Schutz vor Verschlüsselungstrojanern (Ransomeware) Tipps für Admins

Verbreitungswege

1. Mails mit Dateianhang wie Office Makros, zip, exe, cmd ,js, vbs, wsf, com, pif und scr.
2. Browser: Sicherheitslücken im Browser oder dessen Plug-Ins.

Auswirkungen:

Verschlüsselt Dateien, oft Office Dokumente. Vorwiegend SMB Netzfreigaben aber auch lokal gespeicherte Dokumente.

Schutz:

• Backup
  1. Regelmäßig und in mehreren Versionsständen.
  2. Zugriff des Backups durch Trojaner verhindern.
     1. Statt SMB andere Protokolle verwenden: FTP, SFTP, iSCSI.
     2. Eigenen Backupuser erstellen, der nur Schreibrecht auf den Backupordner hat.
        Andere Benutzer haben höchstens das Leserecht.
• Nicht nur Daten sichern, sondern auch ein Image vom Windows erstellen, um das
  System schneller wiederherstellen zu können.

1. Falls möglich:
   Sicherungsmedien nur bei Ausführung des Backups anschließen.
   DVD’s benutzen die nicht überschreibar sind.

• Mitarbeiter sensibilisieren
  1. Auf Absender achten:
     1. Kenne ich ihn? Erwarte ich eine Mail von ihm? Im Zweifelsfall beim Absender anrufen.
  2. Bei angeblichen Bestellungen:
     1. Habe ich etwas bestellt? Bekomme ich sonst auch Rechnungen zugestellt?
     2. Rechnungen sind in der Regel ein Pdf Dokument, Vorsicht wenn es ein anderer Dateianhang ist. Besonders misstraurig sein bei folgenden Anhängen:
        .doc, .docx, .xls, .xlsx; .asf, .exe, .avi, .mov, .mpg, .bat, .scr, .zip, .rtf, .pif, .reg sowie .vbs
• In letzter Zeit werden zunehmend Spammails mit pdf Anhängen verschickt. Öffnet man die Pdf, enthalten die Links die soblad sie geöffnet werden Schadcode auf den Rechner laden!

• Makros einschränken / deaktivieren
  1. In den Office Einstellungen:
     1. Die automatische Ausführung deaktivieren.
     2. Alle Makros ohne Benachrichtigung deaktivieren.
  2. Windows Script Host per RegKey deaktivieren.
     Achtung! Kann bei manchen Programmen zu Problemen führen.

• Betriebssystem und Anwendungen regelmäßig updaten.
  Insbesondere: Windows, Office, Browser, Adobe Flash, Adobe Reader und Java.

• Antivirenprogramm verwenden. Empfehlenswert: Eset, Kaspersky.

• Nur Anwendungen installieren die benötigt werden.

• Netzwerkfreigaben auf das nötigste beschränken.

• Bei vorhandenem Mailserver einen Spamblocker verwenden.

• Als Browser Google Chrome benutzen.
  1. Aktualisiert sich selbständig und problemlos.
  2. Integrierter Flashplayer. Ausführung standardmäßig deaktiviert.
  3. Pdf Dokumente rendert Chrome selbst.
  4. Sehr schnell.

• Windows Schattenkopien verwenden

• Windows UAC (Benutzerkontensteuerung) beachten.
  Durch die UAC wird der Benutzer aufgefordert die Ausführung des Programms zu bestätigen.  
  1. Die UAC mindestens auf die zweithöchste Stufe einstellen.
  2. Dialog beachten.
     Manche Trojaner versuchen auch vorhandene Schattenkopien zu löschen.
     Wenn das UAC Fenster erscheint, Details aufklappen und schauen ob vssadmin.exe, shadow copy delete o.ä. angezeigt wird. Wenn ja, ist höchste Vorsicht geboten. Auf keinen Fall Ausführung erlauben!

• Experten Tipps. Nur Anwenden wenn damit vertraut!
  1. Windows Richtlinien für Softwareeinschränkungen (Software Restriction Policies SRP) anwenden. Über eine Whitelist kann geregelt werden das nur bestimmte Programme ausgeführt werden können. Vorsicht! Man kann sich selbst vom System aussperren.
  2. App Locker konfigurieren.
     Steuert welche Programme Windows Clients ausführen dürfen.
     Voraussetzung:  
     1. Domäne vorhanden.
     2. Clients ab Windows 7 in der Ultimate oder Enterprise Version.

Quelle: https://www.heise.de/newsticker/meldung/Sonderheft-c-t-Security-2016-ab-sofort-im-Handel-3304970.html