Blog

You are currently viewing Krypto-Trojaner

Krypto-Trojaner

So sieht sie aus, die aktuellste Erpresserseite.
Wenn Sie so eine Seite im Original auf Ihrem PC lesen, hat der Virus bereits zugeschlagen.

Schalten Sie den Rechner sofort aus und trennen Sie das Netzwerkkabel zum Router und damit die Internet-Verbindung.
Haben Sie mehrere Rechner, dann machen Sie das Gleiche mit diesen.

Wenn es sich um Windows Rechner handelt, haben Sie die Chance den PC mit einem Linux-Stick zu starten und die noch nicht infizierten/unverschlüsselten Dateien abzuziehen. Sollte der Virus schon alles verschlüsselt haben, dann haben Sie hoffentlich ein Backup.
Danach müssen Sie den Rechner komplett neu installieren. Sie können allerdings Ihre Windows Lizenz wieder verwenden, wenn Sie sie aufgeschrieben haben.

Krypto-Trojaner haben in den vergangenen Monaten bei Cyber-Kriminellen stark an Popularität gewonnen. Hacker und IT-Sicherheitsexperten befinden sich mittlerweile in einem regelrechten Wettlauf.

Die einen versuchen, Verschlüsselungs-Software so weit wie möglich zu verbreiten, die anderen wollen geeignete Entschlüsselungsverfahren finden. Den zahllosen Opfern dieser Programme bleibt nur, entweder zu bezahlen oder darauf zu hoffen, dass die Whiteheads bald einen Weg finden, die Verschlüsselung zu knacken.

Wer keine Lust hat, den Kriminellen sein Geld in den Rachen zu werfen, um wieder an seine Daten zu gelangen, muss Geduld mitbringen – je nachdem, welches Programm er sich eingefangen hat. Doch es gibt auch Dinge, die man in der Zwischenzeit tun kann. So hat der Sicherheitsforscher Michael Gillespie zwei sinnvolle Tools entwickelt und stellt diese kostenfrei im Netz zur Verfügung.

Über das Portal ID-Ransomware

https://id-ransomware.malwarehunterteam.com

können Betroffene herausfinden, welcher Krypto-Trojaner Ihre Daten verschlüsselt hat. Das erleichtert die Suche nach einer passenden Gegenmaßnahme ungemein! Derzeit kann das Portal 283 verschiedene Erpressungstrojaner identifizieren. Dazu kann man entweder eine der verschlüsselten Dateien oder die Datei mit der Nachricht der Kriminellen hochladen.

Handelt es sich um einen der bekannten Schädlinge, erhält man den Namen und erfährt, ob es bereits eine entsprechende Entschlüsselungs-Software gibt. Im Zuge des Datenschutzes sollte man jedoch keine sensiblen Dateien für den Test nutzen, denn falls es sich nicht um einen der bekannten Trojaner handelt, werden die Daten an ein Netzwerk von Malware-Analysten weitergeleitet. Das hilft zwar dabei, die Datenbank zu erweitern und schneller eine Entschlüsselung zu finden, ist aber dem Schutz der im Dokument enthaltenen Daten nicht unbedingt zuträglich.

Das zweite Tool, das Gillespie zur Verfügung stellt, nennt sich CryptoSearch und ermöglicht es dem Nutzer, seinen Windows-Rechner nach verschlüsselten Daten zu durchsuchen. Die gefundenen Dateien können dann gesammelt und auf einer externen Festplatte abgelegt werden.

Man mag sich fragen, was das bringen soll, aber solange noch keine Entschlüsselungs-Software existiert, kann es durchaus sinnvoll sein, die betroffenen Daten extern – und vor allem gesammelt – abzulegen, denn dann kann man direkt mit der Wiederherstellung beginnen, sobald es ein geeignetes Programm gibt.

Ein Pluspunkt: CryptoSearch behält beim Export der verschlüsselten Daten den originalen Dateipfad bei, sodass sich die Daten später leichter zuordnen lassen.

Was kann ich tun, um vorzubeugen?

