Skip to content Skip to navigation Skip to footer

Defining Ransomware

Ransomware is malicious code that renders the files and/or operating environment of an endpoint unavailable—be it an end user device or a server—until a payment is made to the cybercriminal.

Cybercriminals use ransomware to take over devices or systems to extort money. Once the malware has been installed, the hacker controls and freezes you out of it until you pay a ransom. In the earliest versions of ransomware, the attackers claimed that after you paid the ransom, you would get a decryption key to regain control of your computer. 

The Evolution of Ransomware

Ransomware has evolved and now there are various types. Some ransomware just encrypt files while others that destroy file systems. Some cybercriminals are solely financially motivated and will indeed return systems to operation after payment. Other types of attackers aren’t and won’t restore operations after payment out of spite or, perhaps, for political or other reasons.

Currently, many ransomware campaigns employ multiple measures and methods to elicit payment. In addition to holding systems for ransom, some cybercriminals steal data and threaten to release it if  ransom is not paid. Other attackers even go so far as to contact the customers whose data they’ve stolen in an attempt to collect payment from them.

Ransomware attacks have crippled entire organizations for hours, days, or longer. The latest ransomware threat class requires much more than just a secure backup and proactive restore process.

Initially, protecting against ransomware with a secure backup and proactive restore process were often enough to get an organization off the hook. However, the latest versions of ransomware require more comprehensive security solutions.

Ransomware vermeiden

Es gibt auch eine gute Nachricht: Bei den heutigen ausgeklügelten, mehrstufigen Ransomware-Angriffen haben potenzielle Opfer/Organisationen mehrere Möglichkeiten, einen Ransomware-Angriff zu stoppen, bevor Daten gestohlen oder Computer/Dateien gesperrt werden. 

Selbstverständlich wäre es optimal, einen Angreifer zu stoppen, bevor er mit seiner Mission überhaupt Fuß fassen kann. Aber selbst wenn er doch eindringt, ist es von entscheidender Bedeutung, frühe Phasen wie die Netzwerkentdeckung, Befehls- und Kontrollkommunikation, seitliche Bewegungen, Datensammlung und -bereitstellung, Exfiltration und Verschlüsselung zu erkennen. Im Folgenden finden Sie Tipps zum Schutz vor Ransomware und wie Sie am besten auf einen Ransomware-Angriff reagieren.

9 Tips To Reduce Ransomware Risk

1. Klicken Sie niemals auf ungeprüfte Links

Sie sollten einen Link in einer Spam-E-Mail oder auf einer fremden Website ignorieren. Hacker verbreiten Ransomware häufig über einen schädlichen Link, der einen Malware-Download auslöst. Sobald die Malware auf Ihrem Computer installiert ist, kann sie Ihre Daten verschlüsseln und diese unter Verschluss halten, wodurch nur jemand mit einer Entschlüsselung auf sie zugreifen kann.

Allerdings muss die Malware erst auf Ihren Computer gelangen, wobei die gängigste Methode zur Verbreitung von Ransomware über einen schädlichen Link erfolgt. Ungeprüfte Links sollten besser nicht verwendet werden.

2. E-Mails auf Malware scannen

Um Ransomware-Viren oder andere Malware zu stoppen, muss zunächst die E-Mail-Kommunikation überprüft werden. Tools zum Scannen von E-Mails können oft schädliche Software erkennen. Nachdem der Scanner Malware erkannt hat, kann die E-Mail gelöscht werden, wodurch sie nicht einmal Ihren Posteingang erreicht. 

Typischerweise ist die Malware in der E-Mail in einem Anhang oder in einer Datei im Text der E-Mail eingebettet. Es ist bekannt, dass Hacker Bilder einfügen, die harmlos erscheinen, aber wenn Sie auf das Bild klicken, wird Ransomware auf Ihrem Computer installiert. Das Scannen von E-Mails mit dieser Art von Dateien kann verhindern, dass Ihr Gerät (oder andere Geräte in Ihrem Netzwerk) infiziert werden.

3. Verwenden von Firewalls und Endgeräteschutz

Firewalls können eine gute Lösung sein, wenn Sie herausfinden wollen, wie Sie Ransomware-Angriffe stoppen können. Firewalls scannen den von beiden Seiten eingehenden Datenverkehr und untersuchen ihn auf Malware und andere Bedrohungen. Auf diese Weise kann eine Firewall feststellen, woher eine Datei stammt, wohin sie unterwegs ist, und andere Informationen über ihren Übertragungsweg nutzen, um zu erkennen, ob sie möglicherweise Ransomware enthält. 

