Sicheres Verhalten in Zeiten von Verschlüsselungstrojanern

Als Ransomsoftware oder Verschlüsselungstrojaner bezeichnet man Schadsoftware, die alle Dateien eines befallenen Rechners verschlüsseln. Dann wird eine Lösegeldforderung, englisch Ransom, gestellt, die mittels anonymen Geldtransfers wie Bitcoin zu entrichten ist. Übliche Forderungen liegen im untersten dreistelligen Bereich. Bezahlung und Datenwiederherstellung sind kompliziert und oft wird nach Zahlung an den Erpresser kein Mittel zur Datenrettung übergeben. Deswegen rät unter anderem auch das BSI davon ab, solche Zahlungen zu leisten und umgehend Anzeige zu erstatten.
Die neueste Generation der Ransomsoftware TeslaCrypt macht nicht nur die Daten der PC-Festplatte unbrauchbar, sondern auch alle erreichbaren anderen Datenträger. Das können angeschlossene USB-Festplatten und -Stricks sein, aber auch NAS und freigegebene Dateien auf anderen Rechnern im Netzwerk. Deswegen hilft letztlich nur eines: regelmäßige Datensicherung auf externen Datenträgern, die nur für die Zeit der Datensicherung angeschlossen sind, ansonsten aber mit keinem Rechner, NAS oder irgendwie mit dem Netzwerk verbunden sind. Das war der wichtigste Satz dieses Artikels.

Gesundes Misstrauen
Gefeit vor Locky, TeslaCrypt, CryptoLocker, KeRanger (MacOS) und anderen Verschlüsselungstrojanern ist niemand. Besondere Vorsicht muss man mit allen Daten walten lassen, die man von Fremden bekommt. Insbesondere per E-Mail fängt man sich digitale Schädlinge ein. Da der Absender einer E-Mail nur mit Hilfe von Zertifikaten wirklich geprüft werden kann, muss man schon mal sehr misstrauisch gegenüber jeder E-Mail sein.
Anhänge in E-Mails sollten nur geöffnet werden, wenn man sicher ist, dass die Nachricht und die angehängten Dateien koscher sind.

Rechner aktuell halten
Die meisten Schädlinge erreichen unsere Computer durch Lücken in Betriebssystem, mit Java-Programmen, PDF-Dateien und insbesondere die Verschlüsselungstrojaner mit Office-Dateien im Microsoft-Format. All diese Programme haben Möglichkeiten, umfangreiche Änderungen am System vorzunehmen. Java ist eine Programmiersprache; deswegen sollen Java-Dateien auch so einiges und anderes können. Warum Adobe und Microsoft ihren PDF- und Officedateien mit allerlei Makroprogrammen die Fähigkeiten gegeben haben, ganze Betriebssysteme bis zu Unkenntlichkeit zu verändern, wird wohl deren Geheimnis bleiben.

Virenscanner erweitern
Inzwischen versprechen die ersten Antivirenprogramme von Kaspersky und Bitdefender auch Schutz von Ransomware. Wer einen Virenscanner ohne diese Erweiterung nutzt, kann auf Malwarebytes Anti-Ransomware zurückgreifen. Der Hersteller rät selber vom Einsatz in Produktivumgebungen ab, die Software befindet sich noch im Beta-Stadium [März 2016]. Über kurz oder lang wird ein derartiger Schutz wohl nicht kostenfrei bleiben.

Kein Microsoft Office, Internet Explorer, Java und Adobe Reader verwenden
Dass es im Allgemeinen keinen Grund gibt für Bürosoftware viel Geld auszugeben, habe ich schon unter „Alternativen zu Microsofts Office“ thematisiert.
Wer dennoch unbedingt Word, Excel und Co. benutzen möchte, sollte unbedingt Makros deaktivieren.
Der Internet Explorer ist ein schlimmes Sicherheitsrisiko. Er sollte nie verwendet werden. Jede Alternative ist besser, ob Opera, Vivaldi, Chrome oder Firefox. Wer vor Werbetrackern und anderem Unbill einen erweiterten Schutz genießen möchte, kann auch spezielle Browser benutzen wie unter „Sichere Browser“ beschrieben.
Sichere Alternativen zu Acrobats Reader habe ich bereits unter „PDF ansehen“ im Artikel PDF-Helferlein“ aufgeführt. Die Alternativprogramme können mit dem einen oder anderen PDF-Dokument nicht richtig umgehen; das betrifft insbesondere Formulare. Deshalb kann man gerne einen einfachen PDF-Betrachter für den Alltag benutzen und auf Acrobar Reader zurückgreifen, wenn sich ein Dokument als bockig erweist – in der Hoffnung, dass das dann nicht gerade Schadsoftware im Gepäck mitbringt.
Java ist auf den meisten Computern entbehrlich. Auch das habe ich bereits in „Java vom Rechner verbannen“ geschrieben; zumindest sollte Java im Browser unbedingt ausgeschaltet werden.

