TR-41 - Crypto Ransomware - Vorsichtsmaßnahmen und Verhalten im Infektionsfall

Übersicht

Crypto Ransomware bedroht immer öfter Internetnutzer, sowohl auf privaten Computern wie auch in Firmennetzen. Die Systeme werden von Kriminellen infiziert, um alle verfügbaren Dateien zu verschlüsseln. Dabei ist es egal, ob die Dateien lokal oder auf entfernten Speichermedien abgelegt sind. Sobald die Dateien verschlüsselt sind (und dazu werden immer öfter fortschrittliche Verschlüsselungsverfahren verwendet), beginnen die Kriminellen mit der Erpressung - Geld gegen Entschlüsselung der Daten. Diese Erpressungsmasche ist auch in Firmenumgebungen, wo oft auf über das Netzwerk erreichbare Daten auf Servern zugegriffen wird, sehr erfolgreich.

Empfehlungen

Treffen Sie Vorsichtsmaßnahmen noch bevor sie Opfer eines solchen Angriffs werden. Nur so haben sie die Möglichkeit, die Gefahren und Auswirkungen einer Infektion zu kontrollieren.

Vorsichtsmaßnahmen

  • Die beste Verteidigung gegen Crypto Ransomware sind funktionierende Backups. Sie zerstören das Geschäftsmodell auf einfachste Weise, wenn Sie in der Lage sind, schnell und einfach ein Backup zurückzuspielen.
  • Backups müssen offline, also ohne Verbindung zum Computer/Netzwerk aufbewahrt werden. Crypto Ransomware versucht, alle erreichbaren Dateien aud der lokalen Festplatte, auf austauschbaren Datenträgern wie USB-Medien und auf Servern zu verschlüsseln. Aus diesem Grund darf das Backup nicht für die Schadsoftware erreichbar sein.
  • Die Anzahl der wiederherstellbaren Backups sollte überprüft werden - umso länger die Retention time, also die Zeit, die durch funktionierende Backups abgedeckt ist, umso besser. Es ist zu beachten, dass der Verschlüsselungsvorgang je nach Umgebung mitunter mehrere Tage benötigen kannt, und auch für diese Zeit unerkannt bleibt. Daher ist es besser, wenn eine größere Zeitspanne mit Backups abgedeckt ist.
  • Backup-Server können direktes Angriffsziel sein. Diese kritischen Server sollten besonders abgesichert werden.
  • Schalten Sie die Audit-Logs auf den Dateiservern ein. Es hilft dabei potentiell infizierte Computer zu identifizieren, da diese große datenmengen aud dem Server verändern. Log-Dateien lassen Rückschlüsse auf den Verursacher zu und helfen auch nach der Abwehr des Angriffs bei der Analyse.
  • Skripte können helfen, die Situation auf einem Dateiserver zu beobachten. Systeme, die innerhalb kurzer Zeit viele Dateien verändern, sind Kandidaten für eine Infektion. Es gilt die Administratoren frühzeitig zu alarmieren, so das die Situation überprüft werden kann.
  • Die Verbreitungswege, die momentan am häufigsten beobachtet werden sind:
    • Erhalt von Emails mit Anhängen, die ausführbare Dateien enthalten.
    • Erhalt von Emails, die URLs (Links) zu Schadsoftware enthalten.
    • Ausnutzung von Sicherheitslücken im Web Browser oder dessen Komponenten/Plug-ins.
  • Überprüfen Sie die Sicherheitspolicy Ihrer Email-Server, Gateways und Proxy-Server. Auch hier gilt: mehr Logging ist hilfreich, beispielsweise, um anhand der Analyse eines infizierten Computers herauszufinden, welche Benutzer ähnliche Mails erhalten haben.
  • Email-Gateways, also die Sicherheitsprodukte für Emails, sollten in der Lage sein, alle Emails mit aktiven Inhalten zu blockieren oder in Quarantäne zu verschieben. Das gleiche gilt für Web-Gateways, also Proxy-Server. Aktive Komponenten wie ausführbare Dateien können auch in ZIP-Archiven, Office-Dokumenten und anderen Dateien versteckt sein. Eine (nicht vollständige) Liste von Dateitypen, die überprüft oder in Quarantäne verschoben sollten, folgt hier:
    • Containerformate: “.zip”, “.rar”, “.ace”, “.gz”, “.tar”, “.7z”, “.z”, “.bz2”, “.xz”, “.iso”
    • Potentiell gefährliche Dateien: “.pdf”, “.doc”, “.rtf”, “.ppt”, “.xls”, “.odt”
    • Applikationen: “.exe”, “.pif”, “.application”, “.gadget”, “.msi”, “.msp”, “.com”, “.scr”, “.hta”, “.cpl”, “.msc”, “.jar”
    • Skripte: “.bat”, “.cmd”, “.vb”, “.vbs”, “.vbe”, “.js”, “.jse”, “.ws”, “.wsf”, “.wsc”, “.wsh”, “.ps1”, “.ps1xml”, “.ps2”, “.ps2xml”, “.psc1”, “.psc2”, “.msh”, “.msh1”, “.msh2”, “.mshxml”, “.msh1xml”, “.msh2xml”
    • Verknüpfungen: “.scf”, “.lnk”, “.inf”
    • Andere: “.reg”, “.dll”
    • Office Makros: “.docm”, “.dotm”, “.xlsm”, “.xltm”, “.xlam”, “.pptm”, “.potm”, “.ppam”, “.ppsm”, “.sldm”
    • Banned from wirecode: “.asf”, “.asx”, “.au”, “.htm”, “.html”, “.mht”, “.vbs”, “.wax”, “.wm”, “.wma”, “.wmd”, “.wmv”, “.wmx”, “.wmz”, “.wvx”
  • Stellen Sie sicher, dass Updates für Web Browser und dessen Erweiterungen zeitnah eingespielt werden.
  • Die ‘Bring Your Own Device’-Policy (BYOD) sollte überprüft werden. Ziel ist es den negativen Einfluss von infizierten Computern für die Firmenumgebung zu minimieren.