Darüber hinaus kann eine Next-Generation Firewall (NGFW) mithilfe von Deep Packet Inspection (DPI) den Inhalt der Daten selbst untersuchen, um nach Ransomware zu suchen und dann jede Datei zu löschen, die diese enthält.

Mit dem Endgeräteschutz werden einzelne Endgeräte gegen Bedrohungen abgeschirmt. Es gibt bestimmte Arten von Datenverkehr, die anfälliger für Bedrohungen sind, und der Endgeräteschutz kann Ihr Gerät vor dem Kontakt mit dieser Art von Daten schützen. Außerdem können Hacker schädliche Anwendungen nutzen, um Ihre Endgeräte mit Ransomware zu infizieren. Der Endgeräteschutz verhindert, dass bestimmte Endgeräte diese Art von Anwendungen ausführen.

4. Downloads nur von vertrauenswürdigen Seiten

Hacker platzieren Malware häufig auf einer Website und nutzen dann Inhalte oder Social Engineering, um einen Benutzer dazu zu bringen, innerhalb der Website zu klicken. Beim Social Engineering wird Druck auf den Benutzer aufgebaut, in der Regel in Form einer Verängstigung, um ihn zu einer gewünschten Handlung zu bewegen – in diesem Fall zum Klicken auf einen schädlichen Link.

In vielen Fällen mag der Link selbst harmlos aussehen. Wenn Sie mit der Website nicht vertraut sind oder wenn der Uniform Resource Locator (URL) verdächtig aussieht, obwohl es sich um eine vertrauenswürdige Website zu handeln scheint, sollten Sie die Finger davon lassen. Cyber-Kriminelle erstellen häufig gefälschte Websites, die wie vertrauenswürdige Websites aussehen. Überprüfen Sie die URL einer Website immer zweimal, bevor Sie etwas von dieser herunterladen.

5. Erstellen Sie Sicherungskopien von wichtigen Daten

Ransomware-Angreifer missbrauchen gerne Benutzer, die für den Betrieb ihres Unternehmens auf bestimmte Daten angewiesen sind. Da die Daten für den täglichen Betrieb eine wichtige Rolle spielen, halten es die Opfer oft für sinnvoller, Lösegeld zu zahlen, damit sie wieder Zugang zu ihren Daten erhalten. Sie können dieser Versuchung entgehen, indem Sie regelmäßig Sicherungskopien Ihrer wichtigen Daten erstellen.

Wenn Ihre Daten auf einem Gerät oder an einem Ort gesichert sind, auf den Sie mit Ihrem Computer nicht zugreifen müssen, können Sie die benötigten Daten im Falle eines erfolgreichen Angriffs einfach wiederherstellen. Es ist wichtig, dass Sie alle kritischen Daten regelmäßig sichern, da die vorhandenen Daten im Laufe der Zeit möglicherweise nicht mehr ausreichen, um einen kontinuierlichen Geschäftsbetrieb zu gewährleisten.

6. Verwenden Sie ein VPN bei der Nutzung von öffentlichem WLAN

Öffentliches WLAN ist praktisch, da der Zugang leicht und häufig ohne Passwort möglich ist. Leider ist es für Hacker genauso einfach, ein öffentliches WLAN zu nutzen, um Ransomware zu verbreiten. Wenn Sie sich in einem öffentlichen WLAN-Netzwerk befinden, sollten Sie ein Virtual Private Network (VPN) verwenden.

Ein VPN verschlüsselt die Daten, die zu und von Ihrem Gerät fließen, während Sie mit dem Internet verbunden sind. Tatsächlich bildet das VPN einen „Tunnel“, durch den Ihre Daten laufen. Um den Tunnel betreten zu können, muss ein Benutzer einen Codierungsschlüssel besitzen. Außerdem müsste ein Hacker die Daten, die durch den Tunnel laufen, zuerst entschlüsseln, um diese lesen zu können. Um Ransomware zu blockieren, hält ein VPN Außenstehende davon ab, sich in Ihre Verbindung einzuschleichen und Malware in Ihrem Pfad oder auf Ihrem Computer zu platzieren.

7. Verwenden Sie Sicherheitssoftware

Sicherheitssoftware kann ein wirksames Mittel zum Schutz vor Ransomware sein. Daher wird sie häufig als eine der besten Methoden zum Schutz vor Ransomware genannt. Sicherheitssoftware überprüft die Dateien, die aus dem Internet auf Ihren Computer übertragen werden. Sobald eine schädliche Datei erkannt wurde, verhindert die Software, dass sie auf Ihren Computer gelangt.

