Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Die Story des Jahres

Inhalt

Einleitung

Im Jahr 2016 hat Ransomware ihren verheerenden Marsch um den gesamten Globus fortgesetzt und dabei Daten und Geräte, Heimanwender und Unternehmen fest in ihren Klammergriff genommen.

Die Zahlen sprechen für sich:

Kaspersky Security Bulletin 2016/2017. die Story des Jahres

  • Insgesamt 62 neue Ransomware-Familien sind in Erscheinung getreten.
  • Die Zahl der Ransomware-Modifikationen hat um das 11-Fache zugenommen: von 2.900 neuen Modifikationen im Januar bis März auf 32.091 im Juli bis September.
  • Die Zahl der Angriffe auf Unternehmen hat sich zwischen Januar und Ende September verdreifacht: Das bedeutet, die Zeit zwischen zwei Angriffen hat sich von 2 Minuten auf 40 Sekunden verringert.
  • Bei den Angriffen auf Einzelperson verringerte sich dieser Zeitraum von 20 auf 10 Sekunden.
  • Eines von fünf kleinen und mittleren Unternehmen, die das geforderte Lösegeld gezahlt haben, hat seine Daten nie zurückerhalten.

Im Jahr 2016 haben aber auch Komplexität, Raffinesse und Vielfalt von Ransomware zugenommen, was sich beispielsweise an den folgenden Fakten festmachen lässt: Wandel bei der Entdeckung von Finanz-Software, Programmierung in Scripting-Sprachen, Beschreiten neuer Infektionswege, zunehmende Zielgerichtetheit und für technisch weniger Versierte das Angebot, fertige Ransomware-as-a-Service-Lösungen, Ressourcen oder Zeit bereitzustellen – all das mit Hilfe eines gedeihenden und immer effizienter werdenden Untergrund-Ökosystems.

Gleichzeitig begann sich die Welt im Jahr 2016 im Kampf gegen Ransomware zusammenzutun:

Das Projekt NoMoreRansom.org startete im Juli und brachte die niederländische Polizei, Europol, Intel Security und Kaspersky Lab an einen Tisch. Weitere 13 Organisationen kamen im Oktober hinzu. Zu den Ergebnissen dieser Zusammenarbeit gehören unter anderem eine Reihe von kostenlosen Dechiffrierungstools, die bisher tausenden Ransomware-Opfern dabei geholfen haben, ihre Daten wiederherzustellen.

Das ist nur die Spitze des Eisbergs und es gibt noch viel zu tun. Gemeinsam können wir weitaus mehr erreichen als jeder einzelne von uns für sich allein.

Was ist Ransomware?

Es gibt zwei Arten von Ransomware. Bei der am weitesten verbreiteten Art von Ransomware handelt es sich um Verschlüsselungssoftware. Solche Programme chiffrieren die Daten auf dem Gerät des Opfers und verlangen Geld als Gegenleistung für das Versprechen, die Daten wiederherzustellen. Die den Bildschirm blockierenden Programme hingegen beeinträchtigen die auf dem Gerät gespeicherten Daten nicht. Dafür verhindern sie, dass das Opfer auf sein Gerät zugreifen kann. Die auf dem gesamten Bildschirm angezeigte Lösegeldforderung kommt typischerweise als Nachricht irgendeiner Strafverfolgungsbehörde daher, in der es heißt, das Opfer habe auf illegale Webinhalte zugegriffen und müsse nun ein Verwarnungsgeld zahlen. Einen Überblick über beide Ransomware-Arten finden Sie hier.

„Die meisten Erpresser-Programme basieren auf einer merkwürdigen Vertrauensbeziehung zwischen dem Opfer und den Angreifern. Sie stützt sich auf das Versprechen, dass das Opfer, nachdem die Lösegeldzahlung beim Erpresser eingegangen ist, seine gekaperten Dateien zurückerhält. Die Cyberkriminellen haben dabei ein erstaunliches Maß an Professionalität an den Tag gelegt, was die Erfüllung dieses Versprechens angeht.“

