Digital
Windows

Petya, NotPetya, WannaCry und andere Erpressung-Trojaner: So schützt du dich

Petya legt Kassen in einem Supermarkt in der Ukraine lahm.
Petya legt Kassen in einem Supermarkt in der Ukraine lahm.bild: via the hacker news

Petya, WannaCry und andere Erpressungs-Trojaner schlagen zu – so schützt du dich

Nach WannaCry und Petya ist vor dem nächsten Lösegeld-Trojaner. Was PC-Nutzer jetzt tun sollten, wie sie sich vor weiteren Cyber-Attacken schützen und was zu tun ist, wenn der Verschlüsselungs-Trojaner bereits zugeschlagen hat.
28.06.2017, 13:2728.06.2017, 20:52
Mehr «Digital»

Seit Dienstag läuft eine weitere massive Malware-Attacke auf ungeschützte Windows-Computer. Die Schweiz ist wie bereits bei WannaCry nur am Rande betroffen, doch bekanntlich ist Vorsicht die Mutter der Porzellankiste.

Sicherheitsexperten nennen die neue Schadsoftware Petya oder NotPetya. Dies in Anlehnung an eine 2016 entdeckte Malware, die nach dem gleichen Prinzip ungeschützte Computer lahmlegte.

Das neue Schadprogramm Petya oder eben NotPetya infiziert fremde Computer, sperrt sie und fordert von den Opfern Lösegeld, um die Sperre aufzuheben. Microsoft hat bereits vor Monaten ein Update zur Verfügung gestellt, das die Lücke schliesst. Doch haben offenbar viele Firmen dieses Update (noch) nicht installiert.

Wer auf Nummer sicher gehen will, sollte nun die folgenden Massnahmen befolgen.

Backup, Backup, Backup

Regel Nummer 1: Erstelle von allen wichtigen Dateien (Dokumente, Fotos, Videos etc.) ein externes Backup – auf einer externen Festplatte, einem USB-Stick oder in der Cloud (Online-Speicher). Für Windows-Nutzer sind zum Beispiel die benutzerfreundlichen Cloud-Dienste von Microsoft (OneDrive) und Dropbox zu empfehlen.

Wichtig: Hängt das externe Speichermedium zum Zeitpunkt des Trojanerbefalls am PC, verschlüsselt es die Malware gleich mit. Die externe Festplatte oder der USB-Stick müssen daher nach jedem Backup vom PC getrennt werden. 

Lass die externe Festplatte oder den USB-Stick nicht am Computer, sonst wird das Backup auch verschlüsselt.
Lass die externe Festplatte oder den USB-Stick nicht am Computer, sonst wird das Backup auch verschlüsselt.bild: shutterstock

Fazit: Eine externe Festplatte per­ma­nent mit dem PC verbinden und per Backup-Programm die Daten automatisch übertragen ist zwar bequem, aber nicht sicher.

Updates, Updates, Updates

Halte deinen PC auf dem aktuellen Stand, indem du stets alle Sicherheits-Updates umgehend installierst. Das gilt für Windows selbst, aber auch für installierte Software wie Chrome, Firefox, Office, Java und natürlich den Viren-Scanner.

Veraltete Betriebssysteme und Software sind das grösste Einfallstor für Schadprogramme. Windows-10-Nutzer sind hier im Vorteil: Das Betriebssystem hat mit Windows Defender einen eigenen Viren-Scanner, der sich automatisch aktiviert und aktualisiert, wenn keine Antiviren-Software eines anderen Anbieters (mehr) installiert ist.

Viren-Scanner können neue Bedrohungen nur erkennen, wenn sie auf dem neusten Stand sind, sprich sich automatisch updaten können.
Viren-Scanner können neue Bedrohungen nur erkennen, wenn sie auf dem neusten Stand sind, sprich sich automatisch updaten können.

