15 Juni 2016News

Cryptolocker: Vorbeugen statt bezahlen!

Wir hören täglich von Opfern, die vom Cryptolocker(ransomware) befallen (worden) sind. Täglich wird es mehr, da sich diese Verschlüsselungssoftware immer schneller verbreitet. Andreas Gutesa von Mindtime Backup deutet es so: Unsere Partner versorgen deren Kunden mit der kompletten Dienstleistung in der IT, dem entsprechend sind Sie auch der erste Anlaufpunkt falls der Cryptolocker sein Unwesen getrieben hat. Der Cryptolocker verschlüsselt, nachdem er in einem Anhang geöffnet wurde, alle wichtigen Dateien, Bestände und Datenbanken im gesamten Netzwerk des Benutzers. Viele unserer Partner haben deren Kunden auf eine schlechte oder fehlende Datensicherung hingewiesen, doch es gibt immer noch Unternehmen die keine Datensicherung haben. Bei einer fehlenden Datensicherung hat der Kunde/das Unternehmen nur noch 2 Optionen:

  • Den geforderten Betrag zu zahlen
  • Datenverlust akzeptieren

Der/die Absender

Es sind verschiedenste Mailadressen welche diese Ransomware beinhalten. Das geht los bei einer einfachen Initiativbewerbung, Rechnungen, Auftragsbestätigungen bis hin zu angeblich Vaterschaften und dergleichen. Schlussendlich alles, was einen hohen Deckungsgrad in der Bevölkerung hat. Die Kriminellen nutzen öffentliche Maildienste und werden stetig präziser um eine hohe Öffnungsquote zu erreichen.


Die Anhänge

Die Anhänge von den Mails sind schon eher unglaubwürdig. Meistens sind es .rar oder.zip Bestände die geöffnet werden sollen. Mittlerweile sind es aber auch veränderte .pdf's die als Applikation laufen. Nach dem Öffnen des Anhangs wird der Cryptolocker direkt ausgeführt und verbreitet sich rasend schnell über das gesamte zugängliche Netzwerk. Hauptsächlich von der Verschlüsselung betroffen sind folgende Dateien: *.odt, *.ods, *.odp, *.odm, *.odc, *.odb, *.doc, *.docx, *.docm, *.wps, *.xls, *.xlsx, *.xlsm, *.xlsb, *.xlk, *.ppt, *.pptx, *.pptm, *.mdb, *.accdb, *.pst, *.dwg, *.dxf, *.dxg, *.wpd, *.rtf, *.wb2, *.mdf, *.dbf, *.psd, *.pdd, *.pdf, *.eps, *.ai, *.indd, *.cdr, *.jpg, *.jpe, img_*.jpg, *.dng, *.3fr, *.arw, *.srf, *.sr2, *.bay, *.crw, *.cr2, *.dcr, *.kdc, *.erf, *.mef, *.mrw, *.nef, *.nrw, *.orf, *.raf, *.raw, *.rwl, *.rw2, *.r3d, *.ptx, *.pef, *.srw, *.x3f, *.der, *.cer, *.crt, *.pem, *.pfx, *.p12, *.p7b, *.p7c


Die Varianten

Die Herangehensweise von Cryptolockern ist unterschiedlich:

  • Der so genannte Locky macht alle Bestandsnamen unlesbar und fügt die Erweiterung  LOCKY zu.
  • Petya: überschreibt das Startsystem von Windows.
  • Andere Varianten behalten die originalen Bestandsnamen und fügen einen Verschlüsselungscode hinzu

Oder

  • Verschlüsseln ausschließlich den Inhalt von Dateien. Diese sind auch nicht direkt zu sehen.
     

Die neuesten Generationen sind noch gefährlicher: wird die Applikation durch das Öffnen einer Datei/Anhang gestartet, werden auf dem Server alle auffindbaren Datenbanken auch verschlüsselt. Dieses bedeutet das Exchange, Active Directory und SharePoint Services nicht mehr zu gebrauchen sind.

Es besteht eine minimale Chance den Cryptolocker zu stoppen. Schaten Sie im ganzen Unternehmen alle Computer direkt aus. Ist der Cryptolocker zeitig gestoppt besteht die Möglichkeit, dass die s.g. Schattenkopie(meistens eingeschaltet) noch besteht. Ist über den Explorer keine Schattenkopie zu finden, ist es zu spät.


Die Lösung: Ihr externes Backup

Andreas Gutesa: In der Praxis ist jederzeit die beste Lösung eine gute Datensicherung mit Wiederherstellungsgarantie. Dafür ist ein online Backup. Auf diese Art und Weise haben unsere Partner Ihren Kunden schon einiges an Datenverlust erspart. Hier können Sie einige Rezensionen dazu lesen: https://www.mindtimebackup.de/unternehmen/referenzen

Bezahlen ist eine Option, aber auch dann heißt es abwarten, ob die Daten durch die Kriminellen wieder zur Verfügung gestellt werden. 

« Zurück zu News

Einloggen

(Kunden) (Partner)