Ausgabe
- Sie möchten Ihr System zum Schutz vor Ransomware-Malware mit den bewährten Methoden konfigurieren
- Allgemeine Anti-Ransomware-Best-Practices für ESET-Produkte
- Allgemeine Anti-Ransomware-Praktiken
- Wiederherstellen verschlüsselter Dateien
Einzelheiten
Zum Erweitern klicken
Ransomware ist Malware, die ein Gerät sperren oder dessen Inhalt verschlüsseln kann, um vom Besitzer Geld für die Wiederherstellung des Zugriffs auf diese Ressourcen zu erpressen. Diese Art von Malware kann auch einen eingebauten Timer mit einer Zahlungsfrist haben, die eingehalten werden muss; andernfalls steigt der Preis für die Freigabe der Daten und der Hardware - oder die Informationen und das Gerät werden schließlich dauerhaft unzugänglich gemacht.
Ransomware ist eine Infektion, die persönliche Dateien und Daten verschlüsselt. In der Regel wird eine Workstation infiziert, und die Ransomware versucht dann, alle zugeordneten gemeinsamen Laufwerke zu verschlüsseln. Dies kann den Anschein erwecken, dass sich die Infektion über Ihr Netzwerk ausbreitet, obwohl dies nicht der Fall ist.
Während Ihre Dateien verschlüsselt sein können, ist Ihr System möglicherweise nicht infiziert. Dies ist möglich, wenn ein gemeinsam genutztes Laufwerk auf einem Dateiserver verschlüsselt ist, der Server selbst aber nicht mit der Malware infiziert ist (es sei denn, es handelt sich um einen Terminalserver).
Andere Beispiele für bekannte Ransomware sind:
- Win32/Filecoder
- Filecoder.WannaCryptor
- Win32/Filecoder.TeslaCrypt.A (TeslaCrypt) oder Win32/Filecoder.Locky.A Infektion nach dem Öffnen einer E-Mail von einer unbekannten Quelle oder ZIP-Dateien aus einer solchen E-Mail
- "CryptoLocker", "Cryptowall", "Dirty decrypt" und "CTB locker"
- Win32/TrojanDownload.Elenoocka.A
- Win32/Gpcode
Lösung
Die aktuellen Versionen der ESET-Produkte nutzen mehrere Technologieebenen, um Computer vor Ransomware zu schützen.
Beispiele für diese Technologien sind Advanced Memory Scanner, ESET LiveGrid® Reputation System und Exploit Blocker.
Darüber hinaus bieten die neuesten ESET-Produkte ein erweitertes Botnet-Schutzmodul, das die Kommunikation zwischen Ransomware und Command and Control (C&C)-Servern blockiert.
Allgemeine ESET Produkt Anti-Ransomware Best Practices
-
Lassen Sie Advanced Memory Scanner und Exploit Blocker aktiviert
Diese beiden Funktionen sind in ESET-Produkten der Version 5 und höher standardmäßig aktiviert. Diese neu entwickelten ESET-Algorithmen verstärken den Schutz vor Malware, die entwickelt wurde, um die Erkennung durch Anti-Malware-Produkte zu umgehen, indem sie verschleiert und/oder verschlüsselt wird.
Advanced Memory Scanner sucht nach verdächtigem Verhalten, nachdem sich Malware im Speicher enttarnt hat, und Exploit Blocker verstärkt den Schutz vor gezielten Angriffen und bisher unbekannten Sicherheitslücken, auch bekannt als Zero-Day-Schwachstellen.
Um maximalen Schutz zu gewährleisten, empfehlen wir Ihnen, Ihre ESET-Produkte auf die neueste Version zu aktualisieren:
-
privatanwender: Welches ESET-Produkt habe ich und ist es die neueste Version? (Privatanwender) -
geschäftskunden: Habe ich die neueste Version von ESET Business Produkten?
-
-
ESET LiveGrid aktiviert lassen
Das ESET Cloud Malware Protection System basiert auf ESET LiveGrid. Es überwacht unbekannte und potenziell bösartige Anwendungen und unterzieht Proben einer automatischen Sandboxing- und Verhaltensanalyse.
Stellen Sie sicher, dass ESET LiveGrid® Reputation und ESET LiveGrid® Feedback System aktiviert ist und funktioniert in Ihrem ESET Produkt.
