[KB3433] Best Practices zum Schutz vor Filecoder Malware (Ransomware)

Dieser Artikel enthält Best Practices, die Sie bei der Konfiguration Ihres Systems zum Schutz vor Ransomware unterstützen

Ransomware ist eine Malware, welche Ihr Gerät sperren oder deren Inhalt verschlüsseln kann, um Geld für das Entsperren beziehungsweise die Entschlüsselung zu verlangen. Diese Art von Malware hat ebenso einen eingebauten Timer für die Bezahlung. Falls die Bezahlung in diesem Zeitraum nicht getätigt wir, steigt die Lösegeldzahlung oder die Informationen auf Ihrem Gerät werden dauerhaft unzugänglich gemacht.

Filecoders/Ransomware sind Infektionen, die Daten verschlüsseln. Normalerweise versucht Filecoder/Ransomware nach einer Infektion der Workstation auch die verbundenen Netzlaufwerke zu verschlüsseln. Es könnte damit auch so aussehen, als ob die Infektion von Ihren ausgeht, obwohl Sie es nicht tut.

Während Ihre Dateien verschlüsselt sind, könnte Ihr System nicht infiziert sein. Dies ist möglich, wenn ein Netzlaufwerk auf einem Server verschlüsselt ist, aber nicht die Malware-Infektion hat (außer es ist ein Terminalserver).

Weitere Bezeichnungen für die Filecoder-Bedrohung:

• Win32/Filecoder
• 
   
• Eine Win32/Filecoder.TeslaCrypt.A (TeslaCrypt) oder Win32/Filecoder.Locky.A Infektion nach dem Öffnen einer E-Mail von einer unbekannten Quelle oder einer ZIP-Datei von solch einer E-Mail.

• "CryptoLocker", "Cryptowall", "Dirty decrypt" und "CTB locker"
   
• Win32/TrojanDownload.Elenoocka.A
   
• Win32/Gpcode

Die aktuellen Versionen der ESET Produkte verwenden mehrere Technologien, um Computer vor Ransomware zu schützen.

Beispiele für diese Technologien sind der Advanced Memory Scanner, das ESET LiveGrid® Reputation System und der Exploit Blocker.

Darüber hinaus bieten die neuesten ESET Produkte ein erweitertes Botnet-Schutzmodul, das die Kommunikation zwischen Ransomware und C & C-Servern blockiert.

‎

Allgemeine Anti-Ransomeware Handlungsempfehlungen für ESET Produkte | Allgemeine Anti-Ransomware Handlungsempfehlungen | Wiederherstellung verschlüsselter Dateien | ESET Kundendienst

Allgemeine Anti-Ransomeware Handlungsempfehlungen für ESET Produkte

• Lassen Sie den Advanced Memory Scanner und den Exploit Blocker aktiviert

Diese zwei Funktionen sind in den ESET Produkten ab Version 5 standardmäßig aktiviert. Diese neuartigen ESET Algorithmen verstärken den Schutz gegen Malware, welche Funktionen beinhaltet, die die Erkennung durch Anti-Malware-Produkten mithilfe von Verschleierung und/oder Verschlüsselung entgehen.

Der Advanced Memory Scanner sucht nach verdächtigem Verhalten der Malware im Speicher und der Exploit Blocker verstärkt den Schutz vor gezielten Angriffen und zuvor unsichtbaren Schwachstellen, die auch als Zero-Day-Schwachstellen bezeichnet werden.

Wir empfehlen, dass Sie zur neuesten Version aktualisieren, falls Sie ESET Smart Security oder ESET NOD32 Antivirus (inklusive der Business Editionen) in Version 4.x oder älter nutzen:

Heimanwender: Welches ESET Sicherheitsprodukt und Version verwende ich?

Unternehmenskunden: Nutze ich die neuesten Versionen der ESET Business Produkte?

• Lassen Sie den cloudbasierten Schutz vor Malware (ESET Live Grid) aktiviert

Das ESET Cloud Malware Protection System basiert auf ESET LiveGrid. Es überwacht unbekannte und potenziell bösartige Anwendungen und stellt Stichproben für automatische Sandboxing- und Verhaltensanalysen bereit.

Stellen Sie sicher, dass das ESET Live Grid in Ihrem ESET Produkt aktiviert und funktionstüchtig ist.

