Was nach Ransomware-Angriffen zu tun ist
Maßnahmen im Ernstfall und Tipps für Unternehmen
von Fabian Vogt - 20.05.2016
Maßnahmen nach einem erfolgreichen Angriff
- Den Computer sofort von allen Netzwerken trennen. Danach ist eine Neuinstallation des Systems und das Ändern aller Passwörter unumgänglich.
- Backup aufspielen. Wenn kein Backup der Daten vorliegt, ist es empfehlenswert, die verschlüsselten Daten zu behalten und zu sichern, damit Sie sie allenfalls später noch entschlüsseln können, sollte hierzu eine Lösung gefunden werden.
- Kein Lösegeld bezahlen! Eine Garantie für die Entschlüsselung gibt es nicht, stattdessen stärkt man damit die kriminellen Infrastrukturen.
Zusätzliche Hinweise für KMUs
- Sie können den Schutz Ihrer IT-Infrastruktur vor Schadsoftware (wie beispielsweise Ransomware) durch die Verwendung von Windows AppLocker zusätzlich stärken. Durch den Einsatz von Windows AppLocker können Sie definieren, welche Programme auf den Computer in Ihrem Unternehmen ausgeführt werden dürfen.
- Durch die Verwendung des Microsoft Enhanced Mitigation Experience Toolkit (EMET) können Sie verhindern, dass sowohl bekannte wie auch unbekannte Sicherheitslücken in Software, welche in Ihrem Unternehmen eingesetzt werden, ausgenutzt und beispielsweise für die Installation von Schadsoftware (Malware) verwendet werden kann.
- Blockieren Sie den Empfang von gefährlichen E-Mail-Anhängen auf Ihrem E-Mail-Gateway. Zu solche gefährlichen E-Mail-Anhängen zählen unter anderem: .js; .bat; .exe;.cpl; .scr; .com; .pif; .vbs; .ps1
- Stellen Sie sicher, dass solche gefährliche E-Mail-Anhänge auch dann blockiert werden, wenn diese in Archiv-Dateien wie Beispielsweise ZIP, RAR oder aber auch in verschlüsselten Archive-Dateien (z.B. in einem Passwortgeschützen ZIP) an Empfänger in Ihrem Unternehmen versendet werden.
- Zusätzlich sollten sämtliche E-Mail-Anhänge blockiert werden, welche Makros enthalten.
