Ransomware gehört seit mehreren Jahren zu den größten digitalen Gefahren für Firmen und Privatpersonen. Früher gab es eine Vielzahl an ausgelagerten Anti-Ransomware-Systemen, doch heute sind solche Systeme vor allem als Bestandteil von hochwertigen Antivirenprogrammen anzutreffen.
Was ein Anti-Ransomware-System ausmacht und wie diese Systeme funktionieren, erfahren Sie hier.
Unser Beitrag zum Anti-Ransomware-System im Überblick:
Relevanz von Ransomware
Als Ransomware bezeichnet man Erpressertrojaner. Cyberkriminelle verteilen diese Art von digitalen Schädlingen in der Regel mithilfe von Phishing-Mails, die bei den Opfern eingehen. Man braucht nur den Anhang einer solchen E-Mail anzuklicken oder die verlinkte Fake-Seite zu öffnen; und schon befindet sich der Erpressertrojaner auf dem Rechner.
In der Regel verhindert der Trojaner entweder mithilfe einer Bildschirmsperre den Zugriff auf Ihr Gerät oder er verschlüsselt sensible Daten, die sich auf dem Endgerät und im Firmennetzwerk befinden, in null Komma nichts. Öffnet man sie, erhält man nichts als Kauderwelsch.
Ransomware hat es dabei in der Regel auf Dateien abgesehen, die an häufig genutzten Speicherorten wie dem Desktop oder dem Dokumentenordner abgelegt sind. Ehe Sie sich versehen, erhalten Sie nach der Verschlüsselung auch direkt eine Lösegeldforderung. Sollten Sie die geforderte Summe bezahlen, werden Ihre Dateien freigegeben – zumindest angeblich. Sollten Sie das Geld jedoch nicht zahlen, werden Ihre Dateien unwiderruflich gelöscht oder auf einer Leaks-Seite im Darknet veröffentlicht.
Immer häufiger stammen die Trojaner dabei nicht von den Erpressern selbst. Vielmehr arbeiten diese mit professionellen Ransomware-Herstellern zusammen und buchen deren Programme als Ransomware-as-a-Service. Zu den bekanntesten Erpressertrojanern gehören die Ransomware Hive, die Conti-Ransomware, Goldeneye, Bad Rabbit, Locky sowie Grandcrab.
Der Schutz vor Ransomware ist gerade deswegen so wichtig, weil es bei Ransomware um bares Geld geht, was Ihnen Erpresser aus der Tasche ziehen. Bild: Unsplash/@bermixstudio
Was ist ein Anti-Ransomware-System?
Vor einigen Jahren gab es eine Vielzahl an eigenständigen Anti-Ransomware-Schutzprogrammen von Sicherheitsunternehmen; die vor allem für Privatanwender konzipiert waren. Die allermeisten dieser Programme sind heute aus diversen Gründen verschwunden. Dazu gehören CyberSight RansomStopper und Cybereason RansomFree.
Dagegen findet man heute Anti-Ransomware-Systeme häufiger als Bestandteile von Programmen, die Erpressertrojaner frühzeitig erkennen und unschädlich machen sollen. Ein Anti-Ransomware-System kann dabei ein zentraler Bestandteil eines professionellen Antiviren-Schutzes für Firmen sein. Auch professionelle Antiviren-Lösungen für Privatpersonen können ein Anti-Ransom-System als Bestandteil haben.
Hierzu gehört beispielsweise Bitdefender Antivirus Plus, Kaspersky Security Cloud und Sophos Home Premium. Trend Micro kündigte das Ende seines kostenlosen, eigenständigen RansomBuster-Produkts mehr als ein Jahr im Voraus an, heute gibt es RansomBuster nicht mehr als eigenständiges Produkt. Dafür ist das sogenannte Ordnerschutzschild mit den gleichen Funktionen Bestandteil von Trend Micros Internet Security.
Benötigen Sie ein eigenständiges Anti-Ransomware-System oder einen Antiviren-Schutz mit integrierter Anti-Ransomware? Dann wenden Sie sich an PC-SPEZIALIST in Ihrer Nähe und lassen sich kompetent beraten. Wir bieten das beste Anti-Ransomware-System für Ihre individuellen Ansprüche an.
Verhaltensorientierte Angriffsfrüherkennung
Erpressertrojaner, die trotz Schutzmaßnahmen Ihres Antivirenprogramms auf Ihr System gelangen, können in der Regel großen Schaden anrichten. Selbst dann, wenn das Antivirenprogramm kurze Zeit später ein Sicherheitsupdate mit entsprechender Virensignaturen erhält, ist es in der Regel zu spät.
Ihre Dateien sind dann bereits verschlüsselt. Professionelle Antivirenprogramme und eigenständige Anti-Ransomware-Systeme mit Angriffsfrüherkennung enthalten jedoch spezielle Schutzvorkehrungen gegen Ransomware.
Antivirenprogramme und Anti-Ransomware-Systeme mit Angriffsfrüherkennung verhindern die Ausführung von Ransomware von Anfang an. Dank eines Schwachstellenscanners und/oder Verhaltensüberwachung haben sie einen erheblichen Vorteil gegenüber Standard-Virenscannern wie dem Windows Defender, der auf Implementierungen der entsprechenden Virensignaturen angewiesen ist.
Anders als solche können Schutzsysteme mit Angriffsfrüherkennung nämlich auch Zero-Day-Exploits enttarnen. Entsprechende, bisher nicht erfasste Ransomware-Exploits breiten sich somit gar nicht erst auf Ihrem PC oder dem Netzwerk aus und verschlüsseln keine Dateien.
