Es ist 22:00 Uhr an einem Freitagabend, fast fertig mit der Arbeit, denken Sie über Ihre Wochenendpläne nach, als Sie eine seltsame Nachricht auf Ihrem Desktop bemerken. Ein Ransomware-Angriff kommt oft überraschend.
„Alle Ihre Dateien wurden verschlüsselt!“
„Was? Ich bin gerade mit allem fertig geworden. Oh, es könnte auch nur ein weiterer Scherz meines Mitarbeiters gewesen sein!“
Aber etwas trifft Sie! Anstatt es zu ignorieren, fangen Sie an, willkürlich Dateien auf Ihrem PC zu überprüfen, wobei Ihnen eine seltsame Reihe von Erweiterungen auffällt, die sich einfach mit keinem Programm öffnen lassen, sehen Sie sich zum Beispiel das an:
Hier kommt der Moment der brutalen Wahrheit; Ihre Systeme wurden mit Ransomware injiziert und es gibt hohe Chancen, dass Ihr gesamtes Netzwerk jetzt kompromittiert ist!
Sie stehen bereits unter Stress, aber beachten Sie, dass, egal was Sie tun, im Falle eines Lösegeldangriffs, Zeit Geld ist! Je schneller Sie dies bemerken und zur Kenntnis nehmen, desto größer ist die Chance, dass Sie Ihre wertvollen Daten retten. Es braucht Zeit, bis die Dateien verschlüsselt sind und zum Hacker gelangen. Statt in Panik zu geraten, bleiben Sie ruhig und arbeiten Sie an den hier erwähnten Schritten.
Was ist im Falle eines Lösegeldangriffs zu tun? Unser vollständiger Ransomware Erste-Hilfe-Leitfaden hilft Ihnen, Ihre Verluste zu minimieren. Dieser Leitfaden wurde von unseren Experten erstellt, nachdem sie mehreren unserer in Deutschland und weltweit ansässigen Kunden geholfen haben, nach einem Ransomware-Anschlag zu einer Lösung zu kommen und ihren Betrieb wiederherzustellen.
Führen Sie die folgenden Schritte aus:
Keine Panik.
Nehmen Sie zur Kenntnis, dass Ihre Systeme kompromittiert worden sind. Der Lösegeld-Angriff hat es erfolgreich geschafft, alle Ihre Antiviren-Programme und Firewalls zu umgehen. Er ist so ausgeklügelt, dass er umso mehr Schaden anrichtet, je länger Sie warten. Sie haben jetzt drei Möglichkeiten:
- Versuchen Sie, ein kostenloses Tool zum Wiederherstellen Ihrer Daten zu verwenden
- Kontaktaufnahme mit den Angreifern und der Versuch, sie für die Entschlüsselung zu bezahlen (was wir NICHT empfehlen und keine Garantien für irgendeine Art von Ransomwaredatennwiederherstellung geben)
- Wiederherstellen vom Backup (Die ideale Lösung!)
Die erste Option ist in der Regel nicht durchführbar, es sei denn, Sie sind angegriffen worden und haben Ihre Dateien von und mit einer älteren Variante verschlüsseln lassen, für die ein frei verfügbares Tool veröffentlicht wurde. Sie können sehr schnell die Möglichkeit der Verwendung eines frei verfügbaren Entschlüsselungstools überprüfen, indem Sie die folgende Website besuchen: https://www.nomoreransom.org/
Wichtiger Hinweis: Bevor Sie mit irgendetwas fortfahren, nehmen Sie mit Ihrem Smartphone Fotos von dem gesamten Prozess auf. Sie benötigen sie als Beweismittel, um den Strafverfolgungsbehörden Bericht zu erstatten.
Müssen Sie mit Hackern umgehen?
Sich für die zweite Option zu entscheiden, ist ein riskanter Vorschlag. Wenn Sie es mit einer äußerst stressigen Situation zu tun haben, werden Sie von Angreifern ausgenutzt und sie können die Situation erheblich komplizieren. Es gibt keine Garantie, dass sie ihre Versprechen einhalten und dass Sie Ihre Daten wiederherstellen können. Wir raten zwar davon ab, selbst und ohne professionelle Hilfe mit Ransomware-Akteuren in Kontakt zu treten, doch kann dies in vielen Fällen die einzige Möglichkeit sein.
