Ransomware-Viren

Was ist Ransomware?

Bei Ransomware-Viren handelt es sich um eine Art von Malware, die Dokumente sabotiert und unbrauchbar macht, obwohl der Benutzer auch weiterhin auf den Computer zugreifen kann. Ransomware-Angreifer verlangen von ihren Opfern die Zahlung eines Lösegelds über speziell vorgegebene Zahlungsmethoden. Im Anschluss an eine erfolgte Zahlung erhalten die Betroffenen möglicherweise wieder Zugriff auf ihre Daten, garantiert ist dies jedoch nicht. Die Entschlüsselung von Ransomware mithilfe von Entfernungstools ist leider nicht möglich.

Ransomlocker sind eine verwandte Malware-Variante, die Nutzer am Zugriff auf ihre Geräte hindert, indem sie ihre Computer sperrt. Die betroffene Person erhält eine Nachricht, die den Eindruck erwecken kann, von einer örtlichen Strafverfolgungsbehörde zu kommen. Darin wird die Zahlung eines "Bußgelds" verlangt, damit das Opfer eine Anzeige vermeiden kann und sein Computer wieder entsperrt wird.

Arten von Ransomware

Die nachfolgende Auflistung der verschiedenen Ransomware-Typen ist zwar nicht vollständig, sie zeigt jedoch einige beachtenswerte Beispiele.

Petya

Petya ist eine Trojaner-Ransomware, die Dateien auf dem infizierten Computer verschlüsselt. Ähnlich wie  WannaCry verwendet Petya den EternalBlue-Exploit als eines der Mittel zu seiner Verbreitung. Allerdings setzt dieser Trojaner außerdem klassische Methoden zur Verbreitung in SMB-Netzwerken ein. Daher kann er sich in Unternehmen auch dann verbreiten, wenn diese einen Patch zum Schutz vor EternalBlue installiert haben.

Mehr erfahren

WannaCry

WannaCry ist wesentlich gefährlicher als andere gängige Ransomware-Arten, da sich die Malware durch Ausnutzung einer kritischen Sicherheitslücke auf Windows-Systemen in Netzwerken verbreiten kann. Für diese Sicherheitslücke wurde im März 2017 ein Patch von Microsoft veröffentlicht (MS17-010). Der für den Angriff auf die Sicherheitslücke verwendete Exploit namens "Eternal Blue" wurde im April im Rahmen einer Reihe von Leaks durch eine als "Shadow Brokers" bekannte Gruppe online veröffentlicht. Die Gruppe gab an, die Daten von der Cyberspionage-Gruppe "Equation" gestohlen zu haben.

WannaCry sucht nach 176 verschiedenen Dateitypen, verschlüsselt diese und fügt die Erweiterung .WCRY an das Ende des Dateinamens an. In einer Lösegeldforderung werden Nutzer zur Zahlung von 300 USD in Bitcoin aufgefordert. Gleichzeitig wird darauf hingewiesen, dass sich der Betrag nach drei Tagen verdoppelt. Sollte nach sieben Tagen immer noch nicht gezahlt worden sein, würden die verschlüsselten Dateien angeblich gelöscht. Symantec konnte in der Ransomware jedoch keinen Code feststellen, der die Löschung der Dateien verursachen könnte.

Mehr erfahren

So schützen Symantec-Produkte Sie vor Ransomware

Ein Defense-in-Depth-Ansatz an allen Kontrollpunkten ist gefordert, um Ransomware aufzuhalten

E-Mail

Symantec Email Security.cloud, Symantec Messaging Gateway

  • Durchführung statischer Analysen von Bedrohungsindikatoren innerhalb von Dateien oder Dokumenten
  • Detonation potenziell bösartiger Skripts in einer Sandbox vor der E-Mail-Zustellung sowie Blockierung der E-Mail,
    wenn Anzeichen für bösartiges Verhalten vorhanden sind
  • Blockieren bösartiger Links mittels Link-Verfolgung in Echtzeit vor der E-Mail-Zustellung sowie Link-Analysen zum Zeitpunkt des Anklickens in bereits zugestellten E-Mails

