Zurzeit schreckt die Nachricht den Markt auf, es sei eine „unentdeckbare“ Ransomware im Umlauf und diese koste nur 39 US-Dollar. Sogar ein YouTube-Video existiert, auf dem die Hintermänner die Funktionsweise der Erpressersoftware erklären. Merkwürdig ist jedoch: Bislang fehlt jeglicher Beweis, dass es diesen Schädling überhaupt gibt. Daher stellt sich die Frage: Was ist los im Crypto-Ransomware-Untergrund? Zuerst taucht mit Ranscam eine Variante auf, die Dateien nicht verschlüsselt, sondern löscht, und jetzt „werben“ Cyberkriminelle für einen Schädling, der wahrscheinlich gar nicht existiert? Stehen wir am Beginn einer Welle mit gefälschter Anti-Ransomware, die vermeintlich vor Erpressersoftware schützt?
Als vor einigen Jahren die Schadsoftware Conficker – auch DownAD genannt – ihr Unwesen trieb, dauerte es nicht lange, bis Online-Gangster auf die Idee kamen, gefälschte Antivirenprogramme in Umlauf zu bringen, die angeblich vor dieser Bedrohung mit sehr hohen Infektionszahlen schützten. Damit haben die Cyberkriminellen das Bedrohungspotenzial von Conficker potenziert und ihren Gewinn maximiert.
Während Ranscam implizit den Sinn von Zahlungen an die Erpresser zumindest mittel- und langfristig in Frage stellt, da die Dateien ja nicht wiederhergestellt, sondern unwiederbringlich gelöscht werden, sendet das YouTube-Video zu STAMPADO das gegenteilige Signal. Aus der Sicht von Trend Micro verstecken sich dahinter drei Aussagen:
1. „Ransomware ist nicht tot! Wir verteilen Erpressersoftware gerade im gesamten Cyber-Untergrund.“ Die Absicht ist klar: Ransomware kann und wird jeden treffen. Und um den Schaden für die Opfer und dadurch den Gewinn für die Cyberkriminellen zu maximieren, wäre es denkbar, dass dies eine neue Welle von gefälschten Antiviren-Programmen ankündigt. Trifft dies zu, gibt es demnächst viele neue Anti-Ransomware-Tools, die damit werben, Stampado & Co zu erkennen und zu entfernen – natürlich gegen Zahlung einer Gebühr von vielleicht 20 Euro. Mit diesem Trick haben Conficker-Hintermänner Millionen „verdient“.
2. „Installierte IT-Sicherheitslösungen nützen nichts, sie entdecken uns nicht. Unser Schädling ist nicht zu erkennen.“ Damit wird suggeriert, dass Investitionen in IT-Sicherheitslösungen nichts bringen, weil diese angeblich wirkungslos sind. Doch das stimmt natürlich nicht.
3. „Wer bezahlt, kann wieder auf seine Daten und Informationen zugreifen.“ Dies könnte die Antwort auf Ranscam sein. Die Opfer sollen weiter in dem Glauben gelassen werden, dass es sich „lohnt“, den Online-Kriminellen Geld zu bezahlen. Doch so einfach ist es nicht. Es ist besser, auf die Geldforderungen nicht einzugehen.
Die Anwender – ob in Unternehmen oder privat – sind jedenfalls gut beraten, nicht auf Meldungen, sie hätten sich mit Stampado infiziert, hereinzufallen und zu zahlen. Ein Anwender, der aufgrund der aktuellen Nachrichtenlage nach Stampado recherchiert, findet vielleicht schon bald nicht mehr nur Suchtreffer, die auf die Seiten der seriösen IT-Sicherheitsanbieter verweisen, sondern auf dubiose Angebote. Dabei könnte es sich um ein Fake-Antiransomware-Werkzeug handeln. Fällt ein Anwender auf diesen Trick herein, erscheint wohl schon bald ein Popup-Fenster und meldet den Befall mit Stampado, selbst wenn gar keine Infektion vorliegt. Natürlich schlägt in einem solchen Fall kein legitimes Sicherheitsprodukt an – was dem ahnungslosen Opfer wieder die Echtheit der Aussagen im YouTube-Video suggeriert. Dadurch steigt die Wahrscheinlichkeit, dass das Opfer zahlt, enorm.
Nie zahlen! Niemals!
