Krypto Trojaner entfernen 2020: Hilfe bei Verschlüsselungs-Trojanern (Ransomware)

Krypto Trojaner Angriffe auf Unternehmen 2019 vervierfacht

Ransomware-Angriffe auf Firmen haben sich 2019 im Vergleich zum Vorjahr vervierfacht. Das hat eine Analyse der Sicherheitsfirma Malwarebytes zwischen Juni 2018 bis Juni 2019 ergeben. Der Fokus verschiebt sich derzeit dramatisch von Angriffen auf Privatanwender zu Unternehmen. Die Infektionen und das Verschlüsseln der Daten mit Ransomware bei Privatanwendern nehmen in den letzten Jahren stetig ab. Seit Februar 2019 nehmen die Angriffe auf Unternehmen hingegen stetig zu. Grund dafür sind die höheren Einnahmen, die sich Cyberkriminelle vom Erpressen von größeren Unternehmen im Vergleich zu Privatanwendern versprechen.

 

Krypto Trojaner Ransomware

Quelle: Malwarebytes 

Aus diesem dramatischen Anstieg von Cyberkriminalität auf Unternehmen ergeben sich diverse Sicherheitsmaßnahmen, die unbedingt eingehalten werden sollten. Dazu später mehr.

 

IT Sicherheitsexperte

Hilfe benötigt?

Wir sind für Sie da und retten Ihre Daten. Wenden Sie sich an unseren technischen Leiter, Herrn Honjakin.

Tel: 0911 5876760

Mail: info@herrmann-computer.de

Krypto Trojaner / Ransomware erklärt

Krypto Trojaner oder Erpresser Trojaner gehören zur Klasse der Ransomware (Lösegeld-Software), die sich über kleine Programme selbstständig auf PCs und Netzwerken installieren und Dateien verschlüsseln. Diese Dateien lassen sich nur schwer wieder entschlüsseln. Nach erfolgter Verschlüsselung erscheint eine Lösegeldforderung der kriminellen Hacker auf dem Bildschirm. Was nun? Etwa das Lösegeld zahlen?

Wie erfolgt eine Infizierung durch einen Verschlüsselungs-Trojaner?

Vorbild der Krypto Trojaner ist wie bei allen Trojanern das trojanische Pferd, mit dem der Mythologie nach die Griechen im Bauch eines riesigen hölzernen Pferdes in die Stadt Troja gelangen konnten. Auch Computer-Trojaner täuschen die Nutzer, indem sie vorgaukeln ein harmloser Dateianhang zu seien. Die Infizierung in Unternehmen läuft in der Regel folgendermaßen ab:

Ein Mitarbeiter erhält eine E-Mail mit einem Dateianhang. Dabei kann es sich um Bewerbungen, Sendungsbenachrichtigungen oder täuschend echte Rechnungen von Lieferanten handeln. Es ist also keinesfalls auf den ersten Blick ersichtlich, dass es sich um eine infizierte E-Mail handelt. Sobald der Mitarbeiter den Anhang öffnet, wobei dieser meist aus einem Word- oder Exceldokument mit Makro besteht, wird das Makro automatisch installiert. Das Makro versucht nun die Verschlüsselungssoftware herunterzuladen. Dabei greift es auf mehrere Einweg-URLs zu, bis das Programm installiert werden kann.

Die Verschlüsselung wird nicht immer sofort ausgelöst. Der Trojaner kann einige Wochen im Netzwerk „schlafen“, bis er ausgelöst wird. Sobald er jedoch aktiv wird, beginnt er sofort mit der Verschlüsselung von Dateien.

Verschlüsselungs Trojaner

Dabei liegt der Fokus auf üblichen Dateien, die meist wichtig für Unternehmen sind, wie Dokumente (.doc/.docx), Excel-Dateien (.xsl/.xslx), PDF-Dateien, E-Mails, CAD-Dateien, ZIP- oder XML-Dateien. Die Dateien werden nun verschlüsselt (encrypted) und bekommen meist eine Endung, die die Kriminellen ausgewählt haben, wie .zzz oder .crypt. Auf die Dateien kann man nun nicht mehr zugreifen. Der Trojaner breitet sich in Windeseile über den gesamten PC und – wenn der PC an ein Netzwerk angeschlossen ist – über das gesamte Netzwerk aus. Mit dieser Methode wurden bereits komplette große Unternehmen lahmgelegt.

Auf dem Monitor erscheint eine Lösegeldforderung der Erpresser. Sobald man eine bestimmte Summe, meist in Form von Bitcoins, auf ein Konto überwiesen hat, sollen die Dateien wieder entschlüsselt werden. Dieser Forderung sollte man keinesfalls nachgehen! Denn die Erpresser haben in der Regel nur wenige Motive, die Daten wieder zu entschlüsseln. Ihnen geht es nur um das Geld. Man hat keine Sicherheit, dass die Daten auch wirklich entschlüsselt werden.

