Crypto Trojaner: Das müssen Sie wissen!

Image created by Starkus01Viren, Trojaner und andere Schadprogramme verbreiten sich immer schneller, effizienter und zum Teil sogar völlig unbemerkt. Gerade in diesem Jahr ist eine neue Art von Trojanern auf den Markt gekommen, die besonders schwierig zu erkennen sind. Lesen Sie hier, um welche Art von Trojanern es sich handelt und wie Sie sich am besten davor schützen können. 

Anfang des Jahres tauchte zum ersten Mal so genannte Ransomware auf, unter die mittlerweile eine lange Liste von kleinen Schadprogrammen fallen. Am bekanntesten dürfte Locky sein. Aktuell verbreitet sich Cerber in einem hohen Tempo. Im folgenden erhalten Sie einen kurzen Überblick über das Thema.

Was ist Ransomware?

Das Wort Ransom kommt aus dem Englischen und bedeutet übersetzt "Lösegeld"; das Wort "ware" entspricht dem Wort "Programm". Ransomware sind daher im Kern kleine Programme, die darauf programmiert sind, möglichst viele Dateien auf Ihrem Betriebssystem zu verschlüsseln und erst nach Zahlung eines Lösegelds wieder zu entschlüsseln. Diese Programme arbeiten im Hintergrund ohne Ihre Kenntnis. Ob die Dateien auch tatsächlich nach Zahlung des Lösegelds entschlüsselt werden, kann niemand versichern, sodass diese Dateien zunächst verloren sind. Je nach Programm sind zum Teil jedoch die Schlüssel zum Entschlüsseln der Dateien veröffentlicht worden, sodass an dieser Stelle eine Dateiwiederherstellung versucht werden kann.

Diese Programme machen auch vor eingebundenen Netzlaufwerken nicht Halt, sodass auch Ihre Daten auf dem Server - insbesondere auch DATEV DATEN, Laufwerk L: - betroffen sein können, wenn nicht schnell genug reagiert wird.

Verbreitungswege

Zu 95% verbreiten sich diese Schadprogramme über E-Mail Anhänge unter dem Vorwand, sie seien eine Bewerbung, Rechnung oder Mahnung. Sie können jedoch auch auf Internetseiten eingebettet sein, die die Angreifer übernommen haben. Hier reichen unter Umständen nur wenige Klicks für eine Infizierung aus.

E-Mail Tipps & Tricks

Da sich Ransomware zumeist über E-Mail Anhänge verbreitet, erhalten Sie an dieser Stelle ein paar Anhaltspunkte, wie Sie solche Programme noch vor der Infizierung erkennen und löschen können.

  • Prüfen Sie die Absenderadresse bzw. den Absender
  • Prüfen Sie die Art der Dateianhänge der E-Mail
  • Prüfen Sie die Empfängeradresse
  • Prüfen Sie, ob Sie tatsächlich eine Stelle ausschreiben
  • Prüfen Sie die Größe der E-Mail Anhänge
  • Prüfen Sie das Dateiformat der Anhänge
  • Prüfen Sie die Symbole der Dateitypen
  • Prüfen Sie Verlinkungen in E-Mails

Falls tatsächlich offene Stellen ausgeschrieben sind, werden seriöse Bewerber niemals Dateianhänge im Dateiformat .zip verschicken. Häufig finden sich die Schadprogramme in einem solchen ZIP-Archiv. Zusätzlich täuschen die enthaltenen Dateien nach dem Entpacken ein vertrauliches Dateiformat vor (.pdf). Schalten Sie jedoch die Funktion "bekannte Dateitypen ausblenden" aus, wird Ihnen der vollständige Dateiname angezeigt, welcher z.B. Bewerbung.pdf.js lautet. Die angebliche Bewerbung entpuppt sich so als JavaScript Datei, welche aus dem Internet das Schadprogramm herunterlädt. Zusätzlich können Sie anhand des Dateisymbols sehen, dass diese Datei nicht mit dem Adobe Reader geöffnet wird, da es sich nicht um eine PDF-Datei handelt. Öffnen Sie diese Datei unter keinen Umständen! Löschen Sie diese E-Mail und leeren Sie den Ordner gelöschte Elemente in Outlook.

Verhalten im Ernstfall

Falls Sie ungewöhnliche Aktivitäten beobachten oder Sie gar erste verschlüsselte Dateien entdecken, geben Sie sofort Bescheid. Je mehr Reaktionszeit besteht, desto geringer kann der Schaden gehalten werden. Falls es sich um einen Standard-PC handelt: fahren Sie diesen herunter und ziehen das Netzwerkkabel vom PC ab. Falls es sich um einen Server handelt, informieren Sie umgehend Ihre IT-Abteilung. Diese wird alle weiteren Schritte durchführen. 

Schutzmaßnahmen

Um sich gegen solche Schadprogramme zu schützen, können folgende Punkte unternommen werden:

  • aktueller Virenschutz mit aktuellen Virendefinitionen
  • bestätigen Sie aufgehende Windowsfenster niemals mit Administratorenrechten
  • bekannte Dateiendungen in Windows einblenden lassen
  • automatischer Download der HTML-Dateien in E-Mails ausschalten
  • Mitarbeiterschulungen & Sensibilisierungen
  • tagesaktuelles Backup

Unsere Empfehlungen

Da diese Art von Schadprogrammen sehr viele Dateien verschlüsseln, ist auch der Betrieb der DATEV Software sowohl am PC als auch Server gefährdet, sodass wir ein Backup aller Daten und Server empfehlen, die im Ernstfall in wenigen Stunden durch ein aktuelles Backup wiederhergestellt werden können. Bitte zahlen Sie auf keinen Fall das geforderte Lösegeld, da - wie eingangs erwähnt - niemand für eine Entschlüsselung garantieren kann und Sie mit der Zahlung die Aktivitäten der Kriminellen unterstützen!

Weiterführende Links

Sprechen Sie uns zu diesem Thema an!