Was ist Cryptolocker? Was tun gegen Cryptolocker?

Home » Knowledge Base » Cryptolocker Ransomware

Bei einem Cryptolocker handelte es sich um einen polymorphen Virus, mit dem Cybererpresser Computersysteme verschlüsselten. Nur gegen die Zahlung eines Lösegeldes hatten Betroffene zum damaligen Zeitpunkt die Möglichkeit, ihre Daten mit einem einzigartigen Schlüssel zu entschlüsseln.

Hierzu wurde eine Frist zur Zahlung des Lösegeldes festgelegt. Wenn die Frist abgelaufen war und das Lösegeld nicht gezahlt wurde, erfolgte die Löschung des speziellen Schlüssels des Cryptolocker . Die Daten wurden dann unwiderruflich verschlüsselt. Wichtige Dokumente waren somit für immer verloren.

Cryptolocker konnten über zwei Wege auf den Computer gelangen. Als Einfallstor kamen primär E-Mails und Webseiten in Frage. Im elektronischen Postfach erhielten Nutzer einen infizierten Dateianhang. Dies konnte eine komprimierte Zip- oder Rar-Datei, ein Word-Dokument oder ein Bild – in Form eines Jpeg‘s – sein. Als Absender gaben sich die Angreifer als staatliche Einrichtung, Online-Händler, Bewerber oder Geschäftspartner aus.
 
Erfolgte der Angriff mit einem Cyptolocker über eine Webseite, wurden die polymorphen Virenbeispielsweise über ein vorgeschobenes Update heruntergeladen. Dies geschah in der Regel über Java-Script oder den Acrobat Reader. Dabei bestand die Möglichkeit, Opfer eines Cryptolocker-Angriffs zu werden, bereits dann, wenn ein Nutzer einem weiterführenden Link folgte, infizierte Dateien versehentlich auf die Festplatte gelangten oder diese sogar geöffnet wurden. Das Tückische daran war, dass man als Nutzer aktiv davon nichts mitbekam. Das bedeutete, dass die Dateien im Hintergrund unbemerkt verschlüsselt wurden. War dieser Vorgang abgeschlossen, tauchte ein Hinweis- bzw. ein Popupfenster auf dem Desktop auf. Dort waren die Zahlungsmodalitäten für das Lösegeld aufgeführt.

Warum Sie bei einem Cryptolocker-Angriff generell nicht zahlen sollten

Das Problem dabei war, dass auch nach Zahlung des Lösegeldes, den Opfern der Cryptolocker, der Zugriff auf ihre Dateien häufig verwehrt blieb.  Aus diesem Grund raten Behörden und IT-Experten grundsätzlich dazu, kein Lösegeld an die Cyberkriminellen zu bezahlen.

Wie der Angriff durch einen Cryptolocker Virus zu verhindern gewesen wäre

Im Nachfolgenden erhalten Sie sinnvolle Tipps, wie Unternehmen sich zielgerichtet vor dem Cryptolocker Virus hätten schützen können. Folgende Präventivmaßnahmen wären bei einem Angriff durch den Cryptolocker Virus empfehlenswert gewesen:

3 Möglichkeiten sich vor Crypto Ransomware zu schützen

1. Sicherungen

Gerade Unternehmen hätten darauf achten sollen, in regelmäßigen Intervallen ihre Daten zu sichern. Kurze Backup-Intervalle wären dabei sinnvoll gewesen. Hingegen wäre es wenig zielführend gewesen, die Daten lediglich einmal im Monat zu sichern. Die Abstände hätten sich lediglich auf wenige Tage beschränken sollen. So hätten die Betroffenen der Cryptolocker auf ihre Sicherungen zurückgreifen und ihre Daten ohne größere Verluste wiederherstellen können. Bei diesem Schritt wäre allerdings zu beachten gewesen, dass die Backups auf einem physikalisch unabhängigen Laufwerk hätten gesichert werden müssen. So wäre beispielsweise eine USB-Festplatte nicht ausreichend gewesen.

2. Updates

Nicht nur in Bezug auf Cryptolocker, sondern auch auf andere Ransomwarearten, besitzen folgende Empfehlungen auch heute noch ihre Gültigkeit: Halten Sie Ihre Systeme im Unternehmen stets auf einem aktuellen Stand. Dies gilt für Aktualisierungen Ihres Betriebssystems sowie Ihrer Sicherheitssoftware. Erkundigen Sie sich regelmäßig bei Ihrem Anbieter nach Updates. Die meisten Softwarehersteller veröffentlichen Ihre Updates auf einer speziellen Webseite oder informieren Ihre Kunden direkt über die Applikation bzw. per E-Mail über Aktualisierungen.

