Sicherheitswarnung: Gefahr durch E-Mails mit Erpressungstrojaner
Was sind Erpressungstrojaner?
Erpressungstrojaner - auch Ransomware genannt - verschlüsseln Daten auf Ihrer Festplatte, angeschlossenen Laufwerken, wie z.B. USB-Sticks und angebunden Netzlaufwerken, wie z.B. dem NAS-Filer oder auch Sync&Share-Ordner, falls dieser verfügbar ist. Sie haben dann keinen Zugang mehr zu Ihren Daten. Die Kriminellen hinter den Erpressungstrojanern fordern anschließend ein in Bitcoin (elektronische Währung) zu zahlendes Lösegeld. Anderenfalls sind die Daten in den meisten Fällen verloren. Wenn Sie viel Glück haben, haben die Kriminellen gepfuscht und die Verschlüsselung ist knackbar, darauf sollten Sie allerdings nicht setzen. Als Alternative bliebe das Bezahlen, allerdings raten wir davon dringend ab! Weiter unten finden Sie vorbeugende Maßnahmen, die Sie unbedingt treffen sollten, damit Ihre Daten im Fall einer Infektion nicht verloren sind. Übrigens: Erpressertrojaner gibt es für alle Plattformen, sogar für Smartphones (Android)!
Verbreitungsweg
Derzeit sind vermehrt E-Mails mit als Rechnung, Fax oder eingescanntem Bild (wie es viele Drucker heute tun) getarnten Anhängen im Umlauf. Häufig sind Office-Dokumente oder ZIP-Dateien angehängt, aber auch Links auf schadhafte Webseiten können die Verschlüsselung auslösen.
Maßnahmen
Die Virenscanner des LRZ können bereits einige Erpressungstrojaner erkennen und weisen diese E-Mails ab. Leider hinken naturgemäß die Entwickler von Virenscannern den Programmierern von Schadsoftware hinterher, so dass neueste Schadsoftware unter Umständen in Ihrem Postfach landet. Deshalb haben wir hier eine wichtige Punkte für Sie zusammengestellt:
Wir bitten Sie deshalb folgende Vorsichtsmaßnahmen zu ergreifen:
Einrichten allgemeiner SPAM-Schutz
Zusätzlich zum Virenscan untersucht das LRZ E-Mails auf Anzeichen von Spam und markiert diese E-Mails.
E-Mails mit Ransomware im Anhang weisen häufig Kennzeichen von Spam auf. Damit können Sie diese Markierung für Ihren zweiten Schutzwall nutzen. Richten Sie in Ihrem E-Mailclient eine Regel ein, um Spam-E-Mails auszusortieren. Mehr hierzu unter www.it.tum.de/it-sicherheit/anleitungen/schutz-vor-unerwuenschten-e-mails/.
Backup
Machen Sie regelmäßig ein Backup (Sicherungskopie). Mehr zu den Backupangeboten des LRZ finden Sie unter www.lrz.de/services/datenhaltung/adsm/.
Sollten Sie ein Backup auf eine externe Festplatte oder einen USB-Stick machen, trennen Sie diese vom Rechner, wenn das Backup erstellt wurde, sonst kann es ebenfalls verschlüsselt werden.
Makros deaktivieren
Da sich Schadsoftware auch über Office-Dokumente verbreiten kann: Führen Sie Markos in Office-Dokumenten nur aus, wenn es sich um vertrauenswürdige Dokumente handelt. Vertrauenswürdig ist keinesfalls ein Dokument, das Sie von einem unbekannten Absender oder unaufgefordert erhalten haben.
Office hat in den aktuellen Versionen die Voreinstellung, dass Markos nicht ausgeführt werden sollen. Belassen Sie es bei dieser Voreinstellung.
Ohne Adminrechte arbeiten
Arbeiten Sie an Ihrem Rechner nie mit Administratorrechten. Schadsoftware kann so noch mehr Schaden verursachen.
Sicherheitsupdates
Spielen Sie Sicherheitsupdates zeitnah ein.
Virenscanner
Stellen Sie sicher, dass Sie einen Virenscanner installiert haben und dass er sich regelmäßig aktualisiert. Das LRZ bietet für alle Mitglieder der TUM den Sophos Virenscanner an.
Informieren Sie sich
Informieren Sie sich über den Umgang mit Phishing-Mails. In den meisten Fällen können Sie die dort verwendeten Maßnahmen auch hier anwenden: http://www.it.tum.de/it-sicherheit/glossar/phishing-mails/
Im Zweifel nachfragen
Sollten Sie bei einer E-Mail Zweifel haben, ob es sich um eine legitime E-Mail oder eine Schad-E-Mail handelt, leiten Sie die E-Mail an den TUM IT-Support (it-support(at)tum.de) weiter, dort kann die E-Mail genauer untersucht werden. Wichtige Infos hierbei sind, ob Sie ein derartiges Dokument erwarten und ob Sie den Absender kennen.