GReAT, Prognosen für 2017

Kaspersky Security Bulletin 2016/2017. die Story des Jahres

Neuerscheinungen und Auslaufmodelle

Neuerscheinungen: Im Jahr 2016 sagte die Welt „Hallo“ zu Cerber, Locky und CryptXXX – sowie zu 44.287 neuen Ransomware-Modifikationen

Cerber und Locky gaben ihr Debüt im frühen Frühjahr. Bei beiden handelt es sich um bösartige, aggressive Ransomware-Familien, die – in erster Linie mittels Spam-Attachments und Exploit-Kits – weit verbreitet werden. Sie haben sich mit Angriffen auf Individuen und Unternehmen gleichermaßen rasch selbst als „wichtige Player“ auf der Cybercrime-Bühne etabliert. Kurz darauf folgte CryptXXX. Alle drei Familien entwickeln sich fortwährend weiter und zeigen der Welt, was Ransomware – über die alt eingesessenen Schädlinge wie CTB-Locker, CryptoWall und Shade hinaus – bedeutet.

Stand Oktober 2016: Die Top 10 der von Kaspersky-Lab-Produkten detektierten Ransomware-Familien:

Name Objekte* Prozentualer Anteil der Nutzer**
1 CTB-Locker Trojan-Ransom.Win32.Onion /
Trojan-Ransom.NSIS.Onion
25,32
2 Locky Trojan-Ransom.Win32.Locky /
Trojan-Dropper.JS.Locky
7,07
3 TeslaCrypt (aktiv seit Mai 2016) Trojan-Ransom.Win32.Bitman 6,54
4 Scatter Trojan-Ransom.Win32.Scatter /
Trojan-Ransom.BAT.Scatter /
Trojan-Downloader.JS.Scatter /
Trojan-Dropper.JS.Scatter
2,85
5 Cryakl Trojan-Ransom.Win32.Cryakl 2,79
6 CryptoWall Trojan-Ransom.Win32.Cryptodef 2,36
7 Shade Trojan-Ransom.Win32.Shade 1,73
8 (generic verdict) Trojan-Ransom.Win32.Snocry 1,26
9 Crysis Trojan-Ransom.Win32.Crusis 1,15
10 Cryrar/ACCDFISA Trojan-Ransom.Win32.Cryrar 0,90

* Die vorliegende Statistik basiert auf den von Kaspersky-Lab-Produkten detektierten Objekten, deren Nutzer ihre Zustimmung zur Übermittlung von statistischen Daten gegeben haben.
** Prozentualer Anteil der von einer konkreten Familie von Verschlüsselungs-Ransomware ins Visier genommenen Nutzer an allen von Verschlüsselungs-Schädlingen anvisierten Nutzern.

Auslaufmodelle: Auf Wiedersehen Teslascrypt, Chimera und Wildfire – so schien es zumindest…

Kaspersky Security Bulletin 2016/2017. die Story des Jahres

Die vermutlich größte Überraschung des Jahres 2016 war die Stilllegung von TeslaCrypt und die darauffolgende Veröffentlichung des Master Keys, vermutlich durch die Malware-Autoren selbst.

Encryptor RaaS, einer der ersten Trojaner, der anderen Cyberkriminellen als Ransomware-as-a-Service-Modell zur Verfügung stand, wurde stillgelegt, nachdem ein Teil seines Botnetzes von der Polizei unschädlich gemacht worden war.

Im Juli wurden dann etwa 3.500 Schlüssel für die Chimera-Ransomware öffentlich gemacht – von Individuen, die behaupteten, hinter der Erpressersoftware Petya/Mischa zu stecken. Da Petya einen Teil des Chimera-Quellcodes für seine eigene Ransomware verwendete, könnte durchaus ein und dieselbe Gruppe für beide Bedrohungen verantwortlich sein, die ihre Produkte aktualisiert und Chaos gestiftet hat.

Auch die Familie Wildfire, deren Server beschlagnahmt wurden, und für die dank der gemeinsamen Anstrengungen von Kaspersky Lab, Intel Security und der niederländischen Polizei ein Dechiffrierungsschlüssel entwickelt werden konnte, scheint nun unter dem Namen Hades wiederbelebt worden zu sein.

