Varonis debuts trailblazing features for securing Salesforce. Learn More

Wir stellen vor: Die Least Privilege Automation für Microsoft 365, Google Drive und Box

Mehr erfahren

Ransomware – Teil 3, Was tun, wenn es bereits passiert ist

Ransomware – Ein Leitfaden in vier Teilen. Teil 1, Ransomware, zahlen oder nicht zahlen? Und was Bitcoins damit zu tun haben Teil 2, Die wichtigsten Typen von Ransomware und welche…
Carl Groves
4 minute gelesen
Veröffentlicht 13. Dezember 2018
Letzte aktualisierung 1. November 2021

Ransomware – Ein Leitfaden in vier Teilen.

 

In den beiden ersten Teilen unseres Leitfadens haben wir uns damit beschäftigt, ob man ein gefordertes Lösegeld zahlen oder lieber nicht zahlen sollte und was Bitcoins damit zu tun haben. Um besser zu verstehen wie Ransomware funktioniert haben wir uns dann die verschiedenen Typen angesehen und welche Arten von Verschlüsselung sie benutzen. Wenn es bereits passiert ist helfen allerdings auch noch einige andere Methoden. Die wollen wir hier kurz beleuchten.

Was tun, wenn es bereits passiert ist

Die weitaus meisten Benutzer bemerken die Infektion erst in dem Moment, wenn auf dem Bildschirm eine der berüchtigten Nachrichten erscheint, dass Dateien verschlüsselt worden sind. Wenn Sie feststellen, dass Ihr Computer infiziert worden ist, fahren Sie ihn herunter oder trennen Sie ihn vom Netzwerk. Wenn Sie sich entscheiden nicht zu zahlen, scannen Sie den betroffenen Rechner zunächst mit einer Anti-Viren- und Anti-Malware-Lösung und entfernen Sie alle verdächtigen Dateien. Möglicherweise lassen sich die verschlüsselten Dateien mit Hilfe der PowerShell oder anderer Tools identifizieren. Allerdings tauchen praktisch jede Woche neue Varianten auf und so gibt es leider kein Patentrezept, um die verschlüsselten Dateien zu finden und gegebenenfalls wieder zu entschlüsseln. Die meisten Experten empfehlen es deshalb die Dateien vom BackUp aus wiederherzustellen.

Auch wenn Sie sich entschlossen haben, das geforderte Lösegeld zu zahlen, vergessen Sie nicht den Computer zu scannen und sicherzustellen, dass Sie sämtliche Schadsoftware entfernen. Es gibt zudem einige Methoden, um den Schaden wenigstens zu begrenzen.

Methoden zur Schadensbegrenzung

Überwachen der Dateiaktivitäten
Nachdem die Forscher Northeastern University 1.359 Fälle von Ransomware unter die Lupe genommen hatten, stellten sie fest, dass es durchaus möglich gewesen wäre eine erhebliche Zahl dieser Angriffe zu stoppen. Sogar dann, wenn es sich um Ransomware handelt, die Verschlüsselung und Datenlöschung nutzt. Wird ein System von einer Ransomware angegriffen, äußert sich das unter anderem in signifikanten Veränderungen, die im Filesystem sichtbar sind, zum Beispiel eine große Zahl von Löschungen im Log. Es hilft also die Dateiaktivitäten kontinuierlich zu überwachen. Beobachtet die jeweilige Software ein ungewöhnliches, von einem als normal definierten Verhalten abweichendes, sollte sie eine entsprechende Benachrichtigung versenden. Mit dieser Methode ist es möglich festzustellen, wenn Dateien erstellt, verschlüsselt oder gelöscht werden.

Benutzerverhalten analysieren
User Behavior Analytics (UBA) sind zu einer der Methoden avanciert, mit denen sich Ransomware bekämpfen lässt. Bedrohungen von innen, die durch legitime und legitimierte Benutzer verursacht werden, sind naturgemäß nicht Sache der Perimeter-Sicherheit. Für Hacker ist es kein allzu großes Problem diese Sicherheitsmaßnahmen zu umgehen und ins Innere des Netzwerks zu gelangen. Dazu nutzen die Angreifer legitime öffentliche Zugänge (E-Mail, Web, Logins) um dann intern als „legitime“ Nutzer auf Dateien und Systeme zuzugreifen.

Ransomware-Attacken sind in den allermeisten Fällen so konzipiert, dass Antiviren-Software sie nicht erkennt. Für den Administrator, der die Systemaktivitäten überwacht, sieht der Angreifer aus wie ein ganz gewöhnlicher User. Und genau an dieser Stelle setzt UBA an. Sie befasst sich sozusagen, mit dem, was man noch nicht weiß. Innerhalb der UBA-Engine werden Grenzwerte für ein als normal definiertes Verhalten hinterlegt. Weicht das Verhalten von diesen „Normalwerten“ ab, wird sofort eine Benachrichtigung versendet und ein entsprechender Bericht generiert. So kann ein Admin beispielsweise festlegen, dass er bei mehr als 1.000 innerhalb eines kurzen Zeitfensters auftretenden Dateiänderungen benachrichtigt wird.

Honeypots
Unter Umständen verschlüsseln Cyberkriminelle nicht sämtliche Dateien, sondern nur diejenigen auf die der Nutzer zuletzt zugegriffen hat. Legen Sie einen Köder mit falschen Dateien und Ordnern aus, und überwachen Sie diesen Honeypot regelmäßig. Die Methode eignet sich auch für Firmen, die ihre Dateiaktivitäten bisher noch nicht automatisch überwachen. Unter Umständen heißt das, das native File Auditing innerhalb des Systems zu aktivieren. Um Fehleinschätzungen zu verhindern, sollte man in jedem Falle sensible Bereiche priorisieren und einen Fileshare-Honigtopf anlegen.

