• Zielgruppen
  • Suche
 

Krypto-Trojaner und Ransomware

Zurzeit grassieren diverse Schadprogramme, die allgemein unter den Begriffen Krypto-Trojaner, Verschlüsselungs-Trojaner, Erpressungs-Trojaner oder Ransomware – aktuell speziell in Deutschland – eine radikale Verbreitung finden.

Die Verbreitung erfolgt hauptsächlich über Mail-Anhänge:

  • Als ZIP-Datei getarnter Anhang, dessen Javascript-Inhalt sich bei Anklicken auf dem Rechner installiert.
  • Office Dokumente, die bei Öffnung ein Makro ausführen.

Meist handelt es sich um fiktive Rechnungen, der Begleittext der Mail ist in gut formuliertem Deutsch verfasst, wirkt glaubhaft und vertrauenerweckend und verleitet dadurch viele Empfänger, das Dokument zu öffnen.

Häufig verläuft der Infektionsweg auch über Downloads von präparierten Webseiten oder durch den Klick auf einen Link in einer Mail, teilweise sogar über bösartig präparierte Werbung in eigentlich vertrauenswürdigen Webseiten.

Besonders verbreitet sind diverse Varianten der Trojaner TeslaCrypt, Locky,Trun und seit Neuestem auch Petya. Es ist damit zu rechnen, dass fortlaufend neuere Varianten und vollständig neue Trojaner dieser Art in Umlauf gebracht werden. Diese Art des kriminellen Gelderwerbs scheint ausreichend Gewinn abzuwerfen, ist einfach zu betreiben und etabliert sich zunehmend als erfolgreiches Geschäftsmodell.

Allen Schadprogrammen gemein ist die Vorgehensweise: Nach erfolgreicher Infektion des betroffenen Systems werden private Daten auf dem Computer verschlüsselt, die unverschlüsselten Dateien werden gelöscht und so dem Eigentümer ein Zugriff auf seine Daten unmöglich gemacht. Für die Entschlüsselung der Daten oder für  die Freigabe des zur Entschlüsselung nötigen Schlüssels wird ein Lösegeld in Form von Bitcoins gefordert.

Sowohl BSI als auch die Polizei raten von der Zahlung der geforderten Lösegeldsumme ab und empfehlen eine Anzeige. Es ist weder sichergestellt, dass sich die Daten tatsächlich fehlerfrei wiederherstellen lassen, noch kann man auf eine verlässliche Lieferung des Entschlüsselungscodes vertrauen.

Es gibt auch Vertreter weniger strikter Empfehlungen, so äußert sich beispielsweise auch Sophos zu der Fragestellung: "Ransomware - should you pay?".

Ablauf der Infektion

Nach der Infektion beginnen die Trojaner mit der Analyse des Rechners, allen angeschlossenen Laufwerken und Geräten sowie seiner Verbindungen im Netzwerk (auch auf Netzwerkfreigaben eines Fileservers). Alle erreichbaren Datei-Speicherorte werden nach über 150 für Erpressung interessanten Dateiendungen durchsucht, vorzugsweise .doc, .xls., .jpeg, Videodateien. Alles Dateien, bei denen die Wahrscheinlichkeit groß ist, dass sie für den Besitzer sehr wichtig sein könnten.
Anschließend wird mit der Verschlüsselung begonnen. Sowohl Microsoft als auch Sophos gehen davon aus, dass die Verschlüsselung zu gut umgesetzt ist, um geknackt zu werden.

Die verschlüsselten Dateien werden unter kryptischen Namen mit bestimmten Dateiendungen in Ordnern abgelegt, in denen sich dann auch eine Textdatei mit dem "Erpresserbrief" befindet. Zu den Dateiendungen  existieren Listen im Netz, diese Endungen variieren jedoch und ändern sich auch häufig.

Die Erpresser fordern die Zahlung eines bestimmten Betrages in Bitcoins, um die Dateien wiederherzustellen (genauer: Für den Schlüssel zur Entschlüsselung). Die Preise variieren von einem bis zu 30 Bitcoins, ein Bitcoin hat einen Wert zwischen drei- und vierhundert Euro. Bei jedem betroffenen Rechner wird ein eigenes, individuelles Schlüsselpaar verwandt - sind mehrere Rechner betroffen, wird wahrscheinlich für jeden Rechner einzeln Lösegeld verlangt.

Präventive Maßnahmen

Ganz Wichtig: Backups!

