In den letzten Jahren ist eines der größten IT-Sicherheitsrisiken für Unternehmen die massive Verbreitung von Viren durch „Ransomware” geworden, besser bekannt unter Namen wie Cryptolocker, Cryptowall, CTB-Locker, TeslaCrypt, etc.
Die große Verbreitung dieser Viren ist einigen einfachen Schlüsselfaktoren zu verdanken. Nämlich der Möglichkeit, Benutzer mit legal aussehenden E-Mails zu ködern (mit einer Rechnung oder einem anderen Dokument in der Anlage), und der Schwierigkeit der Antivirus-Software, diese Malware rechtzeitig zu erkennen, weil ständig neue Varianten erfunden werden.
Aber was genau tun Ransomware wie Cryptolocker? Und warum wurden sie als verheerend für Sicherheit und Speicherung geschäftlicher und privater Benutzerdaten definiert?
Nun, diese Viren tun etwas sehr Einfaches: sie verschlüsseln und machen fast alle Dateien auf dem Computer unzugänglich (sie können nicht mehr geöffnet werden). Besonders betroffen sind alle Dateien, die wichtig sein könnten, wie Excel-Dateien, Doc, JPEG-Bilder (also alle Fotos), PDF, ZIP-Dateien, etc.
Sobald diese Viren Dateien verschlüsselt haben, können diese nicht mehr geöffnet werden. Es sei denn, man kennt das Passwort für die Entschlüsselung oder man benutzt eine entsprechende Software. Wenn die Infektion vollständig ist, informiert Cryptolocker die Benutzer über den Bildschirm, dass alle Daten verschlüsselt wurden und dass für ihre Wiederherstellung eine Lösegeldzahlung innerhalb einer bestimmten Frist gefordert wird. Ein Screenshot mit einem Beispiel:
Wenn alle unsere Dateien durch Cryptolocker unzugänglich gemacht worden sind, kann die Situation an diesem Punkt wirklich verzweifelt sein. Es ist wahr, dass viele Unternehmen sich dafür entscheiden, das Lösegeld zu zahlen, was in einigen Fällen tatsächlich hilft, die Daten wiederherzustellen. Anstatt jedoch zu dieser extremen Lösung zu greifen und Kriminelle zu finanzieren, die ohne Skrupel die Arbeit ehrlicher Menschen ausnutzen, ist es besser, sich an ein Spezialunternehmen für Wiederherstellung von Daten zu wenden. Oder aber an Unternehmen, die ähnliche Erfahrungen gemacht haben und wissen, wie man darauf reagiert.
Zurzeit kann man sich mit vielen der ersten Varianten von Cryptolocker an Service-Firmen wenden, die Daten mit minimalem Kostenaufwand wiederherstellen. Eines der besten Unternehmen, das Tools zur Entfernung dieser Infektion anbietet und verschlüsselte Daten wiederherstellt ist Doctor Web, ein russisches Unternehmen, das die Antivirus-Software Dr.Web entwickelt. Hier finden Sie eine Seite mit verschiedenen Informationen:
http://antifraud.drweb.com/encryption_trojs/?lng=en.
Die Vorgehensweise bei einer Infektion durch Ransomware wie Cryptolocker ist folgende:
- Wenn Sie feststellen, dass Sie auf einige Dateien keinen Zugriff haben und noch keine Lösegeldforderung erschienen ist, dann schalten Sie sofort den Computer aus, ziehen den Stecker aus der Steckdose und entfernen externe Peripheriegeräte, um deren Beeinträchtigung zu vermeiden. Wenden Sie sich an Profis, die das System vor dem Neustart reinigen.
- Wenn die Infektion bereits stattgefunden hat und Lösegeld gefordert wurde, notieren Sie sich die Links für die Zahlung (als letztes Mittel), und entfernen Sie dann den Virus. Auch in diesem Fall müssen alle Peripherie-Geräte im Netzwerk, externe Festplatten oder andere Laufwerke entkoppelt werden, um sie zu schützen. Entfernen Sie auch den Computer aus dem Netzwerk. Verwenden Sie einen USB-Stick, um eventuelle Tools zur Entfernung, Säuberung oder Wiederherstellung zu kopieren.
