5 Gründe wieso Verschlüsselungstrojaner so gut funktionieren

Die Zugriffszahlen auf meinem Blog explodieren momentan was die Artikel rund um Verschlüsselungstrojaner angehen. Aus diesem Grund möchte ich weitere, nützliche Informationen preisgeben. Momentan müssen wir alle zusammen halten und der einzige Schutz ist hier leider Prävention. Natürlich kann man auch ein bootbares System nutzen ohne angehängt Festplatte, aber auf die Dauer ist das auch nichts. Um uns aber möglichst gut vor dieser Bedrohung zu schützen ist es notwendig die Gründe zu verstehen, wieso Ransomware oder Verschlüsselungstrojaner überhaupt funktionieren.

1. Grund: Angst

Dieser Aspekt ist mehrschichtig. Als betroffener hat man nicht irgendwie Angst. Es gibt mehrere Schritte, die ein Angreifer beachten muss beim platzieren der Software.

  • Eindringung in ein System
  • Erpressung  von Lösegeld

Wie kommt überhaupt Ransomware auf einen Rechner? Über Social Engineering. Der Angreifer erzeugt Ängste beim Betroffenen. Eine E-Mail mit einer unbezahlten Rechnung und drohendem Inkasso Prozess? Das würde bei den meisten Usern schon genug Ängste erzeugen, um irrationale Handlungen her vorzurufen. Somit wird die Datei heruntergeladen und die vermeintliche PDF Datei ist eine ausführbare Datei, die dann Ransomware nachlädt.

Sobald die Software ausgeführt wird, verschlüsselt Sie alle möglichen Daten. Am Ende wird Lösegeld erpresst für die angebliche Entschlüsselung der Daten. Und auch hier wird mit der Angst des Betroffenen gespielt.

2. Grund: Kein Backup

Ob im privatem oder geschäftlichem, Backups sind manchmal nicht vorhanden. Dabei gibt es viele unterschiedliche Möglichkeiten von günstig bis teuer. Verschlüsselte Daten können ja bekanntlich nur mit dem Schlüssel wieder entschlüsselt werden. Die Daten aus dem Backup wären somit wiederhergestellt, wenn es vorhanden ist. Mehrere Möglichkeiten stehen hier zur Auswahl, wenn es um den Speicherort geht:

  • Externe Festplatte
  • Zweite interne Festplatte
  • NAS mit RAID Konfiguration

Bei jedem der genannten Speicherorte müssten mindestens zwei davon angelegt werden, für den Fall, dass eines ausfällt. Beim NAS wäre das allerdings nicht erforderlich. Durch RAID Konfigurationen, lassen sich Spiegelungen von Platten automatisieren.

Software, die sich für Backups gut eignet:

  • Manuelle/Automatische Backups mit rsync
  • Automatische Backups mit Windows
  • Unter Linux ebenfalls möglich: dd

Wenn ihr euch nicht sicher seid, wie man ein vernünftiges Backup privat aufbauen kann dann helfe ich natürlich gern. Kommentare, Facebook, E-Mail und alle anderen Kommunikationsmittel bleiben euch überlassen. Oder eben Google und macht euch selbst auf die Suche nach dem passenden Backupkonzept.

Blog aktiv unterstützen

 

3. Grund: Keine tieferen Kenntnisse von Verschlüsselungstrojanern

Verschlüsselungstrojaner funktionieren meistens nur dann, wenn eine Verbindung vom sogenannten C&C Server hergestellt werden kann (Command & Control) Server. Denn jede Verschlüsselung muss zentral registriert und verwaltet werden, und noch viel wichtiger: Jede Zahlung auch. Denn es geht hier um ein Geschäft, dass betrieben wird. Wie unterbindet man nun die Verbindung zu einem C&C Server?

Kurze Antwort: Man nutzt einen anderen DNS-Server, als den aktuellen. OpenDNS eignet sich hierfür ganz gut, denn dort werden automatisch DNS Anfragen an Hostnamen, die dem Netzwerk als Botnetz oder C&C Server bekannt sind, unterbunden. Also nicht aufgelöst.

