Ransomware - HELP_YOUR_FILES - Howto_RESTORE, RECOVER
Verschiedenste Ransomware-Varianten, wie TeslaCrypt, Cryptolocker oder CryptoWall, treiben in jüngster Vergangenheit ihr Unwesen. Ransomware verschlüsselt private Daten und verlangt für das Entschlüsseln ein "Lösegeld". Die einzige wirkungsvolle Lösung im Falle eines Ransomware-Befalls ist meist ein vorhandenes Offline-Backup.
Immer wieder tauchen neue Cryptovirus-Varianten auf und nur für bestimmte Versionen gibt es Tools zum Entschlüsseln der Dateien, siehe als Beispiel: https://github.com/Googulator/TeslaCrack oder http://www.heise.de/security/artikel/TeslaCrypt-2-0-entschluesselt-3094987.html. Die beschriebene Version von TeslaCrypt (bis Verison 2) besitzt die Dateiendungen: .vvv, .ccc, .zzz, .aaa oder .abc. Die Hilfedatei wird mit "Howto_RESTORE_FILES.txt" angelegt.
Für bestimmte Varianten gibt es eventuell auch Tools für das Entschlüsseln. Als Beispiel wurde im Mai 2015 das Tool Tesladecoder veröffentlicht, welches Schadprogramme wie TeslaCrypt 3 und 4 entschlüsseln kann, siehe www.heise.de/newsticker/meldung/Erpressungs-Trojaner-TeslaCrypt-gibt-auf-Master-Schluessel-veroeffentlicht-3210654.html (Dateien: HELP_RECOVER_instructions+ybu.txt
Endung: .???, mp3, .ttt, oder .micro).
Ein anderes Beispiel für Ransomware ist CryptoWall. CryptoWall ist ein Klon der schon länger bekannten Schadsoftware CryptoLocker. (Dateien: HELP_YOUR_FILES - What happend to your files.txt)
Wie wird der Computer infiziert?
Ransomware kann auf die selben Wege, wie ein normaler Computervirus auf den PC gelangen. Dazu zählt das Ausnützen von bekannten Sicherheitslücken oder, wie im Falle von CryptoWall, über modifizierte Email-Anhänge.
Details:
www.bleepingcomputer.com/virus-removal/cryptolocker-ransomware-information
oder
www.microsoft.com/security/portal/mmpc/shared/ransomware.aspx
Wie kann ich mich vor Ransomware schützen?
Einen hundertprozentigen Schutz vor dem Befall einer Schadsoftware gibt es natürlich nicht. Um die Angriffsfläche möglichst klein zu halten, helfen bei Windows die allgemein bekannten Maßnahmen, die auch vor Computerviren schützen:
- Vorsicht im Umgang mit Email-Anhängen und beim Besuch von Webseiten.
- Ein aktueller Virenscanner: Zum Beispiel liefert Windows 10 im Standard einen funktionierenden Virenscanner: Windows Defender. Die aktuelle Version von CryptoWall wurde relativ schnell vom Windows Defender erkannt und entfernt. Neue Varianten sind aber meist schneller im Umlauf als entsprechende Signaturefiles der AV Hersteller, deshalb bietet der Virenscanner nicht immer einen ausreichenden Schutz.
- Aktuelle Sicherheitsupdates einspielen: Windows Updates sollten nach Möglichkeit nicht deaktiviert werden. Beim Einsatz von Windows Defender ist dies doppelt wichtig, da die Virenpattern über die Windows Updates eingespielt werden.
- Zudem würde ich vor der Verwendung von Flash und Java abraten, da sehr viele Viren auf diese beiden Techniken zugeschnitten werden.
- Das Verwenden einer Firewall für ausgehende Verbindungen. Eine Ransomware verschlüsselt die Daten in der Regel erst nachdem sie mit einem Server im Internet kommunizert hat, siehe auch: Windows Firewall - ausgehende Verbindung konfigurieren
- Der Einsatz von Richtlinien für Softwareeinschränkungen: Damit können nur notwendige Pfade für ausführbare Dateien konfiguriert werden, siehe Windows: bestimmte Anwendungen blockieren oder erlauben
- Makros in allen Office-Programmen deaktivieren (Word, Excel, Outlook, ...)
- Den Windows Scripting Host deaktivieren. Dies verhindert das Ausführen von VBScript-Dateien, welche in einigen Ransomware-Varianten zum Starten verwendet werden. Dazu folgenden Reg Key in Regedit ändern: HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows Script Host\ Settings den Key: Enabled auf 0. (Die Einstellung kann bei Verwendung von VBScript-Dateien mit dem Key Enabled auf 1 wieder rückgängig gemacht werden.
- Der wichtigste Punkt zuletzt: Ein funktionierendes Backup, siehe: Windows Daten sichern - Backup Strategie z.B. Windows 10. Im Falle von Ransomware bietet ein funktionierendes Backup oft den einzigen Ausweg.
{{percentage}} % positiv