Unabdingbar und der aktuell einzig sichere Schutz vor Datenverlust sind Backups, die abgekoppelt von den Systemen gelagert werden:

Erzeugen Sie regelmäßige Backups Ihrer wichtigen Daten. Und zwar auf Medien, die nicht permanent, sondern nur während der Sicherung mit dem Computersystem verbunden sind, da die Backupdateien bei Befall sonst ebenfalls verschlüsselt werden. Sichern Sie nicht nur Daten der internen Festplatten Ihres Computersystems, sondern auch die Daten von Netzlaufwerken, mobilen Geräten, File-Shares und Daten, die bei Cloud-Diensten gespeichert sind.

 Grundlegende und aus Sicherheitsgründen immer empfohlenen Maßnahmen:

  • Die Windows-Firewall aktivieren.
  • Nicht mit Administrator-Berechtigung arbeiten, sondern sich mit einem normalen Benutzerkonto anmelden.
  • Die Benutzerkontensteuerung aktivieren.
  • Für aktuelle Antiviren-Software sorgen, bei der Auto-Update, On-Access-Scan und Verhaltensanalyse aktiviert ist (zu Sophos s.u.).
  • Installation sämtlicher verfügbarer Sicherheitsupdates für Betriebsystem und installierte Software.
  • Die Ausführung von Makros deaktivieren oder nur nach Rückfrage ausführen lassen.
  • Seien Sie äußerst misstrauisch beim Erhalt von Mailanhängen. Bei einigen Varianten dieser Art von Malware werden direkt nach der Infektion E-Mails an alle Einträge des Adressbuchs geschickt, infektiöse Mails kommen also nicht nur von unbekannten Absendern. Dateianhänge also wirklich nur öffnen, wenn Sie absolut von ihrer Unschädlichkeit überzeugt sind, gegebenenfalls lieber beim Absender nachfragen.
  • Seien Sie zurückhaltend und bedacht beim Download von Dateien im Internet, lassen Sie große Vorsicht walten beim Besuch unbekannter Webseiten. Im Zweifel den Klick lieber unterlassen!

Optimieren Sie die Konfiguration Ihres Sophos-Client:

  • Schalten Sie die Verhaltensüberwachung aktiv. Anhand der HIPS-Technologie (Host Intrusion Prevention System) analysiert Sophos die Aktivitäten Ihres Systems, um verdächtige und wahrscheinlich schädliche Verhaltensweisen detektieren und gegebenenfalls sperren zu können. Auf diese Weise sind Sie vor noch unbekannten Schädlingen und Zero-Day-Threats besser geschützt. Einstellung über Sophos-Client:
    Menüpunkte Konfigurieren -> Antivirus -> Verhaltensüberwachung.
  • Aktivieren Sie Sophos Live-Schutz: Werden Dateien anhand verdächtigen Verhaltens auffällig, wird bei Sophos abgefragt, ob dieses Verhalten als Malware bekannt ist oder als bösartig eingeschätzt wird, diese Klassifizierung wird dem Client zurück gemeldet. Zusätzlich kann man die Übermittlung dieser Informationen als Sample an Sophos autorisieren.
  • Aktivieren Sie Sophos Webschutz: Während Sie sich im Internet bewegen, erfolgt vor dem Zugriff auf Webseiten eine Live-Abfrage bei Sophos. Handelt es sich um eine verdächtige Seite oder eine Seite mit Malware, wird der Zugriff verhindert und statt der Webseite eine Sophos-Info-Seite angezeigt.

Mögliche Schutzmechanismen für Datei-Server

Auch auf Datei-Servern gelten ähnliche Empfehlungen wie auf den Client-Systemen:

  • Sorgen Sie für aktuelle und aktuell gepatchte Betriebssysteme und Software.
  • Erzeugen Sie regelmäßige und aktuelle Backups auf abgekoppelten Medien.
  • Vergeben Sie restriktive Benutzerrechte.

Dies alles sind unabdingbare Voraussetzungen für einen sicheren Dateiserver-Betrieb und einen bestmöglichen Schutz der Daten. Diese Empfehlungen stellen die ersten Mittel der Wahl dar, um die Systeme und die Daten zu schützen. Sind alle diese Maßnahmen ergriffen und die oben genannten Voraussetzungen erfüllt, kann man eventuell über den Einsatz aktiverer, speziell auf diese Trojaner ausgerichteter Mechnismen nachdenken.

Windows-File-Server:

Da die Trojaner ausgehend von infizierten Clients auch alle Verzeichnisse verschlüsseln, die über File-Shares im Netzwerk erreicht werden können, kann für Filserver der Einsatz des Ressourcen-Manager, eine Sammlung von Tools für Windows-Dateiserver, als zusätzlicher Schutzmechanismus in Betracht gezogen werden. Mit Hilfe des Ressourcen-Managers lassen sich unter Anderem  Speicherbeschränkungen für Volumes und Ordner festlegen, das Speichern bestimmter Dateitypen auf dem Server durch Benutzer verhindern und man kann einen Benachrichtigungsmechanismus per Mail konfigurieren.