• Stellen Sie sicher, dass "Netzwerklaufwerke" im Echtzeit-Dateisystemschutz ausgewählt ist

Wenn der Netzwerklaufwerkschutz aktiviert ist, kann der ESET Echtzeitscanner die Erkennung auf einer infizierten Workstation auslösen, wodurch verhindert wird, dass der Ransomware-Prozess das Laufwerk verschlüsselt. Weitere Informationen finden Sie unter Echtzeit-Dateisystemschutz.

• Halten Sie Ihr ESET Produkt aktuell

Neue Versionen von Malware werden regelmäßig veröffentlicht. Deshalb ist es wichtig, dass Ihre Virus Datenbanksignatur regelmäßig aktualisiert wird (Mit einer gültigen Lizenz und einer funktionierenden Internetverbindung prüft Ihr ESET Produkt stündlich nach neuen Updates).

Heimanwender: Aktualisiert sich ESET Smart Security / ESET NOD32 Antivirus korrekt?

Unternehmenskunden: Aktualisiert sich mein ESET Business Produkt korrekt?

• Nutzer virtueller Maschinen
  
  Für den besten Schutz gegen Filecoder Malware empfehlen wir die ESET Endpoint Security in virtuellen Umgebungen zu nutzen. Sie können die ESET Endpoint Security mit dem ESET Shared Local Cache nutzen, um die Netzwerklast zu minimieren, welche sonst du den Update-Download-Traffic der einzelnen VMs entstehen würde.

Risikominimierung von Verschlüsselungs-Malware (Ransomware)

• Erstellen Sie Backups Ihrer Systeme
  
  Planen sie reguläre Backups Ihrer Systeme zum Schutz Ihrer Daten. ESET empfiehlt eine der folgenden Backup-Lösungen:Backblaze Personal Backup
   
• Benutzerberechtigungen und Einschränkungen von Rechten
  
  Es gibt verschiedene Arten von Einschränkungen wie beispielsweise Einschränkungen beim Zugriff auf Anwendungsdaten. Einige können zum Beispiel via Grupppenrichtlinien (GPO, Group Policy Object) umgesetzt werden.
  1. Deaktivieren Sie Dateien, die von den Ordnern AppData und LocalAppData ausgeführt werden.
      
  2. Blockieren Sie die Ausführung aus dem Temp-Unterverzeichnis (standardmäßig ein Teil der AppData-Struktur).
      
  3. Blockiert ausführbare Dateien, die von den Arbeitsverzeichnissen verschiedener Dekomprimierungsprogramme ausgeführt werden (z. B. WinZip oder 7-Zip).

Darüber hinaus können Sie in ESET Endpoint Security / Antivirus, ESET Mail Security und ESET File Security HIPS-Regeln erstellen, damit nur bestimmte Anwendungen auf dem Computer ausgeführt werden und alle anderen standardmäßig blockieren: Wie erstelle ich eine HIPS-Regel und erzwinge sie an einer Client-Workstation? (6.x)
 

• Deaktivieren Sie nicht die Benutzerkontensteuerung (User Account Control, UAC)

Öffnen Sie keine Anhänge, welche sich als FAX, Rechnung oder Beleg ausgeben, wenn sie verdächtige Namen haben oder sie gar keine erwarten.

Was kann ich tun um das Risiko einer Malwareattacke zu minimieren?

• Zwei-Faktor-Authentifizierung (2FA)
  
  Wir empfehlen ESET Secure Authentication.
   
• Makros in Microsoft Office mithilfe von Gruppenrichtlinien deaktivieren
  
  Office 2013/2016 (der folgende Link ist für Office 2013, jedoch sind die Einstellungen auch auf Office 2016 anwendbar): Planen von Sicherheitseinstellungen für VBA-Makros für Office 2013

• Halten Sie Ihr System auf dem neuesten Stand

Um sicherzustellen, dass Sie den bestmöglichen Schutz haben, sollten Sie Ihr Betriebssystem und Ihre Anwendungen auf dem neuesten Stand halten. Installieren Sie die neuesten Updates mit hoher Priorität, die im Windows Update-Tool angeboten werden und überprüfen Sie die Funktion "Automatische Updates" regelmäßig oder aktivieren Sie sie. Durch neue Sicherheitsupdates werden Sicherheitslücken im System geschlossen und das Risiko von Malware-Angriffen verringert.

Microsoft hat Patches für aktuelle Windows-Betriebssysteme sowie Windows XP veröffentlicht, um eine kritische Sicherheitslücke zu schließen. Weitere Informationen zum Anwenden dieser Updates finden Sie im Microsoft Security Bulletin MS17-010 - Kritisch.

