Ransomeware Incidence Response by aramido

Hilfe, mein Computer erpresst mich! Der Ransomware-Krisenplan.

Dieser Artikel ist Teil einer Artikelserie zum Thema Ransomware. Alle Artikel der Serie finden Sie auf unserer Ransomware-Themenseite.

Man war immer vorsichtig mit E-Mail-Anh√§ngen, die Anti-Virus-Software ist immer auf dem neusten Stand und trotzdem hat er zugeschlagen: der Kryp­to­trojaner! Meistens erf√§hrt man es erst, wenn es eigentlich schon zu sp√§t ist und alle Dateien verschl√ľsselt sind. Denn erst, wenn sie ihre Arbeit erledigt haben, weisen die meisten Trojaner auf ihre Existenz durch ver√§nderte Desktop-Hinter­gr√ľnde oder ge√∂ffnete Text­dateien hin. Wir kl√§ren auf, wie man in dieser Situation am besten reagiert.

PDF-Download der Anleitung zum Ransomware Incident Response

1. Die Sofortreaktion

Wenn Sie erste Anzeichen von Ver­schl√ľs­selungs­aktivit√§ten auf Ihrem Rechner feststellen, z.B. durch langsame Reaktion des Rechners oder sich ver­√§ndernde Datei­namen, sollten Sie schnell reagieren und Sofort­ma√ünahmen ergreifen. Wenn der Trojaner mit der Ver­schl√ľs­selung der Daten besch√§ftigt ist und noch keine L√∂segeld­forderung erschienen ist, sollten Sie den Rechner schnellst­m√∂glich ausschalten, gege­benen­falls vom Strom trennen, und nicht mehr neu starten. Trennen Sie au√üerdem verbundene Speicher­medien wie USB-Sticks oder externe Festplatten. Falls Sie erst durch die L√∂segeld­forderung auf den Trojaner aufmerksam gemacht wurden, ist die Verschl√ľs­selung der Dateien normalerweise bereits abgeschlossen. Nichtsdesto­trotz sollten Sie den Rechner vom Internet und Intranet trennen, k√∂nnen ihn aber noch laufen lassen, um die Art des Trojaners festzu­stellen und gegebenen­falls noch Dateien zu sichern. Das Trennen des Internets funktioniert am leichtesten √ľber das Ziehen des Netzwerk­steckers oder das Deaktivieren des WLAN-Adapters.

Falls der Rechner Teil eines Firmen­netzwerks ist und zum Beispiel Zugriff auf gemeinsame Netzlauf­werke hat, sollten Sie √ľberpr√ľfen wie weit diese Lauf­werke und weitere Rechner betroffen sind. In diesem Fall ist die sofortige Kontakt­ierung eines Sicher­heits­experten von aramido unter der Notfall­nummer +49 721 45199 112 angeraten.

2. Entscheidungen zum weiteren Vorgehen

Bevor Sie nun weitere Schritte einleiten, sollten Sie einige Fragen klären:

  1. Soll der Vorfall juristisch und technisch aufbereitet werden?
  2. Sind Backups vorhanden und wie alt ist das j√ľngste Backup?
  3. Welchen Wert haben die verschl√ľsselten Dateien f√ľr Sie?

Die erste Frage entscheidet dar√ľber wie vorsichtig bei der System­wiederher­stellung vorgegangen werden muss. Wenn eine fachm√§nnische digitale Forensik durchgef√ľhrt werden soll, um gerichts­verwertbare Beweise zu sichern, um Dateien aus dem Arbeits­speicher zu retten oder um den Weg, √ľber den der Trojaner auf den Rechner gelangt ist, festzustellen, sollten Sie diese Arbeiten durch einen Spezialisten durchf√ľhren lassen. Die IT-Sicherheits­experten von aramido f√ľhren f√ľr Sie eine fach­gerechte digitale Forensik durch.

Auch wenn Sie keine Beweis­sicherung vorge­nommen haben, sollten Sie die Erpressung bei der zust√§ndigen Polizei­dienststelle zur Anzeige bringen. Auf diese Weise tragen Sie dazu bei den Ermittlungs­druck gegen die Hinter­m√§nner der Ransom­ware-Welle zu vergr√∂√üern.

Als n√§chstes sollten Sie √ľber­pr√ľfen, ob ein funktions­f√§higes Backup vorhanden ist und wie viele Dateien sich seit dem letzten Backup ge√§ndert haben.

Wenn Sie absch√§tzen k√∂nnen, wie viele Dateien im Zweifels­fall verloren gegangen sind und welchen Wert die darin gespeicherten Daten f√ľr Sie haben, k√∂nnen Sie entscheiden, ob es sich lohnt einen Sicherheits­experten hinzu­zu­ziehen. Dieser kann untersuchen, ob einzelne Dateien wiederher­gestellt werden k√∂nnen und Sie bei der Frage beraten, ob Sie auf die L√∂segeld­forderung der Erpresser eingehen sollten. Zu dieser Thematik werden wir auch noch im weiteren Verlauf der Artikelserie Ransomware berichten

Als Privatperson lohnt es sich in den meisten F√§llen nur bei drohen­dem Verlust von sehr wert­vollen Dateien professio­nelle Hilfe einzu­schalten. Bei Unternehmen geht es aber nicht nur darum wertvolle Gesch√§fts­daten zu retten, sondern auch √§hnliche F√§lle in Zukunft zu vermeiden. Au√üerdem sind Unter­nehmen dazu ver­pflichtet Ge­sch√§fts­daten f√ľr eine be­stimmte Zeit zu speichern und hierf√ľr ent­sprechende Ma√ü­nahmen zu treffen.

Die Sicherheitsexperten von aramido helfen Ihnen durch Krisen-Einsatz­pl√§ne auf Not­f√§lle vorbereitet zu sein.

3. Die Systemwiederherstellung

Nachdem Sie nun im vorherigen Schritt gegebenenfalls eine Sicherung des aktuellen Festplatten­zustands durchgef√ľhrt haben, ist es als n√§chstes ratsam das komplette System neu auf­zu­setzen. Nur durch das L√∂schen der vermut­lichen Malware k√∂nnen Sie noch nicht sicher sein, dass sich der Trojaner nicht innerhalb des Systems weiter verbreitet hat. Die Neu­installation lassen Sie entweder durch Ihren System­adminis­trator durchf√ľhren oder Sie folgen den Informa­tionen auf der Web­seite des Her­stellers Ihres Betriebs­systems. Identi­fizieren Sie f√ľr eine fundierte Diagnose die Art des Befalls, um den Umfang der Infektion ein­sch√§tzen zu k√∂nnen und beispiels­weise eine Ver­√§nderung der Firmware aus­schlie√üen zu k√∂nnen.

4. Die Verhinderung des Wiederholungsfalls

Nach der Incident Response und der Disaster Recovery folgt die Nach­berei­tung des Vorfalls, um eine Wieder­holung zu vermeiden. Dazu ist es von Interesse wie der Trojaner auf das System gekommen ist. Typischer­weise infizieren Verschl√ľsselungs­trojaner Systeme durch verseuchte E-Mail-Anh√§nge oder als Drive-By-Downloads beim Besuch von infi­zierten Webseiten. Wie man sich pr√§ventiv gegen eine Infektion mit einem Trojaner sch√ľtzt, werden wir in einem weiteren Teil dieser Artikelserie diskutieren.

Eine Übersicht aller bereits veröffentlichter Artikel finden Sie auf unserer Themenseite Ransomware. Bisher sind außer diesem Artikel die folgenden Artikel erschienen:

F√ľgen Sie den ersten Kommentar hinzu