Sollen also auf den Fileserver-Verzeichnissen Dateien mit Dateiendungen, die den Trojanern zuzuordnen sind, abgespeichert werden, kann man anhand einer Richtlinie eine Meldung per E-Mail initiieren (passiver Modus, dient nur der Überwachung) oder zusätzlich zur Warnung per E-Mail (aktiver Modus) das Abspeichern dieser Datei auch verhindern.

Vor der Entscheidung, diesen Machanismus einzusetzen, sollte jedoch folgendes bedacht werden:

  • Wie zuverlässig sind die im Internet zu findenden Listen, die mit den Aktivitäten der Trojaner assoziiert werden?
  • Wie aufwändig ist die Recherche zur Verifizierung und Aktualisierung dieser Listen?
  • Was passiert mit den Daten, wenn die Originaldatei gelöscht ist und die verschlüsselte Datei nicht abgespeichert werden kann? Im Worst Case hat man dann nicht einmal mehr die verschlüsselten Daten zur eventuellen Wiederherstellung.
  • Was nützt der passive Modus, wenn Malware abends, nachts oder an Wochenenden und Feiertagen aktiv wird?
  • Gegebenenfalls ist man mit einem häufigeren Backup der wichtigen Daten mit weniger Aufwand besser vor Verlust geschützt.

 

Samba-Server:

Auch hier ist die Grundidee, mit Hilfe eines Tools ( Fail2ban ) auf spezifische Aktionen der Crypto-Trojaner zu reagieren.

Der Einsatzzweck von Fail2ban ist eigentlich, Logdateien nach verdächtigen Aktionen (z.B. auffällig häufige Passwort-Eingabe-Versuche) zu durchsuchen und dann in Firewalls Regeln zur temporären Sperrungen der verursachenden IPs einzutragen.

Konfiguriert man den Samba-Server dahingehend, Schreib- und Umbenenn-Aktionen zu protokollieren, kann Fail2ban diese Logdaten nach Trojanertypischen Aktivitäten (bestimmte von den Trojanern verwendete Dateiendungen, spezifische Dateien, die den Erpresserbrief beinhalten) durchsuchen und über eine passende Firewall-Regel infizierte Rechner blockieren, bevor zu großer Schaden angerichtet wird.

Auch hier ist zu bedenken, dass die Liste der Dateiendungen und andere Spezifika der Trojaner aktuell recherchiert und in die Konfiguration eingepflegt werden müssen.

Die genaue Anleitung dazu finden Sie unter:

http://www.heise.de/security/artikel/Erpressungs-Trojaner-wie-Locky-aussperren-3120956.html

Akute Maßnahmen

Entdecken Sie auf Ihrem Rechner einen gerade aktiven Krypto-Trojaner (die Verschlüsselung auch von nur speziell ausgewählten Dateien eines Rechners kann durchaus einige Zeit dauern), sollte das Gerät umgehend und so schnell wie möglich ausgeschaltet werden. Ist ein sauberes Herunterfahren nicht möglich, empfiehlt sich zur Not auch, einfach den Stecker zu ziehen. Bitte nehmen Sie auf jeden Fall Kontakt zum Rechenzentrum auf.

Einen Neustart des Systems nur mit einem bootfähigen externen Medium vornehmen.

Man kann nun diverse Rettungsversuche unternehmen, die je nach Version des Trojaners mehr oder weniger Erfolg versprechen. Eventuell sind noch von Windows angelegte Schattenkopien der verschlüsselten Dateien vorhanden, aus denen man seine Daten wiederherstellen kann. Da die aktuelleren Versionen inzwischen auch diese Schattenkopien löschen, ist die Wahrscheinlichkeit jedoch eher gering. 

Generell wird empfohlen, die verschlüsselten Daten unbedingt aufzuheben, bei manchen der älteren Trojaner wurde die Verschlüsselung inzwischen schon geknackt und Daten konnten in einigen Fällen erfolgreich wiederhergestellt werden.

Vor Wieder-Inbetriebnahme Ihres Systems sollten Sie alle befallenen Medien formatieren und den PC von Grund auf neu installieren.

Nehmen Sie Kontakt zum Sicherheitsteam des Rechenzentrums auf

Bitte nehmen Sie immer Kontakt zu uns auf, sollten Sie den Befall eines Systems feststellen. Unter Umständen kann die verursachende Malware-Datei identifiziert werden. Durch die Meldung einer Malware-Datei an das Rechenzentrum konnte schon ein Erfolg verzeichnet werden: Andere mit diesem Schädling befallene Systeme konnten identifiziert und bereinigt werden, bevor die Schadsoftware die Verschüsselungsprozeduren gestartet hatte und auch, bevor der Virenscanner diese Datei zu erkennen in der Lage war.