Die komplette Wahrheit über Viren & Co.

Freitag, 13. Oktober 2023

In unserem Projekt „Die komplette Wahrheit über Viren & Co.“ haben wir bereits über Verschlüsselungstrojaner (auch Erpressungstrojaner, Ransomware) berichtet. Sie zählen zu den gefährlichsten bösartigen Anwendungen: Der Gesamtschaden, der in den letzten zehn Jahren durch Aktivitäten von Ransomware entstanden ist, lässt sich kaum beziffern. Es handelt sich nicht nur um Lösegeldzahlungen an Cyberkriminelle, sondern auch um die Folgen solcher Cyberangriffe: Kosten für die Wiederherstellung von Daten, entgangene Gewinne, Arbeitsausfälle und der Verlust wertvoller Informationen.

Wenn man die Nachrichten und Trends im Bereich der Informationssicherheit verfolgt, könnte man den Eindruck gewinnen, dass Ransomware nur große Unternehmen und staatliche Einrichtungen bedroht. Jährlich werden Dutzende Ransomware-Angriffe auf große Unternehmen festgestellt – das stimmt. Diese Vorfälle werden in verschiedenen Massenmedien beleuchtet. Die Motive von Cyberkriminellen sind klar: Sie versprechen sich bei erfolgreichen Angriffen auf große Unternehmen hohe Gewinne. Durch Verlust oder Veröffentlichung vertraulicher Informationen wird die gesamte Geschäftstätigkeit eines Unternehmens bedroht. Daher geben viele Opfer den Forderungen von Erpressern nach.

Dies bedeutet leider nicht, dass einfache Nutzer nicht mit Verschlüsselungstrojanern konfrontiert werden. Zahlreiche Modifikationen dieser Trojaner werden über den E-Mail-Verkehr verbreitet und als nützliche Anwendungen getarnt. Gefährdet sind auch KMUs, die ihre Netzwerke nicht ausreichend schützen und die Sensibilisierung ihrer Mitarbeiter für IT-Sicherheit vernachlässigen. Nicht nur gezielte Angriffe können Geschäftsprozesse schwerwiegend beeinträchtigen.

Wir betonen immer wieder: Prävention ist einfacher und günstiger, als die Folgen eines Vorfalls im Nachhinein zu beseitigen. Szenarien und Ergebnisse von Cyberangriffen haben dies mehrmals bewiesen. In der heutigen Ausgabe möchten wir darüber sprechen, was Sie tun sollten, wenn Daten auf Ihrem Computer mit Ransomware verschlüsselt wurden.

Wie funktioniert Ransomware?

Nach dem Start beginnt der Trojaner, Dateien auf dem infizierten Computer entsprechend seinem Programm zu verschlüsseln. Dieses Programm bestimmt, welche Dateien verschlüsselt werden sollen. Am häufigsten sind dies Bilder, Text-, Archiv- und Datenbankdateien sowie Sicherungskopien. In der Regel enthält der Code eines Verschlüsselungstrojaners eine Liste von Dateiendungen und sogar Namen von zu verschlüsselnden Dateien. Die Verschlüsselung erfolgt nach einem bestimmten Algorithmus mithilfe eines Verschlüsselungsschlüssels. Der Trojaner verschlüsselt alle Dateien mit den angegebenen Endungen, auf die er zugreifen kann. Einige Modifikationen versuchen, sich Zugriff auf Netzwerklaufwerke und mit dem Computer verbundene Geräte zu verschaffen. Solche Modifikationen sind in der Lage, Dateien auf externen Laufwerken und in Netzwerkspeichern zu verschlüsseln. Der Verschlüsselungsprozess nimmt einige Zeit in Anspruch. Die Dateien werden nicht gleichzeitig verschlüsselt. D.h. wenn der Computer während der Ausführung des Trojaners ausgeschaltet wird, bleiben einige Dateien unbeschädigt. Die Dauer der Verschlüsselung hängt von der Anzahl der zu verschlüsselnden Dateien, der Leistung des Computers und dem Algorithmus des Trojaners ab. Nach Abschluss der Verschlüsselung wird eine Textdatei mit dem Erpresserbrief auf dem Desktop erstellt. Der Erpresserbrief erklärt, was passiert ist, und enthält Forderungen und Kontaktdaten der Cyberkriminellen.