- Wir werden jetzt den Virus entfernen und versuchen, die Dateien wiederherzustellen. Hierfür benutzen wir den oben genannten Dr.Web oder die bekannteren Kaspersky und Norton / Symantec.
Hier der Website-Link von Kaspersky und von anderen Tools zum Entfernen des Virus und die mögliche Wiederherstellung von Dateien durch Entschlüsselung:
http://support.kaspersky.com/viruses/disinfection/8005
https://noransom.kaspersky.com/
Ein zusätzliches Scannen und Entfernen kann dann mit Norton Power Eraser durchgeführt werden:
https://security.symantec.com/nbrt/npe.aspx
Im Anschluss sollte man sich sofort vor möglichen Neuinfektionen durch schädliche Viren wie Ransomware schützen und ein “aggressiveres” Überwachungsinstrument einsetzen.
Eines, was oft empfohlen wird, ist HitmanPro.Alert:
http://www.surfright.nl/en/cryptoguard.
Bisher haben wir über die schlimmste Situation gesprochen, und zwar die, bei der alle unsere Dateien („vorübergehend”) verloren sind und wir keine Sicherungskopie haben. Dies versetzt uns in die Lage, einen Profi für Datenrettung zu beauftragen, oder aber bestimmte Tools zur Enfernung und Entschlüsselung der Cryptolocker anzuwenden. Wenn all dies nicht funktioniert, bleibt uns nur noch die Option, das Lösegeld zu zahlen und zu hoffen, dass die Hacker, die den Virus entwickelt haben, noch „erreichbar” sind und nicht schon hinter Gittern sitzen oder die Webseite abgedunkelt wurde (in diesem Fall ist es ratsam, sich über kürzlich stattgefundene Polizeiaktionen zu informieren, bei denen vielleicht die Quellcodes des Virus und damit die Entschlüsselung gefunden wurde).
In diesem Artikel möchten wir aber auch über Vorbeugung reden. Insbesondere über die Methoden, sich vor Cryptolockern und allen anderen Ransomware zu schützen, damit ein eventueller Angriff nicht unser Unernehmen blockiert und unsere perönlichen Dateien verlorengehen. Der beste Weg, eine Ransomware-Infektion zu vermeiden, ist sicherlich frühes Handeln und eine gezielte Datensicherungsstrategie. In diesem zweiten Teil des Artikels geben wir daher einige Tipps, wie Sie das beste Backup mit Iperius Backup erstellen. Wir haben uns für eine klare und schematische Form mit den folgenden Fragen und Antworten entschieden:
- Welche Backup-Typen werden empfohlen, die Dateien nach einem Angriff von Cryptolocker wiederherzustellen?
Zunächst einmal ein Off-Site-Backup, ein Backup auf Cloud und FTP, da diese Ziele für Viren nicht erreichbar sind. Dann Backups auf externen Medien wie USB-Sticks und RDX-Kassetten, die in Rotation auf monatlicher Basis ersetzt werden können und außerhalb des Unternehmens aufbewahrt werden. Diese Methoden sind auch ein guter Schutz gegen Diebstahl oder Umweltkatastrophen. Für unseren Backup verwenden wir immer zwei oder mehr Zielspeicher, mit verschiedenen Operationen und Zeitplänen. Iperius kann Online-Backups auf Google Drive, Dropbox, Microsoft OneDrive, Amazon S3, Azure und einem beliebigen FTP-Server erstellen.
Bitte hierzu folgende Tutorials ansehen:
https://www.iperiusbackup.net/?s=cloud&lang=it
https://www.iperiusbackup.net/backup-ftp-incrementale-iperius-online-storage/
https://www.iperiusbackup.net/come-fare-un-backup-ftp-incrementale-upload-con-iperius/
- Wie oft sollte ich einen Backup planen?
Grundlegend wird empfohlen, verschiedene Operationen von Backups mit unterschiedlichen Zeitplänen anzulegen. Es sollte tatsächlich ein tägliches Backup erstellt werden und außerdem ein wöchentliches und monatliches Backup. So wird verhindert, dass die vorangegangenen Backups bei einer Infektion versehentlich mit verschlüsselten Kopien von Dateien überschrieben werden (Sie sichern sich hierdurch einen Zeitraum zur Erkennung der Infektion).
