Schutzmaßnahmen gegen WannaCry und Co.
Obwohl von der Urfassung von WannaCry keine akute Gefahr mehr ausgeht, dürfen sich Windows-Nutzer dennoch nicht entspannen. Noch vor wenigen Tagen wurden neue Versionen des Erpressungstrojaners gesichtet, die sich nach Aufbau einer Netzverbindung nicht mehr automatisch schlafen legen.
Restrisiko für ältere Windows-Versionen
Wer noch Rechner mit Windows 8.0 oder gar Windows XP verwendet, der darf diese nicht ans Netz lassen. Auch nicht an das lokale Netz. Der erste Schritt sollte sein, den Sicherheits-Patch von Microsoft über einen USB-Stick offline einzuspielen. In einem LAN mit anderen potenziell verseuchten Rechnern sollten Sie als nächstes alle eingehenden Verbindungen blockieren. Dies ist mit einer Blockierung aller eingehenden Verbindung mit Firewall-Regeln zu bewerkstelligen.
Es ist zu befürchten, dass andere Erpresser durch WannaCry auf den Geschmack kommen und ihre Trojaner ebenfalls in Wurm-Form programmieren. Dabei setzen sie möglicherweise auf weitere Sicherheitslücken. Deshalb reicht es auch nicht, die von WannaCry zur Weiterverarbeitung verwendeten Ports (445/139 sowie 3389) zu sperren.
Die Sicherheits-Basics
Das System ist stets auf dem aktuellen Stand zu halten, indem alle Sicherheits-Updates umgehend eingespielt werden. Im Zweifelsfall sollte in den Windows-Update Einstellungen nachgesehen werden, ob womöglich ein Neustart für eine Update-Installation notwendig ist.
Stellen Sie sicher, dass Ihr Virenschutz auf dem aktuellen Stand ist. Zwar fallen auch Virenscanner gelegentlich durch Sicherheitslücken auf, aber ein Verzicht auf Virenschutz ist keine Lösung. Der von Microsoft bereitgestellte Windows Defender ist hier das Minimum.
Backups bleiben weiterhin alternativlos. Dabei sollten Sie darauf achten, dass Sie diese Daten auf einem externen Speichermedium sichern. Hängt das Medium zum Zeitpunkt des Trojanerbefalls am Rechner, verschlüsselt die Malware es gleich mit. Deshalb muss es nach der Sicherung umgehend abgemeldet und ausgeschaltet werden. Die wichtigsten Daten sollten auf einen USB-Stick passen, größere Datenmengen können auf einer externen Festplatte gesichert werden.
Hygienemaßnahmen
Verdächtige Dateianhänge dürfen keinesfalls geöffnet werden. Auch wenn Mails von Ihnen bekannten Adressen stammen, bietet das keine Sicherheitsgarantie. Womöglich ist der Absender gefälscht oder dessen Rechner wurde kompromittiert. Oft stecken Trojaner in angeblichen Rechnungen.
Achten Sie darauf, dass Microsoft Office keine Makros ausführt. Benutzen Sie zum Betrachten von PDFs einen PDF-Reader, der keine Skripte ausführt.
Starten Sie keine ausführbaren Dateien, die Ihnen nicht hundertprozentig vertrauenswürdig erscheinen. Überprüfen Sie deren Status sicherheitshalber mit einem Online-Scanner.
Lassen Sie keine Unbekannten „zu Wartungszwecken“ aus der Ferne auf Ihren Rechner zugreifen. Microsoft ruft keine Anwender aus heiterem Himmel an, um sie vor einem Malware-Befall zu warnen.
Daten in Sicherheit bringen
Wer einen potenziell verwundbaren Rechner im Computer-Fuhrpark hat, sollte ihn nach Möglichkeit ausgeschaltet lassen, vom Netz trennen und sofort eine Offline-Sicherung des Systems und aller wichtigen Daten vornehmen. Offline heißt in diesem Fall: Der Rechner darf nur von einem bootfähigen USB-Stick oder einer CD/DVD mit einem Backup-Programm oder Imager. Sichern Sie als Image auf einer externen Platte und alle essenziellen Dateien auf ein zweites Medium.
