Beachten Sie diese 6 Tipps gegen Ransomware

Virustotal ist für diese Analyse in besonderer Weise geeignet, da der Dienst nach eigener Aussage 2 Millionen Dateien pro Tag aus 232 Ländern analysiert und das seit 16 Jahren. Entsprechend gewichtig sind die Erkenntnisse der Virustotal-Experten. Wir geben das Wichtigste hier wieder und passen die Ratschläge, die sich vor allem an Firmen richten, an Einzel-PCs von Privatanwendern an.

Wenig überraschend ist, dass 95 Prozent der Erpresserviren auf Windows abzielen. Denn Windows ist das am meisten verbreitete Desktop-Betriebssystem. Interessant ist, dass gegen Android nur zwei Prozent der Erpresserviren-Angriffe gerichtet waren. Android ist ebenfalls sehr verbreitet, scheint aber bessere Schutzmechanismen zu haben, etwa den überwachten App-Store, und es scheint für Erpresser weniger wertvolle Daten zu beherbergen.

Die Angreifer nutzen verschiedene Methoden, um die Ransomware auf einen PC zu schleusen. Dazu zählen RATs (Remote Administration Tools oder Remote Access Trojans), also Programme, die den Zugriff auf einen entfernten Rechner erlauben. Das können legale Tools sein, die ein Angreifer missbraucht, oder illegale Tools, die der Angreifer auf dem Zielrechner aktivieren kann. Häufig werden auch verseuchte Word-, Excel- oder PDF-Dateien per Mail verbreitet, um den Erpresser-Schadcode auf einen PC zu schleusen. Auf seltene und damit teure Zero-Day-Lücken setzen Ransomware-Angreifer selten.

Die am häufigsten genutzte Erpresser-Schädlingsfamilie war laut Virustotal Gandcrab. Hinter diesem Namen steckt ein System, das Schadcode als Software-as-a-Service vertreibt. Das heißt, ein Angreifer kann sich bei den Machern von Gandcrab den Erpressercode besorgen und ihn dann auf einen PC oder in ein Unternehmensnetzwerk schleusen. Die eigentliche Erpressung übernehmen wieder die Macher von Gandcrab. Der Angreifer erhält später einen Anteil am erpressten Geld. Diese Arbeitsteilung gibt es auch bei anderen Schädlingsfamilien; bei Gandcrab war aber der ausgezahlte Anteil besonders hoch. Entsprechend viele Hacker bemühten sich, Gandcrab auf PCs und in Netzwerke einzuschleusen. Die Gandcrab-Macher behaupten, sie hätten 150 Millionen Dollar in einem Jahr verdient.

Außerdem weisen die Experten von Virustotal darauf hin, dass es zwar Angriffswellen gibt, in denen eine Schädlingsfamilie besonders oft verbreitet wird, dass es aber auch zwischen diesen Wellen immer ein nennenswertes Maß an Angriffen mit Erpresserviren gibt.

Hier nun die Abwehrtipps von Virustotal und PC-WELT

1. Virenschutz kontrollieren: Das geht in Windows über „Windows-Symbol –› Windows-Sicherheit“. Auf dieser Übersichtsseite sollten bei allen Punkten ein Häkchen erscheinen. Klicken Sie auf den Punkt „Viren & Bedrohungsschutz –› Wer schützt mich –› Anbieter verwalten“, um Informationen über Ihr installiertes Antivirenprogramm zu erhalten.

2. Ransomware-Schutz aktivieren: In Windows lassen sich ausgewählte Ordner besonders gegen Ransomware schützen. Ist der Schutz eingeschaltet, überwacht das System den Zugriff auf diese Ordner.

3. Verdächtige Dateien von einem externen Virenscanner prüfen lassen: Alle Dateien werden von Ihrem Antivirenprogramm überprüft. Verdächtige Dateien sollten Sie zusätzlich von einem externen Scanner prüfen lassen.

4. Updates installieren: Die Einstellungen zum Windows- Update finden Sie unter „Windows-Symbol –› Einstellungen –› Windows-Update“. Weitere Infos, auch zu Updates weiterer Software, finden Sie hier.

5. Backup anlegen: Sollten alle Maßnahmen versagt haben und ein Erpresservirus hat Ihre Dateien verschlüsselt, dann haben Sie immer noch gut lachen, wenn Sie ein Backup der Daten getrennt vom PC aufbewahrt haben. Tipps zur Backup-Strategie finden Sie hier.

6. Fremdverschlüsselte Dateien retten: Auf der Webseite www.nomoreransom.org gibt es Entschlüsselungsprogramme zu vielen älteren Erpresserviren. Auch für Dateien, die mit dem Schädling Gandcrab verschlüsselt wurden, finden Sie dort Werkzeuge.

Tipp: Die komplette Analysevon Virustotal finden Sie hier.