Technik

Leitfaden gegen Erpresser-Trojaner So schützt man sich vor Ransomware

Ransomware-eset.JPG

Erpresser-Trojaner kommen oft per Mail.

Ransomware ist fies und macht ihre Opfer ratlos. Doch wer wachsam ist, muss kaum etwas befürchten. Eine Sicherheitsfirma erklärt, wie man sich schützt und ob man den Erpressern Geld zahlen sollte.

Sie heißen Locky, Teslacrypt , Jigsaw oder CryptXXX und verbreiten Angst und Schrecken. Immer mehr Erpresser-Trojaner treiben ihr Unwesen, ihre Opfer sind oft ratlos. Soll man das Lösegeld zahlen oder hart bleiben und den Verlust seiner Daten hinnehmen? Gibt es einen Ausweg aus den Fängen der Erpresser? Das Sicherheitsunternehmen Eset erklärt, wie man sich am besten schützt, was man tun kann, wenn man die Ransomware schon auf dem Rechner hat - und ob man das Lösegeld bezahlen sollte.

Adressat des zehnseitigen Leitfadens sind zwar in erster Linie Unternehmen, doch für Privatanwender sind die Tipps ebenfalls hilfreich. Denn auch für sie gilt: Wer gut vorsorgt, muss sich um Notfall-Lösungen erst gar keine Gedanken machen.

Regelmäßige Backups

Gleich die erste Regel sollten PC- und Smartphone-Nutzer immer befolgen, auch unabhängig von akuten Bedrohungen: Wichtige Daten sollten regelmäßig gesichert werden. Backups sind auf externen Laufwerken besonders sicher, da diese nicht ständig mit dem eigenen System verbunden und im Falle einer Infektion damit außerhalb der Reichweite der Malware sind.

Selbstverständlich sollte der Einsatz eines guten und immer aktuellen Antivirenprogramms sein. Updates sind aber nicht nur beim Virenschutz wichtig, sondern für alle Programme auf dem Rechner ein Muss. Denn Aktualisierungen flicken oft Sicherheitslücken, die die Malware-Autoren ausnutzen, um ihre Schadsoftware einzuschleusen. Um kein Update oder Patch zu verpassen, sollte man, wenn möglich, automatische Updates aktivieren.

Wachsame Nutzer

Mindestens genauso wichtig ist ein wachsamer Nutzer. Ransomware gelangt oft über Spam-Mails auf den Rechner. Die Erpresser-Programme verstecken sich in harmlos erscheinenden Anhängen oder hinter einem Link im Text der Mail. Gefälschte und gefährliche Mails sind oft getarnt und erst auf den zweiten Blick zu erkennen.

Links in Mails von Unbekannten und angebliche Rechnungen, Mahnungen, Zahlungsforderungen oder Kontoüberprüfungen sollten grundsätzlich mit äußerster Vorsicht behandelt werden. Im Zweifel hilft ein Anruf beim angeblichen Absender.

Auf Endungen achten

Vorsicht gilt immer auch bei Dateianhängen, vor allem mit den Endungen .exe, .bat, .com, .vbs, .cmd, .scr oder .js. Manche Mail-Programme können E-Mails anhand ihrer Anhänge filtern und sie erst gar nicht durchlassen. Häufig tarnen Hacker ihre Malware auch mit einer doppelten Endung, zum Beispiel ".pdf.exe".

Windows blendet standardmäßig bekannte Dateiendungen aus. Um verdächtige Dateien besser zu erkennen, kann man über "Ansicht" die Anzeige der gesamten Dateiendungen im Explorer aktivieren. Da manche Ransomware-Varianten ihre ausführbaren Dateien vom AppData- oder vom LocalAppData-Ordner aus starten, kann es zudem hilfreich sein, solche Ausführungen zu verhindern.

Um Zugang zum anvisierten Gerät zu bekommen, nutzt Ransomware laut Eset häufig das Remote Desktop Protocol (RDP), das einen Fernzugriff auf den Rechner ermöglicht und Cyberkriminellen dazu dient, Sicherheitssoftware auszuschalten. Wer es nicht benötigt, sollte RDP deshalb ebenfalls deaktivieren.

Und wenn es zu spät ist?

Infizierte Geräte können möglicherweise über die Systemwiederherstellung gerettet werden. Ist diese aktiviert, lässt sich das System auf den letzten bekannten, sauberen Stand zurücksetzen, einige infizierte Dateien können so möglicherweise wiederhergestellt werden.

Externe Laufwerke sollten möglichst schnell vom infizierten Rechner getrennt werden, um die Daten darauf zu sichern. Zudem sollten Verbindungen zum Internet und ins Firmennetzwerk gekappt und falls möglich die Stromversorgung unterbrochen werden. Ausgeschaltet wird das Gerät am besten über die Hardware, rät Eset. Denn manche Ransomware richtet beim normalen Herunterfahren der Software noch mehr Schaden an. Danach kann man professionelle Hilfe suchen oder warten, bis Lösungen veröffentlicht werden.

Nicht zahlen!

Das Problem: Die Macher von Ransomware verschlüsseln Dateien ähnlich stark wie Banken, Online-Shops, Messenger oder andere Online-Dienste. Die Verschlüsselungstechniken werden immer besser, was leider auch für Ransomware gilt. Daher ist es schwierig, alle Dateien wiederherzustellen. Sicherheitsexperten suchen ständig nach Lücken in den Codes, und wie die jüngsten Beispiele von Teslacrypt oder CryptXXX zeigen, gibt es durchaus Hoffnung für Betroffene. Laut Eset gelingt es in einem von fünf Fällen, Erpresser-Software zu knacken. 

Das Lösegeld, das die Erpresser fordern, sollte man laut Eset in jedem Fall nicht zahlen. Es gebe keine Garantie, dass man nach der Zahlung seine Daten oder Geräte tatsächlich wieder entsperren oder entschlüsseln könne. Zahlende Opfer unterstützten zudem die Kriminellen und ihre Machenschaften finanziell. Und wer einmal gezahlt hat, riskiert einen erneuten Angriff der Erpresser, um noch mehr Geld zu erbeuten.

Quelle: n-tv.de, jwa

Mehr zum Thema