Missbrauch von „Weiterbildungs-Ransomware“

Kaspersky Security Bulletin 2016/2017. die Story des Jahres

Wohlmeinende Forscher haben Ransomware zu Lernzwecken entwickelt, um Systemadministratoren ein Tool an die Hand zu geben, mit dem sie Angriffe von Erpressersoftware simulieren und ihre Abwehr auf den Prüfstand stellen können. Doch Cybergangster haben sich diese Tools schnell angeeignet, um sie zu ihren eigenen böswilligen Zwecken zu nutzen.

Die Entwickler der Lern-Ransomware Hidden Tear & EDA2 veröffentlichten den Quellcode hilfsbereit auf GitHub. Unweigerlich erschienen daraufhin im Jahr 2016 zahlreiche bösartige Trojaner, die auf eben diesem Code basieren. Dazu zählt auch Ded Cryptor, der den Bildschirmhintergrund auf dem Computer des Opfers gegen ein Bild eines bösartig aussehenden Weihnachtsmannes austauschte und als Lösegeld satte zwei Bitcoins (etwa 1.300 €) verlangte. Ein anderes Programm dieser Art war Fantom, das einen täuschend echt aussehenden Windows-Update-Bildschirm anzeigte.

Unkonventionelle Ansätze

  • Warum sich mit einer Datei herumschlagen, wenn du die ganze Festplatte haben kannst?

    Zu den neuen Ansätzen im Bereich Ransomware-Attacken, die erstmals im Jahr 2016 beobachtet wurden, gehört die Verschlüsselung der Festplatte, wobei die Angreifer entweder den Zugriff auf die Dateien blockieren oder gleich alle Dateien auf einmal chiffrieren. Petya ist ein Beispiel für die Anwendung dieser Methode, wobei sie den Master Index (MFT) der Festplatte verschlüsselt und so einen Reboot unmöglich macht. Ein anderer Trojaner mit dem Namen Dcryptor, auch bekannt als Mamba, ging noch einen Schritt weiter und blockierte die gesamte Festplatte. Diese Ransomware ist ganz besonders unangenehm, da sie jeden Festplattensektor, inklusive Betriebssystem, geteilter Dateien und aller persönlicher Daten chiffriert – mit Hilfe einer Kopie der Open-Source-Software DiskCryptor.

  • Die manuelle Infektionstechnik

    Die Infektion mit Dcrypter wird manuell vollzogen, wobei die Angreifer die Passwörter für den entfernten Zugriff auf den Rechner des Opfers via Brute-Forcing knacken. Wenn er auch nicht neu ist, so hat dieser Ansatz im Jahr 2016 doch deutlich an Beliebtheit zugelegt, häufig als Methode, um Server anzugreifen und sich Zutritt zu Unternehmenssystemen zu verschaffen.

    Ist der Angreifer erfolgreich, installiert und verschlüsselt der Trojaner die Dateien auf dem Server und möglicherweise auf allen von ihm aus erreichbaren Netzwerkteilen. Kaspersky Lab hat die Gruppe TeamXRat identifiziert, die diesen Ansatz nutzt, um ihre Ransomware auf brasilianischen Servern zu verbreiten.

  • Zwei-in-eins-Infektion

    Im August entdeckten wir ein Sample von Shade, das mit einer unerwarteten Funktionalität ausgestattet war: es stellte sich heraus, dass ein Computer zu einem Finanzservice gehört, so wurde statt Ransomware ein Spionageprogramm heruntergeladen und installiert, möglicherweise mit einem längerfristigem Ziel als dem Diebstahl von Geld.

Ransomware in Skriptsprachen

Kaspersky Security Bulletin 2016/2017. die Story des Jahres

Ein weiterer Trend, der unsere Aufmerksamkeit im Jahr 2016 auf sich zog, ist die zunehmende Zahl von Verschlüsselungsschädlingen, die in Skriptsprachen programmiert sind. Allein im dritten Quartal stießen wir auf mehrere Familien, die in Python geschrieben wurden, darunter HolyCrypt und CryPy, sowie Stampado – programmiert in der Automatisierungssprache AutoIt.