Web

Symantec Secure Web Gateway-Lösungen1

  • Blockieren bösartiger Websites, einschließlich Command & Control- und Verschlüsselungsserver
  • Analysieren von Dateien auf verdächtiges Verhalten aus unbekannten URLs, die auf Ransomware-Aktivität hinweisen, anhand von mehrschichtigen und Live-Threat-Feeds
  • Malware Analysis sucht nach für Ransomware typischem Verhalten und führt unbekannte Dateien vor der Zustellung in einer Sandbox-Umgebung aus, um deren Verhalten zu analysieren

Endgeräte

Symantec Endpoint Protection 142, ATP: Endpoint (EDR)

  • Advanced Machine Learning erkennt polymorphe Malware
  • Emulator-Funktion entpackt raffiniert getarnte Malware, währen die Verhaltensanalyse Ransomware-ähnliche Aktivitäten aufdeckt
  • IPS blockiert den Versuch der Ransomware, Verschlüsselungscodes herunterzuladen
  • Isolieren von Endgeräten, sobald Ransomware erkannt wird, um die laterale Ausbreitung zu verhindern
  • Proaktive Suchen nach Ransomware-IoCs auf allen Endgeräten

Workloads

Symantec Data Center Security: Server Advanced

  • Vordefinierte IPS-Regeln können verhindern, dass ausführbare Ransomware-Dateien im System abgelegt oder dort ausgeführt werden
  • Kunden, die keine vollständigen IPS-Schutzmechanismen einsetzen, können Richtlinien zur Blockierung spezifischer ausführbarer Malware-Dateien bereitstellen
  • Es können zusätzliche Regeln angewendet werden, um sämtlichen ein-/ausgehenden SMB-Verkehr zu blockieren
  • Ransomware kann außerdem durch das Hinzufügen von Executable-Hashes zu Listen mit Ausführverboten blockiert werden

Mehr erfahren

Symantec Internet Security Threat Report 2018

Ransomware-Attacken werden vom großen Coup zum Standardangriff. Die Preise sinken, während die Zahl der Varianten um 46 % zunimmt.

Bericht lesen

Blogs

WannaCry: Ransomware-Angriffe weisen enge Verbindungen zur Lazarus-Gruppe auf

Ähnlichkeiten bei Code und Infrastruktur lassen auf eine enge Beziehung zu der Gruppe schließen, die mit den Angriffen auf Sony Pictures und die Bangladesh Bank in Zusammenhang stand.

Eine integrierte Abwehrstrategie zur Bekämpfung von Ransomware an allen Angriffspunkten

Symantecs hochentwickelte Lösungen zum Schutz vor Ransomware stellen eine integrierte Abwehr an ALLEN Kontrollpunkten bereit.

Data Center Security Server Advanced stoppt WannaCry

Erfahren Sie mehr darüber, wie Symantec Schutz vor der Ransomware WannaCry bietet.

WannaCry-Ransomware: 10 wichtige Möglichkeiten, wie Symantec Incident Response helfen kann

Erfahren Sie, mit welchen Mitteln Incident Response künftige Ransomware-Angriffe erkennen, beheben und davor schützen kann.

WannaCry-Ransomware: 6 Auswirkungen für die Versicherungsbranche

Dieser Artikel veranschaulicht die neuartigen Risiken, denen die Versicherungsbranche in Zusammenhang mit Cyberangriffen ausgesetzt ist.

Können mit WannaCry gesperrte Dateien entschlüsselt werden: eine technische Analyse

Der Ransomware-Wurm WannaCry ist seit seiner Entdeckung weltweit in den Schlagzeilen.

Was Sie über die WannaCry-Ransomware wissen müssen

Erfahren Sie, auf welche Weise sich dieser Ransomware-Angriff ausbreitet und wie Sie sich vor ähnlichen Angriffen schützen können.

Symantec bietet Kunden Schutz vor Ransomware mithilfe mehrschichtiger Abwehrmechanismen aus verschiedenen Produktreihen, die mehrere Angriffsvektoren und Ziele bewachen, einschließlich E-Mail, Web, Endgeräte und Rechenzentrumsserver. Die verhaltensbasierte SONAR-Erkennungstechnologie schützt zudem proaktiv vor Infektionen.