Krypto Trojaner Erpresser

Was kann man nach einer Verschlüsselung durch Ransomware tun?

Wenn der Fall eingetreten ist und ihr Gerät durch Ransomware infiziert wurde, gibt es ein paar Schritte, die Sie unternehmen können um den Schaden einzudämmen.

1.    Bewahren Sie Ruhe und isolieren Sie die Geräte

Trennen Sie sofort das oder die betroffenen Geräte vom lokalen Netzwerk und/oder vom Internet! So können Sie verhindern, dass sich der Trojaner über das Netzwerk auf andere Geräte ausbreiten kann. Schalten Sie die Geräte aus, indem Sie die Stromverbindung kappen. Dann ziehen Sie am besten die Netzwerkstecker. Um das Gerät vom Internet zu trennen, ziehen Sie den Netzwerkstecker des Routers. Ein weiterer Verschlüsselungsvorgang auf andere Systeme kann so verhindert werden. Auch Speichermedien wie NAS sollten Sie umgehend vom Netzwerk trennen, um die bereits vorhandene Datensicherung nicht zu gefährden.

2.    Scannen Sie alle Geräte auf ähnliche und zusätzliche Bedrohungen

Alle Geräte sollten nun auf Infizierungen hin geprüft werden. Scannen Sie die Geräte nicht nur auf Trojaner, sondern auch auf andere Gefahren. Es kann gut sein, dass nicht nur eine Schadsoftware installiert wurde.

3.    Identifizieren Sie die verantwortliche Ransomware

Versuchen Sie die verantwortliche Ransomware zu identifizieren. Die Kenntnis über die jeweilige Familie der Krypto Trojaner erleichtert die Online-Recherche nach Informationen über Abhilfemöglichkeiten erheblich. Dabei kann die „ID Ransomware“-Website eine Hilfe sein.

Während im Jahr 2017 vor allem Trojaner wie Locky und WannaCry ihr Unwesen trieben, lassen sich seit Februar 2019 vor allem die Ransomwares Emotet, Trickbot, Ryuk, GrandCrab, Troldesh, Rapid und Cerber beobachten. Allerdings gibt es für die meisten der Trojaner bereits mutierte Versionen, die je nach dem noch nicht von Abwehrprogrammen erkannt werden.

4.    Versuchen Sie die Daten zu entschlüsseln und den Trojaner zu entfernen

Wenn Sie wissen, mit welchem Trojaner Sie es zu tun haben, können sie nun versuchen ihn zu entfernen. Das Prozedere unterscheidet sich je nach Schadsoftware. Die Rettung und Wiederherstellung der verschlüsselten Dateien gestalteten sich in den meisten Fällen als technisch äußerst schwierig. Meist ist es einfacher, die Software auf dem Gerät zurückzusetzen und das Betriebssystem neu zu installieren. Im Anschluss können die Daten aus einem Backup wiederhergestellt werden. Aus diesem Grund ist es für Unternehmen absolut essenziell, regelmäßige Backups auf externe und transportable Medien durchzuführen.

CryptoLocker

Beispiel: CryptoLocker und seine wechselnden Datei-Änderungen

In diesem Fall empfehlen sich folgende Schritte:

1.    Formatieren Sie das Gerät und setzen Sie es neu auf

Wenn möglich, formatieren und installieren Sie das Gerät neu. Normalerweise ist dies der einfachste und sauberste Weg, eine Ransomware Infektion zu entfernen. In einigen Fällen gibt es Entfernungswerkzeuge und Tools für bestimmte Ransomware-Familien (siehe oben), die Sie als Alternative in Betracht ziehen können.

2.    Spielen Sie die Daten aus einem Backup ein

Stellen Sie die Daten aus bereinigten Backups wieder her. Wenn verfügbar und bereinigt, können die verschlüsselten Daten durch Wiederherstellung aus Backup-Dateien ersetzt (nicht wiederhergestellt) werden. In Fällen, in denen keine Entschlüsselung möglich ist, ist das die von Strafverfolgungsbehörden und Sicherheitsexperten empfohlene Methode, um die Bezahlung der für Krypto Trojaner verantwortlichen Kriminellen zu vermeiden. Ein gewisser Datenverlust muss hierbei allerdings in Kauf genommen werden.

3.    Achten Sie auf aktuelle Updates

Bewerten Sie die Security der installierten Software neu. Um ein Wiederauftreten der Ransomware zu verhindern, stellen Sie sicher, dass die installierte Software (einschließlich des Betriebssystems) mit den neuesten Sicherheitspatches auf dem neuesten Stand ist.