Es ist wichtig, dass Sie ein Ransomware-Entfernung-Unternehmen, wie BeforeCrypt, dass sich auf solche Vorfälle spezialisiert, konsultieren. Der Umgang mit den Hackern und die Beteiligung an der richtigen Due Diligence für die Zahlung (als letztes Mittel) sollte nur von Fachleuten durchgeführt werden. Diese Hacker sind sehr schlau und gewitzt und stellen ein zu großes Risiko dar, als dass jemand ohne professionelle Hilfe mit ihnen fertig werden könnte.
Leider besteht ein Teufelskreis, in dem Unternehmen es versäumen, angemessen in ihre Sicherheitsinfrastruktur zu investieren, und sich wissentlich oder unwissentlich Angriffen aussetzen, die kostspieliger sein können, als eine Erstinvestition in die Prävention.
Weder empfiehlt noch verbietet das FBI Opfern von Ransomware die Zahlung eines Lösegeldes. Hier ist der Grund dafür:
„Die Zahlung von Lösegeldern ermutigt Kriminelle, andere Organisationen ins Visier zu nehmen und bietet anderen Kriminellen ein verlockendes und lukratives Unternehmen. Das FBI ist sich jedoch darüber im Klaren, dass Führungskräfte, wenn Unternehmen mit einer Unfähigkeit zur Funktion konfrontiert sind, alle Optionen zum Schutz ihrer Aktionäre, Mitarbeiter und Kunden prüfen werden.“
Das FBI IC3 Public Service Announcement
Das FBI empfiehlt den Unternehmen einen soliden Präventionsplan (z. B. Schulung von Mitarbeitern und robuste Präventionsmethoden) und einen Business Continuity-Plan im Falle eines katastrophalen Datenverlusts.
Lösegelder werden über Bitcoin oder andere auf Kryptowährung basierende Zahlungsmittel und nicht per Banküberweisung bezahlt. Sie müssen auch ein Konto auf einer der legitimen Websites eröffnen, um Geld einzuzahlen und Bitcoin zu kaufen, ein Prozess, der zeitaufwändig sein könnte. Im Folgenden sind die beiden beliebtesten Websites zum Kauf und Verkauf von Bitcoin aufgeführt:
Einmal gekauft, können Sie Bitcoin an die Angreifer senden. Denken Sie daran, dass es keine Rückerstattung gibt und dass Sie nach Zahlung des Lösegeldes auf sich allein gestellt sind.
Lassen Sie Profis die Kommunikation verwalten, wenn es außer einer Verhandlung keine andere Option gibt. BeforeCrypt verwendet Einweg-E-Mail-Adressen, welche die Identitäten unserer Kunden verbergen, um Identitätsdiebstahl in Zukunft zu reduzieren.
Angesichts der Tatsache, dass Ihr Unternehmen religiöserweise Backups erstellt und diese vom Netzwerk isoliert hält, könnten Sie eine gute Chance haben, die meisten Ihrer Daten ohne Verlust oder schlaflose Nächte wiederherzustellen. Obwohl es sich um eine weniger ideale Situation handelt, entscheiden sich viele Unternehmen dafür, ihre Backup-Systeme für Echtzeit-Cloud-Backups mit dem Netzwerk zu verbinden. Die Malware ist zwar praktisch, konzentriert sich aber hauptsächlich auf die Verbreitung und Verschlüsselung von Backups, BEVOR sie auf ein anderes System abzielt.
Informieren Sie Ihr IT-Unternehmen
Viele mittelständische und große Unternehmen haben eine eigene IT-Abteilung und sollten hoffentlich schon einen Plan haben!
Leider haben viele Unternehmen angesichts der Haushaltszwänge keine IT-Abteilung im Haus. In diesem Fall muss ein Drittanbieter oder ein IT-Unternehmen möglicherweise eine Besprechung mit den Eigentümern und Mitarbeitern einberufen, um nach der Tat einen Plan zu erstellen.
In Fällen wie diesen ist es ratsam, sich an ein Unternehmen zur Entfernung von Ransomware und Wiederherstellung von Ransomware-Daten zu wenden, das diese Aufgabe übernehmen kann, wie z. B. BeforeCrypt, da ein spezialisierter Partner bei der Handhabung solcher Fälle Zeit spart und Fehlschläge vermeidet. Ein erfahrenes Unternehmen kann Ihnen helfen, den Tag zu retten.
Zeit ist Geld! Trennen Sie Ihre Maschinen
Was tun Ärzte, wenn der Patient verblutet? Sie behandeln die Wunde nicht, sondern konzentrieren sich darauf, zunächst den Blutverlust zu stoppen und danach mit der Behandlung fortzufahren.
