So stoppen Sie Ransomware in Aktion | EasyDMARC

So stoppen Sie Ransomware in Aktion

7 Min Lesezeit
.

Was würden Sie tun, wenn Ihr Gerät plötzlich von einer Malware übernommen würde? Ohne Vorwarnung werden Ihre Dateien und Daten verschlüsselt und Sie können sie nicht mehr lesen oder öffnen. Alles, was auf Ihrem Gerät von Wert ist, ist nun plötzlich unsinnig verschlüsselt, und die einzige Möglichkeit, alles wiederzubekommen, ist die Zahlung eines Lösegelds an einen unbekannten Hacker.

Das mag sich wie ein Alptraum anhören, ist aber für viele Einzelpersonen und Unternehmen auf der ganzen Welt eine reale Bedrohung. Was können Sie also tun, um sich dagegen zu wehren? Wir sagen: Haben Sie einen Plan. Ransomware lebt von Kurzschlussreaktionen und schlechten, zufälligen Entscheidungen.

Ransomware ist eine Art von Malware, die Ihre Daten und Dokumente infiziert und sie mit einem Schlüssel verschlüsselt, den nur der Hacker besitzt. Der Hacker verlangt in der Regel ein Lösegeld, und wenn dieses nicht innerhalb eines bestimmten Zeitraums (in der Regel 24 bis 48 Stunden) gezahlt wird, werden die Daten für immer gelöscht. 

Es ist absolut notwendig, dass Sie wissen, wie Sie sich vor Ransomware schützen können, bevor ein Angriff erfolgt. Aber was, wenn es schon zu spät ist?

Lesen Sie weiter, um zu erfahren, wie Sie Ransomware-Angriffe stoppen können, die Ihr Netzwerk bereits schädigen.

Isolieren Sie das infizierte Gerät

Als Erstes müssen Sie wissen, wie Sie die Verbreitung von Ransomware verhindern können. Das ist besonders wichtig, wenn Sie Teil eines Unternehmens oder einer Organisation sind. Der Unterschied zwischen einem leichten Ärgernis und einer Malware, die ein Unternehmen buchstäblich über Nacht in den Ruin treiben kann, liegt darin, wie weit sich die Ransomware verbreiten kann. Trennen Sie also sofort alle Geräte, die mit Ihrem infizierten System verbunden sind.

Ziehen Sie Laufwerke ab, stellen Sie sicher, dass keine drahtlosen Verbindungen von dem infizierten Gerät zu anderen Geräten bestehen, und trennen Sie es vom Netzwerk. Bei diesem Schritt ist eine schnelle Reaktionszeit entscheidend. Sobald die Infektion lokalisiert ist, müssen Sie das System schnellstmöglich isolieren, um die Ausbreitung des Virus zu verhindern.

Trennen Sie alle Geräte vom Netzwerk

Nachdem Sie das infizierte System isoliert haben, sollten Sie sich nun um das Netzwerk kümmern. Viele Formen von Malware schlagen ihre Wurzeln nicht nur in einem Computer. Sie haben es direkt auf das Netzwerk abgesehen.

Stellen Sie sicher, dass jedes einzelne Gerät, das Sie abtrennen können, so schnell wie möglich abgetrennt wird. Gehen Sie immer davon aus, dass die Ransomware im Netzwerk herumschwimmt. Ihr Ziel ist es nun, dafür zu sorgen, dass sie keine Möglichkeit hat, über Verbindungen auf Systeme zuzugreifen.

Bewerten Sie den Schaden

Nachdem Sie die Geräte getrennt und Ihr Hauptsystem isoliert haben, ist es nun an der Zeit, die Schäden zu begutachten. Überprüfen Sie freigegebene Laufwerke und Ordner, Netzwerkspeichergeräte sowie externe, USB- und Cloud-Ordner. Überprüfen Sie alle bekannten Speicherorte von wichtigen Daten.

Wie weit konnte sich die Malware ausbreiten, und was hat sie erreicht? Im besten Fall waren Sie schnell genug, um zu verhindern, dass die Malware zu viele Daten erreicht. 

Es könnte sogar sein, dass Ihnen nichts fehlt, wovon Sie keine Sicherungskopien haben. Im schlimmsten Fall müssen Sie jedoch verzweifelt feststellen, dass riesige Datenmengen verschlüsselt wurden und nicht mehr wiederherstellbar sind. In jedem Fall sollten Sie den Schaden notieren.

Stellen Sie fest, ob Anmeldeinformationen oder Daten gestohlen wurden

Dies ist der wichtigste Teil der Schadensanalyse. Wie wertvoll sind die fehlenden Daten? Sind wichtige Berechtigungsnachweise und lebenswichtige Informationen jetzt verloren oder verschlüsselt? Die Bestimmung des Wertes der fehlenden Informationen und der Ersetzbarkeit dieser Daten wird bestimmen, wie Sie auf den Angriff reagieren.

Auf keinen Fall sollten Sie jedoch überstürzt und ohne Plan reagieren. Selbst wenn Sie über wichtige Zugangsdaten verfügen, die infiziert wurden, werden Ransomware-Angreifer nicht immer ihr Wort halten und Ihre Daten zurückgeben. 

Sie sollten nicht davon ausgehen, dass diese Angreifer ehrlich genug sind, um sich an ihre Bedingungen zu halten. Nehmen Sie sich also selbst in einem Worst-Case-Szenario eine Minute Zeit, um Ihre Optionen zu prüfen.

