Dieser Artikel enthält Best Practices, die Sie bei der Konfiguration Ihres Systems zum Schutz vor Ransomware unterstützen
Ransomware ist eine Malware, welche Ihr Gerät sperren oder deren Inhalt verschlüsseln kann, um Geld für das Entsperren beziehungsweise die Entschlüsselung zu verlangen. Diese Art von Malware hat ebenso einen eingebauten Timer für die Bezahlung. Falls die Bezahlung in diesem Zeitraum nicht getätigt wir, steigt die Lösegeldzahlung oder die Informationen auf Ihrem Gerät werden dauerhaft unzugänglich gemacht.
Filecoders/Ransomware sind Infektionen, die Daten verschlüsseln. Normalerweise versucht Filecoder/Ransomware nach einer Infektion der Workstation auch die verbundenen Netzlaufwerke zu verschlüsseln. Es könnte damit auch so aussehen, als ob die Infektion von Ihren ausgeht, obwohl Sie es nicht tut.
Während Ihre Dateien verschlüsselt sind, könnte Ihr System nicht infiziert sein. Dies ist möglich, wenn ein Netzlaufwerk auf einem Server verschlüsselt ist, aber nicht die Malware-Infektion hat (außer es ist ein Terminalserver).
Weitere Bezeichnungen für die Filecoder-Bedrohung:
Die aktuellen Versionen der ESET Produkte verwenden mehrere Technologien, um Computer vor Ransomware zu schützen.
Beispiele für diese Technologien sind der Advanced Memory Scanner, das ESET LiveGrid® Reputation System und der Exploit Blocker.
Darüber hinaus bieten die neuesten ESET Produkte ein erweitertes Botnet-Schutzmodul, das die Kommunikation zwischen Ransomware und C & C-Servern blockiert.
Allgemeine Anti-Ransomeware Handlungsempfehlungen für ESET Produkte | Allgemeine Anti-Ransomware Handlungsempfehlungen | Wiederherstellung verschlüsselter Dateien | ESET Kundendienst
Diese zwei Funktionen sind in den ESET Produkten ab Version 5 standardmäßig aktiviert. Diese neuartigen ESET Algorithmen verstärken den Schutz gegen Malware, welche Funktionen beinhaltet, die die Erkennung durch Anti-Malware-Produkten mithilfe von Verschleierung und/oder Verschlüsselung entgehen.
Der Advanced Memory Scanner sucht nach verdächtigem Verhalten der Malware im Speicher und der Exploit Blocker verstärkt den Schutz vor gezielten Angriffen und zuvor unsichtbaren Schwachstellen, die auch als Zero-Day-Schwachstellen bezeichnet werden.
Wir empfehlen, dass Sie zur neuesten Version aktualisieren, falls Sie ESET Smart Security oder ESET NOD32 Antivirus (inklusive der Business Editionen) in Version 4.x oder älter nutzen:
Heimanwender: Welches ESET Sicherheitsprodukt und Version verwende ich?
Unternehmenskunden: Nutze ich die neuesten Versionen der ESET Business Produkte?
Das ESET Cloud Malware Protection System basiert auf ESET LiveGrid. Es überwacht unbekannte und potenziell bösartige Anwendungen und stellt Stichproben für automatische Sandboxing- und Verhaltensanalysen bereit.
Stellen Sie sicher, dass das ESET Live Grid in Ihrem ESET Produkt aktiviert und funktionstüchtig ist.
Wenn der Netzwerklaufwerkschutz aktiviert ist, kann der ESET Echtzeitscanner die Erkennung auf einer infizierten Workstation auslösen, wodurch verhindert wird, dass der Ransomware-Prozess das Laufwerk verschlüsselt. Weitere Informationen finden Sie unter Echtzeit-Dateisystemschutz.
Neue Versionen von Malware werden regelmäßig veröffentlicht. Deshalb ist es wichtig, dass Ihre Virus Datenbanksignatur regelmäßig aktualisiert wird (Mit einer gültigen Lizenz und einer funktionierenden Internetverbindung prüft Ihr ESET Produkt stündlich nach neuen Updates).
Heimanwender: Aktualisiert sich ESET Smart Security / ESET NOD32 Antivirus korrekt?
Unternehmenskunden: Aktualisiert sich mein ESET Business Produkt korrekt?
Darüber hinaus können Sie in ESET Endpoint Security / Antivirus, ESET Mail Security und ESET File Security HIPS-Regeln erstellen, damit nur bestimmte Anwendungen auf dem Computer ausgeführt werden und alle anderen standardmäßig blockieren: Wie erstelle ich eine HIPS-Regel und erzwinge sie an einer Client-Workstation? (6.x)
Öffnen Sie keine Anhänge, welche sich als FAX, Rechnung oder Beleg ausgeben, wenn sie verdächtige Namen haben oder sie gar keine erwarten.
Was kann ich tun um das Risiko einer Malwareattacke zu minimieren?
Um sicherzustellen, dass Sie den bestmöglichen Schutz haben, sollten Sie Ihr Betriebssystem und Ihre Anwendungen auf dem neuesten Stand halten. Installieren Sie die neuesten Updates mit hoher Priorität, die im Windows Update-Tool angeboten werden und überprüfen Sie die Funktion "Automatische Updates" regelmäßig oder aktivieren Sie sie. Durch neue Sicherheitsupdates werden Sicherheitslücken im System geschlossen und das Risiko von Malware-Angriffen verringert.
Microsoft hat Patches für aktuelle Windows-Betriebssysteme sowie Windows XP veröffentlicht, um eine kritische Sicherheitslücke zu schließen. Weitere Informationen zum Anwenden dieser Updates finden Sie im Microsoft Security Bulletin MS17-010 - Kritisch.
Mehr Informationen zu RDP finden Sie auch in folgendem Artikel auf We Live Security: Remote Desktop (RDP) Hacking 101: I can see your desktop from here!
Moderne Filecoder/Ransomware verschlüsselt Daten mithilfe asymmetrischer Methoden und verschiedener Arten von Verschlüsselungschiffren. Das heißt, Daten werden mit einem öffentlichen Schlüssel verschlüsselt und können nicht ohne den privaten Schlüssel entschlüsselt werden. Bei aktueller Ransomware liegt dieser private Schlüssel niemals auf der betroffenen Workstation oder in der betroffenen Umgebung. Das heißt, dass Ihre Daten von einem Backup wiederhergestellt werden müssen, welches zuletzt vor der Infektion angelegt wurde.
Falls keine Backups verfügbar sind, können Sie versuchen die Daten mithilfe von Schattenkopien wiederherzustellen. Sie können den Shadow Explorer nutzen, den Sie von folgender Webseite beziehen können: http://www.shadowexplorer.com/downloads.html
Jedoch ist es nicht unnormal, dass die Ransomware auch die Schattenkopien löscht, um das Wiederherstellen zu verhindern.
Was sollten Sie tun, wenn Sie mit Ransomware infiziert sind?
Falls Sie denken, dass Sie eine/n neue/n, noch nicht detektierbare/n Filecoder/Ransomware haben, nutzen sie den folgenden ESET Knowledgebase-Artikel, um ein Muster an ESET zu senden:
Wie übermittle ich einen Virus oder ein „False-Positive-Sample“ an das ESET-Virenlabor?