CryptoLocker: Alles, was Sie wissen müssen

Was ist CryproLocker? Bei CryptoLocker handelt es sich um eine inzwischen gut bekannte Malware, die für datenorientierte Unternehmen besonders schädigend sein kann. Sobald ihr Code ausgeführt wurde, verschlüsselt sie Dateien...
Michael Buckbee
5 minute gelesen
Letzte aktualisierung 28. Oktober 2021

Was ist CryproLocker?

Bei CryptoLocker handelt es sich um eine inzwischen gut bekannte Malware, die für datenorientierte Unternehmen besonders schädigend sein kann. Sobald ihr Code ausgeführt wurde, verschlüsselt sie Dateien auf Desktops und in Netzwerkspeichern und hält sie sozusagen „als Geisel“. Dabei wird jeder Benutzer, der versucht eine Datei zu öffnen, zur Zahlung eines Lösegelds für die Entschlüsselung aufgefordert. Aus diesem Grund werden CryptoLocker und seine Varianten inzwischen als „Ransomware“ bezeichnet.

Malware wie CryptoLocker kann über zahlreiche Vektoren in ein Netzwerk eindringen, z. B. über E-Mails, Filesharing-Sites und Downloads. NeuereVarianten sind bereits erfolgreich durch die Maschen von Virenschutzprogrammen und Firewalls geschlüpft und es ist anzunehmen, dass auch weiterhin Spielarten auftauchen, die vorbeugende Maßnahmen umgehen können. Zusätzlich zur Einschränkung eines Ansteckungsrisikos, das vom infizierten Host ausgeht, etwa durch Firewalls, werden Zugriffskontrollen, Erkennungs- und Korrekturkontrollen als nächste Verteidigungslinie empfohlen.

Cryptolocker can enter through

FYI – die Informationen in diesem Artikel gelten speziell für CryptoLocker. Wenn Sie etwas über Ransomware im Allgemeinen lesen möchten, haben wir für Sie den weiter  in die Tiefe gehenden „Komplettleitfaden Ransomware“ geschrieben.

Aktualisierung September 2018: Die Anzahl der Ransomware-Angriffe ist seit ihrem Höhepunkt im Jahre 2017 signifikant zurückgegangen. CryptoLocker und seine Varianten sind nicht mehr besonders weit verbreitet und neue Ransomware ist an ihre Stelle getreten. Ransomware hat sich zu einem gezielteren Angriff im Gegensatz zur früheren eher breiter gestreuten Angriffen entwickelt und stellt weiterhin eine Gefahr für Unternehmen und Behörden dar.

Was machen CryptoLocker?

Bei Ausführung beginnt ein CryptoLocker, gemappte Netzwerklaufwerke, mit denen der Host verbunden ist, nach Ordnern und Dokumenten (siehe betroffene Dateitypen) zu scannen und diejenigen umzubenennen, bei denen er durch dieAnmeldeinformationen des Benutzers, welcher  den Code unwissentlich ausführt, über die entsprechenden Berechtigungen verfügt.

CryptoLocker verschlüsseln  Dateien mit einem 2048-Bit RSA-Schlüssel und benennen sie, je nach Variante, durch Hinzufügen einer Erweiterung wie .encrypted oder .cryptolocker oder [7 zufallsgenerierte Zeichen] um. Abschließend generiert die Malware eine Datei in jedem Verzeichnis, die auf eine Webseite mit Anweisungen zur Leistung einer Zahlung (z. B. in Bitcoin) verlinkt. Die Namen dieser Anweisungsdateien sind üblicherweise DECRYPT_INSTRUCTION.txt oder DECRYPT_INSTRUCTIONS.html.

Immer wenn neue Varianten entdeckt werden, wird die Ransomware-Diskussion auf Varonis Connect entsprechend ergänzt.  Zum Beispiel legt eine als „CTB-Locker“ bekannte Variante eine einzige Datei in dem Verzeichnis an, indem sie mit dem Verschlüsseln von Dateien beginnt, die den Namen !Decrypt-All-Files-[7 Zufallszeichen].TXT oder !Decrypt-All-Files-[7 Zufallszeichen].BMP trägt.