Lokalisieren Sie Patient Null

Nachdem Sie sich nun einen Überblick über den Gesamtschaden verschafft haben, können Sie damit beginnen, die Quelle der Infektion zu untersuchen. Wenn Sie wissen, wo die Malware ihren Ursprung hat, können Sie den Schaden viel besser bewältigen. Dies ist jedoch nicht immer ein einfacher Prozess. Ransomware erfordert in der Regel eine bestimmte Aktion des Empfängers, um sich zu verbreiten. In der Regel geschieht dies durch das Öffnen einer E-Mail oder eines fehlerhaften Links.

Verfolgen Sie die Schritte des Virus zurück und befragen Sie Ihre Mitarbeiter zu ihren jüngsten Aktivitäten. So können Sie mögliche Eintrittspunkte ermitteln. In manchen Fällen haben die verschlüsselten Dateien sogar einen „Eigentümer“ in den Eigenschaften. Dieser Besitzer wird oft als Einstiegspunkt für die Malware verwendet.

Identifizieren Sie die Art der Ransomware (Stamm)

Jetzt ist es an der Zeit, zu untersuchen, mit welcher Form von Ransomware Sie es zu tun haben könnten. Es ist wichtig, dies zu verstehen, denn es gibt wirksame Behandlungen und empfohlene Reaktionen für verschiedene Arten von Ransomware.

Zu den bekanntesten Arten gehören Stämme wie Bad Rabbit, GoldenEye, Locky, Maze, Ryuk, Dharma usw. Schauen Sie sich die Symptome Ihres Stammes an und finden Sie heraus, zu welcher Art von Ransomware er passen könnte.

Dieser Schritt wird Ihnen helfen zu verstehen, welche Wiederherstellungsmethode Sie später anwenden können.

Melden Sie die Ransomware den Behörden

Bevor Sie sich mit der Frage beschäftigen, wie Sie mit der Angelegenheit umgehen, sollten Sie die Infektion den Behörden melden. Es ist am besten, eine Untersuchung der Angelegenheit zu veranlassen, in der Hoffnung, zukünftige Angriffe zu verhindern. Wenn der Angreifer keine Konsequenzen zu befürchten hat, kann er seine Angriffe auf die Opfer fortsetzen. Um Ransomware zu stoppen, sollten Sie den Angriff sofort melden.

Evaluieren Sie Ihre Backups

Im günstigsten Fall ist eine Reaktion gar nicht nötig. Bevor Sie sich mit den Reaktionsmöglichkeiten befassen, sollten Sie Ihre Backups überprüfen. Ideal wäre es, wenn Sie über relativ aktuelle Backups der meisten wichtigen Daten verfügen, die verloren gegangen sind, und keines der Backups von der Infektion betroffen ist.

In diesem Fall müssen Sie möglicherweise gar nicht auf den Angreifer reagieren. Der Hacker hat versagt, und solange Sie die Infektion isolieren und Ihr System anhand der Backups wiederherstellen können, ist alles in Ordnung. In den meisten Szenarien ist dies jedoch nicht der Fall. Dann ist es an der Zeit, über Ihre Optionen nachzudenken.

Recherchieren Sie Ihre Entschlüsselungsoptionen

Wenn Sie das Verhalten Ihres Stammes untersucht haben, sollten Sie eine Vorstellung davon haben, mit welcher Art von Ransomware Sie es zu tun haben. Nutzen Sie dies, um nach Entschlüsselungsoptionen zu suchen. In vielen Fällen gibt es Organisationen und Bemühungen, die helfen können, den Schaden rückgängig zu machen und Ransomware-Angriffe zu stoppen. 

Einer der besten Orte, die Sie besuchen können, ist eine Website namens No More Ransom, auf der Sie auf Tools zugreifen und Kopien verschlüsselter Dateien hochladen können, um mit dem richtigen Entschlüsselungsprozess zusammengebracht zu werden.

Entscheiden Sie sich für eine Reaktion

Wenn all dies nicht ausgereicht hat, um Ihre Dateien wiederherzustellen, ist es vielleicht höchste Zeit, den Tatsachen ins Auge zu sehen. Es besteht die Möglichkeit, dass Ihre Dateien für immer verloren sind. In den meisten Fällen ist es nicht empfehlenswert, das Lösegeld zu zahlen, da die Wahrscheinlichkeit groß ist, dass Sie nicht einmal die Mittel zur Entschlüsselung Ihrer Dateien erhalten, nachdem das Lösegeld gezahlt wurde. 

Wenn die Dateien jedoch so wichtig sind, sollten Sie überlegen, ob das geforderte Lösegeld die Chance wert ist, sie wiederzuerlangen.

Fazit

Es ist zwar viel einfacher, Ransomware zu verhindern als sie zu bekämpfen, aber Sie können trotzdem etwas tun. Wenn Sie auf Ihre Backups achten und ein gesundes Cyber-Bewusstsein in Ihrem Unternehmen aufrechterhalten haben, sollte Ransomware nicht in Ihr System eindringen können.

Doch selbst wenn dies der Fall wäre, haben Sie mehr als nur ein paar Möglichkeiten, bevor Sie die Zahlung des Lösegelds in Betracht ziehen.