Für Computernutzer ist eine neue, gefährlichere Zeit angebrochen. Waren früher Werbung oder langsame Systeme die Folge eine Malware-Infektion, so ist es heute im schlimmsten Fall ein totaler Datenverlust. „Locky“ oder „TeslaCrypt“ verschlüsseln nach Aktivierung diverse Dateitypen und machen so die Dateien unbrauchbar für den Benutzer. Beide Programme sind im Moment extrem erfolgreich, weshalb ich mich hier kurz und hoffentlich möglichst verständlich zur Funktionsweise und zu möglichen Schutzmaßnahmen äußern möchte. Denn wie bei fast allen Malware-Kampagnen zuvor auch schon, ist Information und Achtsamkeit der beste Schutz.
Was tut Kryptomalware?
Es handelt sich dabei um Programme die nach ihrer Aktivierung gezielt auf dem System nach Dateien von hohem Wert für den Benutzer suchen. Dateien die wichtig sind für die Funktion der Maschine oder irgendwelcher Programme, werde in den Regel in Ruhe gelassen. Bilder, Dokumente und ähnliches hingegen, werden nach Auffinden durch eine verschlüsselte Version ersetzt. Im Anschluss wird der Benutzer aufgefordert, den Tätern ein Lösegeld zukommen zu lassen. Im Gegenzug wird versprochen, ein Programm zu liefern das in der Lage ist die verschlüsselten Dateien wieder lesbar zu machen.
Die besondere Gefahr dieser Programme geht von der Fähigkeit aus, jedes erreichbare Verzeichnis nach entsprechenden Dateien durchsuchen zu können. Im Büro bedeutet das, das nicht nur Dateien auf dem unmittelbar infizierten Rechner verschlüsselt werden, sondern auch die Daten die auf dem Server liegen und per Netzlaufwerk am angegriffenen Rechner verfügbar gemacht wurden. Das an sich ist in der Regel schon eine Katastrophe. Aber gerade „Locky“ verfügt über die Fähigkeit, auch nicht unmittelbar eingebundene Netzwerkfreigaben zu finden und zu verschlüsseln sofern der Benutzer die Berechtigungen dazu hat. Das macht die Software extrem gefährlich, selbst wenn „versteckte“ Freigaben zum Beispiel für Sicherungen oder ähnliches genutzt werden.
Was tun wenn der Rechner infiziert wurde?
Aktuell scheint der Hauptverbreitungsweg von Kryptomalware die gemeine E-Mail zu sein. Getarnt als Anhang einer Mail die vorgibt eine Rechnung zu sein, wird die Software nachgeladen sobald man den Anhang der Mail öffnet. Der eigentliche Prozess der Verschlüsselung läuft relativ still im Hintergrund ab, so das der Benutzer erst möglichst spät darauf aufmerksam wird. Generell gilt also, das beim geringsten Verdacht, spätestens aber beim Fund einer verschlüsselten Datei, der Rechner ausgeschaltet wird. Im Zweifelsfall durch ziehen des Steckers. Mit halbwegs performanter Hardware können viele hunderte Dateien gleichzeitig verschlüsselt werden. Es geht also um Sekunden! Und ein defektes Windows wäre immer noch ein vergleichsweise geringer Schaden! Wenn nicht klar ist, von welchem Rechner genau die Infektion ausgeht, ist das Netzwerk abzuschalten. Der Schutz der Daten auf dem Server hat oberste Priorität! Kann die Malware keine Netzwerkfreigaben erreichen, weil das Netzwerk nicht verfügbar ist, kann sie nur lokalen Schaden anrichten.
Stellt man eine Infektion fest und hat die betroffenen oder besser alle Systeme heruntergefahren bzw. vom Netz getrennt, muss man die aktuelle Sicherung besonders verwahren. Im Zweifelsfall ist sie die letzte Chance die verschlüsselten Dateien wieder durch die Originale zu ersetzen. Zeitnah sollte man sich Hilfe holen um zu sondieren, welcher Schaden genau entstanden ist und welche Systeme betroffen wurden. Eine gezielte Überprüfung aller Maschinen ist ratsam da nicht ausgeschlossen werden kann, das die Malware eher früher als später über Funktionen verfügen wird, mit Hilfe derer sie sich auch auf anderen Maschinen einnistet.
Keinesfalls sollte man versuchen, seine Daten freizukaufen! Auch wenn die Aussicht auf ein Werkzeug zur Entschlüsselung verlockend ist – die Wahrscheinlichkeit das man einfach nur sein Geld los wird, ist erheblich. Zwar gibt es immer wieder öffentlich gemachte Fälle in denen die Opfer tatsächlich nach Zahlung eines Lösegelds in die Lage versetzt wurden, ihre Daten wiederherstellen zu können. Man sollte sich aber bewusst sein, dass man mit solch einem Vorgehen direkt Kriminelle unterstützt und diese Variante der Erpressung ausgesprochen vielversprechend macht. Aus diesem Grund rät auch das BSI davon ab. Besser ist eine Sicherung der betroffenen Dateien zu erstellen damit man später vielleicht die Chance auf Entschlüsselung hat. Außerdem sollte man Beweise sichern – wenn möglich – und Anzeige bei der Polizei erstatten. Es ist nicht sehr wahrscheinlich das ein Täter ermittelt wird, aber sollten entsprechende Versicherungen vorhanden sein, hat man etwas Schriftliches über die Vorgänge.
Warum ist Kryptomalware so erfolgreich?