Bei Ransomware gibt es keine Garantie, dass die Opfer den Schlüssel tatsächlich bekommen, um mit ihren Dateien wieder arbeiten zu können. Außerdem sind Fälle bekannt geworden, dass nach der Zahlung weitere Geldforderungen erhoben wurden, statt den Schlüssel zu liefern. Es zahlt sich also generell nicht aus, den Erpressern nachzugeben.
Nein zu Ransomware
Als erste Hilfe im Fall einer Infektion mit einigen Varianten von Erpressersoftware hilft Trend Micro mit zwei kostenlos abrufbaren Tools: „Trend Micro Crypto-Ransomware File Decryptor“ und „Trend Micro Anti-Ransomware“. Darüber hinaus empfiehlt Trend Micro Privatanwendern wie Unternehmen zwei grundlegende Strategien, um sich vor Infektionen mit Erpressersoftware zu wappnen:
1. Backups anlegen
Eine grundlegende Möglichkeit, sich vor Erpressersoftware zu schützen, sind regelmäßige Datensicherungen (Backups). Dabei sollten die Anwender der 3-2-1-Regel folgen – drei Kopien in zwei Formaten auf einem isolierten Medium. So lassen sich zum Beispiel die Familienfotos erstens auf einem externen Speichermedium (externe Festplatte oder Stick) speichern, zweitens in der Cloud ablegen und drittens auf eine CD brennen. Der Cloud-Speicher und der nicht eingesteckte USB-Stick verhindern dabei, dass der Schädling auch die Sicherungskopien verschlüsseln und löschen kann. Sollte kein Cloud-Speicher vorhanden und der USB-Stick mit dem Rechner verbunden sein, so wären wenigstens die auf CD gebrannten Bilder sicher, selbst wenn diese im CD-Laufwerk eingelegt wäre.
Wichtig dabei ist, nicht nur die Daten und Dateien, sondern auch ein System-Image zu sichern – im Falle von Windows am besten einmal in der Woche. Hierfür eignet sich wegen der Datenmenge idealerweise eine externe Festplatte, die nur während der Sicherung mit dem Rechner per USB-Schnittstelle verbunden wird. Kommt es zu einer Infektion, ist es immer empfehlenswert, den befallenen Rechner komplett neu aufzusetzen – selbst nach geglückter Entfernung des Schädlings. Schließlich kann es immer möglich sein, dass einzelne Komponenten einer Bedrohung weiter auf dem Gerät verbleiben und bei künftigen Kampagnen wieder ihr Unwesen treiben.
2. Mehrschichtige Sicherheitslösungen helfen
Generell sollten Anwender auf ihren Geräten eine moderne Sicherheitssoftware installieren und stets auf dem aktuellen Stand halten. Außerdem sollten diese Schutzlösungen über Cloud-Sicherheitsmechanismen verfügen, damit etwa Webadressen, die zu Erpresser- und anderer Schadsoftware führen, oder E-Mails mit bösartigen Links geblockt und bösartige Dateien gar nicht heruntergeladen oder ausgeführt werden. Zusätzlich bietet die Verhaltensanalyse solcher Sicherheitssoftware Schutz und kann eine unbekannte oder zunächst nicht erkannte Bedrohung noch vor dem eigentlichen Schaden abwehren.
Trend Micro-Kunden – Privatanwender wie Unternehmen – können sich durch Lösungen wie „Security“, „Smart Protection Suites“, „Worry-Free Business Security“, „Deep Discovery Email Inspector“, „InterScan Web Security“, „Deep Security“ und „Endpoint Application Control“ vor Bedrohungen durch Erpressersoftware schützen. „Endpoint Application Control“ verhindert dabei das Installieren und Ausführen jeglicher Software, die nicht vorher von den Administratoren als vertrauenswürdig und zugelassen definiert wurde (so genanntes „Whitelisting“).
Über Richard Werner
Als Business Consultant bringt Richard Werner den IT-Sicherheitsverantwortlichen größerer Unternehmenskunden die Strategie Trend Micros näher, speziell im Hinblick auf aktuelle Cyberbedrohungen. In dieser Rolle, die er seit Juni 2016 innehat, hält Werner zudem Vorträge und kommuniziert mit der Presse. Davor verantwortete er als Regional Solution Manager die Einführung insbesondere der Cloud- und Rechenzentrumslösungen in Deutschland, Österreich und der Schweiz. Werner, der seit 2000 im Unternehmen ist, hatte beim japanischen IT-Sicherheitsanbieter verschiedene leitende Positionen im technischem Bereich inne, insbesondere im Post- und Pre-Sales-Support: Er war unter anderem Leiter des Presales-Teams für die Region Zentraleuropa sowie Senior Sales Engineer.
