Back to top

Verschlüsselungstrojaner: Was tun?

Die Anzahl der Infektionen mit alten und neuen Verschlüsselungstrojanern bleibt unerfreulich hoch. Immer noch erhalten wir Anrufe, dass das gesamte Firmennetzwerk verschlüsselt sei und man aufgefordert werde, einen hohen Geldbetrag für die Entschlüsselung der Dateien zu bezahlen. Einen effektiven Schutz gegen solche Infektionen haben wir bereits in diesem Beitrag vorgestellt. Ist der Computer oder schlimmer noch das Netzlaufwerk erst einmal durch einen Virus verschlüsselt, hilft eigentlich nur noch eine funktionierende Datensicherung. Hier gibt es viele verschiedene Ansätze und wir möchten hier kurz die einfachste beleuchten: die Windows Schattenkopien.

Datensicherung nach dem 3-2-1 Prinzip

  1. Halten Sie Ihre Daten in 3-facher Kopie zur Verfügung (Zwei Datensicherungen und eine Original-Datei)
  2. Speichern Sie Ihre Daten auf 2 verschiedenen Technologien (Festplatte, NAS, LTO-Bandsicherung, Storage, Cloud uvm.)
  3. Haben Sie 1 Datensicherung immer außer Haus vorrätig

Der Volumenschattenkopie-Dienst wurde mit Windows XP eingeführt und steht seither in allen Nachfolgerversionen von Windows und auch Windows Server zur Verfügung. Der Dienst speichert je nach Festplattenkapazität bis zu 64 Versionsstände von Dateien und Ordnern und kann so als einfache Datensicherung genutzt werden. Zusätzliche können die Anwender ganz einfach auf alte Dateiversionen zurückgreifen, ohne dafür den Administrator um Hilfe fragen zu müssen. Per Rechtsklick kann man sich die Übersicht der verschiedenen Dateien anzeigen lassen und die gewünschte Datei auf den Schreibtisch kopieren, ohne dabei die aktuelle Datei zu überschreiben.

Diese einfache und kostengünstige Lösung der Windows Schattenkopien kann eine richtige Datensicherungslösung nach dem "3-2-1 Prinzip" nicht ersetzen, sollte aber auf jedem Windows Server aktiviert und korrekt eingerichtet sein. Einfacher können Sie fast nicht eine erste Sicherung Ihrer wichtigen Dateien anlegen.

Leider werden die Schattenkopien auf dem lokalen Rechner seit „Locky“ automatisch von der Schadsoftware gelöscht. Im Netzwerk sieht es hingegen schon wieder anders aus. Hier kann der Virus nur die Dateien verschlüsseln, die für den Rechner auch erreichbar sind. Eine gut durchdachte Berechtigungsstruktur ist hier also besonders wichtig. Ganz nach dem Motto: „So wenig wie möglich, so viel wie nötig“ sollten die Berechtigungen für die Netzwerkfreigaben mit Bedacht erfolgen, um möglichen Schaden hier so gering wie möglich zu halten.

Sicherer Umgang mit IT

Die wichtigsten Maßnahmen im sicheren Umgang mit der IT haben wir schon in unserem Beitrag: Updates, Updates, Updates zusammengetragen und sie sind heute aktueller denn je:

  • Legen Sie regelmäßig eine Sicherung Ihrer wichtigen Daten an. Der Backup-Datenträger darf nicht dauerhaft mit dem Rechner verbunden sein.
  • Halten Sie Ihr Betriebssystem und Programme (insbesondere MS Office, Browser und Plug-ins) auf dem aktuellen und somit sichersten Stand.
  • Stellen Sie sicher, dass Ihr Virenscanner stets aktuell ist und auf die neuesten Signaturen zurückgreifen kann.
  • Makro-Code darf in MS Office Dokumenten gar nicht oder erst nach einer Rückfrage ausgeführt werden.
  • Öffnen Sie MS Office Dokumente nur aus vertrauenswürdigen Quellen.
  • Öffnen Sie keine Anhänge von Mails, an deren Vertrauenswürdigkeit auch nur der geringste Zweifel besteht. Nehmen Sie sich insbesondere vor Rechnungs-Mails in Acht, die Sie nicht zuordnen können.
  • Bevor Sie ein unbekanntes Programm starten, suchen Sie es wenigstens vorher einmal bei Google. Das ist schnell gemacht.

Sollte wirklich alles schon zu spät sein und alle Dateien sind verschlüsselt, sind die Dateien auf jeden Fall aufzuheben. Oft wird nach einiger Zeit ein Weg bekannt, die Verschlüsselung zu knacken. Prominentes Beispiel ist hier der Verschlüsselungstrojaner TeslaCrypt2.

Fazit

Ein ordentlich eingerichteter Windows-Schattenkopien-Dienst kann im Notfall schon viel helfen. Der Dienst sollte aber nur zusätzlich zu einer professionellen Datensicherung eingerichtet werden. Die Anwender können Dateien selbstständig wiederherstellen und entlasten somit ihre IT mit kleineren Anfragen oder aber sparen deutlich Zeit, weil sie sich ggf. gar nicht trauen, die IT in kleinen Fällen um Hilfe zu bitten und stellen die Excel-Tabelle im Zweifel sogar noch selbst wieder her. Mindestens genauso wichtig wie eine funktionierende Datensicherung ist ein bewusster Umgang mit der IT und Anhängen in E-Mails. Die Hinweise zum sicheren Umgang mit IT sollten Sie sich auf jeden Fall zu Herzen nehmen und auch Ihre Kollegen darauf hinweisen. Lieber einmal zu viel nachgedacht, als das ganze Netzwerk verschlüsselt.