Ransomeware Incidence Response by aramido

Hilfe, mein Computer erpresst mich! Der Ransomware-Krisenplan.

Dieser Artikel ist Teil einer Artikelserie zum Thema Ransomware. Alle Artikel der Serie finden Sie auf unserer Ransomware-Themenseite.

Man war immer vorsichtig mit E-Mail-AnhĂ€ngen, die Anti-Virus-Software ist immer auf dem neusten Stand und trotzdem hat er zugeschlagen: der Kryp­to­trojaner! Meistens erfĂ€hrt man es erst, wenn es eigentlich schon zu spĂ€t ist und alle Dateien verschlĂŒsselt sind. Denn erst, wenn sie ihre Arbeit erledigt haben, weisen die meisten Trojaner auf ihre Existenz durch verĂ€nderte Desktop-Hinter­grĂŒnde oder geöffnete Text­dateien hin. Wir klĂ€ren auf, wie man in dieser Situation am besten reagiert.

PDF-Download der Anleitung zum Ransomware Incident Response

1. Die Sofortreaktion

Wenn Sie erste Anzeichen von Ver­schlĂŒs­selungs­aktivitĂ€ten auf Ihrem Rechner feststellen, z.B. durch langsame Reaktion des Rechners oder sich ver­Ă€ndernde Datei­namen, sollten Sie schnell reagieren und Sofort­maßnahmen ergreifen. Wenn der Trojaner mit der Ver­schlĂŒs­selung der Daten beschĂ€ftigt ist und noch keine Lösegeld­forderung erschienen ist, sollten Sie den Rechner schnellst­möglich ausschalten, gege­benen­falls vom Strom trennen, und nicht mehr neu starten. Trennen Sie außerdem verbundene Speicher­medien wie USB-Sticks oder externe Festplatten. Falls Sie erst durch die Lösegeld­forderung auf den Trojaner aufmerksam gemacht wurden, ist die VerschlĂŒs­selung der Dateien normalerweise bereits abgeschlossen. Nichtsdesto­trotz sollten Sie den Rechner vom Internet und Intranet trennen, können ihn aber noch laufen lassen, um die Art des Trojaners festzu­stellen und gegebenen­falls noch Dateien zu sichern. Das Trennen des Internets funktioniert am leichtesten ĂŒber das Ziehen des Netzwerk­steckers oder das Deaktivieren des WLAN-Adapters.

Falls der Rechner Teil eines Firmen­netzwerks ist und zum Beispiel Zugriff auf gemeinsame Netzlauf­werke hat, sollten Sie ĂŒberprĂŒfen wie weit diese Lauf­werke und weitere Rechner betroffen sind. In diesem Fall ist die sofortige Kontakt­ierung eines Sicher­heits­experten von aramido unter der Notfall­nummer +49 721 45199 112 angeraten.

2. Entscheidungen zum weiteren Vorgehen

Bevor Sie nun weitere Schritte einleiten, sollten Sie einige Fragen klÀren:

  1. Soll der Vorfall juristisch und technisch aufbereitet werden?
  2. Sind Backups vorhanden und wie alt ist das jĂŒngste Backup?
  3. Welchen Wert haben die verschlĂŒsselten Dateien fĂŒr Sie?

Die erste Frage entscheidet darĂŒber wie vorsichtig bei der System­wiederher­stellung vorgegangen werden muss. Wenn eine fachmĂ€nnische digitale Forensik durchgefĂŒhrt werden soll, um gerichts­verwertbare Beweise zu sichern, um Dateien aus dem Arbeits­speicher zu retten oder um den Weg, ĂŒber den der Trojaner auf den Rechner gelangt ist, festzustellen, sollten Sie diese Arbeiten durch einen Spezialisten durchfĂŒhren lassen. Die IT-Sicherheits­experten von aramido fĂŒhren fĂŒr Sie eine fach­gerechte digitale Forensik durch.

Auch wenn Sie keine Beweis­sicherung vorge­nommen haben, sollten Sie die Erpressung bei der zustĂ€ndigen Polizei­dienststelle zur Anzeige bringen. Auf diese Weise tragen Sie dazu bei den Ermittlungs­druck gegen die Hinter­mĂ€nner der Ransom­ware-Welle zu vergrĂ¶ĂŸern.

Als nĂ€chstes sollten Sie ĂŒber­prĂŒfen, ob ein funktions­fĂ€higes Backup vorhanden ist und wie viele Dateien sich seit dem letzten Backup geĂ€ndert haben.

Wenn Sie abschĂ€tzen können, wie viele Dateien im Zweifels­fall verloren gegangen sind und welchen Wert die darin gespeicherten Daten fĂŒr Sie haben, können Sie entscheiden, ob es sich lohnt einen Sicherheits­experten hinzu­zu­ziehen. Dieser kann untersuchen, ob einzelne Dateien wiederher­gestellt werden können und Sie bei der Frage beraten, ob Sie auf die Lösegeld­forderung der Erpresser eingehen sollten. Zu dieser Thematik werden wir auch noch im weiteren Verlauf der Artikelserie Ransomware berichten

Als Privatperson lohnt es sich in den meisten FĂ€llen nur bei drohen­dem Verlust von sehr wert­vollen Dateien professio­nelle Hilfe einzu­schalten. Bei Unternehmen geht es aber nicht nur darum wertvolle GeschĂ€fts­daten zu retten, sondern auch Ă€hnliche FĂ€lle in Zukunft zu vermeiden. Außerdem sind Unter­nehmen dazu ver­pflichtet Ge­schĂ€fts­daten fĂŒr eine be­stimmte Zeit zu speichern und hierfĂŒr ent­sprechende Maß­nahmen zu treffen.

Die Sicherheitsexperten von aramido helfen Ihnen durch Krisen-Einsatz­plĂ€ne auf Not­fĂ€lle vorbereitet zu sein.

3. Die Systemwiederherstellung

Nachdem Sie nun im vorherigen Schritt gegebenenfalls eine Sicherung des aktuellen Festplatten­zustands durchgefĂŒhrt haben, ist es als nĂ€chstes ratsam das komplette System neu auf­zu­setzen. Nur durch das Löschen der vermut­lichen Malware können Sie noch nicht sicher sein, dass sich der Trojaner nicht innerhalb des Systems weiter verbreitet hat. Die Neu­installation lassen Sie entweder durch Ihren System­adminis­trator durchfĂŒhren oder Sie folgen den Informa­tionen auf der Web­seite des Her­stellers Ihres Betriebs­systems. Identi­fizieren Sie fĂŒr eine fundierte Diagnose die Art des Befalls, um den Umfang der Infektion ein­schĂ€tzen zu können und beispiels­weise eine Ver­Ă€nderung der Firmware aus­schließen zu können.

4. Die Verhinderung des Wiederholungsfalls

Nach der Incident Response und der Disaster Recovery folgt die Nach­berei­tung des Vorfalls, um eine Wieder­holung zu vermeiden. Dazu ist es von Interesse wie der Trojaner auf das System gekommen ist. Typischer­weise infizieren VerschlĂŒsselungs­trojaner Systeme durch verseuchte E-Mail-AnhĂ€nge oder als Drive-By-Downloads beim Besuch von infi­zierten Webseiten. Wie man sich prĂ€ventiv gegen eine Infektion mit einem Trojaner schĂŒtzt, werden wir in einem weiteren Teil dieser Artikelserie diskutieren.

Eine Übersicht aller bereits veröffentlichter Artikel finden Sie auf unserer Themenseite Ransomware. Bisher sind außer diesem Artikel die folgenden Artikel erschienen:

FĂŒgen Sie den ersten Kommentar hinzu