Die meisten Trojaner fügen dem Namen der geänderten Dateien ihre Endung hinzu, die es ermöglicht, die Modifikation des Trojaners zu identifizieren. Erwähnenswert ist, dass es sich bei der Verschlüsselung nicht um eine einfache Änderung von Dateien handelt. Zunächst erstellt das bösartige Programm eine temporäre verschlüsselte Datei anhand der zu verschlüsselnden Datei. Danach wird die ursprüngliche Datei durch die verschlüsselte ersetzt. Dies erschwert die Wiederherstellung der beschädigten Dateien.

Die beste Lösung in dieser Situation wäre, den Computer mit einem Virenscanner zu scannen, um die Bedrohung zu neutralisieren, und anschließend die Daten aus der aktuellen Sicherungskopie wiederherzustellen. Die harte Wahrheit ist, dass bei weitem nicht alle Nutzer Sicherungskopien erstellen. Wenn die verschlüsselten Informationen wertvoll sind, könnte der Nutzer zustimmen, dem Cyberkriminellen das geforderte Lösegeld zu zahlen, um die Dateien zu retten. Oft versprechen Cyberkriminelle, nicht nur die Informationen wiederherzustellen, sondern auch „geheime“ Kenntnisse über die Verhinderung zukünftiger Angriffe mit dem Nutzer zu teilen – Sie versuchen mit allem Mitteln, den Nutzer zur Lösegeldzahlung zu bewegen.

IT-Sicherheitsspezialisten warnen: Lassen Sie sich nichts weismachen. Lösegeldzahlungen fördern weitere kriminelle Aktivitäten und bieten Virenschreibern einen Anreiz, neue Malware-Versionen zu entwickeln. Darüber hinaus gibt es keine Garantie dafür, dass Sie nach der Zahlung vom Cyberkriminellen kontaktiert werden und den Entschlüsselungsschlüssel tatsächlich erhalten. Zudem sind Hacker leider nicht immer in der Lage, die von ihnen verschlüsselten Dateien zu dekodieren. Außerdem könnte der Computer mit einer älteren Ransomware-Version infiziert werden, dessen Entwickler nicht mehr zu erreichen ist.

Können Sie Ihre Daten selbst wiederherstellen?

Dies ist Glückssache. Falls der Computer mit einem Trojaner infiziert wurde, dessen Entschlüsselungsschlüssel öffentlich verfügbar ist, kommt der Nutzer mit einem blauen Auge davon. Diese Wahrscheinlichkeit ist leider sehr gering. Es gibt Tausende von Ransomware-Modifikationen. In den neuesten Versionen werden resistente Verschlüsselungsalgorithmen und Schlüssel verwendet, die für jede Kopie eines Verschlüsselungstrojaners einzigartig sind. Die Wiederherstellung von Dateien aus Schattenkopien ist ebenso nicht immer möglich. Viele Verschlüsselungstrojaner sind in der Lage, für die Datenwiederherstellung notwendige Dienstdateien mithilfe von Standardtools zu löschen.

Was tun, wenn Ihre Dateien verschlüsselt wurden?

Wenn der Computer Teil eines Netzwerks ist, trennen Sie ihn umgehend vom Netz. Wenden Sie sich an den technischen Support von Doctor Web. Füllen Sie dazu dieses Formular auf unserer Website aus. Speichern Sie eine Kopie der verschlüsselten Datei und den Erpresserbrief auf einem anderen Datenträger und schalten Sie den infizierten Computer aus. Beachten Sie: Alle weiteren Aktivitäten (einschließlich der Anfrage an den technischen Support) sollten auf einem anderen Gerät ausgeführt werden. Jegliche Versuche, die beschädigten oder temporären Dateien im infizierten System zu ändern oder zu löschen sowie Wiederherstellungstools selbständig einzusetzen, können dazu führen, dass die Daten nicht einmal mehr mithilfe eines speziellen Dienstprogramms und des entsprechenden Schlüssels wiederhergestellt werden können. Warten Sie auf ein Expertenurteil über die Möglichkeit, die Daten wiederherzustellen, bevor Sie weitere Schritte (einschließlich der Desinfektion des Systems mit einem Antivirus) unternehmen.

