Verschlüsselungstrojaner Locky - Datenverlust droht!

Verschlüsselungstrojaner Locky – Datenverlust droht!

Moritz Pastow Feb 23, 2016 Cloud-Service, Datenschutz, Datensicherheit, IT-Sicherheit, Ransomware

Auch 2016 stehen Unternehmen im Fokus von Cyber-Kriminellen. Glaubt man den IT-Sicherheitstrends für 2016, dann werden die Angriffe konzentrierter, ausgefeilter und zielgerichteter.

Ein aktuelles Beispiel ist der Verschlüsselungstrojaner Locky, der schlagartig ab dem 15.02.2016 schwerpunktmäßig in Deutschland sein Unwesen trieb. Problematisch: kaum ein Virenscanner oder Spamfilter erkannte die als Transportmittel benutzte E-Mail als gefährlich. Somit konnte Locky bis zu 5000 PCs pro Stunde infizieren und unzählige Dateien verschlüsseln. Wohl dem, der ein aktuelles Backup hat.

Kleine und mittelständische Unternehmen als Ziel

Gerade für kleine und mittelständische Unternehmen sind Gefahren aus dem Internet real. In den meisten Fällen werden ganz gezielt gerade sie angeschrieben. Inhalte sind oft Bewerbungen, Rechnungen und Angebote, aber auch angebliche PDF-Scans oder eingehende Faxe. Dinge, die in einem kleinen Unternehmen ganz alltäglich sind, wo jedoch die Sicherheitsstandards nicht so hoch sind wie in großen Unternehmen.

Bei Locky waren die E-Mails in gutem Deutsch verfasst und hatten den „klassischen“ Aufbau einer Geschäftsmail: Signatur mit Logo, Umsatzsteuer-Nummer, Handelsregister, Telefonnummern usw. Auf den ersten Blick eine seriöse E-Mail, die keinen Verdacht erweckt:

Word-Dokument mit tückischem Makro

Im Anhang ein auf den ersten Blick leeres Word-Dokument. Unsichtbar für den Anwender: ein Makro, das automatisch ausgeführt wird. Es wird keine entsprechende Meldung anzeigt, da das Dokument im .docm-Format vorliegt. Die Aufgabe des Makros ist das Nachladen der eigentlichen Schadsoftware aus dem Internet. Die heruntergeladene EXE-Datei beginnt dann im Hintergrund Dateien auf dem Rechner und allen Rechner im Netzwerk, die über Netzwerkfreigaben erreicht werden können, zu verschlüsseln. Die Netzwerkfreigaben müssen nicht mal auf dem Rechner selber eingebunden sein.

Hat die Schadsoftware Dateien verschlüsselt, hängt sie diesen eine Endung wie .locky an und legt in jedes Verzeichnis einen „Erpresserbrief“, eine Text- oder HTML-Datei mit Erläuterungen, wie der Geschädigte vorzugehen hat, um (angeblich) wieder an den Inhalt seiner Dateien zu kommen:

In den meisten Fällen wurde ein Lösegeld in Höhe von 0,5 bis 1 Bitcoin verlangt, etwa 200 bis 400 Euro.

Wie Sie Ihr Unternehmen und Ihre Dateien schützen

Locky ist nur das aktuellste Beispiel seiner Art. Weitere Ransomware-Beispiele sind TeslaCrypt, Cryptowall, Cryptolocker, Trun und viele mehr.

Egal um welche Schadsoftware es sich handelt: Opfer einer Crypto-Ransomware zu werden ist ärgerlich. Im besten Fall kostet es nur Zeit und Geld, bis Ihr IT-Dienstleister Ihre Systeme wieder am Laufen hat. Im schlimmsten Fall haben wir die Erfahrung gemacht, dass ein Unternehmen existenziell wichtige Kunden- und Auftragsdaten verloren hat. Das muss nicht sein. Mit einigen wenigen Schritten können Sie Ihr Unternehmen besser gegen die Bedrohung wappnen:

Sensibilisieren Sie Ihre Mitarbeiter: Kritisch sein bei „seltsamen“ oder unbekannten Mails, nicht jeden Anhang unbedacht öffnen und nicht jeden enthaltenen Link anklicken.
Lassen Sie von Ihrem Admin die Systeme so einstellen, dass die Dateiendungen angezeigt werden.
Blockieren Sie eingehende E-Mails, die Office-Dokumente mit Makros oder ZIP-Archive mit JavaScript-Dateien im Anhang haben. Lassen Sie diese von einem erfahrenen Administrator manuell prüfen und freigeben.
Unterbinden Sie wenn möglich das Herunterladen von Programmen aus dem Internet. Das sollte einzig dem Administrator vorbehalten sein.
Halten Sie Ihre Systeme aktuell. Ihr IT-Dienstleister hilft Ihnen hier gerne weiter.
Ein professionelles Umfeld verlangt eine professionelle Sicherheitslösung: geben Sie sich nicht mit kostenlosen Anti-Viren-Lösungen ab. Gerne stehen wir Ihnen bei der Auswahl mit Rat und Tat zur Seite.
Legen Sie regelmäßig in kurzen zeitlichen Abständen (mindestens einmal am Tag) Sicherungskopien sämtlicher Dateien an. Wenn möglich sichern Sie auch Snapshots von (virtuellen) Servern, das beschleunigt die Wiederherstellung enorm.
Beachten Sie die 3-2-1-Regel für Backups:
- Es sollten mindestens drei Kopien Ihrer Daten vorhanden sein
- Speichern Sie Ihre Kopien auf zwei unterschiedlichen Medien
- Bewahren Sie eine der Kopien an einem externen Speicherort auf
Überprüfen Sie Ihr Backup regelmäßig, damit Sie im Fall eines Falles einfach auf eine vorherige Version zurückgehen können.