Wie also holt man sich einen anderen DNS-Server ins Haus? Es gibt mehrere Möglichkeiten:

Mit einem Login bei OpenDNS.org kann man auch Statistiken einsehen und blockierte DNS Anfragen genauer betrachten. Aber die Absicherung einzelner Systeme ist heute eher aufwendig, denn die Netzwerke von zu Hause sehen heute nicht mehr so aus wie früher. Damit meine ich: 1 PC für 4 Menschen. Die Einstellungen an einer einzigen Maschine sind aber auch erst aktiv, wenn ihr folgendes in die Kommandokonsole cmd.exe packt:

ipconfig /flushdns

DNS Settings müssen für Netzwerke (zu Hause wie in der Firma) zentral angepasst werden und das am Router oder DNS-Server. Hier kommt es darauf an welchen Router/Access Point man hat. Ich kann leider keine Anleitungen für alle Modelle erstellen, aber ein paar Hinweise die bei jedem Modell helfen:

  • Sucht die Stelle an der die DHCP Konfiguration angepasst werden kann.
  • Lasst dort alles so bis auf die DNS Serverkonfiguration.
  • Hier schreibt ihr euch die originalen Einstellungen auf und löscht anschließend die DNS-Server.
  • Fügt diese beiden hinzu: 208.67.220.220 und 208.67.222.222
  • Speichern und ggf. Router neustarten
  • Alle Endgeräte einmal neustarten (es würde reichen ein neues DHCP Lease zu erhalten, aber Neustarten ist meine ich einfacher für viele Anwender)

Für die Bastler unter euch: bind9

4. Grund: Unsichere Software Konfiguration

Ihr habt Office zu Hause? Das ist gut, denn hin und wieder ist notwendig Briefe zu schreiben oder mit Excel Tabellen anzulegen. Aber eine Kleinigkeit gibt es zu dieser Software zu betrachten. Es lässt sich in alle möglichen Dokumente Software eintragen. Das wären die sogenannten Makros. Mit Ihnen können automatisierte Aktionen vorprogrammiert durchgeführt werden. Man kann aber auch Software aus dem Internet nachladen, die Festplatten verschlüsselt, ähnlich wie es der neueste Schädling Locky macht.

Schaltet also bitte Makros in jeglichen Dokumenten ab, denn ihr wisst nie welche Dokumente euch geschickt werden.

5. Grund: Surfen als Administrator

Es ist so bequem und einfach als Administrator unterwegs zu sein, aber gleichzeitig auch so gefährlich. Alles was ihr an Schadsoftware herunterladet wird in eurem Benutzerkontext ausgeführt. Seid ihr Admin, ist die Schadsoftware auch Admin. Was hat das für Folgen?

Locky macht sich dies zu Nutze und löscht alle eure Schattenkopien. Diese Kopien werden beispielsweise angelegt, wenn man Dateiversionen in Windows aktiviert. Eine Form des Backups wäre dies. Ich habe es aktiv und lagere meine Schattenkopien auf einem externen Netzwerkspeicher (NAS).

Das Löschen der Schattenkopien erledigt man ganz einfach über einen Befehl in der Kommandokonsole cmd.exe:

vssadmin.exe Delete Shadows /All /Quiet

Damit wären auch Backups weg und im Falle von Locky ist dies auch leider der Fall. Verlasst euch also nicht nur auf eine Backupstrategie.

Fazit

Eine wichtige Sache habe ich noch. Bitte bezahlt die Entschlüsselung nicht. Es gibt keine Garantie darauf, dass ihr eure Daten bekommt. Es handelt sich hierbei nicht um ehrliche Geschäftstätige, die ihr belangen könnt, wenn Sie etwas nicht erbringen. Es gibt keinen gültigen Vertrag.

Es gibt Möglichkeiten diese Schädlinge beim Eindringen in ein Netzwerk zu finden, aber diese Methoden sind momentan sehr ressroucenintensiv und können nicht im privaten Haushalten stattfinden. Auch Firmen können sich diese Lösungen momentan noch nicht leisten. Wer neugierig ist und die Welt verändern möchte, kann es aber gern probieren und baut ein Tool, dass im privaten Gebrauch funktioniert und kostengünstiger ist. Momentane Hersteller solcher Tools, die ich kenne sind:

  • McAfee
  • FireEye
  • Cylance

Bücher zum Thema

 

Beitragsbild von Christiaan Colen Creative Commons CC-BY SA 2.0

Artikel teilen:

5 Gedanken zu „5 Gründe wieso Verschlüsselungstrojaner so gut funktionieren

  • 18. Februar 2016 um 11:21
    Permalink

    Hallo André,

    vielen Dank für diese Informationen und Tipps!

