Wehren Sie sich gegen Erpresser und Ransomware

19.07.2016 | Petra Alm

Nach den letzten Statistiken hat sich die Anzahl von E-Mails, die eine Ransomware verbreiten, unglaublich erhöht. Dieser Typ von Malware wird Ihnen nach der Infizierung des Systems alle Daten verschlüsseln und für ihre Freigebung Geld erfordern. Gerade das Lösegeld macht diese Schadcodes rentabel und unter Angreifern beliebt. Wie können Sie sich wehren?

Was ist Ransomware und warum sollten Sie vorsichtig sein

Ransomware ist bemüht, ihre Opfer zu erpressen (= ransom). Die Zeit von „romantischen“ Viren-Ansteckungen, die in dem schlimmsten Fall auf den Bildschirm eine fiese Meldung oder Grafik als Demonstration der Fähigkeiten des Autors eingeschleust haben, ist längst vorbei. Geld steht auf dem ersten Platz und das gilt auch für unehrliche Erwerbe im Internet.

Einem unvorsichtigen Nutzer wird Ransomware seine Daten verschlüsseln oder den Rechner auf eine andere Art zum Absturz bringen. Vor den Schadcodes muss man wirklich auf der Hut sein, auch darum, dass der Anteil von Ransomware in E-Mails um 800 % gestiegen ist. Dieser Zuwachs zeugt von der Attraktivität dieses „Geschäftsmodells“ mehr als genügend.

Lassen Sie sich nicht fangen

Die Ansteckung verbreitet sich meistens über E-Mails und ihre Anhänge. Nicht umsonst sagt man, dass unerwartete Anlagen nicht geöffnet werden sollten. Es geht fast um eine goldene Regel, die mehr als 40 Jahre, während welcher wir uns die E-Mails senden, gilt. Heutzutage weißt fast jeder Internetnutzer, dass eine „gezippte“ Datei nicht aufgerufen werden soll, weil sich in ihr höchstwahrscheinlich ein Virus verbirgt.

Die Strategie der Angreifer besteht darin, Ihre Aufmerksamkeit zu überlisten. Deshalb sind die infizierten Mails sehr vertrauenswürdig gestaltet und der Anhang ist oft einfach übersehbar, so dass ihn die Opfer aus Versehen öffnen. In dieser Hinsicht sind gefälschte Rechnungen, Mahnungen und Exekutions-Mitteilungen gerade die am meisten nachgeahmten Nachrichten, die auf den ersten Blick von den anderen, rechten nicht zu unterscheiden sind.

Den Windows-Systemen ist eine unangenehme Eigenschaft vorzuwerfen: Sie zeigen die Dateiformate nicht an. Die Datei kann zwei Endungen haben und im Windows-Explorer wird Ihnen nur die erste dargestellt, die nicht tatsachliche. Falls Sie das nicht beachten, können Sie sich einfach beirren lassen. Auf dem folgenden Bild sehen Sie ein Beispiel einer EXE-Anwendung, die jedoch mit dem Icon einer Word-Datei dargestellt wird:

Aus diesem Grund empfehlen wir Ihnen, in dem Explorer die Abbildung des Dateiformats nach dem Bild unten zu aktivieren. Dann werden Sie auf das nicht stimmende Icon der Datei oder Anwendung aufmerksam gemacht.

Aktivieren Sie im Explorer die „Dateinamenerweiterungen“ und lassen Sie sich von dem Icon nicht verwirren. Fürs Maximieren klicken Sie.

Vor kurzer Zeit ist eine Welle von Ransomware in der Form von Javascript (Datei mit dem Zeichensatz JS, sehen Sie das Bild rechts) aufgetaucht. Das Icon von Javascript sieht in Windows „unschuldig“ aus und falls es um die gefälschte Endung TXT ergänzt wird, können Sie einfach den falschen Eindruck gewinnen, dass es sich um eine Textdatei handelt.