Weitere gute Tipps, wie z.B. die Deaktivierung des Windows Skripting Hosts, Deaktivierung von Makros in Microsoft Office, oder die Deaktivierung von JavaScript in PDF-Viewern wie Acrobat Reader oder FoxIt Reader finden Sie auf blogfrei.de.

Wenn es doch passiert ist…

Kontaktieren Sie Ihren IT-Dienstleister
Fahren Sie möglichst schnell alle Systeme herunter, um eine weitere Ausbreitung der Schadsoftware zu verhindern.
Erstatten Sie Anzeige bei der zuständigen Polizeibehörde. Wenn möglich, bringen Sie eine Kopie der Schadsoftware mit, u.U. lassen sich darauf für die Polizei wichtige Ermittlungsansätze gewinnen.

Ein sanftes Ruhekissen: Ein aktuelles Backup

Trotz aller Vorsichtsmaßnahmen kann es vorkommen, dass es doch mal eine Schadsoftware in Ihr Unternehmensnetzwerk schafft und beginnt, Dateien zu verschlüsseln. Meistens fällt das relativ schnell auf. Doch bis erste Maßnahmen getroffen sind, um die weitere Ausbreitung zu stoppen sind unter Umständen schon wichtige Unternehmensdaten verschlüsselt.

Fatal, wenn man in diesem Fall feststellt, dass ein Backup

noch nicht gemacht wurde
schon sehr lange nicht mehr gemacht wurde
zwar vorhanden und aktuell ist, jedoch die Backup-Festplatte im Netzwerk hing und ebenfalls verschlüsselt wurde.

In solchen Fällen liegt der Schaden schnell im vier-, fünfstelligen Bereich. Eventuell drohen auch Image-Schäden oder der Verlust von Aufträgen.

Eine gute Idee: sicheres Cloud-Backup von DT Netsolution

DT Netsolution bietet Ihnen mit Hosted Backup eine Lösung an, die Sie vor Datenverlust absichert und so nachhaltige Sicherheit für Ihr Unternehmen schafft.

Ihre Daten liegen in aktuellster Version sicher verschlüsselt in einem deutschen Rechenzentrum außerhalb Ihres Unternehmensnetzwerks. Natürlich können Sie jederzeit auf Ihre Daten zugreifen. Nach einem Schadensfall sind sie in Kürze wieder einsatzbereit, müssen nicht Ihre Mitarbeiter für Stunden oder gar Tage nach Hause schicken und verlieren keine Aufträge, von denen vielleicht sogar die Zukunft Ihres Unternehmens abhängt.

Sie haben noch kein Backup oder denken über eine Optimierung Ihrer Lösung nach? Dann nehmen Sie jederzeit Kontakt mit uns auf, wir beraten Sie gerne!

Cloud-Service, Datenschutz, Datensicherheit, IT-Sicherheit, Ransomware

Cookie	Dauer	Beschreibung
_ga	2 years	Dieses Cookie wird von Google Analytics installiert. Das Cookie wird verwendet, um Besucher-, Sitzungs- und Kampagnendaten zu berechnen und die Nutzung der Website für den Analysebericht der Website zu verfolgen. Die Cookies speichern Informationen anonym und weisen eine zufällig generierte Nummer zu, um eindeutige Besucher zu identifizieren.
_gat_gtag_UA_1607059_1	1 minute	Dieses Cookie wird von Google Analytics installiert. Das Cookie wird verwendet, um Besucher-, Sitzungs- und Kampagnendaten zu berechnen und die Nutzung der Website für den Analysebericht der Website zu verfolgen. Die Cookies speichern Informationen anonym und weisen eine zufällig generierte Nummer zu, um eindeutige Besucher zu identifizieren.
_gid	1 day	Dieses Cookie wird von Google Analytics installiert. Das Cookie wird verwendet, um Informationen darüber zu speichern, wie Besucher eine Website nutzen, und hilft bei der Erstellung eines Analyseberichts über die Funktionsweise der Website. Die gesammelten Daten, einschließlich der Anzahl der Besucher, der Quelle, aus der sie stammen, und der Seiten, die in anonymer Form aufgerufen wurden.

Cookie	Dauer	Beschreibung
cookielawinfo-checkbox-functional	1 year	Das Cookie wird durch GDPR-Cookie-Einwilligung gesetzt, um die Benutzereinwilligung für die Cookies in der Kategorie "Funktional" aufzuzeichnen.
cookielawinfo-checkbox-others	1 year	Dieses Cookie wird vom GDPR Cookie Consent Plugin gesetzt. Die Cookies werden verwendet, um die Einwilligung des Benutzers für die Cookies in der Kategorie "Andere" zu speichern.

Flexible Arbeitsmodelle bei DT Netsolution

Microsoft Teams als Collaboration Enabler