So verringern Sie eine Ransomware - Wie Man

So verringern Sie eine Ransomware

Da Ransomware-Angriffe immer zahlreicher und komplexer werden, benötigen Unternehmen eine solide, mehrschichtige Verteidigungsstrategie, mit deren Hilfe sie Angriffe blockieren und laufende Infektionen schnell aufdecken können, um die Auswirkungen auf Daten und Operationen zu begrenzen. Ein solider Dateisicherungs- und -wiederherstellungsprozess ist bei diesen Maßnahmen von größter Bedeutung.

5 Schritte insgesamt

Schritt 1: Kurzbeschreibung

 Bei einem Crypto-Ransomware-Angriff wird die Dateien eines Opfers mithilfe von verdeckt installierter Malware verschlüsselt. Anschließend wird eine Lösegeldzahlung für den Entschlüsselungsschlüssel verlangt, der zur Wiederherstellung der verschlüsselten Dateien erforderlich ist.
 Die erste bekannte Ransomware wurde 1989 geschrieben. Bis 2013 hat sich die Verwendung von Ransomware auf der ganzen Welt etabliert.

Schritt 2: Schritte im Angriff

 Der Angreifer generiert ein Schlüsselpaar und platziert den öffentlichen Schlüssel in einer Malware.
 Wenn die Malware auf einem Computer veröffentlicht wird, generiert sie einen zufälligen symmetrischen Schlüssel und verschlüsselt damit die Daten des Opfers. Es verwendet den öffentlichen Schlüssel in der Malware, um den symmetrischen Schlüssel zu verschlüsseln.
 Die Malware zeigt dem Opfer eine Nachricht mit Anweisungen zur Zahlung des Lösegelds an.
 Wenn das Opfer die elektronische Zahlung sendet, entschlüsselt der Angreifer den asymmetrischen Geheimtext mithilfe des privaten Schlüssels aus dem Schlüsselpaar und sendet den symmetrischen Schlüssel an das Opfer, der die verschlüsselten Dateien damit entschlüsselt.

Schritt 3: Wie erkennt man einen Ransomware-Angriff?

Überwachen Sie Ihre Dateiserver auf die Änderung einer großen Anzahl von Dateien in unbekannte Dateierweiterungen innerhalb kurzer Zeit. Hüten Sie sich vor Systembenachrichtigungen, die Sie nach Geld fragen, um Ihre Dateien zu entschlüsseln. Bei manchen Anfragen handelt es sich möglicherweise um falsche Anforderungen, bei denen keine Dateien verschlüsselt wurden. Beachten Sie, dass auch tatsächliche Ransomware-Angriffe nicht alle Ihre Dateien verschlüsseln.

Schritt 4: So schützen Sie die IT-Infrastruktur

 Erstellen Sie regelmäßig Sicherungskopien aller Ihrer sensiblen Daten und Systeme und speichern Sie diese offline.
 Bilden Sie Ihre Mitarbeiter so, dass sie nicht auf Phishing-Angriffe fallen, und geben Sie ihnen keine Administratorrechte für ihre Workstations.
 Halten Sie Ihre Antiviren-Datenbanken und -Software stets auf dem neuesten Stand.
 Blockieren Sie bekannte Ransomware-Erweiterungen über FSRM. Wenn Ransomware keine Dateien mit diesen Erweiterungen auf Ihrem Dateiserver erstellen kann, können Ihre Dateien nicht verschlüsselt werden.
 Nutzen Sie die Gruppenrichtlinien bestmöglich:
 Richten Sie Gruppenrichtlinien ein, um ausgeblendete Dateierweiterungen auf allen Arbeitsstationen anzuzeigen, damit Benutzer die doppelten Dateierweiterungen (z. B. dateiname.doc.exe) sehen können, die Angreifer verwenden, um Malware zu tarnen.
 Konfigurieren Sie die Application Control-Richtlinie, um alles auf eine schwarze Liste zu setzen und nur benötigte Software auf die Whitelist zu setzen.
 Konfigurieren Sie die Softwareeinschränkungsrichtlinie, sodass Benutzer nur autorisierte Erweiterungen ausführen können.
 Verwenden Sie Gruppenrichtlinien, um AutoPlay und Autorun auf allen Arbeitsstationen zu deaktivieren.
 Deaktivieren Sie entweder die Dateiverarbeitung in E-Mail-Anhängen oder isolieren Sie alle Anhänge mithilfe Ihres Spamfilters.
 Konfigurieren Sie Ihre Firewall so, dass nur die von Ihnen benötigten Ports und Hosts in die Positivliste aufgenommen werden.
 Trennen Sie Ihr Netzwerk in verschiedene Zonen mit einzigartigem Zugriff auf jede Zone.
 Minimieren Sie das BYOD-Risiko, indem Sie ein Gastnetzwerk für neue oder unbekannte Geräte erstellen.
 Beschränken Sie den Benutzerzugriff auf freigegebene Laufwerke, indem Sie NTFS-Berechtigungen über Sicherheitsgruppen zuweisen. Da Ransomware nur die Dateien verschlüsseln kann, auf die das Opfer Zugriff hat, begrenzt ein striktes Modell mit den geringsten Privilegien den möglichen Schaden.
 Überwachen Sie Ihre Dateiserver auf Spitzen in der Änderungsaktivität von Dateien.
 Behalten Sie einen vollständigen und aktuellen Bestand aller Ihrer Geräte und ihrer Netzwerkadressen bei, damit Sie die Quelle eines Ransomware-Angriffs schnell finden und sofort offline stellen können.

Schritt 5: Antworten auf einen Ransomware-Angriff

 Da Ransomware nicht alle Dateien innerhalb von Sekunden verschlüsseln kann, haben Sie möglicherweise Zeit, die Quelle zu ermitteln. Wenn Sie die Quellarbeitsstation gefunden haben, schalten Sie sie sofort offline.
 Überprüfen Sie den Namen der Ransomware. Es kann sich um alte Malware handeln, die von der IT-Community bereits geknackt wurde.
 Bezahlen Sie die Angreifer nicht. Selbst wenn Sie Ihre Daten zurückerhalten, greifen sie Sie weiterhin an und zwingen Sie, wiederholt zu zahlen.

Mit dem Netwrix Auditor für Windows-Dateiserver erhalten Sie #completevisibility für effektive Berechtigungen und ein anomales Benutzerverhalten: netwrix.com/go/trial-fs