So beugen Sie CryptoLocker vor

Je mehr Dateien im Zugriffsbereich eines Benutzerkontos liegen, desto größer ist der Schaden, den Malware anrichten kann. Deshalb ist eine Zugriffsbeschränkung ratsam, weil sie damit den Umfang vonDaten eingrenzen, die verschlüsselt werden können. Dieses Vorgehen bietet nicht nur Schutz vor Malware, sondern mindert auch die potentielle Gefährdung durch andere Angriffe von internen oder externen Akteuren.

Ein Modell nach dem Prinzip der notwendigsten Berechtigung einzurichten ist zwar keine kurzfristige Maßnahme, Risiken lassen sich dann aber schnell durch die Löschung nicht benötigter globaler Zugriffsgruppen aus den Zugriffs-Kontrolllisten reduzieren. Gruppen wie „Jeder“, „Authentifizierte Benutzer“ und „Domänen-Benutzer“ können bei der Anwendung auf Daten-Container (etwa  Ordner oder SharePoint-Sites) ganze Verzeichnishierarchien für alle Benutzer in einem Unternehmen öffnen. Die betroffenen Datensätze sind nicht nur leichte Ziele für Diebstahl oder Missbrauch, sondern werden mit großer Wahrscheinlichkeit auch bei einem Malware-Angriff beschädigt. Auf Dateiservern werden diese Ordner als „offene Shares“ bezeichnet, wenn sowohl auf das Dateisystem als auch auf die Freigabeberechtigungen über eine globale Zugriffsgruppe zugegriffen werden kann.

Es ist zwar am einfachsten, Technologien zur Erkennung und Eliminierung globaler Zugriffsgruppen zu verwenden, offene Shares lassen sich aber auch durch Anlegen eines Benutzers ohne Gruppenmitgliedschaft und „Scannen“ der gemeinsamen Dateispeicher mit den Anmeldeinformationen dieses Kontos entdecken. Zum Beispiel können sogar grundlegende Net-Befehle aus der CMD-Shell von Windows zur Auflistung und Prüfung von Shares auf Zugreifbarkeit nutzen:

 

  • net view (listet Hosts in der Nähe auf)
    >net view \\host (listet Shares auf) >net use X: \\host\share (ordnet dem Share ein Laufwerk zu)
  • dir /s (listet alle Dateien im Share auf, die der Benutzer lesen kann)

Diese Befehle lassen sich einfach in einem Batch-Skript miteinander kombinieren, um weithin zugängliche Ordner und Dateien zu identifizieren. Diese ohne Automatisierung zu reparieren kann leider sehr zeitaufwändig und riskant sein, weil sich die Tätigkeit leicht auf die normale Geschäftstätigkeit auswirken kann, wenn Sie nicht vorsichtig sind. Wenn Sie eine große Anzahl offener Ordner entdecken, sollten Sie eine automatisierte Lösung in Betracht ziehen. Automatisierte Lösungen können Ihnen auch die Möglichkeit erschließen, über die Eliminierung globaler Zugriffsberechtigungen hinauszugehen. Dabei können Sie ein Modell, in dem das Prinzip der notwendigsten Berechtigungen tatsächlich eingehalten wird, einrichten und gleichzeitig eine ineffiziente manuelle Zugriffsverwaltung loswerden.

So erkennen Sie CryptoLocker

CryptoLocker example

Wenn die Dateizugriffsaktivität auf betroffenen Dateiservern überwacht wird, erzeugen diese Verhaltensweisen sehr schnell eine große Anzahl von Öffnen-, Ändern- und Erstellen-Ereignissen und sind mit Automatisierung relativ einfach zu erkennen, was eine wertvolle Erkennungskontrolle liefert. Wenn beispielsweise ein einzelner Benutzer innerhalb einer Minute 100 Dateien ändert, lässt sich mit hoher Sicherheit vermuten, dass dort ein automatisierter Prozess abläuft. Konfigurieren Sie Ihre Überwachungslösung so, dass sie eine Benachrichtigung auslöst, wenn sie ein derartiges Verhalten erkennt. Varonis DatAlert überwacht bereits direkt nach der Installation das Verhalten in Dateisystemen im Hinblick auf Ransomware-Angriffe. Wenn Varonis Ihre Daten überwacht, müssen Sie keine speziellen Konfigurationen vornehmen.