Endgeräte: Symantec Endpoint Protection und Norton
Symantec Endpoint Protection (SEP) und Norton haben seit 24. April – also noch bevor WannaCry auf der Bildfläche erschien – alle Versuche, die von WannaCry ausgenutzte Sicherheitslücke anzugreifen, mithilfe einer Kombination verschiedener Technologien abgeblockt. In der Tat konnte allein die Advanced Machine Learning-Funktion in SEP sämtliche WannaCry-Infektionen am Tag ihres ersten Erscheinens blockieren, ohne dass Updates erforderlich waren. Alle SEP-Versionen, einschließlich SEP 14, SEP Cloud und SEP Small Business Edition beinhalten diese automatischen Mechanismen zum Schutz vor WannaCry. Weitere Informationen finden Sie weiter unten im Abschnitt "Details und Empfehlungen".

E-Mail: Symantec Email Security.cloud und Symantec Messaging Gateway
Symantec Email Security.cloud- und Symantec Messaging Gateway-Produkte stellen automatischen Schutz vor WannaCry für E-Mail-basierte Angriffe bereit.

Web: Symantec Secure Web Gateway
Symantec Secure Web Gateway (SWG) blockiert den Zugriff auf bösartige Websites und Downloads, die Ransomware enthalten könnten. SWG-Lösungen beinhalten ProxySG, WSS, GIN, Content and Malware Analysis, Security Analytics und SSLV.

Workloads: Symantec Data Center Security: Server Advanced
Die Intrusion Prevention-Funktion von Symantec Data Center Security: Server Advanced (DCS:SA) blockiert WannaCry, ohne zusätzliche Konfiguration zu erfordern. Alle drei Stufen der Symantec DCS:SA-Richtlinien – Windows 6.0 (und höher) Basic, Hardening und Whitelisting – verhindern, dass ein Angriff mit WannaCry-Ransomware bösartige ausführbare Dateien auf Systemen ablegen kann. Kunden, die nicht die gesamte Intrusion Prevention-Funktionalität bereitstellen, können gezielte Intrusion Prevention-Richtlinien zuweisen, um die Ausführung von Ransomware zu blockieren.

Hinweis: Im Data Center Security Server-Blog-Beitrag zu Ransomware finden Sie weitere Einzelheiten und Anweisungen.

Endpoint Management: Symantec IT Management Suite
Symantec IT Management Suite (ITMS) stellt Patches und Updates für Sicherheitslücken für Endgeräte und Rechenzentrumsserver bereit. Das Sicherheitsupdate für den Microsoft Windows SMB Server-Patch (4013389), der Schutz vor WannaCry bietet, wurde im März 2017 von Microsoft veröffentlich und wird seit diesem Datum von ITMS unterstützt.

Hinweis: ITMS 7.5 installiert Patches auf Systemen unter Windows 7/8.1, zur Installation von Patches auf Windows 10-Systemen ist jedoch ITMS 7.6 erforderlich.

Cyber Security Services: Kunden können Symantec Managed Security Services nutzen, um WannaCry-Warnmeldungen zu überwachen und die Verbreitung von Ransomware in ihrem Unternehmen zu erkennen. Symantec kann außerdem Incident Response Services bereitstellen, die Readiness-Services, Services zur proaktiven Suche nach Bedrohungen sowie Remediation-Services für Opfer von WannaCry umfassen.

In der detaillierten Übersicht erfahren Sie, wie Symantec-Produkte Sie vor WannaCry und anderer Ransomware schützen.

Details und Empfehlungen für Kunden von Symantec Endpoint Protection und Norton

Symantec empfiehlt Kunden die Aktivierung der folgenden Technologien, um von umfassendem proaktiven Schutz zu profitieren:

  • Intrusion Prevention
  • Verhaltensbasierte SONAR-Erkennungstechnologie
  • Advanced Machine Learning

Hinweis: Symantec Endpoint Protection-Kunden wird die Migration auf SEP 14 nahegelegt, damit sie von dem proaktiven Schutz profitieren können, der durch Advanced Machine Learning bereitgestellt wird.