Wer seinen potenziell verwundbaren Rechner trotzdem einschalten möchte, sollte ihn zumindest vom Netz trennen. Für drahtlos angebundene Notebooks sollten Sie am Router das WLAN ausschalten, entweder per Knopf oder über die Verwaltungsoberfläche. Wer das WLAN für andere Geräte braucht, vergibt ein neues Kennwort, um das verletzliche Notebook gezielt auszuschließen. Bei Notebooks mit UMTS/LTE-Modem ist die SIM-Karte herauszunehmen.
Vorbeugung
Richten Sie regelmäßig externe Backups ein, deren Rhythmus sich nach der Wichtigkeit der Dateien richtet. Essenzielle Dateien werden stündlich oder täglich gesichert, wichtige Dateien ein bis dreimal pro Woche und die Systempartitionen ein bis zweimal im Monat.
Was Befallenen übrig bleibt
Wer von WannaCry oder einem anderen Erpressungstrojaner heimgesucht wurde, sollte sofort seinen Rechner ausschalten. Am besten durch Unterbrechung der Stromzufuhr. Dann kappen Sie alle Netzverbindungen. Als nächstes legen Sie über ein externes Boot-Medium ein Image des Systems an.
Bei den ersten Erpressungstrojanern ließen sich die Dateien häufig wieder über Tools von wohlmeinenden Hackern entschlüsseln. Doch auch malware-Entwickler sind lernfähig. Bei neueren Trojanern ist die Verschlüsselung oft so wasserdicht, dass nur ein mit viel Mühe entwickelter Decryptor oder ein Entgegenkommen der Erpresser die Daten wieder freigeben kann. Bis dahin können Tage und Wochen ins Land gehen. Womöglich bleiben die Daten auch dauerhaft verschlüsselt.
Einfaches Einspielen von System-Backup möglich
Wer ein System-Backup hat, kann es auch einfach wieder, wie oben beschrieben, einspielen. Ohne Backup ist es möglich, zu versuchen die vom Trojaner gelöschten Originaldateien mit einem Wiederherstellungswerkzeug wie Autopsy, PhotoRec oder Recuva wiederherzustellen. Allerdings gibt es hier keine Garantie, dass das klappt.
Eine vollständige Beseitigung des Schädlings gestaltet sich eher schwierig. Selbst nach einer erfolgreichen Desinfektion durch einen externen Virenscanner herrscht ein erhebliches Risiko, dass Reste der Malware zurückbleiben und der Rechner bei nächster Gelegenheit wieder infiziert wird. Hier bleibt nur: Festplatte formatieren oder austauschen, das System und alle genutzten Anwendungen neu installieren. Ein Austausch hat den Vorteil, dass Sie sich das System-Image sparen können, weil das befallene Windows auf der ausgebauten Festplatte weiter existiert.
Die incoperating als Ansprechpartner bezüglich IT-Sicherheit
Wenn Sie allgemeine Fragen zum Thema WannaCry oder Ransomware allgemein haben, können Sie uns gerne per E-Mail kontaktieren oder uns anrufen. Als IT-Dienstleister in München ist die incoperating der richtige Ansprechpartner bezüglich IT-Sicherheit, IT-Support, Firewalls, Software etc. Mit den Firewalls unseres Partners Sophos haben Sie den Datenverkehr in Ihrem Unternehmen immer unter Kontrolle und können unbefugte Zugriffe auf Ihre IT-Infrastruktur unterbinden. Auch in den Bereichen Anti-Vir und Anti-Spam allgemein sowie Hackangriffen, Benutzerverwaltung, Berechtigungsmanagement und allen anderen Punkten der IT-Sicherheit ist die incoperating mit ihrem Leistungsportfolio vertreten. Kostenlose und unverbindliche Erstberatungstermine verschaffen Ihnen ein genaues Bild von uns. Gleichzeitig lernen Sie die incoperating so näher kennen und haben dabei auch die Möglichkeit, die Servicedetails und Vertragsmöglichkeiten kennenzulernen und zu besprechen.
Originalartikel: https://www.heise.de/newsticker/meldung/WannaCry-Co-So-schuetzen-Sie-sich-3714596.html