Wenn Sie keine automatisierte Lösung zur Überwachung der Dateizugriffsaktivität haben, müssen Sie möglicherweise ein natives Auditing aktivieren. Natives Auditing belastet aber leider die  überwachten Systeme und die Ergebnisse sind oft schwer zu entziffern. Anstatt zu versuchen, die nativen Auditprotokolle aller Systeme zu aktivieren und zu sammeln, sollten Sie besonders sensible Bereiche priorisieren und in Erwägung ziehen, dem Angriefer mit einem Honeypot im Speichersystem eine Falle zu stellen.

Ein Honeypot-Share ist ein offener Share mit Dateien, die normal und wichtig aussehen, aber tatsächlich gefälscht sind. Da keine rechtmäßige Benutzeraktivität mit einem Honeypot-Share verbunden sein sollte, sollte hier jede beobachtete Aktivität sorgfältig untersucht werden. Wenn Sie keine andere Möglichkeit als manuelle Methoden haben, müssen Sie natives Auditing für die Aufzeichnung der Zugriffsaktivitäten aktivieren und ein Skript erstellen, das Sie benachrichtigt, sobald Ereignisse in das Sicherheitsereignisprotokoll geschrieben werden (z. B. unter Verwendung von dumpel.exe).

Wenn Sie gerne mit PowerShell arbeiten, finden Sie hier unseren kurzen Artikel über die Bekämpfung von CryptoLocker mit PowerShell.

Wenn Ihr Erkennungskontrollmechanismus eine automatische Reaktion auslösen kann, z. B. durch Deaktivieren des Benutzerkontos, wird der Angriff effektiv gestoppt bevor er weiteren Schaden anrichtet. Zum Beispiel kann eine Reaktion auf einen Benutzer, der über 100 „Ändern“-Ereignisse innerhalb einer Periode generiert, folgendes umfassen:

  • Benachrichtigen von IT und der Sicherheitsadministratoren (einschließlich des betroffenen Benutzernamens und Computers)
  • Überprüfen der Registry des Computers auf Schlüssel/Werte, die bekannterweise von CryptoLocker erzeugt werden:
    • Get-Item HKCU:\Software\CryptoLocker\Files).GetValueNames()
  • Wenn der Wert existiert, wird der Benutzer automatisch deaktiviert.

Wenn protokollierbare Aktivitäten gespeichert und angemessen durchsuchbar sind, werden sie für die Wiederherstellung unbezahlbar, weil sie eine vollständige Aufzeichnung aller betroffenen Dateien, Benutzerkonten und (möglicherweise) Hosts enthalten. Kunden von Varonis können die Ergebnisse von Bericht 1a (der hier beschrieben wird) verwenden, um Dateien aus einer Sicherungskopie oder Hintergrundkopie wiederherzustellen.

In Abhängigkeit der Variante von CryptoLocker kann die Verschlüsselung möglicherweise mit einem Realtime-Disassembler rückgängig gemacht werden.

Sicherheitshinweise für Ransomware

Ransomware safety tips

  • Aktualisieren Sie Ihre Virenschutzsoftware und Sicherheitsprogramme auf Endgeräten – diese Lösungen können bei der Entdeckung bestimmter Arten von Ransomware hilfreich sein und die Verschlüsselung Ihrer Dateien verhindern.
  • Vermeiden Sie Phishing-Versuche – Phishing-E-Mails sind der wichtigste Einfallmechanismus bei Ransomware.
  • Legen Sie Sicherheitskopien Ihrer Dokumente an – es ist viel einfacher und schneller, Dokumente von einem Backup wiederherzustellen als sie zu entschlüsseln, wenn sie von einem Ransomware-Angriff betroffen waren.
  • Legen Sie sich auf ein Zero-Trust-Modell bzw. das Prinzip der notwendigsten Berechtigung fest – Ransomware kann nur Ordner beeinträchtigen, für die ein Benutzer schreibberechtigt ist. Das Modell notwendigsten Berechtigung begrenzt den Zugriff auf absolut notwendige Elemente.
  • Überwachen Sie Dateiaktivitäten und Benutzerverhalten, lassen Sie sich über potenzielle Ransomware-Aktivität benachrichtigen und reagieren Sie.

