Ransomware

Daten auf dem Computer sind nicht mehr verfügbar, respektive sind verschlüsselt.

Bei Verschlüsselungstrojanern (auch «Erpressungstrojaner» genannt) handelt es sich um eine bestimmte Familie von Schadsoftware, welche Dateien auf dem Computer des Opfers sowie auf verbundenen Netzlaufwerken verschlüsselt und somit für das Opfer unbrauchbar macht. Die Landschaft von erpresserischer Schadsoftware weitet sich ständig aus. Einfallstor für solche Verschlüsselungstrojaner sind insbesondere schlecht gesicherte Systeme und E-Mails mit Anhängen.

Verschlüsselungstrojaner können erheblichen Schaden verursachen, insbesondere dann, wenn auch Ihre Datensicherungen (Backups) davon betroffen sind. Bleiben Sie bei einem solchen Vorfall ruhig und handeln Sie überlegt.

Konkrete Massnahmen

Das Hauptziel der Vorfallsbereinigung sind das Auffinden des Invektionsweges sowie das Verhindern einer neuen Infektion. Setzen Sie die betroffenen Systeme neu auf und stellen Sie Daten mit vorhandenen Backups wieder her. Falls in Ihrem Unternehmen/Ihrer Behörde die notwendigen Fachkenntnisse nicht vorhanden sind, holen Sie sich Unterstützung bei einem spezialisierten Unternehmen.
Weitere Informationen finden Sie im Dokument:
Unternehmen: Ransomware – Was nun?
Behörden: Ransomware – Was nun?

Vorbeugende Massnahmen

Erstellen Sie regelmässig eine Sicherungskopie (Backup) Ihrer Daten. Die Sicherungskopie sollte offline, das heisst auf einem externen Medium wie Beispielsweise einer externen Festplatte gespeichert werden. Stellen Sie daher sicher, dass Sie das Medium, auf welche Sie die Sicherungskopie erstellen, nach dem Backup-Vorgang vom Computer trennen. Ansonsten werden bei einem Befall durch Ransomware möglicherweise auch die Daten auf dem Backup-Medium verschlüsselt und unbrauchbar.
Schulen Sie die Mitarbeitenden im Umgang mit E-Mails:
Sicherer Umgang mit E-Mails
Sie können den Schutz Ihrer IT-Infrastruktur vor Schadsoftware (wie Beispielsweise Ransomware) durch die Verwendung von Windows AppLocker zusätzlich stärken. Durch den Einsatz von Windows AppLocker können Sie definieren, welche Programme auf den Computer in Ihrem Unternehmen/Ihrer Behörde ausgeführt werden dürfen.
Blockieren Sie den Empfang von gefährlichen E-Mail Anhängen auf Ihrem E-Mail-Gateway. Eine ausführlichere, aktualisierte Liste finden Sie auf der Webseite des GovCERT unter:
https://www.govcert.ch/downloads/blocked-filetypes.txt
Stellen Sie sicher, dass solche gefährliche E-Mail-Anhänge auch dann blockiert werden, wenn diese in Archiv-Dateien wie Beispielsweise ZIP, RAR oder aber auch in verschlüsselten Archive-Dateien (z. B. in einem Passwortgeschützen ZIP) an Empfänger in Ihrem Unternehmen/Ihrer Behörde versendet werden.
Zusätzlich sollten sämtliche E-Mail-Anhänge blockiert werden, welche Makros enthalten (z. B. Word, Excel oder PowerPoint Anhänge, welche Makros enthalten).

Auswirkungen und Gefahren

Unbrauchbarmachen von Daten auf dem Computer
Finanzieller Schaden bei Bezahlung des Lösegeldes
Existentielle Bedrohung von Firmen/Behörden, wenn ebenfalls das Backup verschlüsselt wurde.

Weiterführende Information

Weiterführende Informationen finden Sie auf unserer Webseite:
Unternehmen: Ransomware – Was nun?
Behörden: Ransomware – Was nun?

Ransomware

Nationales Zentrum für Cybersicherheit NCSC

Nationales Zentrum für Cybersicherheit NCSC

Ransomware

Hauptnavigation

Nationales Zentrum für Cybersicherheit NCSC

Suche

Seitenpfad (Breadcrumb)

Ransomware