Dieser Honigtopf enthält Dateien, die von Außen betrachtet als lohnenswertes Ziel erscheinen. In Wirklichkeit handelt es sich um falsche Dateien, die lediglich als Köder dienen. Da sich hier keine „normalen“ Benutzer bewegen, weist jede beobachtete Aktivität auf einen potenziellen Angriff hin. Sollten manuelle Methoden nicht ausreichen, muss das native Auditing aktiviert werden, um die Zugriffsaktivitäten aufzuzeichnen. Über ein entsprechendes Skript sollte der Admin immer dann benachrichtigt werden, wenn im Security Event Log ein Ereignis eingeschrieben wird. (z.B. dumpel.exe).

Das Model der minimalen Rechtevergabe
Ein anderer Ansatz ist es die Daten besser zu kontrollieren und ein Modell der minimalen Rechtevergabe umzusetzen. Um unter Umständen vertrauliche Daten besser zu schützen, sollte man in jedem Fall überflüssige Gruppen mit globalen Zugriffsrechten aus den entsprechenden Listen entfernen. Wenn Gruppen wie „Alle/Jeder“, “Authenticated Users” und “Domain Users” als Datencontainer benutzt werden (wie Ordner oder SharePoint-Seiten), setzen sie unter Umständen die komplette Benutzerhierarchie einem erhöhten Risiko aus. Darüber hinaus bilden solche Ordner ein leicht zu identifizierendes Ziel für Datendiebstahl und Missbrauch. Und nicht zuletzt fallen solcherart exponierte Daten bevorzugt einem Malware-Angriff zum Opfer oder werden beschädigt. Auf einem Fileserver sind die entsprechenden Ordner die „open shares“. In einem solchem Fall sind sowohl das Dateisystem als auch die geteilten Zugriffsrechte über eine Gruppe mit globalen Zugriffsrechten erreichbar.

Im vierten und letzten Teil listen wir Ihnen einige der wichtigsten Varianten von Ransomware auf und welche Dateitypen sie betreffen inklusive des genutzten Verschlüsselungsalgorithmus. Wir sagen Ihnen auf welchem Weg sich die betreffende Ransomware in das jeweilige System einschleicht, ob es bereits ein Entschlüsselungstool gibt und nicht zuletzt ob die Dateien auch tatsächlich entschlüsselt werden, wenn man das geforderte Lösegeld gezahlt hat…..

Genutzte Quellen:
http://www.mcafee.com/us/resources/reports/rp-quarterly-threat-q1-2015.pdf
http://seclab.ccs.neu.edu/static/publications/dimva2015ransomware.pdf
http://www.ic3.gov/media/2015/150623.aspx
http://www.detroitnews.com/story/news/politics/michigan/2014/11/17/north-american-international-cyber-summit/19162001/
http://www.nbcnews.com/nightly-news/security-experts-you-should-never-pay-ransomware-hackers-n299511
http://www.wsj.com/articles/paying-ransoms-to-hackers-stirs-debate-1447106376
https://www.cs.kent.ac.uk/news.html?view=338
http://www.ibtimes.co.uk/cryptolocker-criminals-earn-30-million-100-days-1429607
http://searchsecurity.techtarget.com/definition/elliptical-curve-cryptography
http://www.anti-spyware-101.com/remove-filecoder-ransomware/

What you should do now

Below are three ways we can help you begin your journey to reducing data risk at your company:

  1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
  2. Download our free report and learn the risks associated with SaaS data exposure.
  3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
Testen Sie Varonis gratis.
Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
Ohne Bedingungen und Auflagen
Keep reading
hinter-dem-varonis-rebranding
Hinter dem Varonis-Rebranding
Entdecken Sie die Strategie, die hinter dem Rebranding von Varonis steht – mit einem Übergang zu einem Heldenarchetyp und der Einführung von Protector 22814.
cybersecurity-trends-2024:-was-sie-wissen-müssen
Cybersecurity-Trends 2024: Was Sie wissen müssen
Erfahren Sie mehr über Datensicherheitsmanagement, KI-Sicherheitsrisiken, Änderungen bei der Compliance und mehr, um Ihre Cybersecurity-Strategie für 2024 vorzubereiten.
das-war-2023 – so-wird-2024
Das war 2023 – so wird 2024
Im Kielwasser der massiven Verbreitung von WannaCry im letzten Monat sorgt gerade eine neue Variante von Ransomware für massive Störungen, dieses Mal unter der Bezeichnung „NotPetya“. Fast den gesamten Morgen...
podcast-empfehlung:-alles,-was-sie-zu-data-security-posture-management
Podcast-Empfehlung: Alles, was Sie zu Data Security Posture Management
Im Gespräch mit Oliver Schonschek, News-Analyst bei Insider Research, hatte ich die Möglichkeit, das Konzept Data Security Posture Management zu erklären und zu zeigen, wie es sich in der Praxis umsetzen lässt. Dabei stand zunächst die Frage im Raum, ob und inwieweit wir unsere bisherigen Security-Konzepte neu denken müssen. Werden durch DSPM bewährte Praktiken wie Endpoint-Sicherheit, Firewalls und ähnliches gar obsolet?