Europäische Union - 06. April 2017
Der Ablauf ist immer derselbe: Nach einem fatalen Klick auf einen E-Mail-Anhang oder Downloadlink geht plötzlich gar nichts mehr - Verschlüsselungstrojaner versperren in kürzester Zeit den Zugriff auf alle Dateien. Danach folgt die Forderung nach absurden Geldbeträgen bis zu mehreren 10.000 Euro, um das System wieder zu entschlüsseln. Die Opfer stehen meist unter Schock und wissen nicht, wie sie reagieren sollen.
Alte Masche - neue Methoden
Diese kriminelle Vorgehensweise ist nicht neu, doch die Betrüger entwickeln immer bessere Methoden, um die Virus-Mails täuschend echt aussehen zu lassen. Während diese früher nur nach dem Gießkannenprinzip versendet wurden, suchen die Täter sich mittlerweile auch gezielt Firmen nach Faktoren wie Umsatz, Abhängigkeit von den Daten und potentiell hohem Schaden der Reprobation aus und betreiben Recherche, um die E-Mails perfekt auf die potentiellen Opfer zuschneiden zu können. So wird beispielsweise überlegt, welche Art von Anhang die Mitarbeiter am ehesten öffnen würden. Nicolas Ehrschwendner, Geschäftsführer von Attingo Datenrettung, kennt die Problematik nur zu gut: "Täglich wenden sich immer mehr Betroffene an uns, dabei lässt sich ein deutlicher Trend zur Professionalisierung der Erpresser erkennen. Einer unserer Kunden hatte eine Stellenanzeige veröffentlicht und erhielt den Trojaner als täuschend echt wirkende Bewerbung getarnt im angehängten Lebenslauf." Oft werden auch vermeintliche Updates für branchenspezifische Software, wie beispielsweise Diagnosesoftware für Autowerkstätten oder Vergleichsprogramme für Versicherungsmakler, per E-Mail verschickt. Diese unterscheiden sich in Text und grafischer Gestaltung oft gar nicht von jenen, die die Hersteller tatsächlich verschicken.
Betroffen - was tun?
Hat man einen solchen Trojaner erst einmal aktiviert, kann dieser meist selbst direkt auf die Benutzerdaten zugreifen, um diese zu verschlüsseln oder aber er nutzt Sicherheitslücken im Betriebssystem oder der Software, um sich mit erweiterten Rechten Zugriff auf weitere Daten zu verschaffen. Hiervon können dann auch alle verbundenen Geräte betroffen sein, also Backups per USB aber auch Server-Laufwerke und andere Computer im Netzwerk bis in die Cloud (zum Beispiel über den Dropbox-Zugang). Der User hat somit keinerlei Zugriff mehr auf seine Dateien. Es gibt nun drei mögliche Vorgangsweisen: man kann sich einfach damit abfinden und nichts tun - dies ist aber in den meisten Fällen keine wirkliche Option, insbesondere wenn Firmendaten betroffen sind. Weiters ist es natürlich auch möglich, in den sauren Apfel zu beißen und die geforderte Summe zu überweisen. Doch selbst dann gibt es keine Garantie, dass die Dateien tatsächlich wieder entschlüsselt werden, weiß Ehrschwendner: "Zum einen gibt es natürlich besonders niederträchtige Betrüger, die trotz einer Zahlung nicht reagieren, zum anderen sind viele aber auch fachlich schlicht nicht in der Lage, die programmiertechnischen Maßnahmen zur Entschlüsselung zu ergreifen." Hinzu kommt, dass das Opfer immer wieder sogar unter Zeitdruck gesetzt wird, indem die geforderte Summe mit jedem Tag Wartezeit steigt.
Datenrettung bei Cryptolockern
Als dritte Möglichkeit eröffnet sich für die Opfer eine Datenrettung. Attingo Datenrettung hat hierzu Verfahren entwickelt, die auch eine Datenrettung erlauben, wenn sichere Algorithmen zur Verschlüsselung verwendet worden sind. Gerade bei größeren Dateien wie Datenbanken oder Archiven, aber auch bei Fotos und Office-Dokumenten bestehen gute Chancen auf eine nahezu vollständige Rekonstruktion. Der Aufwand hierbei ist jedoch im Vergleich zu einer "normalen" Datenrettung viel höher, weswegen der Kunde mit Ausgaben ab 1.500 Euro rechnen muss. Man sollte jedoch bedenken, dass die Erpresser von ihren Opfern gerade bei gezielten Angriffen meist Summen im fünfstelligen Bereich verlangen. Abgesehen davon, dass man so die Betrüger in ihrem Tun bestärkt, gibt man sich diesen als "geeignetes Opfer" zu erkennen, warnt Ehrschwendner: "Wir haben von einigen Fällen gehört, in denen Kunden die geforderte Summe bezahlt haben. Das System wurde wieder entschlüsselt, doch bereits nach zwei Monaten kam ein neuer Trojaner. Diesmal wendeten sich die Betroffenen jedoch an uns." So konnte Attingo vor Kurzem hunderte Gigabyte einer Exchange-Datenbank mit Kalendereinträgen und Kontakten zum größten Teil retten.
Wie sollten Betroffene reagieren?
Sobald der Verdacht vorliegt, von einem Verschlüsselungs-Trojaner befallen zu sein, ist es wichtig, das Gerät sofort vom Strom zu nehmen! Dies gilt auch für alle anderen Systeme im Netzwerk. Nur so kann die Verschlüsselung gestoppt werden. Danach dürfen die Geräte auf keinen Fall wieder in Betrieb genommen werden. Professionelle Datenretter greifen nicht mittels der Betriebssysteme auf die Daten zu, sondern führen die Datenrettung direkt in den Rohdaten durch. Wenn es sich nicht um dringend benötigte Daten handelt, kann es sich lohnen, einige Monate zu warten - oft werden die zur Entschlüsselung benötigen Keys dann im Internet bekannt. Bereits im Vorfeld kann man sich schützen, indem man stets E-Mail-Absender verifiziert, und zwar nicht nur den angezeigten Namen des E-Mail-Absenders sondern auch die tatsächliche Adresse. Ebenso lohnt sich bei Links ein Blick auf die genaue URL. Zusätzlich sollte man auf jeden Fall aktuelle Offline-Backups in mehreren Generationen erstellen, die nicht am System hängen, da Online-Backups auf NAS, Server oder externer Festplatte ebenfalls unverzüglich vom Cryptovirus vernichtet werden können.
Professionelle Datenrettung
Attingo ist führender Anbieter von Datenwiederherstellung im Falle von gelöschten, formatierten oder mechanisch zerstörten Datenträgern. Das Unternehmen betreibt hauseigene Reinraumlabore in Wien, Hamburg und Amsterdam und ist seit 20 Jahren europaweit Spezialist für Datenrettung bei Server- und RAID-Systemen. Attingo ist ISO 9001 zertifiziert sowie ein staatlich ausgezeichnetes Unternehmen und verfügt über eine eigene Abteilung für Forschung und Entwicklung sowie mehr als 10.000 lagernde Festplatten für Ersatzteile.
Ansprechpartner
Dipl. Ing. Nicolas Ehrschwendner
E-Mail: presse@attingo.com
Tel. (040) 54 88 75 60