3. Hornetsecurity Advanced Threat Protection (ATP) als IT-Security Service

Mit dem Service Advanced Threat Protection (ATP) erhalten Sie ein umfangreiches IT-Sicherheitskonzept, welches vielschichtige Angriffe, wie beispielsweise CEO-Fraud, Spear-Phishing, Whaling und sogar Ransomware, erkennt. Hornetsecurity Advanced Threat Protection (ATP) wehrt diese speziellen Angriffe ab. Sobald eine schadhafte E-Mail Ihren Posteingang passieren möchte, erfolgt die Abwehr und Sie erhalten entsprechende Detailinformationen zu dem Angriff auf Ihr Unternehmen.

Schutz vor Cryptolockern

Insbesondere bei der bereits geschilderten Ransomware-Attacke wären Sie mit Hornetsecurity Advanced Threat Protection (ATP) optimal abgesichert gewesen. Wie die vergangenen Jahre gezeigt haben, handelt es sich vor allem bei Epressungstrojanern um eine nicht zu unterschätzende Bedrohung aus dem Bereich der Cyberkriminalität. Für die Entdeckung von diesen komplexen Angriffsformen greift Hornetsecurity Advanced Threat Protection (ATP) auf eine Sandbox-Analyse-Engine zurück.

In der Praxis bedeutet das Folgendes: Sobald der Nutzer einenn E-Mail-Anhang öffnen möchte, wird die beigefügte Datei erst einmal genau in einer geschützten Systemumgebung analysiert. Sollte es sich im nächsten Schritt tatsächlich um einen positiven Malware-Anhang handeln, wird dieser durch den Filter abgefangen bzw. geblockt. Die Freezing-Engine hält derartige E-Mails erst einmal zurück bzw. „friert“ sie sozusagen ein. Sobald die Signaturen für die Filter einer Aktualisierung unterzogen wurden, erfolgt ein neuer Scan der zurückgehaltenen Datei. So hätte ein Cryptolocker in den Unternehmen keine Chance gehabt.

CEO-Fraud, Whaling und Phishing

Die Intention vieler Angreifer ist das Abgreifen von personenbezogenen Daten, wie z.B. Kreditkarteninformationen und Logindaten (Whaling und Phishing). Aber auch in finanzieller Hinsicht lohnen sich die Cyberangriffe für die Täter. So wird durch CEO-Fraud versucht, gezielt Mitarbeiter dazu zu bewegen, Gelder unter einem Vorwand auf Auslandskonten zu überweisen. Diese Form ist auch als „Chef-Masche“ bekannt. Dabei gab es durchaus schon Fälle, wo Unternehmen um mehrere Millionen Dollar erleichtert wurden. Mitarbeiterbedingte Kündigungen, die in diesem Zusammenhang stehen, sind dabei keine Seltenheit.
 
Wo herkömmliche IT-Sicherheitsmechanismen versagen, liefert Hornetsecurity Advanced Threat Protection (ATP) eine nachhaltige Lösung für Unternehmen. Die Analyse einer bestimmten unternehmensinternen Kommunikationsstruktur deckt Unregelmäßigkeiten auf und unterbindet diese durch Identity Spoofing.

Blended Attacks

Weiterhin sichert Hornetsecurity Advanced Threat Protection (ATP) Ihr Unternehmen zuverlässig gegen Blended Attacks ab. Bei dieser Form nutzen die Cyberkriminellen gleich mehrere Vektoren, um einen Angriff durchzuführen. Recht beliebt bei den Angreifern sind PDF-Dateien oder Microsoft-Dokumente, die der E-Mail als Anlage beigefügt sind und Links zu Drive-by-Downloads aufweisen. Gegen Blended Attacks nutzt Hornetsecurity Advanced Threat Protection (ATP) die nachfolgenden Engines: URL-Scanning, URL-Rewriting, Sandboxing und Freezing. So wären Sie als Unternehmen zuverlässig geschützt.

Ist auch Ihr Unternehmen von Cyberangriffen betroffen?

Die Spy-Out-Forensic-Engine dient insbesondere der Mustererkennung bei Spähangriffen. Dies ist von besonderer Bedeutung. Denn laut einer aktuellen Erhebung des Digitalverbandes Bitkom (Stand: 21. Juli 2017) waren zwischen 2015 und 2017 knapp 53 % aller Unternehmen in Deutschland von Datenklau, Industriespionage und Sabotagevorfällen betroffen. Insgesamt gab es einen eklatanten Anstieg von Angriffen dieser Art um 2 %. Aus diesem Grund bietet Hornetsecurity Advanced Threat Protection (ATP) Unternehmen eine nachhaltige Lösung an, um den Klau von sensiblen Informationen und Daten frühzeitig zu erkennen und einzudämmen.

Besuchen Sie unsere Wissensdatenbank

Hat Ihnen unser Beitrag aus der Wissensdatenbank zum Thema Cryptolocker gefallen? Dann gelangen Sie hier zur Übersichtsseite unserer Wissensdatenbank. Dort erfahren Sie mehr über Themen, wie IT-SicherheitSocial EngineeringCrypto MiningDDoS-AttackenKryptographiePhishingBrute-Force-AngriffeGoBD, Trojaner, und Ransomware.