Außerdem empfehlen wir Ihnen, eine Anzeige bei der Polizei wegen unbefugten Zugriffs auf Ihren Computer, Verbreitung von Malware und Erpressung aufzugeben. Wenn Cyberkriminelle mit Strafverfolgungsbehörden konfrontiert werden, statt das erwartete Lösegeld zu erhalten, sinkt ihr Anreiz, digitalen Erpressung weiter zu betreiben. Beachten Sie: Wenn ein Strafverfahren eingeleitet wird, werden Sie möglicherweise aufgefordert, den Ermittlungsbehörden das infizierte Gerät zur Untersuchung zur Verfügung zu stellen. Dies kann einige Zeit in Anspruch nehmen. Selbst wenn Ihnen diese Maßnahme nicht hilft, so könnte dadurch immerhin die Anzahl zukünftiger Hackerangriffe reduziert werden.

Falls Sie versuchen möchten, das Problem selbst zu lösen, können Sie einen der Online-Dienste nutzen, die die verschlüsselte Datei und den Erpresserbrief analysieren und die Modifikation des Trojaners bestimmen. Danach können Sie im Internet nach Entschlüsselungsschlüsseln für diesen Trojaner und Anweisungen zur Wiederherstellung der Dateien suchen. Vergessen Sie nicht: Alle Aktivitäten zur Untersuchung des Vorfalls sollten auf einem anderen Gerät ausgeführt werden. Seien Sie vorsichtig, wenn Sie die infizierten Dateien auf ein Wechselmedium kopieren. Um Risiken zu reduzieren, aktivieren Sie die Anzeige von Systemdateien und versteckten Dateien auf dem infizierten Gerät. Kopieren Sie die verschlüsselten Dateien und den Erpresserbrief auf einen formatierten USB-Stick. Stellen Sie sicher, dass dabei keine neuen Dateien auf dem USB erstellt werden. In der Regel werden Verschlüsselungstrojaner nicht über Wechselmedien verbreitet. Zusätzliche Vorsicht in dieser Frage schadet aber nicht. Wenn Sie aber ein Wechselmedium, auf dem Dateien gespeichert sind, an einen infizierten Computer anschließen, werden diese Dateien höchstwahrscheinlich verschlüsselt. Daher empfehlen wir unser Produkt Dr.Web LiveDisk, das die Ausführung bösartiger Programme verhindert. Die Features dieses Tools haben wir in dieser Ausgabe beschrieben.

Außerdem können Sie alle verschlüsselten Dateien auf einen leeren USB-Stick kopieren (insbesondere, wenn die verlorenen Dateien für Sie von großem Wert sind) – es besteht eine geringe Wahrscheinlichkeit, dass der notwendige Entschlüsselungsschlüssel später im Internet auftaucht.

Wie Sie sehen, lässt ein erfolgreicher Angriff eines Trojaners mit starken Verschlüsselungsalgorithmen nicht viele Möglichkeiten, Dateien wiederherzustellen. Virenschreiber entwickeln immer kompliziertere Schadprogramme und prüfen diese auf Erkennbarkeit durch Antivirenprogramme. Ein Infektionsrisiko besteht immer, besonders wenn der Nutzer fahrlässig in Bezug auf die digitale Sicherheit ist. Durch die Verwendung eines umfassenden Virenschutzes, die Einhaltung der wichtigsten IT-Sicherheitsregeln und die Erstellung von Sicherungskopien reduzieren Sie dieses Risiko auf ein Minimum.