Home article search

Best Practices zum Schutz vor Filecoder Malware (Ransomware)

Problem

Ihr ESET Produkt erkennt eine oder eine Variante folgender Bedrohungen:

Details

Weitere Bezeichnungen für die Filecoder-Bedrohung:

  • "CryptoLocker", "Cryptowall", "Dirty decrypt" und "CTB locker"
     
  • Win32/TrojanDownload.Elenoocka.A
     
  • Win32/Gpcode

Ransomware ist eine Malware, welche Ihr Gerät sperren oder deren Inhalt verschlüsseln kann, um Geld für das Entsperren beziehungsweise die Entschlüsselung zu verlangen. Diese Art von Malware hat ebenso einen eingebauten Timer für die Bezahlung. Falls die Bezahlung in diesem Zeitraum nicht getätigt wir, steigt die Lösegeldzahlung oder die Informationen auf Ihrem Gerät werden dauerhaft unzugänglich gemacht.

Lösung

Filecoders/Ransomware sind Infektionen, die Daten verschlüsseln. Normalerweise versucht Filecoder/Ransomware nach einer Infektion der Workstation auch die verbundenen Netzlaufwerke zu verschlüsseln. Es könnte damit auch so aussehen, als ob die Infektion von Ihren ausgeht, obwohl Sie es nicht tut. Während Ihre Dateien verschlüsselt sind, könnte Ihr System nicht infiziert sein. Dies ist möglich, wenn ein Netzlaufwerk auf einem Server verschlüsselt ist, aber nicht die Malware-Infektion hat (außer es ist ein Terminalserver).

Video Tutorial

 

Allgemeine Anti-Ransomware Handlungsempfehlungen | Anti-Ransomeware Handlungsempfehlungen für ESET Produkte | Wiederherstellung verschlüsselter DateienESET Kundendienst

Risikominimierung von Verschlüsselungs-Malware (Ransomware)

  • Erstellen Sie Backups Ihrer Systeme

    Planen sie reguläre Backups Ihrer Systeme zum Schutz Ihrer Daten. ESET empfiehlt eine der folgenden Backup-Lösungen:
  • Benutzerberechtigungen und Einschränkungen von Rechten

    Es gibt verschiedene Arten von Einschränkungen wie beispielsweise Einschränkungen beim Zugriff auf Anwendungsdaten. Einige können zum Beispiel via Grupppenrichtlinien (GPO, Group Policy Object) umgesetzt werden. Weiterhin kann auch das Verhindern der Ausführen von Daten in den Ordnern App Data und Local App Data genauso wie im Temp-Ordner, welcher oft für Packprogramme (wie für Winzip oder 7-Zip) genutzt wird, behilflich sein.

    Zusätzlich können Sie Anwendungen, die ausgeführt werden dürfen, in ESET Programmen auf eine Whitelist setzen. Alle anderen werden standardmäßig blockert.
     
  • Deaktivieren Sie nicht die Benutzerkontensteuerung (User Account Control, UAC)

Öffnen Sie keine Anhänge, welche sich als FAX, Rechnung oder Beleg ausgeben, wenn sie verdächtige Namen haben oder sie gar keine erwarten.

Was kann ich tun um das Risiko einer Malwareattacke zu minimieren?

  • Deaktivieren oder ändern Sie das Remote Desktop Protocol 

Filecoder Malware greift Geräte oft über das Remote Desktop Protocol (RDP) an, ein Windows Tool, welches den Fernzugriff auf Ihren Desktop erlaubt. Falls Sie RDP nicht benötigen, können Sie den Standardport (3389) ändern oder Sie deaktivieren RDP, um Ihr System vor Filecodern oder anderen RDP-Exploits zu schützen. Anleitungen zur Deaktiverung von RDP finden Sie in folgenden Microsoft Knowledgebase-Artikeln:

Mehr Informationen zu RDP finden Sie auch in folgendem Artikel auf We Live Security: Remote Desktop (RDP) Hacking 101: I can see your desktop from here!