Mithilfe von verhaltensbasierten Angriffsfrüherkennung können Algorithmen erkennen, wenn Erpressertrojaner Dateien verschlüsseln möchten. Bild: Unsplash/@flyd2069
Einsatz von Köder-Dateien
Deutlich seltener und älter als die verhaltensorientierte Angriffsfrüherkennung ist der Einsatz von Köder-Dateien, um vorhandene Ransomware anzulocken und auszuschalten. Das kostenlose Anti-Ransomware-System RansomFree von Cybereason hatte den Zweck, mithilfe von verhaltensbasierter Erkennung Ransomware-Angriffe zu identifizieren und sie erfolgreich abzuwehren.
Dafür legte das Programm Köder bzw. Honeypots an, die von Ransomware verschlüsselt werden sollten. Leider erwies sich das kostenlose Programm als nicht besonders praktikabel, weswegen es mittlerweile eingestellt wurde.
Andere Anti-Ransomware-Systeme setzen bis heute Köder-Dateien ein, mit denen Ransomware angelockt und ausgeschaltet werden soll. Mithilfe von verhaltensbasierter Erkennung passen sich die Köder dabei den Vorlieben der Erpressertrojaner an.
Zu Programmen, die Köder einsetzen, gehören unter anderem Kaspersky Security Cloud Free und Check Point ZoneAlarm Anti-Ransomware. Das Anti-Ransomware-System von ZoneAlarm schnitt in Tests überdurchschnittlich gut ab: Das System beseitigte alle Erpressertrojaner, reparierte alle Dateien und beseitigte sogar die gefälschten Erpresserbriefe.
Ransomware-Impfung
Als Ransomware-Impfung bezeichnet man eine heute nicht mehr funktionale Schutzvorrichtung gegen Ransomware. Vor allem ältere Erpressertrojaner erhoben noch den Anspruch, nach einer Lösegeldzahlung die entsprechenden Dateien auch wieder zu entschlüsseln. Die Angst war, dass wenn das nicht gemacht würde und darüber berichtet würde, niemand mehr der Lösegeldforderung nachkommen würde.
Bei der sogenannten Ransomware-Impfung, die man zum Beispiel durch Bitdefender Anti-Ransomware bekam, wurde ein Programm auf dem Rechner installiert, das vorgibt, eine bereits vorhandene Ransomware zu sein. Da ältere Erpressertrojaner unter dem Umstand einer möglichen Doppelverschlüsselung keine Entschlüsselung gewährleisten konnten, blieben entsprechende Systeme verschont. Geschützt war man gegen die damals großen Erpresser TeslaCrypt, BTC-Locker, Locky und die erste Version von Petya. Schon gegen Cerber, Sage und spätere Versionen von Petya wie Bad Rabbit war der Mechanismus bereits wirkungslos. Heute werden Ransomware-Impfungen nicht mehr eingesetzt.
Ein hochwertiges Anti-Ransomware-System kann nach einer erfolgreichen Verschlüsselung unter Umständen Dateientschlüsselungen vornehmen. Bild: Unsplash/@flyd2069
Datei-Entschlüsselung
Auch dann, wenn eine Ransomware Ihre Dateien erfolgreich verschlüsselt hat, können Sie unter Umständen mit einem in Ihrem Virenschutz integrierten Anti-Ransomware-System noch etwas ausrichten. Viele Antivirenprogramme mit einem entsprechend integrierten Anti-Ransomware-System wie zum Beispiel TeslaCrypt verfügen dabei über einen Hauptentschlüsselungsschlüssel. Der Schlüssel muss jedoch angelegt werden, bevor sich eine Ransomware auf dem entsprechenden System befindet.
Deutlich häufiger sind Entschlüsselungen mithilfe von Algorithmen. Antivirenprogramme von Avast, Kaspersky und Trend Micro beinhalten beispielsweise Entschlüsselungsanwendungen. In manchen Fällen benötigt das entsprechend integrierte Entschlüsselungsprogramm dabei nur das unverschlüsselte Original einer einzelnen verschlüsselten Datei, und schon kann es alle Dateien entschlüsseln. So manches Anti-Ransomware-System erstellt Klone von festgelegten Dateien und Dateiordnern, die der Wiederherstellung dienen können.
Schutz vor Ransomware & Co.
Es ist gut, wenn Sie Ihre Dateien nach einem Angriff wiederherstellen können. Besser ist aber, wenn Sie es schaffen, diesen Angriff vollständig zu verhindern. Da auch Anti-Ransomware-Systeme nicht den vollständigen Schutz vor Ransomware gewährleisten können, sollten Sie Ihre Daten auch mit einem professionellen Backup für Unternehmen oder einem privaten Backup umfassend absichern. Hierfür sollten Sie eine Backup-Strategie anwenden.
Nicht nur für kleine Unternehmen und Selbstständige, sondern auch für Privatpersonen ist der Verlust oder Diebstahl von persönlichen, sensiblen oder relevanten Daten eines der Worst-Case-Szenarios. Wenden Sie sich deswegen vorsorglich an PC-SPEZIALIST in Ihrer Nähe und lassen sich zu professionellen Schutzmaßnahmen gegen Ransomware-Angriffe beraten. Fragen Sie gern nach Antivirenprogrammen für Kleinunternehmen bzw. Antivirenprogrammen für Privatpersonen, deren Bestandteil ein Anti-Ransom-System ist.
_______________________________________________
Verwendete Quellen: PCMag, Geekflare, Computerbild, PC-Welt
Schreiben Sie einen Kommentar