Man weiß nie, die Nachricht, die Sie soeben auf Ihrem Bildschirm gesehen haben, könnte sehr wohl so programmiert sein, dass sie angezeigt wird, NACHDEM alle Dateien verschlüsselt worden sind, was Stunden oder sogar Tage dauern kann. Trotzdem sollten Sie kein Risiko eingehen. Sobald Sie die Malware bemerken, gehen Sie sofort wie folgt vor:
- Trennen Sie alle Laufwerke vom Netzwerk
- Schalten Sie Wifi-, Bluetooth- und Ethernet-Kabel aus
- Wenn möglich, schalten Sie das gesamte Netzwerk aus, indem Sie buchstäblich den Stecker ziehen (ohne rücksichtsloses Aufgeben)
- Informieren Sie Ihre Außendienstmitarbeiter, die möglicherweise mit dem infizierten Netzwerk verbunden sind, ihre Systeme zu trennen und herunterzufahren.
Finden Sie die Ursache des Ransomware-Angriffs
Finden Sie die Grundursache, in diesem Fall den ersten Computer, der infiziert wurde. Es ist nicht möglich, ein ganzes Netzwerk gleichzeitig von dem Virus befallen zu lassen, da es sich von einem System zum anderen ausbreitet und Zeit braucht.
Wir leben in den schwierigsten Zeiten! COVID19, das neuartige Coronavirus hat Volkswirtschaften zur Schließung gezwungen, was zu Verlusten in Milliardenhöhe geführt hat. Regierungen auf der ganzen Welt konzentrieren sich darauf, die Ursache zu kontrollieren und Patienten zu isolieren, um ihre Ausbreitung zu reduzieren und/oder zu beseitigen.
Das gilt auch, wenn es darum geht, einen Malware-Angriff einzudämmen. Die Cyberkriminellen sind böse Genies. Hier sind einige der Möglichkeiten, wie Malware über ein Netzwerk verbreitet wird:
- Wenn ein Mitarbeiter eine E-Mail öffnet, die legitim aussieht, und eine Anlage herunterlädt. Ransomware wird dann auf dem System installiert und verbindet sich mit der Kommandozentrale der Cyberkriminellen, so dass diese ohne Ihr Wissen vollständigen Fernzugriff erhalten.
- Eine Phishing-E-Mail, die legitim aussieht und Benutzernamen und Kennwort stiehlt. Ein Beispiel sind Google-Konten, Microsoft Outlook, Standard chartered (oder jede andere Bank), etc.
Ransomware-Angriff – Verstehen Sie die Art von Ransomware
WannaCry. Läutet da eine Glocke? Es handelte sich um einen der gefährlichsten Lösegeldangriffe, der einen Massenstromausfall auslösen sollte. Als es gelöst wurde, waren über 25% der gesamten NHS-Systeme in Großbritannien gefährdet, von den Systemen bis zu den Beatmungsgeräten!
Jede Variante von Ransomware ist anders programmiert, und wird daher anders gehandhabt. Zwar gibt es unzählige verschiedene Arten von Lösegeldforderungen, doch die beiden häufigsten sind:
- Ransomware für Bildschirmsperren
- Ransomware für Datei-Verschlüsselung
Die Bildschirm sperrende Malware ist im Vergleich zu letzterer geringfügig leichter aufzulösen und sich von ihr zu erholen.
Stellen Sie sicher, dass auch verschlüsselte Dateien gesichert werden
Die Sicherung verschlüsselter Dateien ist ein äußerst wichtiger Teil des Prozesses. Kurz nachdem Sie den Vorfall isoliert und die Lösegeld-Variante entdeckt haben, mit der Sie es zu tun haben, sollten Sie als nächstes ein Backup aller verschlüsselten Dateien erstellen. Sobald Sie ein Backup des aktuellen Stands der Dinge erstellt haben, ist es sicher, mit der Wiederherstellung der Ransomware fortzufahren.