-
Halten Sie ESET auf dem neuesten Stand
Neue Varianten bestehender Ransomware werden häufig veröffentlicht. Daher ist es wichtig, dass Sie regelmäßig Updates der Virendatenbank erhalten (Ihr ESET-Produkt sucht stündlich nach Updates, vorausgesetzt, Sie verfügen über eine gültige Lizenz und eine funktionierende Internetverbindung).
-
Benutzer von virtuellen Maschinen
Für den besten Schutz vor Ransomware-Malware empfehlen wir die Verwendung von ESET Endpoint Security in virtuellen Umgebungen.
-
Stellen Sie sicher, dass Sie Ransomware Shield aktiviert haben
Ransomware Shield als Teil der Self-Defense-Technologie ist eine weitere Schutzebene, die als Teil der HIPS-Funktion arbeitet. Weitere Informationen finden Sie unter Ransomware-Schutz im ESET-Glossar und wie man ihn in ESET-Produkten konfiguriert.
-
Konfigurieren Sie zusätzliche Einstellungen zum Schutz vor Ransomware in ESET Business Produkten manuell oder mit ESET PROTECT On-Prem/ESET PROTECT Policy
-
Benachrichtigungen
Allgemeine Anti-Ransomware-Best-Practices - Minimieren Sie Ihr Risiko durch verschlüsselungsbasierte Malware (Ransomware)
-
Erstellen Sie Sicherungskopien von Ihrem System
Planen Sie, regelmäßig Backups Ihres Systems zu erstellen, und bewahren Sie mindestens ein solches Backup im Offline-Speicher auf, um Ihre neuesten Arbeiten vor einem Angriff zu schützen.
-
Benutzerberechtigungen und Einschränkung von Rechten
Es gibt viele Arten von Beschränkungen, z. B. die Beschränkung des Zugriffs auf Anwendungsdaten und sogar einige, die als Gruppenrichtlinienobjekt (GPO) vordefiniert sind.
-
Deaktivieren Sie die Ausführung von Dateien aus den Ordnern AppData und LocalAppData.
-
Blockieren Sie die Ausführung aus dem Unterverzeichnis Temp (standardmäßig Teil der AppData-Struktur).
-
Blockieren Sie die Ausführung von Dateien, die aus den Arbeitsverzeichnissen verschiedener Dekomprimierungsprogramme (z. B. WinZip oder 7-Zip) ausgeführt werden.
Zusätzlich können Sie in ESET Endpoint Security/Antivirus, ESET Mail Security und ESET File Security HIPS-Regeln erstellen, um nur bestimmte Anwendungen auf dem Computer zuzulassen und alle anderen standardmäßig zu blockieren: Erstellen Sie eine HIPS-Regel und setzen Sie sie auf einem Client-Arbeitsplatz mit ESET PROTECT On-Prem durch.
-
-
Deaktivieren Sie nicht die Benutzerkontensteuerung (UAC)
Öffnen Sie keine Anhänge, die vorgeben, ein Fax, eine Rechnung oder eine Quittung zu sein, wenn sie einen verdächtigen Namen tragen oder Sie den Erhalt nicht erwartet haben.
Was kann ich tun, um das Risiko eines Malware-Angriffs zu minimieren?
-
Verwenden Sie eine Zwei-Faktoren-Authentifizierung (2FA)
Wir empfehlen ESET Secure Authentication.
-
Bedrohungsabwehr
Wir empfehlen ESET LiveGuard Advanced.
-
Deaktivieren Sie Makros in Microsoft Office über Gruppenrichtlinien
Office 2013/2016 (der folgende Link ist für 2013, aber es sind die gleichen Einstellungen für 2016): Sicherheitseinstellungen für VBA-Makros in Office planen
-
Halten Sie Ihr System auf dem neuesten Stand
Um den bestmöglichen Schutz zu gewährleisten, sollten Sie Ihr Betriebssystem und Ihre Anwendungen stets auf dem neuesten Stand halten. Installieren Sie die neuesten Updates mit hoher Priorität, die im Windows Update-Tool angeboten werden, und prüfen Sie regelmäßig oder aktivieren Sie die Funktion für automatische Updates. Neue Sicherheitsupdates schließen die Systemschwachstellen und verringern das Risiko eines Malware-Angriffs.
-
Potenzielle Ports/Dienste, die ausgenutzt werden können, wenn sie offen bleiben
Um zu verhindern, dass eine unbekannte IP-Adresse erfolgreiche Brute-Force-Angriffe durchführt, empfehlen wir dringend, SMB, SQL und RDP zu sperren.
-
SMB
Schließen Sie die Dateifreigabe-Ports 135-139 und 445. SMB-Ports sollten nicht für das Internet zugänglich sein.
