Ransomware – Teil 3, Was tun, wenn es bereits passiert ist

Datensicherheit

Ransomware – Ein Leitfaden in vier Teilen.

 

In den beiden ersten Teilen unseres Leitfadens haben wir uns damit beschäftigt, ob man ein gefordertes Lösegeld zahlen oder lieber nicht zahlen sollte und was Bitcoins damit zu tun haben. Um besser zu verstehen wie Ransomware funktioniert haben wir uns dann die verschiedenen Typen angesehen und welche Arten von Verschlüsselung sie benutzen. Wenn es bereits passiert ist helfen allerdings auch noch einige andere Methoden. Die wollen wir hier kurz beleuchten.

Was tun, wenn es bereits passiert ist

Die weitaus meisten Benutzer bemerken die Infektion erst in dem Moment, wenn auf dem Bildschirm eine der berüchtigten Nachrichten erscheint, dass Dateien verschlüsselt worden sind. Wenn Sie feststellen, dass Ihr Computer infiziert worden ist, fahren Sie ihn herunter oder trennen Sie ihn vom Netzwerk. Wenn Sie sich entscheiden nicht zu zahlen, scannen Sie den betroffenen Rechner zunächst mit einer Anti-Viren- und Anti-Malware-Lösung und entfernen Sie alle verdächtigen Dateien. Möglicherweise lassen sich die verschlüsselten Dateien mit Hilfe der PowerShell oder anderer Tools identifizieren. Allerdings tauchen praktisch jede Woche neue Varianten auf und so gibt es leider kein Patentrezept, um die verschlüsselten Dateien zu finden und gegebenenfalls wieder zu entschlüsseln. Die meisten Experten empfehlen es deshalb die Dateien vom BackUp aus wiederherzustellen.

Auch wenn Sie sich entschlossen haben, das geforderte Lösegeld zu zahlen, vergessen Sie nicht den Computer zu scannen und sicherzustellen, dass Sie sämtliche Schadsoftware entfernen. Es gibt zudem einige Methoden, um den Schaden wenigstens zu begrenzen.

Methoden zur Schadensbegrenzung

Überwachen der Dateiaktivitäten
Nachdem die Forscher Northeastern University 1.359 Fälle von Ransomware unter die Lupe genommen hatten, stellten sie fest, dass es durchaus möglich gewesen wäre eine erhebliche Zahl dieser Angriffe zu stoppen. Sogar dann, wenn es sich um Ransomware handelt, die Verschlüsselung und Datenlöschung nutzt. Wird ein System von einer Ransomware angegriffen, äußert sich das unter anderem in signifikanten Veränderungen, die im Filesystem sichtbar sind, zum Beispiel eine große Zahl von Löschungen im Log. Es hilft also die Dateiaktivitäten kontinuierlich zu überwachen. Beobachtet die jeweilige Software ein ungewöhnliches, von einem als normal definierten Verhalten abweichendes, sollte sie eine entsprechende Benachrichtigung versenden. Mit dieser Methode ist es möglich festzustellen, wenn Dateien erstellt, verschlüsselt oder gelöscht werden.

Benutzerverhalten analysieren
User Behavior Analytics (UBA) sind zu einer der Methoden avanciert, mit denen sich Ransomware bekämpfen lässt. Bedrohungen von innen, die durch legitime und legitimierte Benutzer verursacht werden, sind naturgemäß nicht Sache der Perimeter-Sicherheit. Für Hacker ist es kein allzu großes Problem diese Sicherheitsmaßnahmen zu umgehen und ins Innere des Netzwerks zu gelangen. Dazu nutzen die Angreifer legitime öffentliche Zugänge (E-Mail, Web, Logins) um dann intern als „legitime“ Nutzer auf Dateien und Systeme zuzugreifen.

Ransomware-Attacken sind in den allermeisten Fällen so konzipiert, dass Antiviren-Software sie nicht erkennt. Für den Administrator, der die Systemaktivitäten überwacht, sieht der Angreifer aus wie ein ganz gewöhnlicher User. Und genau an dieser Stelle setzt UBA an. Sie befasst sich sozusagen, mit dem, was man noch nicht weiß. Innerhalb der UBA-Engine werden Grenzwerte für ein als normal definiertes Verhalten hinterlegt. Weicht das Verhalten von diesen „Normalwerten“ ab, wird sofort eine Benachrichtigung versendet und ein entsprechender Bericht generiert. So kann ein Admin beispielsweise festlegen, dass er bei mehr als 1.000 innerhalb eines kurzen Zeitfensters auftretenden Dateiänderungen benachrichtigt wird.