Die Sicherheitssoftware verwendet die Profile bekannter Bedrohungen und schädlicher Dateitypen, um herauszufinden, welche davon für Ihren Computer gefährlich sein könnten. Um auf dem neuesten Stand zu bleiben, wird Sicherheitssoftware häufig mit regelmäßigen kostenlosen Updates geliefert. Diese können vom Anbieter automatisch installiert werden. Sobald der Anbieter von neuen Bedrohungen erfährt, werden deren Profile in das Update aufgenommen. Solange Sie sicherstellen, dass Ihre Software regelmäßig aktualisiert wird, haben Sie den besten Schutz, den die Software bieten kann.

8. Verwenden Sie keine unbekannten USB-Geräte

Auf einem USB-Gerät (Universal Serial Bus) kann eine schädliche Datei gespeichert sein, die Ransomware enthalten könnte. Unabhängig davon, ob sich auf dem USB-Gerät eine ausführbare Datei befindet, die Ihren Computer infizieren kann, oder ob die Datei automatisch gestartet wird: Sobald Sie das USB-Gerät einstecken, kann ein scheinbar harmloses USB-Gerät in kürzester Zeit Ihren Computer übernehmen.

Cyber-Kriminelle können ein USB-Gerät einfach herumliegen lassen, weil sie wissen, dass jemand in Versuchung gerät, es in die Hand zu nehmen und mit seinem Computer zu verbinden. Der Kriminelle kann sogar ein scheinbar harmloses Etikett auf das Gerät drucken und es so aussehen lassen, als sei es ein Werbegeschenk von einem seriösen Unternehmen. Wenn Sie jemals ein USB-Gerät finden, schließen Sie es nicht an Ihren Computer an. Am sichersten sind USB-Geräte, die in einem Geschäft gekauft wurden und in einer intakten Verpackung versiegelt sind.

9. Vermeiden Sie die Weitergabe persönlicher Daten

Mit den richtigen persönlichen Daten können Cyber-Kriminelle eine Vielzahl von Fallen stellen, um Ransomware auf Ihrem Computer einzuschleusen oder Sie dazu zu bewegen, diese selbst auf Ihrem Gerät zu installieren. Viele Menschen verwenden für ihre Computer die gleichen Passwörter wie für Websites und Konten. Ein Cyber-Krimineller kann Ihre persönlichen Daten verwenden, um Zugang zu einem Konto zu erhalten, und dann dieses Passwort verwenden, um in Ihren Computer einzudringen und Ransomware zu installieren.

Wenn Sie es vermeiden, persönliche Daten preiszugeben, erschweren Sie es einem Angreifer, diese Art von Angriffen durchzuführen. Dies gilt insbesondere dann, wenn er einen anderen Weg finden müsste, um Ihre Passwörter oder andere Kontoinformationen herauszufinden. Persönliche Daten umfassen auch die Namen von Personen, Haustieren oder Orten, die Sie als Antworten auf Sicherheitsfragen für Ihre Konten verwenden. 

2021 Ransomware Survey Report

How To Defend Against the Growing Challenge of Ransomware

Download our latest Ransomware Survey Report

Wie man auf Ransomware-Angriffe reagiert

Nur weil ein Ransomware-Angriff auf Ihren Computer oder Ihr Netzwerk erfolgt ist, heißt das nicht, dass Sie nichts tun können, um die Situation zu verbessern. Sie können den Schaden durch Ransomware oft begrenzen, indem Sie schnell handeln.

Isolieren

Die Isolierung der Ransomware ist der erste Schritt, den Sie unternehmen sollten. Dies kann Ost-West-Angriffe verhindern, bei denen sich die Ransomware über die Netzwerkverbindungen von einem Gerät zum anderen verbreitet. Sie sollten zunächst das infizierte System herunterfahren. Das Herunterfahren verhindert, dass es von der Malware zur weiteren Verbreitung der Ransomware genutzt wird. 

Außerdem sollten Sie alle an das Gerät angeschlossenen Netzwerkkabel abziehen. Dazu gehören alle Kabel, die das infizierte Gerät mit dem Netzwerk selbst oder mit Geräten im Netzwerk verbinden. Ihr Gerät kann zum Beispiel an einen Drucker angeschlossen sein, der mit dem lokalen Netzwerk (LAN) verbunden ist. Wenn Sie das Druckerkabel abziehen, können Sie verhindern, dass der Drucker zur Verbreitung der Ransomware verwendet wird.