Wer eine veraltete Windows-Version hat, sollte auf Windows 10 wechseln. Windows 10 lädt wichtige Sicherheits-Updates automatisch herunter und fordert den Nutzer regelmässig zu deren Installation auf. Wer die Update-Meldung ignoriert, gefährdet sich und andere, da sich Schadsoftware wie Trojaner über den infizierten Computer weiter ausbreiten kann.

Das Netzwerkprotokoll SMB 1.0 deaktivieren

Wer das veraltete Netzwerkprotokoll SMBv1 nicht braucht, sollte es deaktivieren. Erpressung-Trojaner können sich über Schwachstellen in diesem Netzwerkprotokoll verbreiten. Microsoft hat zwar eine gravierende Lücke, die von Petya und WannaCry ausgenutzt wird, schon vor Monaten mit einem Sicherheits-Update geschlossen. Niemand kann allerdings ausschliessen, dass neue Erpressung-Trojaner nicht bislang unbekannte Lücken in SMBv1 ausnutzen werden.

Das veraltete Netzwerkprotokoll SMB 1.0 kann in der Systemsteuerung unter Programme sowie Windows-Features aktivieren und deaktivieren entfernt werden.
Das veraltete Netzwerkprotokoll SMB 1.0 kann in der Systemsteuerung unter Programme sowie Windows-Features aktivieren und deaktivieren entfernt werden.

Sicherheits-Basics

  • Auch Verschlüsselungs- oder E-Banking-Trojaner fängt man sich meist über Dateianhänge in E-Mails oder präparierte Links ein. Oft stecken Trojaner in angeblich wichtigen Mitteilungen von Behörden (Gericht, Polizei) oder Rechnungen bekannter Firmen wie Swisscom. Wer auf Nummer sicher gehen will, fragt beim Absender telefonisch nach, ob er diesen Anhang wirklich geschickt hat. Verdächtige Anhänge sollte man vor dem Öffnen mit einem Online-Scanner wie VirusTotal prüfen oder gleich löschen.
  • Achte darauf, dass Microsoft Office keine Makros ausführt. Standardmässig ist bei Word, Excel und Co. die Option «Alle Makros mit Benachrichtigung deaktivieren» gewählt. So wird das automatische Ausführen von Makros verhindert. Öffnet man ein Dokument, das Makros enthält, kann man die Ausführung manuell über eine gelbe Informationsleiste oberhalb des Dokuments aktivieren, wenn man ganz sicher ist, dass das Dokument ungefährlich ist.
    Wie man Makros ganz deaktiviert, beschreibt Microsoft auf dieser Webseite.
  • Benutze zum Betrachten von PDFs am besten einen PDF-Reader wie Sumatra PDF, der keine Skripte ausführt. Alternativ können auch Webbrowser PDFs anzeigen.
  • Lasse nie Unbekannte «zu Wartungszwecken» aus der Ferne auf deinen PC zugreifen. Microsoft meldet sich nie direkt bei einem privaten Kunden, um ihn etwa vor einem Malware-Befall zu warnen. Microsoft warnt die Internet-Provider, die Malware so direkt auf ihren Servern herausfiltern können.

Wenn der Lösegeld-Trojaner zugeschlagen hat

Wenn Petya zuschlägt, sieht man zuerst dieses Fenster: Es kündigt einen Neustart in weniger als einer Minute an.

Bild

Beim Neustart meldet der Computer mit einem schwarzen Fake-Screen, dass die Festplatte überprüft werden müsse. In Wirklichkeit verschlüsselt Petya in dieser Zeit den PC.

Wer den PC jetzt ausschaltet, kann die Verschlüsselung verhindern.
Wer den PC jetzt ausschaltet, kann die Verschlüsselung verhindern.

Sind die wichtigen Bereiche verschlüsselt, zeigt der Trojaner die Meldung an: «Ooops, your important files are encrypted.»

Bild

Will der PC aus heiterem Himmel neu starten und die Festplatte überprüfen, sollte man ihn sofort ausschalten (Stromkabel ziehen) und ausgeschaltet lassen. Oft lassen sich Dokumente und Fotos nun wieder herstellen. Hierzu startet man Windows ausschliesslich von einem boot-fähigen USB-Stick oder einer DVD. Das System inklusive wichtiger Dokumente oder Fotos kann so als Image auf einer externen Festplatte gespeichert werden.

