Verschlüsselung durch Schadsoftware
Ramsomware und Verschlüsselungstrojaner - Erpresser verschlüsseln alle Daten eines Unternehmens und fordern ein Lösegeld.
Um Zugriff auf die IT-Infrastruktur eines Unternehmens zu erlangen, nutzen die Täter mittlerweile alle typischen Verbreitungswege von Schadsoftware. Oftmals versenden die Täter zahlreiche E-Mails mit Anhängen an Mitarbeiter des Unternehmens. Die Anhänge haben meist unverfängliche Dateinamenserweiterungen wie .zip, .doc oder .pdf. Hierbei kommt der Schadsoftware zu Gute, dass Windows per Voreinstellung die Dateinamenserweiterung bei bekannten Dateitypen ausblendet. Eine Datei mit dem Namen xxx.doc.exe wird somit als xxx.doc dargestellt. Nach dem Deaktivieren dieser Windows-Funktionalität erkennt man die tatsächliche Dateiendungen, die oftmals auf ausführbare Dateien hinweiset (.exe, .com, .js, .bat, .vbs,…). Eine Zeit lang wurden diese Verschlüsselungstrojaner als sehr echt wirkende Bewerbungsschreiben versendet. Mittlerweile ist eine Vielzahl von Spam-Emails mit unterschiedlichsten Betreff-Angaben und Inhalten bekannt.
Durch das Öffnen des Anhangs werden die Daten des Rechners und erreichbare Netzwerklaufwerke verschlüsselt und können bis auf weiteres nicht mehr genutzt werden. Ziel der Täter ist es ein Lösegeld zu erpressen. Bei Bezahlung des Lösegelds wird die Übersendung des Entschlüsselungscodes in Aussicht gestellt.
Zum Schutz vor diesem Angriff rät das LKA 54:
- Achten Sie auch bei scheinbar korrekten Emails beim Öffnen von Anhängen oder Anklicken von Links auf die tatsächliche Dateiendung oder deaktivieren Sie ggf. die automatische Ausblendung der Dateinamenserweiterung in Windows.
- Führen Sie regelmäßige Datensicherungen durch und kontrollieren Sie diese auf Verfügbarkeit. Achten Sie darauf, dass die Schadsoftware nicht auf die Datensicherung zugreifen kann (z.B. durch eine physikalische Trennung nach Abschluss der Sicherung).
- Falls Sie einen Befall bemerken, trennen Sie den betroffenen Rechner schnellstmöglich vom Netzwerk.
- Konfigurieren Sie Ihre Office-Programme so, dass Makros nicht oder erst nach Rückfrage ausgeführt werden.
- Automatisieren Sie die Erkennung von Krypto-Trojanern durch entsprechendes Monitoring auf Ihren Fileservern.
- Aktualisieren Sie regelmäßig und in kurzen Abständen Ihren Virenscanner.
Wenden Sie sich bei Auffälligkeiten oder Fragen an die örtliche Polizeidienststelle oder an die Zentrale Ansprechstelle Cybercrime im LKA 54:
LKA 543
Zentrale Ansprechstelle Cybercrime
Bruno – Georges – Platz 1
22297 Hamburg
Telefon: 040 4286 754 55
zac@polizei.hamburg.de