Eine lange Reihe von Dilettanten und Nachäffern

Viele der im Jahr 2016 neu entdeckten Erpressertrojaner waren von geringer Qualität: simpel gestrickt, mit Software-Mängeln und Flüchtigkeitsfehlern in den Lösegeldforderungen.

Dieser Trend ging einher mit einer Zunahme nachgemachter Ransomware. Unter anderem fielen uns die folgenden Punkte auf:

  • Bart kopiert die Lösegeldforderung und die Aufmachung von Lockys Bezahlseite.
  • Eine auf AutoIt basierende Kopie von Locky (genannt AutoLocky) verwendete dieselbe Erweiterung – „.locky“.
  • Crusis (alias Crysis) benutzt die Erweiterung „.xtbl“, die ursprünglich von Shade verwendet wurde.
  • Xorist kopiert das gesamte Namensschema der von Crusis verschlüsselten Dateien.

Die prominenteste Kopie, die wir dieses Jahr fanden, ist möglicherweise Polyglot (alias MarsJoke). Dieser Schädling übernimmt vollständig das Erscheinungsbild und die Dateiverarbeitungsmethode von CTB-Locker.

Wir vermuten, dass sich diese Trends im Jahr 2017 verstärken werden.

„Doch mit der zunehmenden Popularität dieses Gewerbes wird auch das Niveau der Cyberverbrecher, die ein Stückchen vom Ransomware-Kuchen abhaben wollen, immer geringer. Wir befürchten daher, dass wir es mehr und mehr mit Ransomware zu tun bekommen, die diese Qualitätssicherung oder auch allgemeine Verschlüsselungsfähigkeiten vermissen lässt und daher dieses Versprechen auch nicht mehr einhalten kann. Wir erwarten eine Art von „Skiddie“-Ransomware, die Dateien oder den Zugriff auf das System sperrt, Dateien einfach löscht oder das Opfer dazu bringt, das Lösegeld zu zahlen, ohne irgendeine Gegenleistung dafür zu erbringen.“

GReAT, Prognosen für 2017

Die florierende Ransomware-Industrie

Kaspersky Security Bulletin 2016/2017. die Story des Jahres

Der Aufstieg von Ransomware-as-a-Service

Ransomware-as-a-Service ist zwar kein neuer Trend, doch im Jahr 2016 hat sich dieses Ausbreitungsschema weiterentwickelt und immer mehr Ransomware-Entwickler bieten ihr schädliches Produkt jetzt „nach Bedarf“ an. Dieser Ansatz hat sich als sehr reizvoll für Kriminelle erwiesen, denen es an technischen Fähigkeiten, Ressourcen oder Lust mangelt, ihre eigene Erpressersoftware zu entwickeln.

Bemerkenswerte Beispiele für Ransomware, die im Jahr 2016 auf den Plan trat und dieses Modell anwendet, sind die Schadprogramme Petya/Mischa und Shark, das später unter dem Namen Atom neu aufgelegt wurde.

Dieses Geschäftsmodell wird immer raffinierter:

ksb_2016_de_7

Die Partner-Webseite der Ransomware Petya

Die Partner einigen sich dabei auf ein traditionelles Arrangement auf Kommissionsbasis. Laut Petya-„Preisliste“ bleiben einem Angreifer von 125 in der Woche erpressten Bitcoins nach Abzug der Kommission 106,25 Bitcoins Gewinn.

ksb_2016_de_8

Petya-Preisliste

Es gibt auch einmalige Nutzungsgebühren. Wer beispielsweise die Ransomware Stompado verwenden will, ist mit nur 39 US-Dollar dabei.

Da andere Kriminelle ihre Dienste unter anderem beim Spam-Versand und bei der Erstellung von Lösegeldforderungen anbieten, kann ein motivierter Angreifer jederzeit loslegen.

Von Netzwerken auf Provisionsbasis zu Kunden-Support und Branding

Die wirklich „professionellen“ Angreifer boten ihren Opfern einen Helpdesk und technischen Support an, um sie reibungslos durch den Kaufprozess von Bitcoins zu geleiten, mit denen dann das Lösegeld bezahlt werden soll. Manchmal sind sie sogar zu Verhandlungen bereit. Jeder weitere Schritt ermutigt das Opfer, zu zahlen.