Honeypots
Unter Umständen verschlüsseln Cyberkriminelle nicht sämtliche Dateien, sondern nur diejenigen auf die der Nutzer zuletzt zugegriffen hat. Legen Sie einen Köder mit falschen Dateien und Ordnern aus, und überwachen Sie diesen Honeypot regelmäßig. Die Methode eignet sich auch für Firmen, die ihre Dateiaktivitäten bisher noch nicht automatisch überwachen. Unter Umständen heißt das, das native File Auditing innerhalb des Systems zu aktivieren. Um Fehleinschätzungen zu verhindern, sollte man in jedem Falle sensible Bereiche priorisieren und einen Fileshare-Honigtopf anlegen.

Dieser Honigtopf enthält Dateien, die von Außen betrachtet als lohnenswertes Ziel erscheinen. In Wirklichkeit handelt es sich um falsche Dateien, die lediglich als Köder dienen. Da sich hier keine „normalen“ Benutzer bewegen, weist jede beobachtete Aktivität auf einen potenziellen Angriff hin. Sollten manuelle Methoden nicht ausreichen, muss das native Auditing aktiviert werden, um die Zugriffsaktivitäten aufzuzeichnen. Über ein entsprechendes Skript sollte der Admin immer dann benachrichtigt werden, wenn im Security Event Log ein Ereignis eingeschrieben wird. (z.B. dumpel.exe).

Das Model der minimalen Rechtevergabe
Ein anderer Ansatz ist es die Daten besser zu kontrollieren und ein Modell der minimalen Rechtevergabe umzusetzen. Um unter Umständen vertrauliche Daten besser zu schützen, sollte man in jedem Fall überflüssige Gruppen mit globalen Zugriffsrechten aus den entsprechenden Listen entfernen. Wenn Gruppen wie „Alle/Jeder“, “Authenticated Users” und “Domain Users” als Datencontainer benutzt werden (wie Ordner oder SharePoint-Seiten), setzen sie unter Umständen die komplette Benutzerhierarchie einem erhöhten Risiko aus. Darüber hinaus bilden solche Ordner ein leicht zu identifizierendes Ziel für Datendiebstahl und Missbrauch. Und nicht zuletzt fallen solcherart exponierte Daten bevorzugt einem Malware-Angriff zum Opfer oder werden beschädigt. Auf einem Fileserver sind die entsprechenden Ordner die „open shares“. In einem solchem Fall sind sowohl das Dateisystem als auch die geteilten Zugriffsrechte über eine Gruppe mit globalen Zugriffsrechten erreichbar.

Im vierten und letzten Teil listen wir Ihnen einige der wichtigsten Varianten von Ransomware auf und welche Dateitypen sie betreffen inklusive des genutzten Verschlüsselungsalgorithmus. Wir sagen Ihnen auf welchem Weg sich die betreffende Ransomware in das jeweilige System einschleicht, ob es bereits ein Entschlüsselungstool gibt und nicht zuletzt ob die Dateien auch tatsächlich entschlüsselt werden, wenn man das geforderte Lösegeld gezahlt hat…..

Genutzte Quellen:
http://www.mcafee.com/us/resources/reports/rp-quarterly-threat-q1-2015.pdf
http://seclab.ccs.neu.edu/static/publications/dimva2015ransomware.pdf
http://www.ic3.gov/media/2015/150623.aspx
http://www.detroitnews.com/story/news/politics/michigan/2014/11/17/north-american-international-cyber-summit/19162001/
http://www.nbcnews.com/nightly-news/security-experts-you-should-never-pay-ransomware-hackers-n299511
http://www.wsj.com/articles/paying-ransoms-to-hackers-stirs-debate-1447106376
https://www.cs.kent.ac.uk/news.html?view=338
http://www.ibtimes.co.uk/cryptolocker-criminals-earn-30-million-100-days-1429607
http://searchsecurity.techtarget.com/definition/elliptical-curve-cryptography
http://www.anti-spyware-101.com/remove-filecoder-ransomware/

 

Möchten Sie Varonis in Aktion erleben?

Vereinbaren Sie eine Demo oder wenden Sie sich an unseren Vertrieb unter +49 89 3803 7990