Winfuture hat ein Echtzeit-Video zu einer Infizierung mit "Locky" online gestellt. Die Schnelligkeit und Einfachheit der Infektion hat mich doch verblüfft.

https://winfuture.de/videos/Software/Locky-in-Aktion-So-infiziert-die-Ransomware-ein-Windows-System-15817.html

Virenscanner haben hier fast keine Chance, weil der Virus online nachgeladen wird und der Schadcode beliebig geändert werden kann.

Ransomware ist kein Windows-Problem. Jedes Betriebssystem ist gleichermassen angreifbar.

Auch wenn die Angriffe immer ausgeklügelter werden, hat der Benutzer natürlich eine Chance, wenn er mit denkt und mit Bedacht handelt.
Laufende Anwenderschulung und Sensibilisierung ist wichtiger denn je.

Ransomware

Abwehrmechanismen und Prävention, die jede Firma einhalten sollte

• Anwender sollen nicht mehr Rechte besitzen als erforderlich. Admin-Rechte nicht zum normalen Arbeiten oder Surfen benutzen.

• Jeder Anwender sollte nur in den Verzeichnissen Schreibzugriff haben, die er auch benötigt. "Nur Lesen" würde reichen, um dem Virus zu entgehen.
Ransomware verschlüsselt alle Dateien, auf die der betroffene Anwender schreibend zugreifen kann.

• Regelmäßige Backups sind existentiell wichtig. Die Backups müssen außerhalb der Reichweite des möglicherweise angegriffenen Users aufbewahrt werden (eingeschränktes Benutzerkonto, separates Netzwerk oder Sicherungmedium entfernen). Bitte überprüfen Sie Ihre Backups.

Jetzt wird es technischer

• Keine Mails mit Office-Dateien (u.a.) als Anlage zulassen. Für Notfälle nur nach Absprache oder an ein spezielles Admin-Postfach frei geben.

• Netzwerke trennen. Sensible Bereiche (Produktion, PLS, Backup..) per VPN oder getrenntes LAN abschotten.

• Surfen nur aus einer vom Datennetz abgetrennten virtuellen Maschine per RDP.

• Kein Internetzugriff für Netzwerkgeräte, die das nicht benötigen.

• App-Locker können alle unbekannten Programmstarts unterbinden. Das macht zugegeben Arbeit, ist aber sehr zuverlässig.

• Serverrolle "Ressourcenmanager" installieren. Dateitypen überwachen und Zugriffe protokollieren und ggf. sperren.
https://www.frankysweb.de/windows-fileserver-vor-ransomware-crypto-locker-schuetzen/

• "Breach Detection System" installieren zur ganzheitlichen Überwachung des Netzwerkes.

5.4.2016: Kaspersky liefert die neuen Module "Anti Cryptor", "Application Launch Control" und "Untrusted Hosts Blocker" für "KES for Business" für neue Lizenzen aus. https://support.kaspersky.com/12662

Ich bin betroffen, was tun?

• Computer sofort vom Netzwerk trennen!

• Unbedingt Screenshoot ausdrucken oder Bildschirm fotografieren. Der dort genannte Schlüssel ist notwendig für eventuell später mögliche Dechiffrierung und im Notfall für Lösegeldzahlung.

• Hilfe holen. Ggf. Anzeige erstatten.

• diese Seite identifiziert die gängigen Ransomware und bietet ggf. Hilfelösungen: id-ransomware.malwarehunterteam.com

Published: 08.03.2016


Neuer Kommentar, Anmerkung oder Hinweis