Wenn schon, denn schon: Makros von Microsoft-Office-Programmen deaktivieren
Die schädlichen Makros lassen sich z. B. unter Office 2007 wie folgt deaktivieren: Microsoft Office-Schaltfläche – Programm-Optionen (Word, Excel, PowerPoint oder Access) – Vertrauensstellungscenter –„Einstellungen für das Vertrauensstellungscenter“ – „Einstellungen für Makros“, dort sollte „Alle Makros mit Benachrichtigung deaktivieren“ oder, noch besser „Alle Makros ohne Benachrichtigung deaktivieren“ ausgewählt werden. Im letzteren Fall erscheint gar nicht erst die Möglichkeit Makros in einem Dokument doch noch zu aktivieren. Bei Outlook läuft das ein wenig anders. Dort wird im Menü Extras das Vertrauensstellungscenter ausgewählt und dort die „Einstellungen für Makros“. Im E-Mail-Programm sollten auf jeden Fall Makros immer komplett ausgeschaltet („Keine Warnungen und alle Makros deaktivieren“) werden.
In Office 2016 finden sich die Einstellungen in jedem Programm jeweils unter Datei – Optionen – Trust Center – Einstellungen für das Trust Center – „Alle Makros mit Benachrichtigung deaktivieren“oder „Alle Makros ohne Benachrichtigung deaktivieren“.
In den anderen Office-Paketen hat Microsoft die Einstellungen zum Teil woanders hin wegversteckt.

System immer aktuell halten
Die Mindestanforderung an jeden Benutzer von Computern lautet:
  • Betriebssystem, Virenscanner und Browser immer aktuell halten
  • Alternativen zu Microsoft Office und Acrobat Reader verwenden – und aktuell halten.
  • Java deinstallieren oder immer aktuell halten.

Daten sichern
Ist ein Rechner erst einmal durch einen Verschlüsselungstrojaner unbrauchbar geworden, hilft alles Jammern nicht. Nun muss man die Daten aus einem Backup wiederherstellen. Deswegen gilt als wichtigste Schutzmaßnahme: Daten sichern!

Datensicherungssoftware
Die einfachste Methode der Datensicherung ist eine USB-Festplatte. Am besten benutzt man 2,5-Zoll-Festplatten, weil die kein zusätzliches Netzteil benötigen. Die Festplatte wird nur zur Sicherung angeschlossen und danach sofort von Rechner getrennt.
Microsoft bietet das sehr einfach zu benutzende Programm SyncToy zur Datensicherung an. Wie bei den meisten Datensicherungsprogrammen werden ein linker und rechter Ordner gegenüber gestellt und man wählt aus, was vom linken in welchen rechten Ordner kopiert werden soll. Dann wird noch die Art der Sicherung gewählt, was bedeutet, ob die Daten immer gleich sein sollen (spiegeln) oder ob geänderte und gelöschte Dateien im rechten Ordner (dem Sicherungsordner) beibehalten werden sollen.
Für erfahrenere Anwender, die auf entfernten SFTP-, WebDAV-, Cloud oder ähnlichen Speichern ihre Daten sichern möchte, empfehlen sich Allway Sync oder Duplicati.

Hardware
Neben USB-Festplatten, dienen insbesondere NAS zur Datensicherung. Das können an einer FritzBox oder einem anderen Router angeschlossene USB-Festplatten sein. Oder man verwendet ein Verzeichnis in einer NAS. Wichtig bei solchen Datensicherungslösungen ist, dass diese nicht ohne Umstände von irgendwelchen Computern im Netzwerk erreichbar sind, zumindest der Zugriff per SMB sollte deaktiviert sein. Das wichtigste ist, dass permanent angeschlossene Datenträger nicht ohne Umstände von den Benutzern im Netzwerk erreicht werden können, da ansonsten ein eingefangener Verschlüsselungstrojaner auch diese verschlüsselt und unbrauchbar macht. Das ist eine ernstzunehmende Gefahr.
Auf NAS kann man Verzeichnisse anlegen, die nur mit einem bestimmten Konto erreichbar sind. Wird dieses Konto ausschließlich auf der NAS selber verwendet, kann man dort auch Backups durch das Gerät selber regelmäßig durchführen lassen. Sicherer ist die Nutzung von Netzwerkspeicher, wenn dieser per SFTP oder WebDAV angesprochen wird und die Zugangsdaten nur dem Back-Up-Programm bekannt gemacht werden oder bei jeder Datensicherung händisch angegeben werden.

Zusammengefasst
Die drei wichtigsten Grundsätze zum Schutz vor Erpressungssoftware lauten: Daten sichern, Daten sichern und Daten sichern!

Ladeliste
Allway Sync
Allway Sync, Download bei heise

Duplicati
Duplicati, Download bei heise

Malwarebytes Anti-Ransomware
Malwarebytes Anti-Ransomware, Download bei heise

SyncToy
SyncToy, Download bei heise

Alternative Browser
Opera
Opera, Download bei heise

Vivaldi
Vivaldi, Download bei heise

Google Chrome
Google Chrome, Download bei heise

Firefox
Firefox, Download bei heise