Wer sich damit nicht auskennt, lässt sich am besten von Experten beraten. Den PC sollte man auf keinen Fall wieder einschalten, bevor die Daten auf einem externen Speichermedium in Sicherheit sind.

Auf keinen Fall sollte man das Lösegeld bezahlen. In vielen Fällen tauchen früher oder später Entschlüsselungs-Programme auf, um auch ohne Bezahlung wieder an die Daten zu gelangen.

Tipps für Unternehmen

Von der neuen Cyber-Attacke sind aktuell sechs Schweizer Unternehmen betroffen. Damit scheint sich Petya bei uns nicht schneller auszubreiten als frühere Trojaner. Dies dürfte damit zusammenhängen, dass in der Schweiz fast nur offizielle Windows-Versionen genutzt werden, die offenbar meist auf einem aktuellen Stand sind. Dies im Gegensatz zu Russland, Ukraine oder China, wo sehr viele veraltete und raubkopierte Windows-Versionen im Einsatz sein dürften, die vermutlich nie Sicherheits-Updates erhalten.

Für Unternehmen empfiehlt die Melde- und Analysestelle Informationssicherung (MELANI) des Bundes zusätzlich zu den oben genannten Massnahmen Folgendes:

  • Sie können den Schutz Ihrer IT-Infrastruktur vor Schadsoftware (wie Beispielsweise Ransomware) durch die Verwendung von Windows AppLocker zusätzlich stärken. Durch den Einsatz von Windows AppLocker können Sie definieren, welche Programme auf den Computern in Ihrem Unternehmen ausgeführt werden dürfen.
  • Durch die Verwendung des Microsoft Enhanced Mitigation Experience Toolkit (EMET) können Sie verhindern, dass sowohl bekannte wie auch unbekannte Sicherheitslücken in Software, welche in Ihrem Unternehmen eingesetzt werden, ausgenutzt und beispielsweise für die Installation von Schadsoftware (Malware) verwendet werden kann.
  • Blockieren Sie den Empfang von gefährlichen Email-Anhängen auf Ihrem E-Mail-Gateway. Die potenziell gefährlichen Anhänge werden hier aufgeführt.
  • Abuse.ch publizierte Anfang März 2016 einen Ransomware-Tracker, welcher mehrere Ransomware-Familien erkennt, und stellt so genannte «Blocklists» zur Verfügung, welche von jedem Internet-User verwendet werden können.
  • Stellen Sie sicher, dass gefährliche E-Mail-Anhänge auch dann blockiert werden, wenn diese in Archiv-Dateien wie Beispielsweise ZIP, RAR oder aber auch in verschlüsselten Archive-Dateien (z.B. in einem passwortgeschützten ZIP) an Empfänger in Ihrem Unternehmen versendet werden.
  • Zusätzlich sollten sämtliche E-Mail-Anhänge blockiert werden, welche Makros enthalten (z.B. Word-, Excel- oder PowerPoint-Anhänge, welche Makros enthalten).

Weitere Tipps finden Unternehmen im Merkblatt IT-Sicherheit für KMUs.

Nordkoreas berüchtigte Hacker – so arbeitet die Lazarus Group

1 / 24
Nordkoreas berüchtigte Hacker – so arbeitet die Lazarus Group
Die Lazarus Group schlägt weltweit zu...
Auf Facebook teilenAuf X teilen
DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.
Das könnte dich auch noch interessieren:
24 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
24
So verändert KI das Vorgehen von Tätern, die pädokriminelle Inhalte erstellen

Künstliche Intelligenz (KI) verändert die Erstellung von pädokriminellem Material, umgangssprachlich Kinderpornografie genannt: «Die KI-Täter passen weniger in das klassische Täterprofil, das wir bisher kannten», sagte Regula Bernhard Hug, Leiterin der Geschäftsstelle beim Kinderschutz Schweiz.

Zur Story