    VG
    Peter

    Antwort
  • 1. März 2016 um 15:40
    Permalink

    Sehr guter Artikel, bis auf eine Kleinigkeit – “Sobald die Software ausgeführt wird, verschlüsselt Sie alle möglichen Daten.” – das “Sie” gehört klein geschrieben, es handelt sich nur um ein Fürwort und um keine Höflichkeitsform. Auch wenn man speziell darauf hinweisen möchte (was ja schon aus dem Lesefluss hervorgeht) wird es nicht groß geschrieben. Weiters gibt es noch den Bindestrich (ja, wir reden von der deutschen Sprache). Software-Konfiguration und IT-Sicherheit sind zusammengesetzte Hauptwörter, mit Bindestrich sind sie nicht nur richtig geschrieben, sondern der Begriff ist auch leichter zu lesen.
    Doch ein paar Gedanken zum Thema (bezogen auf private Anwender): Die beste Methode gegen solche Elemente ist noch immer die gesunde Portion Skepsis. Solange jede(r) wie verrückt auf jeden Anhang klickt (es könnte ja wieder eine dieser unglaublich witzigen, süßen, etc Präsentationen sein, die man zwar schon hunderte Male bis zum Erbrechen gesehen hat, doch wer weiß, vielleicht ist sie diesmal wirklich besonders gut gelungen). Solange ein Systemhersteller wie Microsoft noch immer bei installierten Systemen die Endungen standardmäßig ausblendet, wird es genug Anwender geben, die einen Anhang “xxxx.pdf.exe” (jedoch nur als xxxx.pdf angezeigt) ohne Bedenken öffnen, weil es sich vermeintlich ja nur um ein PDF-Dokument handeln kann, und die sind ja die guten.
    Glauben Sie mir, es ist einem Durchschnittsanwender herzlich egal, zu wissen wie ein Trojaner, egal welcher Art, funktioniert. Wenn er ihn einmal auf dem Rechner hat, nützt das (detaillierte) Wissen über den Schädling reichlich wenig. Gewisse Dinge müssen im Kopf der Anwender passieren, da nützen Warnungen oder auch Blogeinträge nicht viel. Wenn ich eine Mail – wie im Artikel erwähnt – erhalte und dort evtl ein Inkassoauftrag angedroht wird, dann muss ich vorerst einmal zu denken anfangen. Im realen Leben ist es nicht anders. Nur weil jemand ein Gerücht streut, muss das noch lange nicht die Wahrheit sein. Doch offenbar glauben die Leute noch immer was in der Zeitung steht bzw im Fernsehen läuft ist auch die Wahrheit. Bei Mails mit einschüchternden Betreffzeilen ist es wohl nicht anders.
    Surfen als Administrator – ja, das werden wohl viele machen, ich wage noch hinzuzufügen, dass ein nicht unbedingt geringer Prozentsatz – von den vielen Meldungen bestimmter Virenscanner total überfordert – diese Software ganz einfach abschaltet. Ganz nach dem Motto “die Viren und Trojaner treten ja sowieso nur bei Firmen und anderen Benutzern auf”. Obwohl ich ein Anwender mit sehr viel Erfahrung bin, Kaspersky ist bestimmt eine gute Software, allerdings kann sie ungemein nerven. Von einer Firewall – welche viele Anwender als das Nonplusultra betrachten, und zusätzlich zur eingebauten noch eine weitere installieren (viel hilft ja bekanntlich viel) – möchte ich gar nicht reden.
    Und wer macht schon ein regelmäßiges Backup bzw greift zur Kommandozeile (was ist das überhaupt? – werden sich viele fragen), um die angeführten Befehle ausführen zu lassen…
    Jemanden mit den entsprechenden Kenntnissen wird ein Verschlüsselungstrojaner wenig kratzen. Die Masse macht es aus. Und die kann halt mit den obigen Angaben wenig anfangen.
    Trotzdem ist der Artikel sehr informativ und ich möchte mich auf diesem Weg sehr herzlich dafür bedanken.

    Antwort
  • 4. November 2016 um 14:05
    Permalink

    @ Andre
    Ein Dankeschön für deine Mühe, Licht ins Dunkel der Bits und Bytes zu bringen! Leider ist ein sehr, sehr großer Teil der Internetgemeinde, a) mit derartigen Informationen total überfordert, b) hält das Thema ein ebenso großer Teil der Internetgemeinde für “Mumpitz” und c) ist die Internetgemeinde weitgehend beratungsresistent. Erschwerend kommt hinzu, dass von offizieller Stelle eher zusätzlich Verunsicherung geschürt wird, statt die Internetgemeinde umfassend zu informieren und konstruktiv zu sensibilisieren.

    @ Muvimaker
    Ein Dankeschön für deinen treffenden Kommentar vom 1. Mrz. 2016! Dem ist nichts mehr hinzuzufügen.

    Antwort
    • 4. November 2016 um 18:03
      Permalink

      So ist es, aber man darf nie aufgeben :-) Irgendwann trifft man doch einen User der den Artikel anklickt, sich seine Gedanken dazu macht und einen netten Kommentar hinterlässt!

      Antwort

Kommentar verfassen