Verhalten im Falle einer Infektion

  • Falls Ihr Computer infiziert wurde, empfehlen wir, das Netzwerkkabel vom Computer zu trennen und etwaige WLAN-Adapter abzuschalten.
  • Soll eine forensische Analyse durchgeführt werden, muss der Arbeitsspeicher per “Memory-Dump” gesichert werden (dieser wird in einem Kommandoprompt Fenster angefertigt, noch bevor das System heruntergefahren/neu gestartet wird). Anschliessend kann die Festplatte kopiert werden. Weiterführende Informationen hierzu erhalten Sie unter ‘TR-22 - Recommendations for Readiness to Handle Computer Security Incidents’.
  • Es ist in seltenen Fällen möglich, Dateien wieder herzustellen. (z.B. durch ‘Shadow Copies’ in Windows, forensische Wiederherstellung or durch die Verwendung von schwacher Verschlüsselung bzw. Implementierungsfehlern der Angreifer. Sie sollten jedoch nicht darauf vertrauen sondern sich an die Vorsichtsmaßnahmen halten!
  • Ist der Computer infiziert, empfiehlt CIRCL eine Neuinstallation des Betriebssystems von einem vertrauenswürdigen Datenträger und dem Rückspielen eines Backups. Eine Überprüfung der Dateien des Backups ist notwendig, um sicherzustellen, dass dort kein Schadprogramm enthalten ist.
  • Kontaktieren Sie nicht die Kriminellen und sehen Sie davon ab, das Lösegeld zu zahlen. Wenn Sie das Lösegeld bezahlen, unterstützen Sie das Geschäftsmodell und die Kriminellen.
  • Behalten Sie, falls möglich, eine Kopie der verschlüsselten Festplatte. Manchmal ergibt sich mit viel Glück die Möglichkeit, später anhand eines herausgefundenen Schlüssels die Daten wiederherzustellen, so wie im Fall von TeslaCrypt geschehen.

Indikatoren

  • CIRCL bietet die Möglichkeit, an der CIRCL MISP Plattform teilzunehmen. Dort werden Indikatoren für Schadsoftware wie Crypto Ransomware bereit gestellt.
    Kontaktieren Sie uns, um Zugangsdaten zu erhalten.

Referenzen

Classification of this document

TLP:WHITE information may be distributed without restriction, subject to copyright controls.

Revision

  • Version 1.1 19. Mai 2016
  • Version 1.0 15. Dezember 2015 Ursprüngliche Version - deutsch (TLP:WHITE)