Ransomware Banner Displaying Code

Ransomware ist ein großes Geschäft

Erfahren Sie, wie Ransomware funktioniert und wie Sie sich davor schützen

Übersicht

Ransomware ist eine gefährliche Software, die den Zugriff auf ein Computersystem oder Daten gewöhnlich durch Verschlüsselung blockiert, bis das Opfer dem Angreifer ein Lösegeld zahlt. In vielen Fällen ist die Lösegeldzahlung mit einer Frist verbunden: Wenn das Opfer nicht rechtzeitig zahlt, werden die Daten permanent gelöscht.

Ransomware – Referenz

Ransomware "Locky"

Anfang dieses Jahres haben Proofpoint-Experten die Locky-Ransomware erkannt. Es ist zu beachten, dass die Hintermänner der größten Dridex-Kampagnen auch in die Verteilung von Locky involviert waren, und dies in einem Ausmaß, das wir bisher nur beim Banking-Trojaner Dridex gesehen haben.  Wir haben auch beobachtet, dass die für diese Kampagnen verantwortlichen Akteure ihre Zustellungsstrategien geändert haben, um Anti-Ransomware Maßnahmen zu umgehen. Beispielsweise sehen wir Folgendes:

  • Zunehmend verworrene JavaScript-Verschleierung
  • Zusätzliche Junk-Dateien, um die Erkennung zu erschweren
  • Verstümmelte „Content­Type“-Überschriften, um die Erkennung zu vermeiden
  • Verwendung von RAR anstelle von Zip-Komprimierung von JavaScript

Locky-Demovideo abspielen

So funktioniert Ransomware und so können Sie sich davor schützen

Ransomware ist eine gefährliche Software, die den Zugriff auf ein Computersystem oder Daten gewöhnlich durch Verschlüsselung blockiert, bis das Opfer dem Angreifer ein Lösegeld zahlt. In vielen Fällen ist die Lösegeldzahlung mit einer Frist verbunden: Wenn das Opfer nicht rechtzeitig zahlt, werden die Daten permanent gelöscht.

 

Eine Bildschirmbenachrichtigung nach einem Befall mit Ransomware

Abbildung 1: Ransomware-Bildschirmbenachrichtigung

Während das Hauptaugenmerk früher auf persönliche Computer gerichtet wurde, zielen Verschlüsselungstrojaner heute mehr und mehr auf Geschäftsbenutzer ab, die oft mehr zahlen, um kritische Systeme zu entschlüsseln und den täglichen Betrieb wieder aufzunehmen.

Ransomware-Infektionen in Unternehmen beginnen gewöhnlich mit einer bösartigen E-Mail. Ein nichtsahnender Benutzer öffnet eine Anlage oder klickt auf eine URL einer schädlichen oder infizierten Website.

Zu diesem Zeitpunkt wird der Ransomware-Agent installiert und beginnt mit der Verschlüsselung wichtiger Dateien auf dem PC des Opfers und etwaigen verbundenen Laufwerken. Nach der Verschlüsselung der Daten zeigt die Ransomware am infizierten Gerät eine Nachricht an. Die Nachricht erklärt die Geschehnisse und wie die Angreifer bezahlt werden müssen. Falls das Opfer zahlt, verspricht die Ransomware einen Code zum Entschlüsseln der Daten zu liefern.

 

Bevor Sie infiziert sind

  • Schützen Sie Ihre E-Mail. E-Mail-Phishing und Spam sind die wesentlichen Methoden zur Verbreitung von Ransomware.  Sichere E-Mail-Gateways mit zielgerichtetem Ransomware-Schutz sind entscheidend für die Erkennung und Abwehr schädlicher E-Mails, die Ransomware verbreiten. Diese Lösungen schützen vor schädlichen Anlagen, schädlichen Dokumenten und URLs in E-Mails, die an die Computer der Benutzer geschickt werden.
  • Schützen Sie Ihre Mobilgeräte. Produkte zum Schutz von Modbilgeräten vor Angriffen, die gemeinsam mit MDM-Tools (Mobile Device Management) verwendet werden, können Anwendungen auf den Geräten Ihrer Benutzer analysieren und Benutzer und IT unmittelbar auf Anwendungen aufmerksam machen, die Ihre Umgebung gefährden können.
  • Schützen Sie Ihr Surfen im Web. Sichere Website-Gateways können den Web-Surfing-Verkehr Ihrer Benutzer auf ungewöhnliche Dateizugriffsaktivitäten, auf Netzwerk-C&C-Verkehr sowie die CPU-Auslastung scannen – möglicherweise rechtzeitig, um eine Aktivierung von Ransomware zu verhindern. Eine Kopie des Komplett-Images wichtiger Systeme kann das Risiko eines abgestürzten oder verschlüsselten Rechners verringern, der einen betrieblichen Engpass verursachen könnte.

Wenn Sie bereits infiziert sind

  • Verständigen Sie nationale und örtliche Exekutivbehörden. Sie würden sich bei einer Entführung einer Person auch an die Exekutivbehörden wenden und bei Ransomware muss daher die gleiche Stelle verständigt werden. Deren forensische Experten können sicherstellen, dass Ihre Systeme nicht auch auf andere Weise gefährdet sind, Informationen sammeln, um Sie in Zukunft besser vor Ransomware zu schützen, und versuchen, die Angreifer ausfindig zu machen.