Experten von Kaspersky Lab, die sich mit Ransomware in Brasilien beschäftigt haben, konnten zudem feststellen, dass die Markenentwicklung, also das Branding der Ransomware, von nicht unerheblicher Bedeutung ist. Diejenigen, die die Aufmerksamkeit der Medien auf sich ziehen und den Nutzern Angst einjagen wollen, entscheiden sich für aktuelle, reißerische Themen oder originelle Aufhänger. Dagegen widerstehen diejenigen, die lieber im Verborgenen agieren, der Versuchung des Ruhmes und hinterlassen ihren Opfern nur eine E-Mail mit den Kontaktdaten der Erpresser und eine Bitcoin-Adresse, an die gezahlt werden soll.

Es geht immer noch um Bitcoins

Das gesamte Jahr 2016 hindurch bevorzugten die führenden Ransomware-Familien wie gehabt Zahlungen in Bitcoins. Die meisten Lösegeldforderungen waren nicht übertrieben. Sie bewegten sich im Rahmen von durchschnittlich 300 US-Dollar, obwohl einige weitaus höher angesetzt – und auch bezahlt – wurden.

Im Rahmen anderer, meist regional beschränkter und maßgeschneiderter Operationen wurden lokale Zahlungsmethoden bevorzugt, obwohl das auch bedeutet, dass sich die Erpressung nicht so leicht verbergen lässt und nicht im allgemeinen Ransomware-Getöse untergeht.

Ransomware nimmt Unternehmen ins Visier

ksb_2016_de_9

In den ersten drei Monaten des Jahres 2016 richteten sich 17 Prozent der Ransomware-Attacken gegen Unternehmen – das bedeutet, dass alle zwei Minuten irgendwo auf der Welt ein Unternehmen von Erpressersoftware angegriffen wurde[i]. Zum Ende des dritten Quartals 2016 war dieser Wert auf 23,9 Prozent gestiegen, was einer Attacke alle 40 Sekunden gleichkommt.

Gemäß den Studien von Kaspersky Lab wurde im Jahr 2016 eines von fünf Unternehmen weltweit Opfer eines IT-Sicherheitsvorfalls infolge einer Ransomware-Attacke.

  • 42 Prozent aller kleinen und mittleren Unternehmen wurden in den letzten zwölf Monaten von Ransomware angegriffen.
  • 32 Prozent dieser Unternehmen zahlten Lösegeld.
  • Eines von fünf dieser Unternehmen erhielt seine Dateien nicht zurück, auch nicht nach der Zahlung des Lösegeldes.
  • 67 Prozent der von Ransomware angegriffenen Unternehmen verloren ihre gesamten oder einen Teil ihrer Geschäftsdaten, und eines von vier versuchte wochenlang, den Zugriff auf die Daten wiederherzustellen.

Social Engineering und menschliche Fehlbarkeit spielen eine Schlüsselrolle bei der Angreifbarkeit von Unternehmen. In einem von fünf Fällen mit bedeutendem Datenverlust war der Schaden auf Sorglosigkeit oder mangelndes Sicherheitsbewusstsein der Mitarbeiter zurückzuführen.

„Wir haben es zunehmend mit zielgerichteter Ransomware zu tun, wobei kriminelle Gruppen ihre Ziele sorgfältig aufgrund der Daten, die diese Ziele besitzen, und/oder aufgrund der Abhängigkeit von der Verfügbarkeit dieser wertvollen Daten auswählen und sie dann mittels Spear-Phishing angreifen.“

John Fokker, Team-Koordinator bei der Dutch National High Tech Crime Unit

port1

Einige Branchen sind stärker betroffen als andere, aber unsere Studien zeigen, dass ausnahmslos alle potenziell gefährdet sind.

Branche Prozentualer Anteil der Ransomware-Attacken
1 Bildung 23
2 IT/Telekommunikation 22
3 Unterhaltung/Medien 21
4 Finanzdienste 21
5 Baugewerbe 19
6 Regierung/Öffentlicher Sektor/Verteidigung 18
7 Fertigung 18
8 Transport 17
9 Gesundheitswesen 16
10 Einzelhandel/Großhandel/Freizeit 16

Ransomware-Attacken, die Schlagzeilen machten

  • Krankenhäuser haben sich zu einem Hauptziel entwickelt, mit potenziell verheerenden Auswirkungen: Operationen mussten abgesagt, Patienten in andere Krankenhäuser verlegt werden und so weiter.