Bitte hierzu folgende Tutorials ansehen:
https://www.iperiusbackup.net/come-impostare-la-pianificazione-per-il-backup-automatico-con-iperius/
- Welche der Backup-Methoden sollte man benutzen?
Wir raten zu täglichen Backups mit den Modi Komplett + Inkremental oder Komplett + Differential (um einen Bericht der veränderten Dateien zu haben). Außerdem sollten wöchentliche und monatliche Backups erstellt werden, bei denen zunächst eine vollständige Kopie erstellt wird und später nur die bestehenden Dateien aktualisiert werden. Diese Art der Sicherung kann auf FTP / SFTP-Zielspeichern, externen Laufwerken, RDX, NAS, Server oder Computer-Netzwerk ausgeführt werden. - Abschließend wird empfohlen, auch ein Image-Backup (Laufwerk Bild) zu erstellen, oder ein vollständiges Backup der gesamten Festplatte auf wöchentlicher oder monatlicher Basis. Einmal, weil so das gesamte System in kurzer Zeit sauber wiederhergestellt werden kann, zum Anderen, weil ein Backup Image nicht von Virusattacken betroffen wird, weil die Datei zu groß dafür ist.
Bitte hierzu folgende Tutorials ansehen:
https://www.iperiusbackup.net/tipi-di-backup-di-iperius-completo-incrementale-differenziale/
https://www.iperiusbackup.net/backup-immagine-disco-drive-image-windows/
- Ich weiß, dass ein Virus auch die Netzwerkordner erreichen kann. Wie kann ich den NAS schützen, auf dem ich den Backup erstelle?
Diese Frage ist sehr wichtig. Es gibt mehrere Möglichkeiten, einen NAS vor dem Angriff eines Ransomware-Virus als Cryptolocker zu schützen. Man kann sich zum Beispiel entscheiden, keinen Netzwerkordner des NAS zu teilen, sondern statt dessen den FTP-Server zu verwenden. Mit Iperius können Sie einen FTP-Backup auf dem NAS konfigurieren. Auf diese Weise wird der NAS niemals zugänglich für Viren sein.
Falls man die Netzwerkfreigaben des NAS beibehalten möchte, sollte sichergestellt sein, dass nur ein autorisierter Benutzer Zugriff auf die Schreibrechte der Ordner hat. Sie können einen spezifischen Backup-Account bei Windows oder Active Directory für Computer erstellen, die in einer Domäne sind und dann diesen Account für den Iperius Service benutzen (oder für die Verkörperung des Iperius Prozesses), der die geplanten Backups erstellt. Auf diese Weise hat nur Iperius Schreibzugriff auf die NAS-Ordner (natürlich nur auf diejenigen Ordner, die freigegeben wurden).
Bitte hierzu folgende Tutorials ansehen:
https://www.iperiusbackup.net/installazione-iperius-backup-come-servizio-windows/
https://www.iperiusbackup.net/come-fare-backup-su-nas/
Eine neue Option, Ihre Backups vor Cryptolocker zu schützen
Ab Version 4.5.2 von Iperius, wurde eine neue und sehr wichtige Option eingeführt, die das Vorhandensein von beschädigten oder verschlüsselten Dateien durch Ransomware-Viren erkennt, bevor das Backup erstellt wird. Dieser intelligente Daten-Scan schützt ältere Backups davor, von korrumpierten Kopien der Dateien überschrieben zu werden und bewahrt sie dadurch vor Virusattacken. Im Bild unten sehen wir, wie diese Option aktiviert wird:
Weitere Informationen über Ransomware:
https://www.microsoft.com/security/portal/mmpc/shared/ransomware.aspx
(Englisch, Italienisch, Französisch, Spanisch, Portugiesisch, Brasilien)
PLEASE NOTE: if you need technical support or have any sales or technical question, don't use comments. Instead open a TICKET here: https://www.iperiusbackup.com/contact.aspx
**********************************************************************************
PLEASE NOTE: if you need technical support or have any sales or technical question, don't use comments. Instead open a TICKET here: https://www.iperiusbackup.com/contact.aspx
*****************************************