Im Arbeitsalltag ist man ständig mit Mails konfrontiert. Heute ist es üblich, Rechnungen nur noch elektronisch zu schicken. Und nicht immer kann der Benutzer überschauen, welche Rechnungen wirklich echt sind und welche nicht. Gerade in der Hektik kann es schnell passieren das Absender, Inhalt oder Dateiendung des Anhangs übersehen werden. Die Angreifer machen sich hier eine Vielzahl von Faktoren zu nutze, die nur schwer kontrollierbar sind. Beispielsweise ist es immer noch üblich, Makros in Word zu erlauben da sonst zum Beispiel Preislisten nicht mehr komfortabel genutzt werden können. Und selbst wenn die Makros manuell bestätigt werden müssen, weiß der Benutzer meist nicht was benötigt wird und was nicht. Natürlich lassen sich die Angriffsvektoren durch Achtsamkeit und Information massiv einschränken. Und die große mediale Aufmerksamkeit für das Thema wird dazu führen, das Benutzer aktuell wieder aufmerksamer bei Mails seien werden. Das wiederum wird dazu führen, das die Angreifer sich andere Wege suchen werden um ihre Software auf den Rechner zu platzieren. Kaspersky hat bereits Hinweise darauf gefunden, das „Locky“ per Websites verteilt wird (Driveby). Gerade „Locky“ ist aber auch so erfolgreich, weil die Entwickler Geduld bewiesen haben. Die Software blieb erst einmal über längere Zeit inaktiv und wurde anscheinend im Laufe der vergangenen Woche koordiniert scharf geschaltet. Ein solches Vorgehen minimiert das Risiko der Entdeckung durch Virenscanner. Bis die Hersteller von Antimalwareprogrammen reagieren können, hat man bereits eine hohe Verbreitung erreicht und maximiert den Schaden.
Erfolgreich ist dieser Angriff auch, weil er auf das zielt, was dem Benutzer und oder dem Unternehmen absolut wichtig ist: Die Daten, die zum täglichen Arbeiten genutzt werden. Die Daten des privaten Lebens des Benutzers. Die Hemmschwelle der Betroffenen ist bei dieser Art von Daten sehr wahrscheinlich minimal so das die Angreifer mit einer maximalen Anzahl an zahlungswilligen Opfern rechnen können.
Gibt es Hoffnung für die verschlüsselten Dateien?
Wenn die Entwickler der Malware Fehler bei der Programmierung gemacht haben, ist es wahrscheinlich das Experten früher oder später die Verschlüsselung brechen können. So geschehen zum Beispiel bei „TeslaCrypt 2„. Diese Möglichkeiten basieren aber direkt auf Fehler der ursprünglichen Software. Und auch im Bereich der Malwareentwicklung gibt es so etwas wie Qualitätsmanagement so das befürchtet werden muss, das derartige Fehler weniger werden. Und somit sinkt auch die Chance, im Nachhinein eine Chance zur Entschlüsselung zu erhalten. Trotzdem sollte man eine Kopie der betroffenen Daten aufbewahren.
Eine andere Möglichkeit ist das Wiederherstellen der Daten, in dem man die gelöschten Sektoren der Festplatte ausliest. Das ist aber sehr langwierig und die Erfolgsaussichten hängen direkt mit der Laufzeit der Festplatte nach Infektion zusammen. Besser ist es, eine umfangreiche Datensicherung auf „sicheren“ Medien zur Hand zu haben. Die ist wohl möglich nicht tagesaktuell, aber in der Regel ändern sich Dateien nicht so schnell, dass das Alter der Sicherung wirklich relevant ist.
Wie kann man eine Infektion verhindern?
Generell ist ein vorsichtiger Umgang mit Mail und Internet der beste Schutz vor Angriffen aller Art. Der Benutzer muss darin geschult sein zu wissen, welche Angriffsszenarien möglich sind und wie er diese im Vorfeld erkennen kann. Es muss Verhaltensregeln geben in denen beschrieben wird, wie z.B. mit Mails unbekannter Absender zu verfahren ist.
Aber Fehler passieren, weshalb parallel zu dem aufmerksamen Benutzer eine technische Schutzebene aufgebaut werden muss. Im ganz wesentlichen besteht die in stets aktuellen Virenschutzprogrammen auf den lokalen Rechnern. Aber auch ein Virenscan des gesamten Internettraffics in einer eigenständigen Maschine ist sinnvoll – und vom BSI so im IT-Grundschutzkatalog vorgeschlagen. Diese Maßnahmen reduzieren die Wahrscheinlichkeit eines erfolgreichen Angriffs schon erheblich. Weitere Möglichkeiten wie z.B. ein eigenständiges Netz für das Internet oder massive Einschränkungen der Benutzerrechte müssen individuell geplant werden. Gerade im geschäftlichen Umfeld ist derartiges meist nur schwer realisierbar. Generell muss sichergestellt sein, das ein Benutzer nur auf die unmittelbar für ihn erforderlichen Dateien zugreifen darf. In einer Konfiguration, in der der Benutzer auf ein freigegebenes Verzeichnis lesend zugreifen darf, würden Angriffe wie durch „Locky“ ins Leere laufen. Es käme zwar zu einer lokalen Infektion mit entsprechendem Schaden an dem betroffenen Rechner, aber die Funktionalität der Netzwerkfreigaben wäre im besten Fall nicht betroffen.
Sich im privaten oder im geschäftlichen Umfeld vor Schadsoftware zu schützen, ist leider eine aufwendige und bisweilen kostenintensive Aufgabe geworden. Den perfekten Schutz gibt es nicht, aber man kann das individuelle Risiko erheblich senken, wenn man schon die grundlegenden Empfehlungen befolgt. Wir beraten Interessierte gerne zu Fragen der individuellen Schutzmaßnahmen oder stehen im Krisenfall bereit, um Sie bei der Schadensminimierung und Wiederherstellung zu unterstützen.
B. Wiese
Beitragsbild by Dennis Skley |CC BY-ND 2.0