Was tun gegen Ransomware wie Locky, TeslaCrypt & Co.

Gerade wieder sind Malware-Angriffe durch die „Ransomware“ Varianten „Locky“, „TeslaCrypt“ oder „Ransom32“ im Umlauf. Traditionelle Schutzmechanismen wie Anti-Virus versagen kläglich. Dies ist nicht weiter verwunderlich, sagen die AV Hersteller doch selbst, dass solche Lösungen gerade noch 45%, der sich gerade im Umlauf befindlichen Schädlinge, erkennen können: (http://arstechnica.com/security/2014/05/antivurus-pioneer-symantec-declares-av-dead-and-doomed-to-failure/).

Es ist also heute leichter denn je, sich mit einem unachtsamen Klick Malware einzufangen, die im Falle von Locky, alle wichtigen Daten auf dem System verschlüsselt und diese dann nur gehen Zahlung von Bitcoins wieder entschlüsselt.

Wie funktioniert Locky?

Die gängigste Variante nutzt einen in Malware weit verbreiteten Angriffsvektor. Locky gelangt meistens per E-Mail als gefälschte Rechnung, Fax-Benachrichtigung o.ä. auf das System. Wird der Anhang geöffnet, wird ein Makro ausgeführt und automatisch weiterer Schadcode aus dem Internet nachgeladen und ausgeführt. Dieser beginnt nun unbemerkt mit dem Verschlüsseln aller Nutzerdaten, auf die er Zugriff bekommen kann. Betroffen sind dabei nicht nur die lokale Festplatte, sondern auch alle sonstigen erreichbaren Ziele, wie zum Beispiel Netzlaufwerke oder USB Speicher.

Wie schütze ich mich?

Der Schutz vor solchen Schädlingen ist überaus einfach zu realisieren. Durch die Kombination einiger weniger, sehr effizienter Methoden ist ein umfassender Schutz einfacher zu realisieren.

  • Microsofts jüngst veröffentlichte Statistik (http://learn.avecto.com/2015-microsoft-vulnerabilities-report) beweist, dass das Entfernen von Admin-Rechten eine der effektivsten Einzelmaßnahmen zum Schutz vor Malware ist.
  • Bereits 1988 hat die Zeitschrift „PC Magazin“ als effektivstes Mittel gegen Software-Viren das Pflegen von Whitelists empfohlen.
  • Wenn der Inhalt einer Datei nicht mit 100%iger Sicherheit als ungefährlich und vertrauenswürdig angesehen werden kann sollte die Datei in einer abgeschotteten Umgebung, einer sogenannten „Sandbox“ betrieben werden. Sollte sich eine Datei als Malware herausstellen, kann diese dort keinen Schaden anrichten.

Kombiniert man die oben genannten Technologien, lässt sich eine Infektion durch alle aktuell bekannten Malware-Varianten sicher und vor allem proaktiv verhindern. Es gibt keine Abhängigkeiten zu reaktiven Erkennungstechnologien wie AntiVirus, Advanced Threat Detection, Content Filtern, oder Ähnlichem.

Effektiver Schutz auf einfache Weise

Avecto bietet mit seiner Lösung „Defendpoint“ als einziger Hersteller die Kombination aller drei Technologien in einem innovativen Ansatz, der keine der oben genannten Nachteile beinhaltet.

Mit Defendpoint kann durch den Einsatz einer einzigen Software-Lösung so in einem „Defense in Depth“ Ansatz ein effektiver, proaktiver Schutz gegen jegliche Form von Malware realisiert werden. Das Ausnutzen von Sicherheitslücken wird größtenteils bereits durch „Privilege Management“ unterbunden. Sollte ein Schädling durch eine der verbleibenden Sicherheitslücken oder über einen anderen Weg, wie z.B. E-Mail auf das System finden, so verhindert „Application Control“ das Ausführen des Schadcodes.

Die Sandbox deckt die verbleibenden Angriffsvektoren ab, indem sie vertrauenswürdige Anwendungen, die nicht vertrauenswürdige Inhalte anzeigen, in der Sandbox abschottet und potentielle Infektionen auf diese begrenzt.

Die „Privilege Management“ Funktionalität von Defendpoint erlaubt es dem Unternehmen, ihren Anwendern mit Standard-Benutzer-Konten gezielt Admin-Rechte für einzelne Tätigkeiten zurückzugeben. Die erhöhten Rechte werden hier spezifisch der jeweiligen Anwendung bzw. Tätigkeit vergeben, nicht pauschal dem Anwender-Konto und können daher auch nicht für unbeabsichtigte Tätigkeiten oder durch Malware missbraucht werden.

Application Control“ bietet einen pflegeleichten und innovativen Whitelisting-Ansatz. Durch die Kombination von „Privilege Management“ und einem „Trust the Build“ Ansatz kann hier bereits mit wenigen Regeln ein umfassender Schutz gewährleistet werden.

Das Defendpoint „Sandboxing“ basiert auf Windows-eigenen Sicherheitsmechanismen. Es bietet ein bisher unbekanntes Maß an Kompatibilität. Quasi jede unter Windows lauffähige Anwendung kann ohne Integrationsaufwand direkt in der Sandbox betrieben werden und dies mit minimalen Hardware Anforderungen. Ist das System für den Betrieb der installierten Windows-Version ausreichend ausgestattet, kann auch Sandboxing mit betrieben werden.

Avecto Defendpoint ist für alle gängigen Windows Server- und Client-Betriebssysteme (Windows XP bis Windows 10, Server 2003 bis Server 2012R2) sowie für Mac OS X verfügbar. Ebenfalls unterstützt wird der McAfee ePO als Management Plattform.