Neue Ransomware-Varianten treten ununterbrochen auf – aber glücklicherweise übernimmt unser Team für Sicherheitsforensik die Fleißarbeit für Sie und aktualisiert sorgfältig die Ransomware-Signaturen, damit Varonis sie erkennen kann. Lassen Sie sich die Funktion in einer kostenlosen 1:1-Demo vorführen und erfahren Sie mehr darüber, wie unsere Abwehrarchitektur gegen Ransomware darauf ausgelegt ist, Unternehmensdaten gegen Zero-Day-Angriffe auch jenseits der Endgeräte zu schützen – also gegen Ransomware, die von herkömmlichen Perimetersicherheitsvorkehrungen übersehen wird.

Wie soll ich vorgehen?

Im Folgenden finden Sie drei Möglichkeiten, wie Sie das Datenrisiko in Ihrem Unternehmen verringern können:

1

Vereinbaren Sie eine Demo mit uns, um Varonis in Aktion zu erleben. Wir passen die Session an die Datensicherheitsanforderungen Ihres Unternehmens an und beantworten alle Fragen.

2

Sehen Sie sich ein Beispiel unserer Datenrisikobewertung an und erfahren Sie, welche Risiken in Ihrer Umgebung lauern könnten. Varonis DRA ist völlig kostenlos und bietet einen klaren Weg zur automatischen Sanierung.

3

Folgen Sie uns auf LinkedIn, YouTubeund X (Twitter), um kurze Einblicke in alle Themen der Datensicherheit zu erhalten, einschließlich Data Security Posture Management (DSPM), Bedrohungserkennung, KI-Sicherheit und mehr.

Testen Sie Varonis gratis.

Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
Ohne Bedingungen und Auflagen

Weiter lesen

Varonis bewältigt Hunderte von Anwendungsfällen und ist damit die ultimative Plattform, um Datenschutzverletzungen zu stoppen und Compliance sicherzustellen.

alles-über-ransom32-raas
Alles über Ransom32 RaaS
Vor kurzem ist eine neue Ransomware-Variante aufgetaucht: Ransom32 RaaS. Obwohl sie verschlüsselte Dateien nicht umbenennt, wird sie bereits von manchen als der CryptoLocker-Nachfolger bezeichnet, da auch Ransom32 AES-Verschlüsselung benutzt. Ransom32...
was-ist-pgp-verschlüsselung-und-wie-funktioniert-sie?
Was ist PGP-Verschlüsselung und wie funktioniert sie?
PGP ist eine Verschlüsselungsmethode, die Sicherheit und Datenschutz für Online-Kommunikation bietet. Wir erläutern, wie PGP-Verschlüsselung funktioniert und wie Sie sie nutzen können.
7-tipps-zur-vermeidung-von-datendiebstahl-durch-mitarbeiter
7 Tipps zur Vermeidung von Datendiebstahl durch Mitarbeiter
Datendiebstahl durch Mitarbeiter ist in modernen Unternehmen ein ernstzunehmendes Problem. Lesen Sie weiter, um mehr darüber zu erfahren, wie Sie Ihr Unternehmen vor böswilligen Insidern schützen können. Datendiebstahl durch Mitarbeiter...
schützen-sie-ihre-daten-mit-super-einfachen-dateisicherheitstricks!
Schützen Sie Ihre Daten mit super einfachen Dateisicherheitstricks!
Datensicherheit ist ein allumfassender Begriff. Er bezieht sich auf Prozesse und Technologien zum Schutz von Dateien, Datenbanken, Anwendungen, Benutzerkonten, Servern, Netzwerk-Logins und natürlich auch dem Netzwerk selbst. Aber wenn Sie...