zum Inhalt springen
Kontakt

Ransomware Locky – was tun wenn`s passiert ist

Jonas Stalder
eine Person mit Kapuzenpulli und einem IPad in der Hand

In 24 Stunden infiziert „Locky“, die aktuell bekannteste Ransomware, welche unter anderem ein Krankenhaus in Los Angeles lahm legte, beispielsweise in den USA 11’000 Rechner. Gemäss dem Netzwerkkonzern Palo Alto Networks seien bereits 400`000 Rechner weltweit betroffen. Viele fragen sich nun: Was kann man dagegen tun? Erfahre hier alles über die Funktionsweise der Ransomware, wie man sich im Vorfeld schützt und was man tut, wenn es passiert ist.

Faceless unknown unrecognizable anonymous man with digital tablet computer browsing internet.

Was passiert wenns passiert?

Der versierte Computernutzer macht sich ja zuweilen wenig Sorgen um seine Systeme. Echt jetzt! Was soll denn schon passieren? Die Kiste wird sowieso all halbes Jahr mal wieder neu aufgesetzt. Die Daten sind ja gesichert, sowohl auf dem NAS, im Netzwerk als auch in der Cloud. Nun ja, zu dumm, dass die vermeintliche Abholeinladung der Post in meinem Maileingang keine Abholeinladung war. Grunsätzlich hatte ich ja auch kein Paket erwartet, aber es h-ä-t-t-e ja sein können. Und so habe ich auf den Link im Mail geklickt und mir eine Malware auf den Rechner geladen. Genauer gesagt, eine «Ransomware». Zuerst habe ich davon kaum etwas bemerkt. Zuweilen fing der Lüfter des Laptops an etwas höher zu drehen und der Akku wurde recht schnell aufgebraucht. Im Hintergrund fing somit die Malware an systematisch nach meinen Dateien zu suchen und sie zu verschlüsseln. Meine Daten liegen generell im Onedrive-Ordner, damit sie möglichst in Echtzeit in die Cloud synchronisiert werden. Das passierte dann leider auch mit den verschlüsselten Daten, sodass auch diese in der Cloud synchronisiert wurden. Von den Orginalen liess die Ransomware nichts mehr übrig. Leidigerweise habe ich mein NAS als Netzwerkfreigabe gemountet. Mein Backup wurde also noch schneller überschrieben, als meine Daten in der Cloud. Und so stand ich nun da. Ohne Daten, dafür mit einer Lösegeldforderung einer… Software?!

Was ist eine Ransomware?

Die oben beschriebene Erfahrung haben in den letzten Monaten tausende von Computernutzern gemacht. Dabei betrifft es Unternehmen gleichermassen wie den Heimnutzer. Die aktuell kursierenden «Ransomwares» sind hoch entwickelte, äussert agile Viren, welche über bekannte Schwachstellen in Anwender- oder Systemsoftware auf den Rechner des Opers kommen. Dort suchen sie systematisch nach den Daten der Anwender um diese zu verschlüsseln ohne die orginalen Dateien übrig zu lassen. Dabei spielt es einer Ransomware keine Rolle, ob sich die Daten auf einen lokalen Speicher (SSD/Festplatte) oder auf einem Netzlaufwerk befinden. Im Gegenteil: Es wurden sogar Ransomware-Exemplare gefunden, welche systematisch versucht haben die Volumenschattenkopien (VSS) auf den Servern zu löschen um das schnelle Wiederherstellen von Daten zu verumöglichen. Zu guter letzt wird der Anwender zu einer Lösegeldzahlung aufgefordert, welche er meist in Bitcoins tätigen soll. Das Lösegeld wird dabei meist in einer Höhe angesetzt, die den Aufwand der (ohnehin aussichtslosen) Strafverfolgung nicht lohnt und tief genug ist, damit man die Daten auch zurück kaufen möchte.

Wie funktioniert eine Ransomware?

Ransomware sind, wie die meiste aktuelle Malware, nicht aus «einem Guss» programmiert, sondern das modulare Produkt eines hochentwickelten Baukastens. Um sich Zugang zum System des Opfers zu verschaffen nutzt die Ransomware eine «Vulnerability» (Persönliche Anmerkung des Autors: Kein Problem, ich kann das auch nicht korrekt aussprechen 😉 ), also eine bekannte Sicherheitslücke, wie sie jeden Tag aufs Neue gefunden und im Internet rapportiert wird. Ist der nötige Patch auf den System des Opfers nicht installiert nutzt die Ransomware einen Exploit (Softwarecode um die Vulnerability auszunutzten) und schleust sich selbst als sogenannte «Payload» auf den Rechner. In der Regel bestünde dann aber die Möglichkeit, dass die Payload durch einen Virenscanner erkannt wird. Technisch hochstehende Schädlinge wie «Cryptolocker» oder «Locky» installieren als Payload nicht die Malware selbst sondern nur einen Art «Bootloader» oder Agent, der den echten Schadcode aus dem Internet über einen Command & Control Server nachläd. Der Loader kann vom Virenautor recht aufwandsarm angepasst werden, wenn er mal von Virenscannern erkannt wird. Nebstdem ist es einfacher eine kleine Payload zu platzieren, als eine grosse. Nachdem die eigentliche Malware auf dem Rechner ist generiert Sie zuerst mittels eines komplexen «Schlüsselplans» verschiedene kryptografische Schlüssel zur Verschlüsselung der Daten und sorgt dafür, dass die Masterschlüssel ihren Weg zum C&C Server finden. Will der Nutzer am Schluss seine Daten zurück haben, erhält er (hoffentlich) nach Zahlung des Lösegelds über das Tor-Netzwerk, den Schlüssel zu seinen Daten zurück. Sicher sein kann und sollte man sich da aber nicht. Zudem wäre es ein negatives Signal, wenn diese Praktik Schule machen würde. Eine Kryptoanalyse, also das gewaltsame Entschlüsseln der Daten ohne den Schlüssel, ist um ein vielfaches aussichtloser als ein absichtlicher Gewinn im Lotto. Ransomware setzten in der Regel State-of-the-Art Verschlüsselungverfahren ein, welche auch mit umfangreichen, technischen Mitteln nicht zu knacken sind.

