ransomware 1

RANSOMWAREWie Sie Ihr Unternehmen vorerpresserischer Malware schtzen

ransomware 1

Inhalt2 Vor Ransomware schtzen

4 Schtzen Sie Ihre Unternehmens-Rechner

7 Was tun, wenn mein Rechner bereits infiziert ist?

8 Behalten Sie auch die Android-Gerte im Blick

9 Was tun, wenn mein Android-Gert bereits infiziert ist?

10 Zu guter Letzt: Soll ich das Lsegeld bezahlen?

ZusammenfassungBei Ransomware, auch Erpressungs- oder Verschlsselungstrojaner ge-nannt, handelt es sich um Schadsoftware, die den Zugriff auf Gerte sperrt oder darauf enthaltene Daten verschlsselt und anschlieend vom Opfer ein Lsegeld fr die Wiederherstellung verlangt. Diese Schdlinge knnen mit einem Zeitschalter ausgestattet sein, um den Nutzer zustzlich unter Druck zu setzen. Nach Ablauf der vorgegebenen Zeit kann so das zu zah-lende Lsegeld erneut erhht oder der Zugriff auf die Daten unwiderruflich gesperrt werden.

Fr Desktop-Computer zhlen Reveton, CryptoLocker, CryptoWall und TeslaCrypt zu den bekanntesten Beispielen fr diese Form von Erpres-ser-Software; auf mobilen Plattformen haben Simplocker und LockerPin schon Tausende an Android-Gerten infiziert.

ESET-Analysen zufolge wird Ransomware unter Cyberkriminellen immer populrer und in den letzten Jahren fr Angriffe gegen Unternehmen und Privatanwender vermehrt eingesetzt. Selbst wenn Windows und Android zu den am hufigsten betroffenen Betriebssystemen gehren, belegen aktuelle Vorflle, dass Ransomware auch vor Linux und OS X nicht Halt macht.

Dieses Whitepaper zeigt hufig genutzte Angriffsvektoren auf und bietet ei-nen Leitfaden zum Schutz Ihrer Systeme und Daten im Unternehmen. Durch die aufgefhrten Handlungsoptionen im Falle eines Ransomware-Angriffs lassen sich die eventuelle Folgen um ein Vielfaches begrenzen.

Zuletzt beantwortet ESET die wichtigste aller Fragen von Ransomware- Opfern: Soll ich das von den Cyberkriminellen geforderte Lsegeld bezah-len?

ransomware 2

Vor Ransomware schtzenInsbesondere fr Unternehmen steht viel auf dem Spiel. Verlieren sie den Zugriff auf wichtige Unter-nehmensressourcen, kann der finanzielle Schaden und Imageverlust enorm hoch ausfallen. Eine ak-tuelle Umfrage unter knapp 3.000 IT- und Cyber-sicherheits-Experten weltweit zeigt, dass min-destens eins von fnf Unternehmen bereits dieser Gefahr ausgesetzt war.

Angreifer nutzen heutzutage genauso starke Ver-schlsselungen wie z.B. Banken zum Schutz des Zahlungsverkehrs ihrer Kunden einsetzen. Diese starke Verschlsselungsmethode erschwert die Wiederherstellung von Gerten oder Dateien im schlimmsten Fall ist sie sogar unmglich.

Es lohnt sich also auch aus finanziellen Grnden, in Prventivmanahmen zu investieren. Sind die Vor-kehrungen zum Schutz der Unternehmensdaten nur unzureichend und Mitarbeiter ungengend sensibilisiert, besteht ein deutlich erhhtes Risiko fr einen Ransomware-Befall und den damit ver-bundenen Verlust von Zeit und wertvoller Daten.

