Ransomware - Was nun?

Folgende Punkte sind bei einem Vorfall mit Ransomware zu beachten:

Schadensbegrenzung

Trennen Sie infizierte Systeme umgehend vom Netz. Dazu trennen Sie das Netzwerkkabel vom Computer und schalten allenfalls vorhandene WLAN-Adapter ab.

Achtung: Schalten Sie die infizierten Geräte keinesfalls ab, bis die Schadsoftware analysiert worden ist (z.B. durch die Polizei, NCSC oder ein spezialisiertes Unternehmen).

Identifikation der infizierten Systeme

Bei der Identifikation der betroffenen Systeme können «Logdateien» helfen, anhand derer beispielsweise Zugriffe auf Netzwerklaufwerke erkannt werden können. Auch die Metadaten der verschlüsselten Dateien können Hinweise auf infizierte Systeme liefern, beispielsweise welche Benutzerkonten die Dateien erzeugt haben. Sichern Sie die Logdateien.

Detektion

Anhand der Logs von E-Mail-Server, Proxyserver und Firewall sowie anhand allfälliger weiterer Sicherheitssoftware lässt sich das Ausmass der Infektion feststellen und die URL und IP-Adressen der Angreifer lassen sich detektieren. Blockieren Sie diese URL und IP-Adressen auf dem internen Proxyserver bzw. auf der Firewall. Damit verhindern Sie eine ungewollte Verbindung zur Infrastruktur des Angreifers. Bei einer Infektion per E-Mail lassen sich gewisse Links (URL und IP-Adresse) unter Umständen relativ einfach entweder direkt in der E-Mail (Hyperlink) oder in einem entsprechenden Anhang auslesen.

Strafanzeige

NCSC empfiehlt in jedem Fall die Einreichung einer Strafanzeige. Überlegen Sie sich früh, ob Sie diesen Schritt unternehmen wollen. Die Zuständigkeit liegt bei der Kantonspolizei an Ihrem Geschäftssitz. Auf der Internetseite von «Suisse e-Police» können Sie den für Ihren Standort zuständigen Polizeiposten ausfindig machen.
https://www.suisse-epolice.ch/#/search-station

Die Polizei berät Sie bezüglich weiterem Vorgehen insbesondere in Bezug auf die Kommunikation mit der Täterschaft und das Verhalten dieser gegenüber. Besprechen Sie, ob ein unmittelbares Ausrücken der Polizei zur Unterstützung sinnvoll ist.

Forensische Untersuchungen

Entscheiden Sie frühzeitig, ob eine forensische Untersuchung durchgeführt werden soll. Dies ist vor allem wichtig, wenn Sie Strafanzeige erstatten wollen. Informieren Sie in diesem Fall die Strafverfolgungsbehörden bereits in einer frühen Phase und diskutieren Sie die nächsten Schritte (Beobachtung der Schadsoftware, Gegenmassnahmen usw.).

Sicherungen von Zwischenspeicher und Festplatten sollten durch einen fachkundigen Mitarbeiter oder Dienstleister sinnvollerweise vor weiteren Reparaturversuchen oder Neustarts der betroffenen Systeme unternommen werden. Danach sind forensische Untersuchungen nahezu unmöglich. Sollte in Ihrem Unternehmen das dafür notwendige Fachwissen nicht vorhanden sein, sollte Sie einen Experten hinzuziehen.

Sicherung der verschlüsselten Daten

Falls das Backup ebenfalls verschlüsselt wurde, ist es empfehlenswert, die verschlüsselten Daten zu behalten und zu sichern, damit diese allenfalls zu einem späteren Zeitpunkt entschlüsselt werden können, sollte sich diesbezüglich eine Lösung finden lassen. In einigen Fällen konnten Sicherheits- und Strafverfolgungsbehörden im Zuge ihrer Ermittlungen Zugang zu Schlüsseln oder Entschlüsselungsmethoden finden.

Neuinstallation der betroffenen Systeme

Bevor Sie mit der Wiederherstellung der Daten beginnen, ist eine Neuinstallation der infizierten Systeme erforderlich. Das verwendete Betriebssystem sollte von einem vertrauenswürdigen Datenträger stammen.

Unter bestimmten Voraussetzungen ist auch ohne Datensicherung via Backup eine teilweise oder komplette Wiederherstellung der Daten möglich. Eine Entschlüsselung kann unter Umständen funktionieren, wenn

  • die Ransomware Schattenkopien in Windows nicht verschlüsselt oder gelöscht hat,
  • Snapshots von virtuellen Maschinen oder frühere Dateiversionen bei Clouddiensten existieren,
  • die forensische Wiederherstellung gelöschter Dateien möglich ist,
  • die Ransomware in ihrer Verschlüsselungsfunktion Fehler aufweist oder der Schlüssel für die Entschlüsselung bekannt ist.

Auf der Webseite https://www.nomoreransom.org/ gibt es Tipps um die Schadsoftware zu identifizieren und die Möglichkeit bereits bekannte Schlüssel herunterzuladen. Nomoreransom.org ist ein gemeinsames Projekt der niederländischen Polizei und von Europol, an dem sich auch die Schweizerische Eidgenossenschaft beteiligt.

Hinweise zur Zahlung von Lösegeldern

NCSC rät von der Zahlung eines Lösegeldes ab. Es gibt keine Garantie, dass die Verbrecher nach der Bezahlung des Lösegelds die Daten nicht doch veröffentlichen oder anderen Profit daraus machen. Zudem motiviert jede erfolgreiche Erpressung die Angreifer zum Weitermachen, finanziert die Weiterentwicklung der Angriffe und fördert deren Verbreitung.

Sollten Sie dennoch das Bezahlen von Lösegeld in Erwägung ziehen, empfiehlt NCSC dringend, diese Schritte mit der Kantonspolizei zu diskutieren.

Letzte Änderung 23.12.2020

Zum Seitenanfang

https://www.ncsc.admin.ch/content/ncsc/de/home/infos-fuer/infos-unternehmen/vorfall-was-nun/ransomware.html