  • Aktualisieren Sie Ihr Betriebssystem
  • Installieren Sie eine seriöse Security-Suite
  • Prüfen Sie zweimal, bevor Sie E-Mail-Anhänge öffnen oder Dateien aus unbekannten Quellen anklicken. Achten Sie auf verdächtige Dateien mit versteckten Datei-Erweiterungen wie „.pdf.exe“
  • Deaktivieren Sie das Remote Desktop Protocol (RDP)
  • Fertigen Sie Sicherheitskopien an, am besten ist  3-2-1-Backup:
  • Alle Daten mindestens 3 x vorhalten
  • Mit 2 unterschiedlichen Technologien
  • An mindestens 1 anderen Ort

Die 3 ungleichen Brüder

Kopieren, synchronisieren und backupen sind die drei ungleichen Brüder, vermeintlich tun sie dasselbe, die Wirkung ist aber eine fundamental andere.

Kopieren

  • Was passiert
    • Eine identische Kopie, in einem anderen Verzeichnis, wird angelegt, falls der Dateiname noch nicht vergeben ist
  • Vorteil
    • Statisch, einmalig, ohne Veränderung, einfach und schnell
  • Nachteil
    • Wenn der Ursprung fehlerhaft ist, dann ist auch die Kopie fehlerhaft, kein Schutz gegen Ransomware. Der Copy-Befehl in Windows ist manchmal recht heimtückisch und tut nicht immer was sie von ihm erwarten. Eine Reihe von Limitationen (Anzahl Zeichen des Dateinamens inkl. des Pfads, der verwendete Zeichensatz, …) behindern die Ausführung.

Synchronisieren

  • Was passiert
    • Eine bestimmte Datei oder ein Verzeichnis werden permanent kopiert sowie eine Veränderung der Datei/des Verzeichnisses erfolgt
  • Vorteil
    • Zugriff immer auf die aktuellste Version (Notebook, Tablett, Mobile), sofern der Ort der „Urversion“ definiert ist (Server)
  • Nachteil
    • Ist die Urversion fehlerhaft, so ist es auch die synchronisierte Datei/Verzeichnis, kein Schutz vor Ransomware, auch im Netzwerk

Backupen

  • Was passiert
    • Alle Dateien werden regelmäßig vollautomatisch in eine Datei-Datenbank geschrieben, jede Änderung wird protokolliert, es wird „dedupliziert“ um Speicherplatz zu sparen
  • Vorteil
    • Durch Rückwärts Rollen können auch ältere Versionen genutzt werden, abhängig vom eingestellten Mechanismus
    • Im „Bare Metal Mode“ kann auch die System-Partition Windows 10 wieder hergestellt werden
  • Nachteil
    • Dateien liegen in einer Datenbank und können nur mit der entsprechenden Software, angesehen/genutzt/rückgesichert werden

JAY-WIN bietet Ihnen 3 Pakete an die Sie mit Sicherheit vor Ransomware-Attacken schützen:

Angebot 1: Dieses Paket sichert Ihre Daten in die JAY-WIN Cloud. Für Ransomware sind sie dann nicht mehr erreichbar. Wir installieren auf Ihrem PC eine Software namens „Hyper-Backup“ die ununterbrochen alle Daten, die neu entstehen sichert. Sie benötigen dazu eine Internet-Verbindung.

Sollte die Bandbreite Ihrer Internet-Verbindung nicht ausreichen und stört der permanenete Backup-Prozess empfeheln wir Angebot 2. Bei Paket 2 erhalten Sie ein SimpleNAS.
Genaugenommen ist das ein kleiner Linux-Server ohne Tastatur und Bildschirm (3-2-1-Backup „andere Technologie“ !) der die Backups Ihres oder Ihrer PCs tagsüber einsammelt und nachts in die Cloud verschiebt. Das SimpleNAS wird von uns bereitgestellt und gemanaged, d.h. Sie brauchen sich nicht darum zu kümmern.

Mit Paket 3 nutzen wir dann Active Backup: Mit Active Backup genießen Sie den höchsten und vollautomatischen Schutz mit der Möglichkeit des Roll-Back, d.h. Sie können Ihre Dokumente in Ihrer ganzen Historie in der Cloud aufbewahren und tage-, wochen- monats- und Jahresweise zurückverfolgen.

Schreibe einen Kommentar