Als vor einigen Jahren die Schadsoftware Conficker – auch DownAD genannt – ihr Unwesen trieb, dauerte es nicht lange, bis Online-Gangster auf die Idee kamen, gefälschte Antivirenprogramme in Umlauf zu bringen, die angeblich vor dieser Bedrohung mit sehr hohen Infektionszahlen schützten. Damit haben die Cyberkriminellen das Bedrohungspotenzial von Conficker potenziert und ihren Gewinn maximiert.
Während Ranscam implizit den Sinn von Zahlungen an die Erpresser zumindest mittel- und langfristig in Frage stellt, da die Dateien ja nicht wiederhergestellt, sondern unwiederbringlich gelöscht werden, sendet das YouTube-Video zu STAMPADO das gegenteilige Signal. Aus der Sicht von Trend Micro verstecken sich dahinter drei Aussagen:
1. „Ransomware ist nicht tot! Wir verteilen Erpressersoftware gerade im gesamten Cyber-Untergrund.“ Die Absicht ist klar: Ransomware kann und wird jeden treffen. Und um den Schaden für die Opfer und dadurch den Gewinn für die Cyberkriminellen zu maximieren, wäre es denkbar, dass dies eine neue Welle von gefälschten Antiviren-Programmen ankündigt. Trifft dies zu, gibt es demnächst viele neue Anti-Ransomware-Tools, die damit werben, Stampado & Co zu erkennen und zu entfernen – natürlich gegen Zahlung einer Gebühr von vielleicht 20 Euro. Mit diesem Trick haben Conficker-Hintermänner Millionen „verdient“.
2. „Installierte IT-Sicherheitslösungen nützen nichts, sie entdecken uns nicht. Unser Schädling ist nicht zu erkennen.“ Damit wird suggeriert, dass Investitionen in IT-Sicherheitslösungen nichts bringen, weil diese angeblich wirkungslos sind. Doch das stimmt natürlich nicht.
3. „Wer bezahlt, kann wieder auf seine Daten und Informationen zugreifen.“ Dies könnte die Antwort auf Ranscam sein. Die Opfer sollen weiter in dem Glauben gelassen werden, dass es sich „lohnt“, den Online-Kriminellen Geld zu bezahlen. Doch so einfach ist es nicht. Es ist besser, auf die Geldforderungen nicht einzugehen.
Die Anwender – ob in Unternehmen oder privat – sind jedenfalls gut beraten, nicht auf Meldungen, sie hätten sich mit Stampado infiziert, hereinzufallen und zu zahlen. Ein Anwender, der aufgrund der aktuellen Nachrichtenlage nach Stampado recherchiert, findet vielleicht schon bald nicht mehr nur Suchtreffer, die auf die Seiten der seriösen IT-Sicherheitsanbieter verweisen, sondern auf dubiose Angebote. Dabei könnte es sich um ein Fake-Antiransomware-Werkzeug handeln. Fällt ein Anwender auf diesen Trick herein, erscheint wohl schon bald ein Popup-Fenster und meldet den Befall mit Stampado, selbst wenn gar keine Infektion vorliegt. Natürlich schlägt in einem solchen Fall kein legitimes Sicherheitsprodukt an – was dem ahnungslosen Opfer wieder die Echtheit der Aussagen im YouTube-Video suggeriert. Dadurch steigt die Wahrscheinlichkeit, dass das Opfer zahlt, enorm.
Nie zahlen! Niemals!
Bei Ransomware gibt es keine Garantie, dass die Opfer den Schlüssel tatsächlich bekommen, um mit ihren Dateien wieder arbeiten zu können. Außerdem sind Fälle bekannt geworden, dass nach der Zahlung weitere Geldforderungen erhoben wurden, statt den Schlüssel zu liefern. Es zahlt sich also generell nicht aus, den Erpressern nachzugeben.