  • Der Hosted Desktop und Cloud Provider VESK zahlte fast 23.000 US-Dollar Lösegeld, um den Zugriff auf seine Systeme nach einem Angriff im September wiederherzustellen.

  • Führende Medien, unter anderem die New York Times, die BBC und AOL, wurden im März 2016 von Malware attackiert, die Ransomware auslieferte.

  • Die University of Calgary in Kanada, ein führendes Forschungszentrum, räumte ein, um die 16.000 US-Dollar bezahlt zu haben, um die E-Mails wiederherzustellen, die eine Woche lang verschlüsselt waren.

  • Ein kleines Polizeirevier in Massachusetts bezahlte letztlich 500 US-Dollar Lösegeld (in Bitcoin), um wichtige fallbezogene Daten zurückzuerhalten, nachdem ein Beamter einen verseuchten E-Mail-Anhang geöffnet hatte.

  • Selbst der Motorsport war betroffen: Ein führendes NASCAR-Team verlor Daten im Wert von Millionen von US-Dollar infolge einer TeslaCrypt-Attacke im April.

Abwehr

ksb_2016_de_10

Durch Technologie

Die neusten Versionen der Kaspersky-Lab-Produkte für kleinere Unternehmen wurden um eine Anti-Kryptomalware-Funktionalität erweitert. Zudem wurde ein neues, kostenloses Anti-Ransomware-Tool für Unternehmen jeder Art zum Download und zum Gebrauch bereitgestellt, ganz unabhängig davon, welche Sicherheitslösung verwendet wird.

Das Anti-Ransomware-Tool für Unternehmen von Kaspersky Lab ist eine „leichte“ Lösung, die parallel zu anderer Antiviren-Software laufen kann. Das Tool verwendet zwei Komponenten, die für die Detektion von Trojanern in einem frühen Stadium benötigt werden: das verteilte Netzwerk Kaspersky Security Network sowie System Watcher, eine Komponente, die die Aktivität von Anwendungen überwacht.

Das Kaspersky Security Network überprüft mit hoher Geschwindigkeit die Reputation von Dateien und Website-URLs über die Cloud. System Watcher beobachtet das Verhalten von Programmen und bietet proaktiven Schutz vor bisher unbekannten Trojaner-Versionen. Am wichtigsten ist, dass das Tool in der Lage ist, eine Sicherheitskopie von Dateien zu erstellen, die von verdächtigen Apps geöffnet wurden. Außerdem kann es Änderungen zurücksetzen, wenn sich die von einem Programm vorgenommenen Aktionen als schädlich erweisen.

Durch Zusammenarbeit: Die Initiative „NoMoreRansom.org“

Am 25. Juli 2016 gaben die niederländische Polizei, Europol, Intel Security und Kaspersky Lab den Start des Projekts NoMoreRansom.org bekannt – eine nicht kommerzielle Initiative, die öffentliche und private Organisationen vereint. Ihr Ziel ist es, die Öffentlichkeit über die Gefahren zu informieren, die von Ransomware ausgehen, und den Opfern dabei zu helfen, ihre Daten wiederherzustellen.

Das Online-Portal stellt aktuell acht Entschlüsselungstools zur Verfügung, von denen fünf von Kaspersky Lab entwickelt wurden. Mit Hilfe dieser Tools können Daten wiederhergestellt werden, die von über 20 Arten von Kryptomalware verschlüsselt wurden. Zum gegenwärtigen Zeitpunkt haben über 4.400 Opfer ihre Daten zurückerhalten und dabei etwa anderthalb Millionen US-Dollar an Lösegeld NICHT gezahlt.

Im Oktober haben sich die Strafverfolgungsbehörden weiterer 13 Länder dem Projekt angeschlossen. Mit dabei sind jetzt auch Bosnien und Herzegowina, Bulgarien, Frankreich, Irland, Italien, Kolumbien, Lettland, Litauen, Portugal, Schweiz, Spanien, Großbritannien und Ungarn.

