03.12.2015, 13:32 Uhr
Bund warnt vor neuer Ransomware
Die Melde- und Analysestelle Informationssicherung des Bundes (Melani) warnt vor TeslaCrypt. Mit der Ransomware treiben Erpresser derzeit auch in der Schweiz vermehrt ihr Unwesen.
Diverse Meldungen über die Schadsoftware TeslaCrypt seien beim Melani in letzter Zeit eingegangen, berichtet die Bundesstelle auf ihrer Homepage. Diese zeugten somit von einer steigenden Verbreitung dieser neuen Variante von erpresserischer Schadsoftware, sogeannter Ransomware. Nach den seit längerem aktiven Kampagnen von Cryptolocker, Synolocker, Cryptowall und ähnlichen Schadprogrammen scheint sich die neue Variante fast ausschliesslich über infizierte E-Mail Anhänge (Ein Anhang des Typs „.zip“, der eine Datei des Typs „.js“ beinhaltet) zu verbreiten. Einmal installiert, verschlüsselt TeslaCrypt die Dateien, welche sich auf dem Computer befinden (beispielsweise Fotos, Excel- oder Word-Dateien). Dem Opfer wird anschliessend eine Meldung präsentiert, in der die Kriminellen eine Geldforderung stellen. Im Gegenzug soll das Opfer den Schlüssel erhalten mit dem die Dateien wiederhergestellt werden können (Erpressung). Zwar könnten verschiedene Antiviren-Produkte die Schadsoftware finden und zerstören, räumt Melani ein. Allerdings sei es dann meistens zu spät, weil die auf dem Computer vorhandenen Dateien bereits verschlüsselt wurden. In diesem Fall sei deshalb nicht die Entfernung der Schadsoftware das Problem, sondern die Wiederherstellung der ursprünglichen Daten. «Im Moment scheint es keine Methode zu geben, die Daten ohne den Schlüssel, der nur den Erpressern bekannt ist, zu entschlüsseln», berichtet Melani weiter.
Keine Zahlung vornehmen
Die Bundesstelle rät trotzdem davon ab, auf die Forderungen der Erpresser einzugehen und eine Zahlung zu leisten. Denn es gebe keine Garantie, dass die Kriminellen auch wirklich Wort halten und den für das Entschlüsseln der Dateien benötigten Schlüssel dem Opfer tatsächlich zusenden. User die zahlten, finanzierten gleichzeitig die Weiterentwicklung der Angreifer, welche einen nächsten noch wirksameren Angriff ermögliche, warnt Melani. Die Bundessstelle empfiehlt im Zusammenhang mit Ransomware folgende Massnahmen, die prophylaktischer Natur sind.
- Auf dem Computer abgelegte Daten sollten regelmässig auf externe Datenträger kopiert werden (Backup). Dieser soll nur während des Backupvorgangs am Computer angeschlossen sein.
- Vorsicht ist geboten bei verdächtigen E-Mails, bei E-Mails, welche unerwartet zugeschickt werden, oder welche von einem unbekannten Absender stammen. Hier sollte keine Anweisungen im Text befolgt, kein Anhang geöffnet und keinen Links gefolgt werden.
- Sowohl Betriebssystem als auch installierte Applikationen (z.B. Browser, PDF Reader) müssen immer aktuell gehalten werden. Falls vorhanden, am besten mit der automatischen Update Funktion.
- Ein Antivirenprogramm muss installiert sein und aktuell gehalten werden.
- Eine Personal Firewall muss installiert sein und aktuell gehalten werden.
Im Falle einer Infektion empfehlen die Experten von Melani, den Computer sofort von allen Netzwerken zu trennen und das Gerät zu säubern. Grundsätzlich ist dabei eine Neuinstallation des Systems und das Ändern aller Passwörter ratsam. Es wird empfohlen, diese Massnahme zusammen mit einem Computerspezialisten durchzuführen. Nachdem diese Massnahmen erledigt wurden, können dann, sofern vorhanden, die Backup-Daten wieder zurückgespielt werden. Wenn kein Backup der Daten vorliegt, ist es empfehlenswert, die verschlüsselten Daten zu behalten und zu sichern, damit sie allenfalls später noch entschlüsselt werden können, sollte hierzu eine Lösung gefunden werden.