Sofortmaßnahmen gegen Krypto-Trojaner - Sophos Whitepaper
Wieso, weshalb, warum? Wer diese Fragen in Bezug auf die Ransomware „Locky“ und Kollegen beantwortet haben will, kann sich ab sofort das Whitepaper „Sofortmaßnahmen gegen Krypto-Trojaner“ von den Sophos-Experten herunterladen.
Der Leitfaden gibt wertvolle Tipps und konkrete Empfehlungen, wie Unternehmen und Behörden schnell und effektiv auf die aktuelle Bedrohungslage durch Krypto-Trojaner wie Cryptowall, TeslaCrypt oder Locky reagieren können.
Auszüge aus dem Whitepaper:
Sofortmaßnahmen gegen Krypto-Trojaner
Von Michael Veit, Security Consultant
Dieses Dokument soll als Leitfaden dienen, wie Unternehmen und Behörden schnell und effektiv auf die aktuelle Bedrohungslage durch Krypto-Trojaner wie Cryptowall, TeslaCrypt oder Locky reagieren können.
Zunächst werden die Mechanismen vorgestellt, mit denen diese Schädlinge in Unternehmen gelangen und wieso es trotz vorhandener Schutzmaßnahmen viele neue Infektionen gibt.
Anschließend werden konkrete Empfehlungen gegeben, wie mit kurzfristigen und langfristigen technischen und organisatorischen Maßnahmen der Bedrohung begegnet werden kann.
Woher kommt die aktuelle Infektionswelle mit Krypto-Trojanern?
Obwohl in den meisten Unternehmen umfangreiche Sicherheitsmechanismen wie Virenscanner, Firewalls, IPS-Systeme, Anti-SPAM/Antiviren-Email-Gateways und Webfilter im Einsatz sind, registrieren wir aktuell weltweit eine große Anzahl von Infektionen von Unternehmensrechnern mit Verschlüsselungstrojanern wie Cryptowall, TeslaCrypt oder Locky. Im Zuge dieser Infektionen werden Dateien auf Rechnern und Netzlaufwerken verschlüsselt, um die Nutzer dieser Rechner zu erpressen, für das Entschlüsselungswerkzeug einen Geldbetrag von typischerweise 200-500 USD zu zahlen.
Eine typische Infektion läuft dabei wie folgt ab:
- Ein Benutzer bekommt eine E-Mail, die angeblich von einem plausiblen Absender stammt, z.B. einem internen Scanner/Kopierer mit angehängtem gescannten Dokument, einem Paketdienst mit angehängten Zustellinformationen oder einem externen Unternehmen mit einer angehängten Rechnung
- Der Anhang der E-Mail enthält ein MS Word oder Excel-Dokument mit einem eingebetteten Makro. Wenn der Empfänger das Dokument öffnet, startet automatisch ein Makro, das folgende Aktionen ausführt:
- Es versucht, von einer Reihe nur für kurze Zeit existierenden Webadressen (Einweg-URLs) den eigentlichen Krypto-Trojaner herunterzuladen. Wenn eine Webadresse nicht erreichbar ist, wird die nächste angesprochen, so lange, bis der Trojaner erfolgreich heruntergeladen wurde.
- Das Makro führt den Trojaner aus
- Der Trojaner kontaktiert den Command & Control-Server des Herstellers, sendet Informationen über den infizierten Rechner und lädt einen für diesen Rechner individuellen öffentlichen Schlüssel herunter
- Mit diesem öffentlichen Schlüssel werden dann Dateien…
