Crypto Virenbefall

Das Monster lauert um die Ecke

In den vergangenen 4 Monaten ist es bei 3 unserer Kunden passiert: ein Crypto-Virus frisst sich durch alle Dateien, auf lokale PC’s als auch auf den Servern. Nur mühsam konnten die Daten über stunden- beziehungsweise tage-langes Zurückspielen von Backups wiederhergestellt werden. In einem Fall wurden sogar die Sicherungsmedien befallen, was dazu führte dass an Wiederherstellung gar nicht gedacht werden konnte, und ein Lösegeldbetrag in 4-stelliger Höhe bezahlt werden musste.
Was passiert bei einem Crypto-Befall?
Ein Crypto-Virus verschlüsselt alle Dateien. Sie sind nachher nicht mehr lesbar. Sogar Dateien die Teil einer SQL Server (SelectLine) sind, werden nicht geschont. Meistens fängt es auf dem PC an, wo der Virus eingefangen wird, und breitet sich über die verbundenen Server-Laufwerke aus. Auch die direkt an dem PC angeschlossenen Laufwerke wie USB-Disks und Sticks werden befallen. Für die Entschlüsselung der Daten verlangen die Urheber dieser Viren ein Lösegeld. Es ist jedoch keinenfalls sicher, dass nach Zahlung dieses Lösegelds auch wirklich ein Entschlüsselungsprogramm geliefert wird.
Wie kommen die Viren überhaupt rein?
  • In der Regel durch Emails, wo verseuchte Anhänge wie Word, Excel oder PDF Dateien drin sind und geöffnet werden.
  • Auch Hyperlinks im Email («klicken Sie hier um sich abzumelden» zum Beispiel) sind gefährlich: sie führen Sie zu Webseiten welche die Viren unbemerkt zu Ihnen übertragen.
  • Ein weiterer Kanal ist der USB-Stick: verseuchte Dateien kopieren sich selbständig zum PC.
  • Download von Programmen über nicht-Hersteller spezifische Download-Seiten, als Beispiel: Microsoft-Programme lädt man von Microsoft herunter und von nirgendswo anders!
  • Last but not least: einen Einbruch ins System, meistens über offene Remote Desktop Verbindungen ohne VPN.
Warum passiert es trotz Virenscanner und Malware Scanner?
Von den bekannten Crypto-Viren werden laufend neue Varianten erstellt. Die Viren- und Malwarescanner können nur adäquat reagieren, wenn sie das Muster dieser Viren kennen. Somit ist es fast gegeben dass diese Schutz-Programme ungenügend oder gar nicht auf neue Viren reagieren können.
Wie schütze ich mich?
  • Aufpassen mit Mail-Anhängen. Auch wenn der Absender im E-Mail-Fuss bekannt vorkommt, auch wenn der Absender-Name im E-Mail ihnen bekannt ist. Schauen Sie im Zweifel auf die vollständige E-Mail-Adresse. Löschen Sie unverzüglich solche Mails, auch aus Ihrem «gelöschten E-Mails»-Verzeichnis. Informieren Sie ihre Mitarbeitenden und Kollegen, aber leiten Sie diese Mails nicht weiter!
  • Remote Desktop vom Home-Office aus: nur über VPN ins Firmennetz und / oder mit 2-Faktor-Authentifizierung anmelden Beim Downloaden von Programmen: dreimal schauen ob man sich auf der korrekten Webseite (Hersteller-Webseite) befindet. Im Zweifelsfall: Finger weg.
  • Virenscanner und Malware Scanner auf PC’s und Servern immer aktuell behalten
  • Aktuelle Sicherungen aller Daten (inkl. Sicherungen von SelectLine) auf nicht-gekoppelte Laufwerke abspeichern, am besten nicht im gleichen Haus, und deren Aktualität und Wiederherstellbarkeit regelmässig überprüfen.
Was ist sonst noch zu überlegen?
  • Fragen Sie sich: wie abhängig sind wir von unseren Daten und Systemen wie SelectLine? Wie lange könnten wir ohne diese Systeme «überleben». Sie müssen bei einem Crypto-Befall mit mindestens einem vollen Arbeitstag Ausfall rechnen (im oben erwähnten Fall, wo sogar die Backups befallen wurden, betrug der gesamten Ausfallzeit 10 Tage!). Falls Sie das nicht verkraften können oder wollen, müssen Sie zwingend über Lösungen nachdenken welche die Ausfall-Zeit auf wenige Stunden reduziert.
  • Sensibilisieren Sie ihre Mitarbeitenden kontinuierlich! Das erkennen von Mails mit gefährlichem Inhalt gehört zu jeder Grundausbildung!
Wenn es dann doch passiert...
Die Zeit ist ein eminent wichtiger Faktor! Schalten Sie die PC’s ab und wenn möglich auch den oder die Servern, und holen Sie sich qualifizierte Hilfe.
Absichern! - Den momentanen Zustand erfassen.
  • Kontaktieren Sie ihren EDV-Betreuer.
  • Rufen Sie uns an – wir bringen Sie in Kontakt mit Spezialisten, die ihre momentane Situation beurteilen und individuelle Massnahmen definieren.