-
SQL
Stellen Sie eine Whitelist mit vertrauenswürdigen IP-Adressen auf, die eine Verbindung zu SQL herstellen dürfen
-
RDP
-
Stoppen Sie RDP-Brute-Force-Angriffe von außen, indem Sie RDP für externe Verbindungen sperren. Verwenden Sie ein VPN mit Zwei-Faktor-Authentifizierung, um sich mit dem internen Netzwerk zu verbinden.
-
Legen Sie automatische Kontosperrungen nach einer bestimmten Anzahl von Fehlversuchen fest. Fügen Sie eine Wartezeit für die automatische Entsperrung ein, nachdem ein Konto gesperrt wurde.
-
Erzwingen Sie sichere Passwörter
-
Deaktivieren Sie häufig genutzte und standardmäßige Konten, z. B. Administrator, admin oder root
-
Aufnahme bestimmter Benutzer und Gruppen in die Whitelist, um die Anmeldung über RDP zu ermöglichen
-
Bestimmte IP-Adressen auf die Whitelist setzen, um eine RDP-Verbindung zu ermöglichen
-
-
-
Bewährte Praktiken für das Remotedesktopprotokoll zum Schutz vor Angriffen
Verschlüsselungsbasierte Malware greift häufig über das in Windows integrierte Remote Desktop Protocol (RDP) auf Zielcomputer zu. RDP ermöglicht es anderen, sich aus der Ferne mit Ihrem System zu verbinden, so dass der Angreifer RDP missbrauchen kann, um den Schutz zu entfernen und dann die Malware zu installieren.
Wir empfehlen Ihnen, das Remote Desktop Protocol zu deaktivieren oder zu ändern. Wenn Sie die Verwendung von RDP nicht benötigen, können Sie den Standardport (3389) ändern oder RDP deaktivieren, um Ihren Computer vor Ransomware und anderen RDP-Exploits zu schützen. Anleitungen zur Deaktivierung von RDP finden Sie in dem entsprechenden Artikel der Microsoft Knowledge Base unten:
Weitere Informationen zu RDP finden Sie im folgenden WeLiveSecurity-Artikel: Remote Desktop (RDP) Hacking 101: Ich kann Ihren Desktop von hier aus sehen!
-
Schützen Sie Ihre ESET Produkteinstellungen mit einem Passwort
Wenn Sie ein geschäftlicher Nutzer sind, empfehlen wir Ihnen, das ESET-Produkt mit einem Passwort zu schützen, damit es nicht von einem Angreifer verändert werden kann. Dies verhindert, dass unautorisierte Einstellungen geändert, der Schutz deaktiviert oder das ESET-Produkt sogar deinstalliert wird. Wenn Sie RDP verwenden, empfehlen wir Ihnen, ein anderes Passwort als das für die RDP-Anmeldedaten zu verwenden.
Weitere Informationen finden Sie unter wie Sie Ihr ESET-Produkt mit einem Passwort schützen.
Können verschlüsselte Dateien wiederhergestellt werden?
Moderne Ransomware verschlüsselt Daten mit asymmetrischen Methoden und mehreren Arten von Verschlüsselungs-Chiffren. Kurz gesagt, Dateien werden mit einem öffentlichen Schlüssel verschlüsselt und können ohne den zugehörigen privaten Schlüssel nicht entschlüsselt werden. Bei aktueller Ransomware befindet sich der private Schlüssel nie auf der betroffenen Workstation oder Umgebung. Das bedeutet, dass die Daten von einem guten, vor der Infektion erstellten Backup wiederhergestellt werden müssen.
Wenn keine Sicherungskopien verfügbar sind, können Sie versuchen, Dateien aus Schattenkopien wiederherzustellen. Sie können den Shadow Explorer verwenden, den Sie von der folgenden Webseite herunterladen können: http://www.shadowexplorer.com/downloads.html
Es ist jedoch nicht ungewöhnlich, dass Ransomware-Infektionen die Schattenkopien löschen, um die Wiederherstellung von Dateien zu verhindern.
Welche Schritte sollten Sie unternehmen, wenn Sie mit Ransomware infiziert sind?
-
Trennen Sie den Computer vom Netzwerk.
-
Suchen Sie die TXT- oder HTML-Datei mit den Zahlungsanweisungen, z. B. "How to decrypt" (So entschlüsseln Sie verschlüsselte freigegebene Ordner/Laufwerke). Diese kann von unseren Malware-Forschern für weitere Analysen verwendet werden.
