansonsten wäre folgender Eintrag in der Registry zu tätigen:

    Schlüssel-Pfad:
    HKEY_LOCAL_MACHINE-->SOFTWARE-->Microsoft-->Windows Script Host-->Settings
    REG_SZ-Zeichenfolge:
    "Enabled"="0"

    Die 1 zu "Enabled" bedeutet aktiviert und die "0" deaktiviert.

  • Lassen Sie JavaScript im Browser nur bei vertrauenswürdigen Webseiten zu und aktivieren JS nicht grundsätzlich! Ransom32 "arbeitet" z.B. per JavaScript...Für den Browser Firefox gibt es das sehr sinnvolle AddOn "NoScript", welches darüber hinaus auch wunderbar Einblick gibt, welche Webseite was wohin schickt...

    Das hilft allerdings nichts, wenn die JS-Datei per eMail ins Haus flattert, siehe Kommentar weiter unten.

  • Befolgen Sie DIESE grundsätzlichen Sicherheits-MASSNAHMEN penibel!

  • Lassen Sie sich Dateiendungen anzeigen! Windows blendet diese per default bei bekannten Dateitypen aus, was zu fatalen Fehlinterpretationen führen kann. Einzustellen im Win-Explorer unter Organisieren/Ordner- und Suchoptionen/Reiter Ansicht/Erweiterungen bei bekannten Dateitypen ausblenden (Häkchen entfernen):


    Einige Beispiele wie solche Irrtümer entstehen können:

    • Datei "rechnung.pdf.exe" oder "rechnung.pdf.js" oder "rechnung.pdf.xls" sieht so aus: "rechnung.pdf"

    • Datei "rechnung.zip" oder "rechnung.rar" sieht so aus: "rechnung" (und ähnelt dem Aussehen eines Ordners, weil Archivdateien unter Windows im Explorer als solche interpretiert werden)

  • Erstellen Sie regelmässig Backups Ihrer Rechner auf einem Datenträger, der nicht ständig mit dem Rechner verbunden ist bzw. im Netzwerk nicht automatisiert schreibberechtigt erreicht werden kann. Sehen Sie dazu diesen ausführlichen Beitrag zur Datensicherung inkl. Beschreibung zum Schutz eines NAS vor Ransomware

  • Arbeiten Sie unter Windows nicht als Benutzer mit Administrator-Rechten, sondern als Standardbenutzer mit eingeschränkten Rechten. Gegen die Verschlüsselung der Benutzerdaten des angemeldeten User schützt dies allerdings nicht aber es wird einem Trojaner nicht gleich der volle Admin-Zugriff vererbt, der zu weiterem Ungemach führen würde. Ferner werden Daten anderer Systembenutzer nicht angetastet. So könnten Sie z.B. eigens für den eMail-Verkehr oder das Browsen im Internet einen eigenen eingeschränkten Account anlegen und wichtige Dateien unter einem anderen eingeschränkten Account im Benutzerverzeichnis ablegen. Das Admin-Konto dient nur für wichtige Systemeingriffe wie Installation u.s.w..

  • Für fortgeschrittene Anwender bieten sich unter Windows Softwareinschränkungen (Software Restriction Policies) über die Gruppenrichtlinien an (besseren Schutz gibt es nicht). D.h. die Ausführung von Anwendungen ist in bestimmten Verzeichnissen nicht mehr möglich bzw. bestimmte Anwendungen dürfen nie ausgeführt werden. Wer über fundiertes Wissen und Erfahrung verfügt, bediene sich des mächtigen Gruppenlinieneditors (gpedit.msc). Aber auch wenig versierte Anwender bleiben nicht im Regen stehen. Es gibt z.B. das Tool CryptoPrevent (in der Grundausstattung kostenlos) der Firma FoolishIT über welches entsprechende Richtlinien auf einen Schlag aktiviert oder wieder deaktiviert werden können, siehe Screenshot:



    Wurde in den Einstellungen zu den "Notification Options" kein Häkchen bei "Silent blocking" gesetzt, erscheint bei einer Verletzung der Gruppenrichtlinien eine der folgenden Meldungen und Sie sind auf der sicheren Seite des Computerlebens :





    Wir haben diverse Ransomware (TeslaCrypt 2 und 3 sowie Locky) auf ein Windows 7 mit diesen Gruppenrichtlinien absichtlich losgelassen und keiner der Trojaner konnte sich aufgrund derer entfalten, sprich keine einzige Datei wurde verschlüsselt!

  • Auch kann die Installation von MalwareBytes Anti-Ransomware (Beta) in Erwägung gezogen werden. Diese Software läuft problemlos neben einem installierten Anti-Virenprogramm und verfolgt einen anderen Ansatz als den traditionellen Weg über Virensignaturen oder heuristisches Verhalten Malware aufzudecken. Siehe Screenshot:



    Wir haben die Betaversion 5 (build 0.9.14.361) von Anti-Ransomware, ohne obige Software-Restriktionen über Gruppenrichtlinien, getestet, indem wir die Ransom-Trojaner "TeslaCrypt" in Version 2 und 3 sowie "Locky" absichtlich auf einem Windows 7-System von der Leine gelassen haben. Im Falle von TeslaCrypt konnte das Tool eine Verschlüsselung komplett verhindern. Locky schaffte die Verschlüsselung von rund 25 Dateien und wurde "erst" dann von Anti-Ransomware gestoppt. Dennoch ein beachtliches Ergebnis. Allerdings kommt es bei der Beta-Version aktuell noch zum einen oder anderen Fehlalarm, was jedoch durch das White-Listen (Exclusions) gut in den Griff zu bekommen ist.



FAZIT: Mit etwas Engagement kann man sich durchaus wirksam Ransomware vom Hals halten und ist nicht, wie in der Presse oft behauptet wird, schutzlos ausgeliefert. Selbst ein unbedachter Maus-Klick lässt so die Welt nicht einstürzen.

Sicherheit hat aber seinen Preis (zeitlicher Aufwand) und war noch nie bequem. Ferner ist die IT-Sicherheit kein Zustand, sondern ein Prozess, d.h. immer dranbleiben...

Kommentare (25) zu diesem BLOG-Eintrag