Eurojust und die Europäische Kommission unterstützen die Ziele des Projektes ebenfalls. Es wird erwartet, dass schon bald neue Partner aus dem privaten Sektor sowie auch Strafverfolgungsbehörden ihre Mitarbeit bekanntgeben werden.

„Öffentliche und private Partnerschaften sind der Kern und die Stärke der NMR-Initiative. Sie sind unerlässlich, um das Problem effektiv und wirkungsvoll anzupacken, da sie uns ein Potenzial und eine Reichweite bieten, die Strafverfolgungsbehörden allein nicht bieten können.“

Steven Wilson, Leiter des EC3 von Europol

port2

Ransomware Paroli bieten – so bleibt man auf der sicheren Seite

  1. Erstellen Sie regelmäßig Sicherheitskopien.
  2. Verwenden Sie eine verlässliche Sicherheitslösung und denken Sie daran, Schlüsselfunktionen wie zum Beispiel System Watcher immer aktiviert zu haben.
  3. Halten Sie die Software auf allen benutzten Geräten immer auf dem aktuellen Stand.
  4. Behandeln Sie E-Mail-Anhänge oder Nachrichten von Personen, die Sie nicht kennen, mit Vorsicht. Sollten Sie Zweifel haben, öffnen Sie sie nicht.
  5. Wenn Sie ein Unternehmen leiten, sollten Sie ihre Mitarbeiter und IT-Teams schulen; verwahren Sie sensitive Daten separat; beschränken Sie den Zugriff; und erstellen Sie Sicherheitskopien von allem, jederzeit.
  6. Sollten Sie das große Pech haben, Opfer einer Ransomware-Attacke zu werden, verfallen Sie nicht in Panik. Verwenden Sie ein sauberes System, um auf der Webseite von „NoMoreRansom.org“ nach einem Entschlüsselungstool zu suchen, das Ihnen dabei hilft, Ihre Daten wiederherzustellen.
  7. Last but not least: Vergessen Sie nicht, dass eine Ransomware-Attacke eine strafbare Handlung ist. Melden Sie den Vorfall der Polizei vor Ort.

„Wir raten den Anwendern eindringlich dazu, Attacken zu melden. Jedes Opfer verfügt über ein wichtiges Beweisstück, das uns unschätzbare Erkenntnisse bietet. Im Gegenzug halten wir sie auf dem Laufenden und schützen sie vor zwielichtigen „Angeboten“ Dritter, die Daten zu entschlüsseln. Aber wir müssen dafür sorgen, dass mehr Strafverfolgungsbehörden lernen, richtig mit digitaler Kriminalität umzugehen.“

Ton Maas, Team-Koordinator bei der Dutch National High Tech Crime Unit

port3

Warum Sie nicht zahlen sollten – ein Ratschlag von der Dutch National High Tech Crime Unit

  1. Sie werden zu einer noch größeren Zielscheibe.
  2. Kriminellen ist nicht zu trauen – möglicherweise bekommen Sie Ihre Daten auch dann nicht zurück, wenn Sie zahlen.
  3. Die nächste Lösegeldforderung wird höher sein.
  4. Sie ermutigen die Verbrecher.

Können wir den Kampf gegen Ransomware jemals gewinnen?

Wir glauben, ja – jedoch nur, wenn wir zusammenarbeiten. Ransomware ist ein lukratives kriminelles Geschäft. Um ihm Einhalt zu gebieten, muss die Welt sich vereinen, um die zerstörerische Kette der Kriminellen zu unterbrechen und es ihnen zunehmend zu erschweren, ihre Attacken durchzuführen und von ihnen zu profitieren.


[i]

Die Schätzungen basieren auf den folgenden Daten: 17 Prozent von 372.602 individuellen Nutzern, bei denen im ersten Quartal 2016 von Kaspersky-Lab-Produkten Ransomware-Attacken blockiert wurden, und 23,9 Prozent von 821.865 individuellen Nutzern, bei denen im dritten Quartal 2016 von Kaspersky-Lab-Produkten Ransomware-Attacken blockiert wurden.

Related Articles

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.