Neben den Hardware-Kabeln sollten Sie auch das WLAN deaktivieren, das den mit der Ransomware infizierten Bereich versorgt. Die WLAN-Verbindung kann als Kanal genutzt werden, um die Ransomware auf andere Geräte zu übertragen, die mit demselben WLAN-Netzwerk verbunden sind. Das Herunterfahren kann diese Art der Ost-West-Verbreitung stoppen, bevor sie beginnt. Falls die Infizierung zu dem Zeitpunkt, an dem Sie eine Infizierung bemerken, bereits begonnen hat, kann das Ausschalten des WLANs eine weitere Ausbreitung des Virus verhindern.

Mit dem Netzwerk verbundene Speichergeräte müssen ebenfalls sofort getrennt werden. Die Ransomware kann möglicherweise das Speichergerät ausfindig machen und dann infizieren. Wenn dies geschieht, kann jedes Gerät, das mit dem Speichersystem verbunden ist, infiziert werden. Dies kann sofort oder zu einem späteren Zeitpunkt erfolgen. Wenn Sie also Opfer eines Ransomware-Angriffs geworden sind, müssen Sie davon ausgehen, dass alle Speichergeräte infiziert sind. Bereinigen Sie sie, bevor Sie eine Verbindung zu anderen Geräten in Ihrem Netzwerk herstellen.

Identifizieren

Der nächste Schritt besteht darin, die Malware zu ermitteln, die Ihr System mit Ransomware infiziert hat. In einigen Fällen kann das Wissen um die Art der Malware einem auf derartige Vorfälle spezialisierten Team helfen, eine Lösung zu finden. Die Entschlüsselungen einiger Ransomware-Angriffe sind bereits bekannt, wobei die Kenntnis der Art der verwendeten Malware dem spezialisierten Team helfen kann herauszufinden, ob die Entschlüsselung bereits verfügbar ist. Wenn dies der Fall ist, können sie damit Ihren Computer entsperren, wodurch der Angriff ins Leere läuft.

Auch die Art der Malware kann helfen, andere Möglichkeiten zum Umgang mit der Bedrohung zu finden. Um die verschiedenen Abhilfemaßnahmen zu verstehen, muss Ihr IT-Team oder ein externer Berater wissen, mit welcher Art von Malware er es zu tun hat, weshalb eine frühzeitige Identifizierung ein wichtiger Schritt ist.

Malware entfernen

Es liegt auf der Hand, dass Sie die Malware entfernen müssen, aber die Notwendigkeit dieses Schritts ist weniger wichtig als der Zeitpunkt. Es ist wichtig, dass Sie erst dann versuchen, die Malware zu entfernen, wenn die vorherigen Schritte, also Isolierung und Identifizierung, durchgeführt wurden. Wenn Sie versuchen, die Malware zu entfernen, bevor Sie sie isoliert haben, könnte sie die Zeit, die Sie zur Deinstallation benötigen, nutzen, um sich auf andere mit dem Netzwerk verbundene Geräte zu verbreiten.

Wenn Sie die Malware entfernen, bevor sie identifiziert werden kann, verpassen Sie möglicherweise die Möglichkeit, Informationen über sie zu sammeln, die für Ihr spezialisiertes Team, externe Berater oder die Strafverfolgungsbehörden nützlich sein könnten.

Nach den vorstehend beschriebenen Schritten können Sie durch Entfernen der Malware verhindern, dass sie auf andere Geräte übertragen wird. Auch wenn der Computer nicht mehr mit dem Netzwerk verbunden ist, kann die Malware zu einem späteren Zeitpunkt verbreitet werden, wenn sie nicht entfernt wird.

Daten wiederherstellen

Sobald der Angriff eingedämmt und Ihr Computer gesichert und bereinigt wurde, sollten Sie mit der Wiederherstellung Ihrer Daten beginnen. Dies kann dazu beitragen, den kontinuierlichen Geschäftsbetrieb sicherzustellen und die Ausfallsicherheit zu erhöhen, insbesondere wenn die Daten erst kürzlich gesichert wurden.

Eine erfolgreiche Datenwiederherstellung hängt von einem Datenwiederherstellungsprogramm ab, das vor dem Angriff eingerichtet wurde. Wenn die Daten beispielsweise mehrmals täglich gesichert werden, verursacht ein Angriff schlimmstenfalls nur einen Verlust von einigen Stunden. Sie können für die Sicherung Ihrer Daten sowohl cloudbasierte Dienste als auch Hardware vor Ort verwenden – vorausgesetzt, der Zugang auf den jeweiligen Dienst ist von einem anderen Gerät aus möglich. Um den Zugang zu gewährleisten, kann es erforderlich sein, die Anmeldeinformationen sicher zu speichern (also nicht nur auf den Geräten, die auf den Backup-Speicher zugreifen).