Im Schadensfall
- Gehen Sie keinesfalls auf die Forderung der Erpresser ein. Es ist nicht zu erwarten, dass Sie wieder Zugriff auf Ihre Daten erhalten.
- Ggf. gibt es Entschlüsselungstools, um Ihre Daten zu retten.
Siehe hierzu z.B. www.heise.de/security/meldung/Gratis-Entschluesselungs-Tools-nehmen-es-mit-elf-Erpressungs-Trojanern-auf-3277015.html oder auch www.nomoreransom.org - Lassen Sie Ihren Rechner neu installieren und spielen Sie ein Backup ein.
- Informieren Sie die zentrale Meldestelle für IT-Sicherheitsvorfälle der TUM über it-sicherheit(at)tum.de.
- Zusätzlich können Sie Anzeige bei der nächsten Polizeidienststelle erstatten.
Weitere Informationen
Folgende weiterführende Links haben wir für Sie zusammengestellt:
- Definition Ramsomware/Erpressungstrojaner
https://de.wikipedia.org/wiki/Ransomware - Ransomware für Android
https://blog.botfrei.de/2016/02/bka-trojaner-ransomware-fuer-android-entfernen/ - Anleitung Einrichten LRZ-SPAM-Filter
collab.dvb.bayern/spaces/TUMdocs/pages/72792258/SPAM-Filter+anlegen+Schutz+vor+unerw%C3%BCnschten+E-Mails - Backup beim LRZ
doku.lrz.de/backup-und-archivierung-10745679.html - Virenscanner vom LRZ
http://www.lrz.de/services/client-server/serverdienste/antivirus/ - Informationen über unterschiedliche Varianten von Ransomware
https://blog.botfrei.de/category/ransomware/ - Informationen über die aktuell am stärksten kursierende Ransomware
https://nakedsecurity.sophos.com/2016/02/17/locky-ransomware-what-you-need-to-know/?utm_source=Naked+Security+-+Sophos+List&utm_campaign=70bf3a85ba-Naked+Security+C&utm_medium=email&utm_term=0_31623bb782-70bf3a85ba-418422381 - Informationen zu Entschlüsselungstools
www.heise.de/security/meldung/Gratis-Entschluesselungs-Tools-nehmen-es-mit-elf-Erpressungs-Trojanern-auf-3277015.html - NoMoreRansom
www.nomoreransom.org
Unterschiedliche Stellen warnen derzeit vor betrügerischen E-Mails, die von angeblichen Job-Bewerbern kommen, aber zum eigentlichen Ziel haben, Schaden auf dem Rechner des Empfängers zu erzeugen. Konkret soll der Empfänger auf eine angebliche DropBox-Verknüpfung klicken. Tut er dies, installiert sich eine Schadsoftwarte und die Daten auf dem Rechner werden verschlüsselt. Danach wird ein Erpresserschreiben angezeigt: Nach Zahlung des geforderten Betrags soll man angebliche wieder Zugriff auf seine Daten erhalten.
Die angeblichen Bewerber-E-Mails werden hauptsächlich an Leitungsstellen und Personalverwaltungsstellen versandt.
Die E-Mails sind im Gegensatz zu vielen anderen Schad-E-Mails in sehr gutem Deutsch abgefasst, womit ein Kriterium zu Erkennung von Schad-E-Mails entfällt. Wenn man häufiger Bewerbungen erhält, ist schnell auf den Schadlink geklickt und das Missgeschick passiert.
Unterschiedliche Stellen warnen derzeit vor betrügerischen E-Mails, die von angeblichen Job-Bewerbern kommen, aber zum eigentlichen Ziel haben, Schaden auf dem Rechner des Empfängers zu erzeugen. Konkret soll der Empfänger auf eine angebliche DropBox-Verknüpfung klicken. Tut er dies, installiert sich eine Schadsoftwarte und die Daten auf dem Rechner werden verschlüsselt. Danach wird ein Erpresserschreiben angezeigt: Nach Zahlung des geforderten Betrags soll man angebliche wieder Zugriff auf seine Daten erhalten.
Die angeblichen Bewerber-E-Mails werden hauptsächlich an Leitungsstellen und Personalverwaltungsstellen versandt.
Die E-Mails sind im Gegensatz zu vielen anderen Schad-E-Mails in sehr gutem Deutsch abgefasst, womit ein Kriterium zu Erkennung von Schad-E-Mails entfällt. Wenn man häufiger Bewerbungen erhält, ist schnell auf den Schadlink geklickt und das Missgeschick passiert.