A. Verwenden Sie stets die aktuellste Programmversion ihrer Sicherheitslsung

Nutzen Sie immer die aktuellste Programmversion Ihres Sicherheits-software-Anbieters. Viele Schdlinge schaffen es vor allem aufgrund veralteter Lsungen, das System zu befallen. Bei ESET knnen Sie, bei Besitz einer gltigen Lizenz, jederzeit auf die neueste Programmverisi-on updaten.

ltere ESET Endpoint Security Produkte der Versionen 3 oder 4 knnen Sie nicht vor moderner Ransomware schtzen. Wir empfehlen drin-gend den Einsatz unserer aktuellen Version 6 des Business-Produkts. Sie enthlt die neuesten Technologien mit verbessertem Client-Schutz und wehrt selbst verschlsselte oder getarnte Malware zuverlssig ab.

Darunter gehren unter anderem die Erweiterte Speicherprfung, die Malware blockiert, sobald sie ihre schdlichen Funktionen erkennen lsst sowie der Exploit Blocker, der zielgerichtete Angriffe auf bisher unbekannte Schwachstellen, auch Zero-Day-Exploits genannt, verhin-dert.

B. Achten Sie auf die Aktualitt der Virensignatur- datenbank

Immer wieder werden neue Ransomware-Versionen verbreitet. Umso wichtiger ist es, dass die Virensignaturdatenbank von allen Computern und anderen Firmengerten stets auf dem neuesten Stand ist. Dies verbessert den Schutz vor Ransomware und anderen Schdlingen. ESET Security-Produkte aktualisieren stndlich die Virensignatur- datenbank, sofern sie ber eine gltige Lizenz verfgen und mit dem Internet verbunden sind.

http://www.isaca.org/Pages/2016-Cybersecurity-Snapshot.aspx

ransomware 3

WICHTIGER HINWEIS

In manchen Fllen wird die ESET LiveGrid Kommunikation durch Ihre Unternehmens-Firewall blockiert. Testen Sie, ob diese Funktion ordnungsgem funktioniert. Mehr Informa-tionen dazu fi nden Sie auf der Webseite der Non-Profi t-Prforganisation AMTSO, bei der auch ESET Mitglied ist:

http://www.amtso.org/feature-settings-check-cloud-lookups/

Klicken Sie auf den Link Download the CloudCar Testfi le" und laden Sie die Testdatei cloudcar.exe" herunter. Funk-tioniert ESET LiveGrid ordnungsgem, wird die Datei vom ESET LiveGrid System erkannt und auf ihrem System sofort blockiert. Im Anschluss erscheint folgende Meldung:

Aktivieren Sie das ESET LiveGrid CloudsystemUnbekannte und potenziell schdliche Anwendungen sowie andere mgliche Bedrohungen werden beobachtet und ber das ESET Live Grid Feedback-System an die ESET Cloud bermittelt. Hier werden die gesammelten Samples in einer Sandbox einer umfassenden Analyse unterzogen. Erkennt ESET eine Bedrohung und stuft sie als schdlich ein, wird fr alle Anwender eine Erkennungssignatur erstellt.

Sie wird unseren Kunden sofort und unabhngig vom nchsten Update der Signaturdatenbank ber das ESET LiveGrid Reputationssystem zur Verfgung gestellt. Auch als unsicher eingestufte Vorgnge z.B. das Lschen eines Backups werden umgehend gestoppt. Um den Schutz Ihrer Privatsphre zu gewhrleisten nutzt ESET LiveGrid lediglich die Hashes verdchtiger Dateien, das heit, es werden keinerlei Inhalte bertragen.

ransomware 4

Schtzen Sie Ihre Unternehmens-RechnerDie folgenden Schritte zeigen Ihnen, wie Sie das Risiko von Datenverlust und anderen durch Ransomware-Angriffe verursachte Schden minimie-ren knnen.

1. Erstellen Sie regelmig Backups von wichtigen DatenRegelmige Backups sind eine simple aber effektive Methode zum Schutz Ihrer Daten vor Ransomware und anderem Schadcode. Zumal neuere Malware auch Dateien auf Netzlaufwerken mit zugeordneten Laufwerksbuchstaben und teilweise auch auf verfgbaren Ablagen im Netzwerk verschlsseln kann.

