Der Rechner ist verschlüsselt. Wie geht es weiter? Der G-DATA-Sicherheitsexperte Karsten Hahn hat in einem Blogbeitrag die wichtigsten Tipps zusammengetragen, um den Schaden zu begrenzen und möglicherweise Daten zu retten
Jeder zweite Internetnutzer ist in Deutschland bereits einer Cyber-Attacke zum Opfer gefallen. Besonders heimtückisch ist Ransomware. Denn die meisten Ransomware-Familien befallen ein System, verschlüsseln Daten oder das gesamte System und löschen sich anschließend selbst vom System. Dem Nutzer bleiben oftmals nur verschlüsselte Daten und die Lösegeldforderung der Erpresser. „Eine Lösegeldzahlung ist aber keine Garantie, dass die betroffenen Nutzer ihre Daten hinterher wieder vollständig zurückerhalten. Betroffene Nutzer sollten klären, welche Ransomware das System infiziert hat.“
Es erfordert akribische Detektivarbeit, um den Angreifer zu identifizieren. Wie sich Ransomware entschlüsseln lässt, hat G DATA in einem Blogpost zusammengefasst. Die wichtigsten Punkte sind: Lösegeldforderungen bieten zahlreiche Hinweise, um den Angreifer zu entlarven. Manchmal enthalten sie direkt den Namen der Ransomware und verraten auf diesem Weg ihre Identität. In vielen Fällen geben die Sprache, Struktur oder Gestaltung der Erpressernachricht Indizien, um die Ransomware zu identifizieren. Weitere Merkmale sind: das Format der Benutzer-ID, die Zahlungsadresse, Höhe und Art der Lösegeldforderung. Die typische Lösegeldzahlung erfolgt über die Cryptowährung Bitcoin. Ungewöhnliche Zahlungsmethoden wie Amazon-Geschenkkarten oder Währungen wie Ethereum grenzen die Anzahl der möglichen Ransomware-Familien stark ein.
Das Wissen um die Identität des Angreifers hilft dabei, das System zu reinigen, Daten zu retten und künftige Angriffe von Malware zu verhindern. Wichtige Fragen dabei sind:
- Verschlüsselt die Ransomware Daten und falls ja, welche?
- Können die Erpresser die Daten überhaupt entschlüsseln?
- Lassen sich die verschlüsselten Daten kostenlos durch ein externes Programm entschlüsseln oder durch Datenrettungsprogramme oder Shadow-Volume-Copies wiederherstellen?
- Auf welchem Weg ist die Ransomware in das System eingedrungen?
- Lässt sich ein künftiger Angriff verhindern?
- Hat mit der Ransomware andere Malware das System befallen und richtet zusätzlichen Schaden an (z.B. Diebstahl von Zugangsdaten)?
Zusätzlich enthält der Text eine kleine Ransomware-Kunde sowie Verweise auf hilfreiche Tools und Webseiten wie die kostenlosen Identifizierungsdienste
ID-Ransomware und NoMoreRansom.org.
Info: Der vollständigen Blog-Beitrag findet sich hier.
#Netzpalaver #GDATA