Anti-Ransomeware Handlungsempfehlungen für ESET Produkte

  • Halten Sie Ihr ESET Produkt aktuell

Neue Versionen von Malware werden regelmäßig veröffentlicht. Deshalb ist es wichtig, dass Ihre Virus Datenbanksignatur regelmäßig aktualisiert wird (Mit einer gültigen Lizenz und einer funktionierenden Internetverbindung prüft Ihr ESET Produkt stündlich nach neuen Updates).

Heimanwender: Aktualisiert sich ESET Smart Security / ESET NOD32 Antivirus korrekt?
 

Unternehmenskunden: Aktualisiert sich mein ESET Business Produkt korrekt?

  • Lassen Sie die Erweiterte Speicherprüfung und den Exploit Blocker aktiviert

Diese zwei Funktionen sind in den ESET Produkten ab Version 5 standardmäßig aktiviert. Diese neuartigen ESET Algorithmen verstärken den Schutz gegen Malware, welche Funktionen beinhaltet, die die Erkennung durch Anti-Malware-Produkten mithilfe von Verschleierung und/oder Verschlüsselung entgehen.

Wir empfehlen, dass Sie zur neuesten Version aktualisieren, falls Sie ESET Smart Security oder ESET NOD32 Antivirus (inklusive der Business Editionen) in Version 4.x oder älter nutzen:

Heimanwender: Welches ESET Sicherheitsprodukt und Version verwende ich?
 

Unternehmenskunden: Nutze ich die neuesten Versionen der ESET Business Produkte?

  • Lassen Sie den cloudbasierten Schutz vor Malware (ESET Live Grid) aktiviert

Stellen Sie sicher, dass das ESET Live Grid in Ihrem ESET Produkt aktiviert und funktionstüchtig ist.

  • Nutzer virtueller Maschinen

    Für den besten Schutz gegen Filecoder Malware empfehlen wir die ESET Endpoint Security in virtuellen Umgebungen zu nutzen. Sie können die ESET Endpoint Security mit dem ESET Shared Local Cache nutzen, um die Netzwerklast zu minimieren, welche sonst du den Update-Download-Traffic der einzelnen VMs entstehen würde.

Können verschlüsselte Daten wiederhergestellt werden?

Moderne Filecoder/Ransomware verschlüsselt Daten mithilfe asymmetrischer Methoden und verschiedener Arten von Verschlüsselungschiffren. Das heißt, Daten werden mit einem öffentlichen Schlüssel verschlüsselt und können nicht ohne den privaten Schlüssel entschlüsselt werden. Bei aktueller Ransomware liegt dieser private Schlüssel niemals auf der betroffenen Workstation oder in der betroffenen Umgebung. Das heißt, dass Ihre Daten von einem Backup wiederhergestellt werden müssen, welches zuletzt vor der Infektion angelegt wurde.

Falls keine Backups verfügbar sind, können Sie versuchen die Daten mithilfe von Schattenkopien wiederherzustellen. Sie können den Shadow Explorer nutzen, den Sie von folgender Webseite beziehen können: http://www.shadowexplorer.com/downloads.html

Jedoch ist es nicht unnormal, dass die Ransomware auch die Schattenkopien löscht, um das Wiederherstellen zu verhindern.

Was sollten Sie tun, wenn Sie mit Ransomware infiziert sind?

  1. Finden Sie die TXT- oder HTML-Datei mit den Lösegeldforderungen/Bezahlungsinformationen.
     
  2. Trennen Sie die Netzwerkverbindungen.
     
  3. Führen Sie ESET SysRescue auf dem infizierten Computer aus. Stellen Sie nur ein Backup wieder her, wenn die Bedrohung entdeckt und entfernt wurde (siehe Abschnitt Erstellen Sie Backups Ihrer Systeme).
     
  4. Kontaktieren Sie den ESET Kundendienst (siehe folgenden Abschnitt).

ESET Kundendienst

Falls Sie denken, dass Sie eine/n neue/n, noch nicht detektierbare/n Filecoder/Ransomware haben, nutzen sie den folgenden ESET Knowledgebase-Artikel, um ein Muster an ESET zu senden:

Wie übermittle ich einen Virus oder ein „False-Positive-Sample“ an das ESET-Virenlabor?





Was this information helpful?