4.    Melden Sie den Angriff der zuständigen Behörde

Melden Sie den Vorfall an die zuständige lokale Strafverfolgungsbehörde. Jedes Land geht mit Vorfällen von Cyberkriminalität unterschiedlich um, aber die meisten nationalen Strafverfolgungsbehörden ermutigen betroffene Unternehmen, Vorfälle zu melden und die Zahlung von Lösegeldern zu vermeiden.

WannaCry

Beispiel: WannaCry

Wie können Sie einem Angriff durch Verschlüsselungs-Trojaner vorbeugen?

Sie sollten eine Reihe einfacher Vorsichtsmaßnahmen treffen, damit Sie kein Opfer von Ransomware werden:

1.    Datensicherung und Backups anlegen

Sichern Sie alle notwendigen Dateien regelmäßig und speichern Sie sie an einem Ort, der nicht mit dem Computer oder Netzwerk verbunden ist. Das bedeutet, dass selbst wenn Ihr Computer oder Ihr Netzwerk betroffen ist, Sie immer noch über saubere Backups verfügen.

2.    Regelmäßige Updates durchführen

Halten Sie Ihre Systeme immer auf dem neuesten Stand. Einer der Hauptgründe, warum sich Ransomware einschleichen kann, sind Sicherheitslücken durch nicht erfolgte Updates. Sie sollten alle Updates der installierten Betriebssysteme und Anwendungen regelmäßig durchführen, so dass keine Schwachstellen offen sind.

 

Ransomware vorbeugen

3.    Anti-Virenscanner und Firewall aktivieren

Aktivieren Sie alle Sicherheitsfunktionen Ihrer Antivirenlösung (z.B. Kaspersky, Avast, Sophos, Avira, Bitdefender, Norton) und halten Sie sie mit den neuesten Signaturdatenbanken auf dem neuesten Stand.

4.    Auf den E-Mail-Absender achten

Öffnen Sie keine E-Mails von unbekannten Absendern. Insbesondere wenn sie einen Anhang oder einen Link enthalten.

5.    Einstellungen in Microsoft und Microsoft Office beachten

Aktivieren Sie in Windows „Versteckte Dateien, Ordner und Laufwerke anzeigen“ und deaktivieren Sie „Erweiterung der bekannten Dateitypen ausblenden“. Auf diese Weise können Sie Dateien mit mehreren Dateierweiterungen erkennen.

Stellen Sie in Microsoft Office außerdem sicher, dass die Einstellungen für „Makroeinstellungen“ auf „Makros mit Benachrichtigung deaktivieren“ eingestellt sind. Dadurch wird verhindert, dass Makros automatisch ausgeführt werden, wenn die Dokumentdatei geöffnet wird. Das macht es den Krypto Trojanern auf jeden Fall schwerer, ein Gerät zu infizieren.

In Office 2016 können Sie die Einstellungen darüber hinaus so ändern, dass Makros in Dokumenten, die aus dem Internet kommen, überhaupt nicht ausgeführt werden können. Diese neue Funktion wurde als Reaktion auf das Wiederauftauchen von Makro-Malware hinzugefügt.

So können wir Ihnen bei einem Krypto Trojaner helfen

Die Angriffe von Ransomware auf Unternehmen steigen seit Anfang des Jahres rapide an. Viele Unternehmen sind darauf nicht vorbereitet und verfügen nicht über ausreichende Sicherungen. Wir können Ihnen als IT Systemhaus in Nürnberg sowohl dabei helfen, Ihre Systeme ausreichend abzusichern, als auch Ihre Systeme nach einer Attacke wieder lauffähig zu machen.

Wir halten grundsätzlich nichts davon, auf die Forderungen der Erpresser einzugehen. Stattdessen konzentrieren wir uns auf die Rettung Ihrer Daten bzw. auf die Wiederherstellung der Daten. Wenn es möglich ist, übernehmen wir vollumfänglich die Entschlüsselung Ihrer Daten. Andernfalls versuchen wir Ihre Serverlandschaft und Ihre befallenen PCs neu aufzusetzen, die Betriebssystem- und Anwendungssoftware neu zu installieren und die Daten aus Backups neu aufzuspielen (gilt für jedes System wie Windows, macOS). Nur so ist sichergestellt, dass keine schädliche Software mehr irgendwo in einer Komponente versteckt ist und dass Ihr System wieder lauffähig ist und dass keine schädliche Software zurückbleibt.

Wir erarbeiten außerdem für unsere Kunden ein individuelles Backup-Konzept, das Sie langfristig vor Cyberkriminalität schützen kann. Dabei übernehmen wir gerne die komplette Abwicklung und regelmäßige Kontrolle.

Zögern Sie nicht

Schnelles Handeln ist wichtig. Kontaktieren Sie unsere Experten für IT-Sicherheitstechnik.

Tel: 0911 5876760

Mail: info@herrmann-computer.de