Hilfe, mein Computer erpresst mich! Der Ransomware-Krisenplan.

Man war immer vorsichtig mit E-Mail-Anhängen, die Anti-Virus-Software ist immer auf dem neusten Stand und trotzdem hat er zugeschlagen: der Kryp­to­trojaner! Meistens erfährt man es erst, wenn es eigentlich schon zu spät ist und alle Dateien verschlüsselt sind. Denn erst, wenn sie ihre Arbeit erledigt haben, weisen die meisten Trojaner auf ihre Existenz durch veränderte Desktop-Hinter­gründe oder geöffnete Text­dateien hin. Wir klären auf, wie man in dieser Situation am besten reagiert.

PDF-Download der Anleitung zum Ransomware Incident Response

1. Die Sofortreaktion

Wenn Sie erste Anzeichen von Ver­schlüs­selungs­aktivitäten auf Ihrem Rechner feststellen, z.B. durch langsame Reaktion des Rechners oder sich ver­ändernde Datei­namen, sollten Sie schnell reagieren und Sofort­maßnahmen ergreifen. Wenn der Trojaner mit der Ver­schlüs­selung der Daten beschäftigt ist und noch keine Lösegeld­forderung erschienen ist, sollten Sie den Rechner schnellst­möglich ausschalten, gege­benen­falls vom Strom trennen, und nicht mehr neu starten. Trennen Sie außerdem verbundene Speicher­medien wie USB-Sticks oder externe Festplatten. Falls Sie erst durch die Lösegeld­forderung auf den Trojaner aufmerksam gemacht wurden, ist die Verschlüs­selung der Dateien normalerweise bereits abgeschlossen. Nichtsdesto­trotz sollten Sie den Rechner vom Internet und Intranet trennen, können ihn aber noch laufen lassen, um die Art des Trojaners festzu­stellen und gegebenen­falls noch Dateien zu sichern. Das Trennen des Internets funktioniert am leichtesten über das Ziehen des Netzwerk­steckers oder das Deaktivieren des WLAN-Adapters.

Falls der Rechner Teil eines Firmen­netzwerks ist und zum Beispiel Zugriff auf gemeinsame Netzlauf­werke hat, sollten Sie überprüfen wie weit diese Lauf­werke und weitere Rechner betroffen sind. In diesem Fall wird die Kontaktaufnahme mit einem Sicher­heits­experten von aramido empfohlen: Kontakt aufnehmen.

2. Entscheidungen zum weiteren Vorgehen

Bevor Sie nun weitere Schritte einleiten, sollten Sie einige Fragen klären:

1. Soll der Vorfall juristisch und technisch aufbereitet werden?
2. Sind Backups vorhanden und wie alt ist das jüngste Backup?
3. Welchen Wert haben die verschlüsselten Dateien für Sie?

Die erste Frage entscheidet darüber wie vorsichtig bei der System­wiederher­stellung vorgegangen werden muss. Wenn eine fachmännische digitale Forensik durchgeführt werden soll, um gerichts­verwertbare Beweise zu sichern, um Dateien aus dem Arbeits­speicher zu retten oder um den Weg, über den der Trojaner auf den Rechner gelangt ist, festzustellen, sollten Sie diese Arbeiten durch einen Spezialisten durchführen lassen. Die IT-Sicherheits­experten von aramido führen für Sie eine fach­gerechte digitale Forensik durch.

Auch wenn Sie keine Beweis­sicherung vorge­nommen haben, sollten Sie die Erpressung bei der zuständigen Polizei­dienststelle zur Anzeige bringen. Auf diese Weise tragen Sie dazu bei den Ermittlungs­druck gegen die Hinter­männer der Ransom­ware-Welle zu vergrößern.

Als nächstes sollten Sie über­prüfen, ob ein funktions­fähiges Backup vorhanden ist und wie viele Dateien sich seit dem letzten Backup geändert haben.

Wenn Sie abschätzen können, wie viele Dateien im Zweifels­fall verloren gegangen sind und welchen Wert die darin gespeicherten Daten für Sie haben, können Sie entscheiden, ob es sich lohnt einen Sicherheits­experten hinzu­zu­ziehen. Dieser kann untersuchen, ob einzelne Dateien wiederher­gestellt werden können und Sie bei der Frage beraten, ob Sie auf die Lösegeld­forderung der Erpresser eingehen sollten. Zu dieser Thematik werden wir auch noch im weiteren Verlauf der Artikelserie Ransomware berichten

Als Privatperson lohnt es sich in den meisten Fällen nur bei drohen­dem Verlust von sehr wert­vollen Dateien professio­nelle Hilfe einzu­schalten. Bei Unternehmen geht es aber nicht nur darum wertvolle Geschäfts­daten zu retten, sondern auch ähnliche Fälle in Zukunft zu vermeiden. Außerdem sind Unter­nehmen dazu ver­pflichtet Ge­schäfts­daten für eine be­stimmte Zeit zu speichern und hierfür ent­sprechende Maß­nahmen zu treffen.

3. Die Systemwiederherstellung

Nachdem Sie nun im vorherigen Schritt gegebenenfalls eine Sicherung des aktuellen Festplatten­zustands durchgeführt haben, ist es als nächstes ratsam das komplette System neu auf­zu­setzen. Nur durch das Löschen der vermut­lichen Malware können Sie noch nicht sicher sein, dass sich der Trojaner nicht innerhalb des Systems weiter verbreitet hat. Die Neu­installation lassen Sie entweder durch Ihren System­adminis­trator durchführen oder Sie folgen den Informa­tionen auf der Web­seite des Her­stellers Ihres Betriebs­systems. Identi­fizieren Sie für eine fundierte Diagnose die Art des Befalls, um den Umfang der Infektion ein­schätzen zu können und beispiels­weise eine Ver­änderung der Firmware aus­schließen zu können.

4. Die Verhinderung des Wiederholungsfalls

Nach der Incident Response und der Disaster Recovery folgt die Nach­berei­tung des Vorfalls, um eine Wieder­holung zu vermeiden. Dazu ist es von Interesse wie der Trojaner auf das System gekommen ist. Typischer­weise infizieren Verschlüsselungs­trojaner Systeme durch verseuchte E-Mail-Anhänge oder als Drive-By-Downloads beim Besuch von infi­zierten Webseiten. Wie man sich präventiv gegen eine Infektion mit einem Trojaner schützt, werden wir in einem weiteren Teil dieser Artikelserie diskutieren.