Meistens passiert sich nach der Öffnung eines unterjubelten Schadcodes nichts, lassen Sie sich damit aber nicht besänftigen. In den Anhängen von gesendeten E-Mails befindet sich nämlich nur eine „Vorhut“, die den Opfern in den PC den Rest des Schädlings herunterladet und aktiviert.

Auf Antivirenprogramme verlassen Sie sich nicht

Viele Internetnutzer behaupten, dass Sie „ein Antivirenprodukt implementiert haben und sich somit nicht zu fürchten brauchen“. Diese Einstellung hat zwei Risse. Die erste beruht auf der Qualität von Antiviren und ihrer Detektionsfähigkeit. Keine Antivirensoftware funktioniert absolut und kann 100 % der Ansteckung aufhalten. Vor allem beliebte gratis Produkte können in diesen Features zurückstehen.

Das zweite problemhafte Fakt ist, dass die Antiviren zuerst den Schadcode erkennen lernen müssen – erst danach können sie ihn detektieren. Es existieren zwar verschiedene schlaue Mechanismen, die danach streben, unerwünschtes Verhalten eines Programms zu entdecken. Die Produkte gehen jedoch immer von Aufspürung von Proben und Beispielsverhalten aus, die in das Programm sein Autor eingibt. Deshalb, wenn sich ein neuer Typ von Malware auftaucht, dauert es den AV-Produkten eine Weile, bevor sie sich mit ihm „bekanntmachen“. Dies wurde öfter bewiesen und die Aktualisierung Ihres Antivirenprogramm kann somit zu spät erfolgen.

Seien Sie verdächtig

Bei der Manipulierung mit angekommenen Anhängen seien Sie achtsam. Wenn Sie eine Datei erhalten und an ihrer Herkunft oder ihrem Inhalt zweifeln, öffnen Sie sie nicht wie üblicherweise (durch Anklicken).

Die Überprüfung der Anlage leiten Sie mit einer Antivirenkontrolle ein. Lassen Sie sich die Datei von dem Web virustotal.com analysieren und die Meinung von verschiedensten Antivirenprogrammen wird Ihnen andeuten, ob es sich um einen Virus handeln könnte. Falls die Detektion positiv wird, löschen Sie den Anhang gleich. Die Gefährdung muss sich zwar nicht bestätigen, aber das ist des Risikos nicht wert.

Ergebnis der Kontrolle auf virustotal. Nach 37 von 56 Antivirenprogrammen ist die Datei infiziert (in dem Test finden Sie sie unten aufgelistet). Fürs Maximieren klicken Sie.

Auch wenn keine Spuren von einer Ansteckung aufgedeckt werden, muss es immer nicht sicher sein, die Datei zu öffnen. Dies kann dadurch verursacht werden, dass die verwendeten AV-Produkte die Malware nicht detektieren konnten. Es ist ratsam, ein oder zwei Tage zu warten und die Kontrolle dann wiederzuholen.

Erfahrene Nutzer können die Datei auch in einem Code-Editor (notepad, PSPad) öffnen und sich somit den Inhalt der Datei anschauen. Auf keinen Fall öffnen Sie die Datei durch Anklicken (wegen der bereits erklärten, tückischen Dateiformate). Zur Kontrolle einer verdächtigen Datei ist ein anderes Betriebssystem als Windows (zum Beispiel Ubuntu) geeignet, das Sie in Windows virtuell und ohne Zugriff zum Internet und Netzwerk einrichten können. In dieser Sandbox können Sie den Inhalt der Datei relativ risikolos überprüfen. Die Anwendung wird sich nicht öffnen und falls die Datei „sauber“ ist, wird Ihnen ihr Inhalt angezeigt. Office-Programme sind natürlich ein Bestandteil von den Linux-Distributionen und Sie brauchen sie nicht manuell zu installieren.

Wir wünschen Ihnen viel Glück bei Ihrer Arbeit online!


Petra Alm
Spezialistin für TLS-Zertifikate
DigiCert TLS/SSL Professional
e-mail: info(at)sslmarket.de