Wie kann ich mich schützten

Auch dieses Kapitel gilt gleichermassen für Unternehmen als auch für Privatpersonen. Die etwas ernüchterne Erkenntnis ist, dass nach einer Infektion nicht mehr viel gemacht werden kann. Die Daten sind erschreckend sicher verschlüsselt. Wichtig ist die Präventivarbeit und das wirklich sofortige, unverzügliche Handeln bei einem Befall.

Sofortmassnahmen bei einem Befall

  • Netzwerkstecker unverzüglich ziehen um das Ausbreiten im Netz möglichst zu vermeiden.
  • Ausschalten des Rechner per Stecker oder langem Druck auf die «Off-Taste». Auf keine Fall warten oder herunterfahren und riskieren, dass die VSS-Kopie gelöscht wird. Die Ransomware arbeitet sich von File zu File. Verschlüsseln ist hardwaretechnisch ein aufwändiger kryptografischer Prozess ähnlich wie das Komprimieren. Je weniger Zeit die Ransomware für das Verschlüsseln hat, desto mehr bleibt von den Daten übrig.
  • Rechner nicht mehr hochfahren sondern Festplatte ausbauen und an einem bootbaren PE- oder bootable Linux anschliessen und Daten sichern.
  • Sicherungskopie der Platte erstellen (Beweismittel und letzter Stand für weitere Rettungsversuche), danach Rechner bedingungslos neu aufsetzten.
  • Von einem anderen Rechner aus prüfen, ob der Cloudspeicher (OneDrive, Dropbox etc.) allenfalls Versionen der Daten angelegt hat. Dies aber nur über das WebUI prüfen. Es besteht die Gefahr, dass der Kryptolocker nun auch in der Cloud liegt.

Präventivmassnahmen

  • Prio A++ hat das Backup. Damit ist das Offline-Backup auf einen, am schwer- oder unveränderbaren Datenträger gemeint (z. B. ein Tape). Daten, auf welche nicht zugegriffen werden kann können auch nicht verschlüsselt werden. Deshalb lohnt sich das tägliche und akribische Kontrollieren von Backupverlauf- und konsistenz. Macht zwar ein paar Minuten Aufwand, kann jedoch ein Unternehmen vor dem Ruin retten (nicht im übertragenden Sinn, sondern wörtlich).
  • Patchen, Patchen, Patchen! Damit ist alle Software gemeint, nicht nur WSUS-Updates, welche bequem und selbstständig auf das System kommen. Jegliche Software, insbesondere Browser, Office, Acrobat Reader und Java müssen auf dem aktuellen Stand sein. Ransomware kommt nicht von alleine auf das System sondern braucht immer einen Türöffner in Form einer Sicherheitslücke. Je weniger Lücken vorhanden sind, desto kleiner wird der Angriffsvektor.
  • Minimale Rechte: Entziehen Sie Ihren Mitarbeitenden und vor allem sich selbst jegliche Rechte, welche nicht zum arbeiten benötigt werden. Die Ramsomware agiert im Regelfall mit den Rechten des angemeldeten Benutzers. Wenn die Mitarbeitenden der Spedition nur auf die Daten der Spedition Zugriff haben ist die Chance gross, das auch nur diese Daten verschlüsselt werden. Hat jedoch die Spedition auch Zugriff auf die Produktion, die Buchhaltung, den Mangement-Ordner und die IT-Dokumente… erklärt sich von selbst, nicht?!
  • Volumenschattenkopien (VSS) aktiveren: Die Volumenschattenkopie, resp. das «Computerschutz»-Feature auf Client-Systemen ermögilchen das Anlegen mehrere Versionen eines Dokuments, welche im Notfall wiederhergestellt werden können. Hat der angemeldete Benutzer aber zu hohe Rechte kann die Ransomware die VSS-Kopien aber auch löschen. Deshalb: möglichst nicht mit Admin-Rechten arbeiten.
  • IPS-Systeme auf C&C-Erkennung bürsten: Viele Firewall- und IPS-Hersteller bringen Ihren Geräten das Erkennen von C&C-Traffic , der zum Nachladen der Ransomware benötigt wird, bei. Kann der C&C-Server firewallbedingt nicht erreicht werden, wird auch keine Ransomware nachgeladen. Kein permanenter Schutz, aber das überbrückt vielleicht die Zeit bis der Virenscanner den Angriff erkennen kann.
  • Software-Restrictions oder Applocker verhindern, dass Programme aus Verzeichnissen ausgeführt werden können, in welchen eigentlich keine Programme liegen sollten. Jede seriöse Software wird durch den Administrator ins Programmverzeichnis (z. B. C:\Programme) installiert und von dort ausgeführt. Ransomware hingegen aggieren meist mit Benutzerrechten aus Verzeichnissen wie dem Appdata-Verzeichnis (z. B. C:\Users\Benutzername\AppData\Roaming) und oder temporären Verzeichnissen (C:\Users\Benutzername\AppData\Local\Temp). Ist dies nicht erlaubt erfolgt auch keine Infektion.