Darunter zhlen alle externen Laufwerke wie USB-Sticks sowie andere Netzwerk- oder Cloud-Datenspeicher. Fr regelmige Backups empfeh-len wir, ein gesondertes Gert zu nutzen, um die Daten getrennt von den Produktivnetzen zu speichern. Testen Sie die Wiederherstellung von Da-ten in regelmigen Abstnden. So stellen Sie sicher, dass Daten verfgbar sind und Sie im Ernstfall routinemig reagieren knnen.

2. Aktivieren Sie die automatische Aktualisierung Ihrer Software

Malware-Autoren wissen, dass veraltete Software eine der hufigs-ten Schwachstellen bei Anwendern ist. Sie nutzen darin bekannte Sicherheitslcken aus und greifen so unbemerkt auf Firmengerte und -systeme zu. Regelmige Patches und Updates der verwendeten Software und Gerte erhhen den Schutz gegen Ransomware um ein Vielfaches.

In der Regel werden Sicherheits-Updates von Software-Anbietern in regelmigen Abstnden bereitgestellt. Bei kritischen Schwachstel-len kommt es allerdings auch zu auerplanmigen Aktualisierungen. Aktivieren Sie daher wenn mglich automatische Updates oder besuchen Sie die Webseite des Anbieters. Konfigurieren Sie zustzlich eine Alarmfunktion im Falle neuer kritischer Schwachstellen und wich-tiger Patches.

11 SCHRITTE ZUM SCHUTZ VOR DATENVERLUST

Erstellen Sie regelmig Backups von wichtigen Daten Aktivieren Sie die automatische Aktualisierung Ihrer Software

Schulen Sie Ihre Mitarbeiter Lassen Sie sich bekannte Dateierweiterungen anzeigen Blockieren Sie E-Mails anhand der Dateiendungen im Anhang

Deaktivieren Sie die Dateiausfhrung aus AppData/ LocalAppData-Ordnern

Genieen Sie freigegebene Ordner mit besonderer Vorsicht Deaktivieren Sie RDP Nutzen Sie ausschlielich branchenfhrende Sicherheitslsungen

10 Nutzen Sie die Systemwiederherstellung, um das System auf einen sauberen Stand zurckzusetzen

11 Nutzen Sie ein Standardkonto ohne Administratorrechte

ransomware 5

3. Schulen Sie Ihre MitarbeiterEines der schwchsten Glieder in der Sicherheitskette ist der Mensch selbst. Betrger wenden oft sogenannte Social Engineering-Metho-den an, um Mitarbeiter zur Preisgabe von vertraulichen Informationen und zur Ausfhrung schdlicher Programme zu bewegen. Geflschte E-Mails von Lieferunternehmen oder Banken und als interne E-Mails getarnte Nachrichten sind Klassiker, um Mitarbeiter zu tuschen. Die Erhhung des Sicherheitsbewusstseins durch Schulungen und Trai-nings helfen der Belegschaft, verdchtige E-Mails zu erkennen und mit darin enthaltenen Anhngen oder Links vorsichtig umzugehen.

4. Lassen Sie sich bekannte Dateierweiterungen anzeigenRansomware wird in vielen Fllen als E-Mail-Anhang mit der Endung .PDF.EXE" verbreitet. Kritisch dabei ist, dass Windows standardmig bekannte Dateierweiterungen ausblendet. Aktivieren Sie die Anzeige der gesamten Dateiendungen im Explorer, um verdchtige Dateien besser erkennen zu knnen.

5. Blockieren Sie E-Mails anhand der Dateiendungen im Anhang

Ist Ihr Gateway-Mail-Scanner in der Lage, Dateien anhand ihrer En-dung zu filtern, knnen Sie E-Mails mit offensichtlichen oder versteck-ten angehngten ausfhrbaren Dateien (.EXE"- bzw. *.*.EXE"-Dateien) blockieren. Wir raten Ihnen, Dateien mit folgenden Endungen ebenfalls zu filtern: *.BAT, *.CMD, *.SCR und *.JS.