Inhaltsverzeichnis
Definition
CryptoLocker ist ein Crypto-Virus und eine Form von Ransomware, die infizierte Computer verschlüsselt und somit den Zugriff auf die Inhalte einschränkt. Von den Opfern wird gefordert, dass sie für die Entschlüsselung und Wiederherstellung ihrer Dateien ein „Lösegeld“ zahlen.
Die Infektion erfolgt meistens über Phishing-Mails mit schädlichen Anhängen. Diese E-Mails sehen wie die von legitimen Unternehmen oder wie FedEx- und UPS-Sendungsbenachrichtigungen aus.[1]
Die Angreifer tarnen die CryptoLocker-Anhänge, um ahnungslose Benutzer dazu zu verleiten, auf den E-Mail-Anhang zu klicken, der den Angriff aktiviert. Die Opfer müssen dann ein Lösegeld zahlen, um ihre Dateien zu entschlüsseln. CryptoLocker verbreitete sich hauptsächlich zwischen Anfang September 2013 und Ende Mai 2014.[2]
Cybersicherheits-schulungen beginnen hier
So können Sie Ihre kostenlose Testversion nutzen:
- Vereinbaren Sie einen Termin mit unseren Cybersicherheitsexperten, bei dem wir Ihre Umgebung bewerten und Ihre Sicherheitsrisiken identifizieren.
- Wir implementieren unsere Lösung innerhalb von lediglich 24 Stunden und mit minimalem Konfigurationsaufwand. Anschließend können Sie unsere Lösungen für 30 Tage testen.
- Lernen Sie unsere Technologie in Aktion kennen!
- Sie erhalten einen Bericht zu Ihren Sicherheitsschwachstellen, sodass Sie sofort Maßnahmen gegen Cybersicherheitsrisiken ergreifen können.
Füllen Sie dieses Formular aus, um einen Termin mit unseren Cybersicherheitsexperten zu vereinbaren.
Vielen Dank
Wir werden Sie zeitnah zur Abstimmung der nächsten Schritte kontaktieren.
Geschichte
Der CryptoLocker-Angriff fand zwischen dem 5. September 2013 und Ende Mai 2014 statt. Er wurde als trojanischer Virus (bösartiger Code, der als etwas Harmloses getarnt ist) identifiziert, der auf Computer mit verschiedenen Versionen des Windows-Betriebssystems abzielte. Zugang zu dem Zielcomputer verschaffte er sich über gefälschte E-Mails, die den Anschein seriöser Unternehmen erwecken sollten, sowie über gefälschte FedEx- und UPS-Sendungsbenachrichtigungen.
Sobald ein Computer infiziert ist, findet und verschlüsselt CryptoLocker Dateien, die sich auf freigegebenen Netzlaufwerken, USB-Laufwerken, externen Festplatten, Netzwerk-Dateifreigaben und sogar auf einigen Cloud-Storage-Laufwerken befinden. Bis Anfang November 2013 hatte die CryptoLocker-Malware etwa 34.000 Computer infiziert, hauptsächlich in englischsprachigen Ländern.[3]
Im Jahr 2014 wurde ein kostenloses Verschlüsselungstool veröffentlicht. Verschiedene Berichte deuten jedoch darauf hin, dass über 27 Millionen Dollar von CryptoLocker erpresst wurden.[4]
Schutz vor Cryptolocker
US-CERT rät Benutzern, CryptoLocker zu verhindern, indem sie routinemäßige Backups wichtiger Dateien durchführen und diese Backups offline aufbewahren. Benutzer sollten auch die Antiviren-Software auf dem neuesten Stand halten, genauso wie ihr Betriebssystem und ihre Software mit den neuesten Patches ausstatten.
Zudem sollten Benutzer auch nicht unaufgefordert Web-Links in E-Mails folgen und beim Öffnen von E-Mail-Anhängen generell Vorsicht walten lassen und die gängigen Vorgaben guter E-Mail-Sicherheit einhalten. Und wie immer sollten sie beim Surfen im Internet sichere Praktiken befolgen.[5]
Beseitigung
Sobald Ihre Benutzer eine Ransomware-Forderung oder einen Virus entdecken, sollten sie sofort die Verbindung zum Netzwerk trennen. Wenn möglich sollten sie ihren Computer physisch in die IT-Abteilung bringen. Nur das IT-Sicherheitsteam sollte einen Neustart versuchen.
Von zentraler Bedeutung für Ihre Reaktion ist die Frage, ob das Lösegeld bezahlt werden soll. Diese Entscheidung sollte sich nach der Art des Angriffs richten, wer in Ihrem Netzwerk kompromittiert wurde und welche Netzwerkberechtigungen die Inhaber kompromittierter Konten haben.[6]
Ransomware-Angriffe sind ein Verbrechen und Unternehmen sollten die Strafverfolgungsbehörden informieren, wenn sie einem Angriff zum Opfer fallen. Forensiktechniker können dann sicherstellen, dass die Systeme nicht auf andere Weise kompromittiert werden, Informationen sammeln, um Unternehmen in Zukunft besser zu schützen, und versuchen, die Angreifer ausfindig zu machen.
Manchmal bieten Sicherheitsforscher Entschlüsselungscodes an, die Dateien kostenlos freischalten können. Diese sind jedoch nicht immer verfügbar und funktionieren nicht bei jedem Ransomware-Angriff.
Wenn Unternehmen bewährte Verfahren befolgen und System-Backups gepflegt haben, können sie ihre Systeme schnell wiederherstellen und den normalen Arbeitsablauf wieder aufnehmen.[4]
[1] U.S. Computer Emergency Readiness Team (US-CERT), „CryptoLocker Ransomware Infections“
[2] Dan Goodin (Ars Technica). „You’re infected—if you want to see your data again, pay us $300 in Bitcoins“
[3] Ryan Naraine (SecurityWeek). „CryptoLocker Infections on the Rise“
[4] Proofpoint. „Ransomware is Big Business“
[5] US-CERT. „CryptoLocker Ransomware Infections“
[6] Proofpoint. „The Ransomware Survival Guide“