Entschlüsselung oder Wiederherstellung aus Backups? Wiederherstellungsoptionen für Ransomware-Angriffe
Um Ihnen noch einmal viel Ärger und weitere Komplikationen in einer ohnehin schon unglaublich stressigen Situation zu ersparen, ist es ratsam, dass Sie den Fachleuten erlauben, alles von der möglichen Kommunikation bis hin zur Bezahlung und Entschlüsselung von Daten im Falle eines Ransomware-Angriffs zu erledigen. Unserer Erfahrung nach gibt es für die überwiegende Mehrheit der jüngsten Fälle von Ransomwareforderungen keine einfache Lösung in Form eines frei verfügbaren Entschlüsselungstools. Daher sind es meistens die Angreifer, die Ihnen ein Entschlüsselungstool senden. Das Lösegeld auf eigene Faust zu zahlen und darauf zu warten, Zugang zum Entschlüsselungstool zu erhalten, ist für den Laien mit einem erheblichen Risiko verbunden, da es im Umgang mit Kriminellen keine Garantien gibt, ganz zu schweigen davon, dass man in Bezug auf die Struktur, die Regeln und die Verfahren der Lösegeld-Bande, mit der man es zu tun hat, nicht gut informiert ist, was zu einem erheblichen Nachteil führt.
Wir empfehlen allen Opfern von Ransomware dringend, den Vorfall den Strafverfolgungsbehörden zu melden. Bitte lesen Sie unseren Langform-Leitfaden zur Ransomwarebekämpfung und -wiederbeschaffung, wenn Sie bei der Implementierung optimaler Präventionsverfahren in Ihrer Organisation proaktiv vorgehen möchten.
Werden Sie das Lösegeld zahlen oder mithilfe Ihrer Backups wiederherstellen? Dies wird die schwierigste Entscheidung für Ihr Unternehmen. Wenn Sie Glück haben und Backups haben, die nicht verschlüsselt wurden, lohnt es sich, ein paar Dinge zur Kenntnis zu nehmen:
- Vergewissern Sie sich, dass Sie die aktuellsten Informationen in der Sicherungskopie haben, die Ihnen zur Verfügung stehen
- Führen Sie eine 30-minütige Testwiederherstellung durch, um die Gesamtzeit für die Datenwiederherstellung zu sehen.
Wenn Sie ein paar Gigabyte wiederherstellen, sollte es ziemlich unkompliziert und einfach sein. Bei Daten, die im Terabyte-Bereich gespeichert sind, kann es je nach Geschwindigkeit Ihres Netzwerks und Ihrer Systeme mehrere Tage dauern.
Es wurde erheblicher Schaden angerichtet, und Sie befinden sich in der Endphase der Datenwiederherstellung. Aber bevor Sie vorankommen, müssen Sie auch eine abschließende Bewertung der Schäden durchführen:
- Melden Sie den Vorfall an die Strafverfolgungsbehörden
- Wenn Sie Daten auf demselben Rechner und in derselben Umgebung wiederherstellen möchten, sollten Sie einen Virenschutz verwenden, um jegliche Malware zu entfernen, die Dateien proaktiv verschlüsseln kann.
Für den Fall, dass Ihre jüngste Sicherung zu alt ist, müssen Sie zwischen dem Verlust von Daten von Wochen oder Monaten und der Durchführung eines Wiederherstellungsprozesses wählen, der sowohl in zeitlicher als auch in finanzieller Hinsicht kostspielig sein kann. Es liegt in Ihrer Verantwortung, dafür zu sorgen, dass Ihre Backups stets auf dem neuesten Stand sind. Wenn Ihr aktuelles Backup nicht zu alt ist und in der Lage ist, Daten während einer 30-minütigen Testsitzung wiederherzustellen, dann sind Sie besser dran, wenn Sie einen Wiederherstellungsprozess vermeiden.
Seien Sie transparent und kommunizieren Sie
Wenn die Art der Daten von privater und/oder persönlicher Relevanz ist, wie z.B. Benutzernamen und Passwörter, sind Sie gemäß der GDPR für Europa und möglicherweise US-Gesetze gesetzlich verpflichtet, die Datenverletzung in Form einer Pressemitteilung/E-Mail an Ihre Kollegen und Kunden zu kommunizieren, einschließlich, aber nicht beschränkt auf, Ihre Kollegen und Kunden:
- Die Art der Verletzung, die aufgetreten ist
- Datum und Uhrzeit der Verletzung
- Eine gründliche Schadensbewertung
- Alle Maßnahmen, die Sie ergriffen haben (wie die Zahlung des Lösegelds, Wiederherstellung von Backups, Bericht an die Strafverfolgungsbehörden, etc.)
- Bereitstellung von Handlungsvorschlägen für Ihre Kunden (z.B. Änderung von Benutzername/Passwort usw.)
Transparenz ist wichtig. Es ist zwar natürlich, dass Ihr Unternehmen unter der Nachricht eines Datenverstoßes leidet, aber je proaktiver Sie vorgehen, desto besser ist es für das Unternehmen.