Bezahlen Sie niemals das Lösegeld

Wenn ein Ransomware-Angriff stattgefunden hat, ist die Versuchung groß, das Lösegeld zu zahlen. Ein Benutzer könnte zum Schluss kommen, dass er im Laufe der Zeit mehr Geld verliert, als der Angreifer verlangt. Wenn zum Beispiel kritische Systeme ausfallen und Kunden keine Einkäufe tätigen, können die Verluste leicht in die Tausende gehen. Wenn der Angreifer ein paar hundert Dollar verlangt, werden Sie vielleicht das Gefühl haben, dass es klug wäre, zu zahlen. Dies ist jedoch nicht der Fall.

Ähnlich wie Entführer und Terroristen, die Menschen gefangen halten, setzen Hacker auf Ransomware-Angriffe, um ihre Opfer erfolgreich zu erpressen. Wenn sich genügend Benutzer weigern, das Lösegeld zu zahlen, überlegen es sich die Angreifer vielleicht zweimal, bevor sie Ransomware einsetzen, und wenden sich einem potenziell profitableren Projekt zu. Wenn Sie sich also weigern, das Lösegeld zu zahlen, helfen Sie damit anderen, die in Zukunft zum Ziel werden könnten.

Wenn Sie einmal zahlen, wissen die Angreifer zudem, dass Sie in einer ähnlichen Situation wahrscheinlich wieder zahlen werden. Mit Ihrer Zahlung könnten Sie sich selbst als potenziell lukratives Ziel für künftige Angriffe empfehlen.

Wann sollten Sie Lösegeld bezahlen? (… und wann sollten Sie nicht zahlen?)

Im Allgemeinen sollten Sie das Lösegeld niemals bezahlen. Die Zahlungsbereitschaft kann dem Angreifer signalisieren, dass er mit der Erpressung durchkommt, und ihn dazu veranlassen, später einen zweiten Angriff zu starten. Gleichzeitig schadet es auch anderen, da dies der Hacker-Community signalisiert, dass Ransomware immer noch ein effektiver Angriffsvektor ist. Bedenken Sie auch, dass die Zahlung des Lösegelds keine Garantie dafür ist, dass der Angreifer Ihnen wieder Zugang zu Ihrem Computer gewährt.

Ablehnen ist allerdings leichter gesagt als getan, vor allem dann, wenn Sie keinen adäquaten Backup- oder Resilienzplan haben. Auch wenn es nie ratsam ist, das Lösegeld zu bezahlen, müssen Sie möglicherweise die Konsequenzen abwägen, bevor Sie eine endgültige Entscheidung treffen. Sie sollten die folgenden Faktoren berücksichtigen:

  1. Wie viel kostet die Wiederherstellung verlorener Daten?
  2. Wird Ihre Cyber-Versicherung – sofern vorhanden – einen Teil der Kosten übernehmen?
  3. Wie hoch ist die Wahrscheinlichkeit, dass der Betreiber der Ransomware, der Sie ins Visier genommen hat, die Systeme nach der Zahlung entschlüsselt?

Wie kann Fortinet helfen?

Die Fortinet Security Fabric bietet ein breites Spektrum an Produkten und Diensten, die über die digitale Angriffsfläche und entlang der Cyber-Wirkungskette eingesetzt werden können, um das Risiko und die potenziellen Auswirkungen von Ransomware zu reduzieren. Dadurch können sich Unternehmen auf Ransomware-Vorfälle vorbereiten und Vorsorge treffen, sie erkennen und auf sie reagieren, wenn sie auftreten, sowie bei Bedarf die internen Teams verstärken.

Die gegenwärtige Belastung, Risikobereitschaft, Lizenzierungssituation, Sicherheitskenntnisse und andere Faktoren eines Unternehmens bestimmen, welche Produkte und Dienste zu einem bestimmten Zeitpunkt am besten geeignet sind, aber es gibt verschiedene Optionen, darunter:

  1. Vorbereitung: Incident Readiness Service, FortiRecon Angriffsflächen-Management, FortiTester Simulation von Angriffsverletzungen. InfoSec Schulung und Sensibilisierung
  2. Prävention: FortiGate Next-Generation Firewall, FortiMail sicheres E-Mail-Gateway, FortiWeb Web Application Firewall, FortiEDR Moderne Endgerätesicherheit, FortiSandbox Inline Sandbox Analyse
  3. Erkennung: FortiDeceptor, FortiXDR Erweiterte Erkennung und Reaktion, FortiNDR Netzwerkerkennung und Reaktion
  4. Reaktion: FortiAnalyzer, FortiSIEM, FortiSOAR, FortiGuard Incident Response Service
  5. Augmentation: FortiGuard SOCaaS, FortiGuard Managed Detection und Response