• Deaktivieren Sie SMBv1, wenn Sie Windows XP verwenden.
   
• Best Practices für das Remotedesktopprotokoll gegen Angriffe

1. Deaktivieren oder ändern Sie das Remote Desktop Protocol
   
   Filecoder Malware greift Geräte oft über das Remote Desktop Protocol (RDP) an, ein Windows Tool, welches den Fernzugriff auf Ihren Desktop erlaubt. Falls Sie RDP nicht benötigen, können Sie den Standardport (3389) ändern oder Sie deaktivieren RDP, um Ihr System vor Filecodern oder anderen RDP-Exploits zu schützen. Anleitungen zur Deaktiverung von RDP finden Sie in folgenden Microsoft Knowledgebase-Artikeln:
   • Windows XP
      
   • Windows 7
      
   • Windows 8
      
   • Windows 10

Mehr Informationen zu RDP finden Sie auch in folgendem Artikel auf We Live Security: Remote Desktop (RDP) Hacking 101: I can see your desktop from here!

2. Schützen Sie Ihre ESET Produkteinstellungen mit einem Passwort
   
   Wenn Sie RDP ausführen und die RDP-Einstellungen nicht deaktivieren oder ändern können, können Sie ein Kennwort verwenden, um zu verhindern, dass das ESET Produkt von einem Angreifer geändert wird. Dies verhindert die Änderung nicht authentifizierter Einstellungen, das Deaktivieren des Schutzes oder sogar das Deinstallieren des ESET Produkts. Wir empfehlen, ein anderes Passwort als das für die RDP-Anmeldedaten verwendete zu verwenden.

• Stellen Sie sicher, dass Ransomware-Schutz aktiviert ist (nur Windows Version 10-Produkte)
  
  Ransomware-Schutz als Teil einer Self-Defense-Technologie ist eine weitere Schutzebene, die als Teil der HIPS-Funktion fungiert. ESET LiveGrid muss aktiviert sein, damit der Ransomware-Schutz ordnungsgemäß funktioniert. Weitere Informationen finden Sie unter Neuheiten in ESET Version 10 - Ransomware-Schutz.

Können verschlüsselte Daten wiederhergestellt werden?

Moderne Filecoder/Ransomware verschlüsselt Daten mithilfe asymmetrischer Methoden und verschiedener Arten von Verschlüsselungschiffren. Das heißt, Daten werden mit einem öffentlichen Schlüssel verschlüsselt und können nicht ohne den privaten Schlüssel entschlüsselt werden. Bei aktueller Ransomware liegt dieser private Schlüssel niemals auf der betroffenen Workstation oder in der betroffenen Umgebung. Das heißt, dass Ihre Daten von einem Backup wiederhergestellt werden müssen, welches zuletzt vor der Infektion angelegt wurde.

Falls keine Backups verfügbar sind, können Sie versuchen die Daten mithilfe von Schattenkopien wiederherzustellen. Sie können den Shadow Explorer nutzen, den Sie von folgender Webseite beziehen können: http://www.shadowexplorer.com/downloads.html

Jedoch ist es nicht unnormal, dass die Ransomware auch die Schattenkopien löscht, um das Wiederherstellen zu verhindern.

Was sollten Sie tun, wenn Sie mit Ransomware infiziert sind?

1. Finden Sie die TXT- oder HTML-Datei mit den Lösegeldforderungen/Bezahlungsinformationen.
    
2. Trennen Sie die Netzwerkverbindungen.
    
3. Führen Sie ESET SysRescue auf dem infizierten Computer aus. Stellen Sie nur ein Backup wieder her, wenn die Bedrohung entdeckt und entfernt wurde (siehe Abschnitt Erstellen Sie Backups Ihrer Systeme).
    
4. Kontaktieren Sie den ESET Kundendienst (siehe folgenden Abschnitt).

ESET Kundendienst

• Eine Supportanfrage können Sie beim ESET Kundendienst stellen.

Falls Sie denken, dass Sie eine/n neue/n, noch nicht detektierbare/n Filecoder/Ransomware haben, nutzen sie den folgenden ESET Knowledgebase-Artikel, um ein Muster an ESET zu senden:

Wie übermittle ich einen Virus oder ein „False-Positive-Sample“ an das ESET-Virenlabor?