Nein zu Ransomware
Als erste Hilfe im Fall einer Infektion mit einigen Varianten von Erpressersoftware hilft Trend Micro mit zwei kostenlos abrufbaren Tools: „Trend Micro Crypto-Ransomware File Decryptor“ und „Trend Micro Anti-Ransomware“. Darüber hinaus empfiehlt Trend Micro Privatanwendern wie Unternehmen zwei grundlegende Strategien, um sich vor Infektionen mit Erpressersoftware zu wappnen:
1. Backups anlegen
Eine grundlegende Möglichkeit, sich vor Erpressersoftware zu schützen, sind regelmäßige Datensicherungen (Backups). Dabei sollten die Anwender der 3-2-1-Regel folgen – drei Kopien in zwei Formaten auf einem isolierten Medium. So lassen sich zum Beispiel die Familienfotos erstens auf einem externen Speichermedium (externe Festplatte oder Stick) speichern, zweitens in der Cloud ablegen und drittens auf eine CD brennen. Der Cloud-Speicher und der nicht eingesteckte USB-Stick verhindern dabei, dass der Schädling auch die Sicherungskopien verschlüsseln und löschen kann. Sollte kein Cloud-Speicher vorhanden und der USB-Stick mit dem Rechner verbunden sein, so wären wenigstens die auf CD gebrannten Bilder sicher, selbst wenn diese im CD-Laufwerk eingelegt wäre.
Wichtig dabei ist, nicht nur die Daten und Dateien, sondern auch ein System-Image zu sichern – im Falle von Windows am besten einmal in der Woche. Hierfür eignet sich wegen der Datenmenge idealerweise eine externe Festplatte, die nur während der Sicherung mit dem Rechner per USB-Schnittstelle verbunden wird. Kommt es zu einer Infektion, ist es immer empfehlenswert, den befallenen Rechner komplett neu aufzusetzen – selbst nach geglückter Entfernung des Schädlings. Schließlich kann es immer möglich sein, dass einzelne Komponenten einer Bedrohung weiter auf dem Gerät verbleiben und bei künftigen Kampagnen wieder ihr Unwesen treiben.
2. Mehrschichtige Sicherheitslösungen helfen
Generell sollten Anwender auf ihren Geräten eine moderne Sicherheitssoftware installieren und stets auf dem aktuellen Stand halten. Außerdem sollten diese Schutzlösungen über Cloud-Sicherheitsmechanismen verfügen, damit etwa Webadressen, die zu Erpresser- und anderer Schadsoftware führen, oder E-Mails mit bösartigen Links geblockt und bösartige Dateien gar nicht heruntergeladen oder ausgeführt werden. Zusätzlich bietet die Verhaltensanalyse solcher Sicherheitssoftware Schutz und kann eine unbekannte oder zunächst nicht erkannte Bedrohung noch vor dem eigentlichen Schaden abwehren.
Trend Micro-Kunden – Privatanwender wie Unternehmen – können sich durch Lösungen wie „Security“, „Smart Protection Suites“, „Worry-Free Business Security“, „Deep Discovery Email Inspector“, „InterScan Web Security“, „Deep Security“ und „Endpoint Application Control“ vor Bedrohungen durch Erpressersoftware schützen. „Endpoint Application Control“ verhindert dabei das Installieren und Ausführen jeglicher Software, die nicht vorher von den Administratoren als vertrauenswürdig und zugelassen definiert wurde (so genanntes „Whitelisting“).
Über Richard Werner
Als Business Consultant bringt Richard Werner den IT-Sicherheitsverantwortlichen größerer Unternehmenskunden die Strategie Trend Micros näher, speziell im Hinblick auf aktuelle Cyberbedrohungen. In dieser Rolle, die er seit Juni 2016 innehat, hält Werner zudem Vorträge und kommuniziert mit der Presse. Davor verantwortete er als Regional Solution Manager die Einführung insbesondere der Cloud- und Rechenzentrumslösungen in Deutschland, Österreich und der Schweiz. Werner, der seit 2000 im Unternehmen ist, hatte beim japanischen IT-Sicherheitsanbieter verschiedene leitende Positionen im technischem Bereich inne, insbesondere im Post- und Pre-Sales-Support: Er war unter anderem Leiter des Presales-Teams für die Region Zentraleuropa sowie Senior Sales Engineer.
