Ransomware

Wie kommt Ransomware auf den Rechner?

Ransomware verbirgt sich häufig in Anhängen von E-Mails, meist in Word- bzw. Excel-Dokumenten oder komprimierten Dateien (ZIP). Die ZIP-Dateien können auch mit einem Passwort versehen sein. Sobald sie mithilfe des Passworts entpackt werden, kann die enthaltene Schadsoftware auf dem Gerät aktiv werden. Ransomware kann aber auch als Download von Webseiten oder über Sicherheitslücken in der Gerätesoftware auf das Gerät gelangen.

Der Großteil der erfolgreichen Angriffe findet auf individuellen Endgeräten statt, die nicht vom ZID betreut werden. Umso wichtiger ist es, dass die Nutzer*innen selbst ihr Verhalten anpassen, um ihr Gerät vor Ransomware zu schützen. Dazu gehören sowohl technische Maßnahmen, die die Basissicherheit des Arbeitsgeräts gewährleisten, als auch einige wichtige Punkte, die bei der täglichen Nutzung des Geräts zu beachten sind – allen voran eine gesunde Skepsis beispielsweise beim Lesen von E-Mails.

Technische Maßnahmen auf PC und Laptop als Basisschutz

• Achten Sie immer auf die Aktualität von Betriebssystem, Browser, E-Mail-Programm und Office Suite. Aktivieren Sie gegebenenfalls die Funktion für automatische Updates.
• Halten Sie den von Ihnen verwendeten Virenscanner aktuell und achten Sie auf etwaige Benachrichtigungen des Systems zum Virenscanner.
• Lassen Sie die mit Ihrem Betriebssystem mitgelieferte Firewall unbedingt eingeschaltet.

Tipps zum sichereren Umgang mit E-Mails

• Ist der Erhalt des E-Mails plausibel? Haben Sie vor wenigen Minuten eine Bestellung getätigt, so ist der Erhalt einer Bestellbestätigung nachvollziehbar.
• Vermittelt das E-Mail Dringlichkeit? In betrügerischen E-Mails wird oft auf rasches Handeln gedrängt. Nehmen Sie sich die Zeit, das E-Mail gründlich zu prüfen, bevor Sie handeln.
• Ist die E-Mail-Adresse des Absenders*der Absenderin plausibel? Prüfen Sie, ob die E-Mail-Adresse zum Absendenamen passt. Es ist zwar möglich, die Absendeadresse zu fälschen, in vielen Fällen machen sich Betrüger*innen diese Mühe jedoch nicht.
• Haben Sie einen E-Mail-Anhang explizit angefordert? Schadsoftware verbirgt sich oft in Anhängen. Seien Sie daher vorsichtig, wenn Sie einen Anhang erhalten, den Sie nicht angefordert haben. 
• Ist der Inhalt des E-Mails stilistisch auffällig? Wenn eine persönliche Anrede fehlt, der Text viele Rechtschreib- und Grammatikfehler enthält und Umlaute oder Sonderzeichen nicht korrekt dargestellt werden, kann das ein Hinweis auf ein betrügerisches E-Mail sein.
• Ist die Zieladresse von Links oder Schaltflächen plausibel? Bewegen Sie den Mauszeiger über den im E-Mail angeführten Link, ohne darauf zu klicken. Prüfen Sie im sich daraufhin öffnenden Tooltip-Fenster, ob die Verlinkung auf eine Seite führt, die zum Absender*zur Absenderin oder zum Kontext des E-Mails passt.
• Aktivieren Sie den Spamfilter beim Anbieter Ihrer E-Mail-Adresse (Mail-Provider) bzw. in Ihrem E-Mail-Programm. Dadurch können Sie einen Großteil der unerwünschten und gefährlichen E-Mails (Spam, Phishing, Betrugsversuche) vermeiden. Für Ihre E-Mail-Adresse der Universität Wien gibt es einen zentralen Spamfilter.
• Sollten Sie trotz korrekt konfiguriertem Spamfilter ein vermutlich mit Schadsoftware belastetes E-Mail erhalten haben, folgen Sie bitten den Hinweisen auf Mit betrügerischem E-Mail umgehen.
• Weitere Informationen zu diesem Thema finden sie auch auf der ZID-Webseite unter IT-Security – Tipps für Nutzer*innen –  E-Mail. 

Tipps, um die tägliche Arbeit am Rechner sicherer zu gestalten

• Stellen Sie stets sicher, dass Sie Software ausschließlich von vertrauenswürdigen Quellen installieren.
• Wenn Sie beim Öffnen von Office-Dokumenten zur Aktivierung von Makros bzw. aktiven Inhalten aufgefordert werden, aktivieren Sie diese nur mit Bedacht. Stellen Sie vorab sicher, dass Ihnen Absender*in und Inhalt des Dokuments bekannt und diese vertrauenswürdig sind. Seien Sie generell vorsichtig beim Öffnen von Ihnen zugesendeten Programmen, Dokumenten und Bildern sowie beim Anklicken von Links.
• Manchmal ist es nötig, Office-Dokumente mit unbekanntem Inhalt bzw. von unbekannten Personen zu öffnen. Erhöhen Sie die Sicherheit, indem Sie solche Dokumente beispielsweise mit dem kostenlos erhältlichen Programm LibreOffice öffnen. LibreOffice kann VBA-Makros in Microsoft-Office-Dokumenten, und damit auch eventuell enthaltene Computerschädlinge, nicht ausführen.
• Machen Sie in regelmäßigen Abständen ein Backup Ihrer Dateien. Achten Sie darauf, die physische Verbindung zwischen Ihrem Backup-Medium (etwa USB-Stick oder externe Festplatte) und Ihrem Computer nach der Durchführung der Sicherung zu trennen. Dies schützt Ihr Backup zuverlässig vor Zugriffen durch Schadsoftware. Nutzen Sie gegebenenfalls auch die Möglichkeit, Dateien auf dem Online-Speicherplatz des ZID abzulegen: Dieser wird regelmäßig gesichert.

Wie bemerkt man eine Ransomware-Infektion?

Sobald Ransomware mit der Verschlüsselung der Daten fertig ist, macht sie meist mit einer Lösegeldforderung auf dem Bildschirm auf sich aufmerksam. Ransomware noch davor zu bemerken ist meist schwierig. Einige Auffälligkeiten können aber dabei helfen, eine Infektion vor der vollständigen Verschlüsselung der Daten zu erkennen.

• Das Betriebssystem bzw. Ihre Antiviren-Software gibt Warnhinweise.
• Das Gerät wird plötzlich und dauerhaft ohne erkennbaren Grund langsam.
• Ungewöhnlich lange und intensive Aktivität des Gerätelüfters (Geräuschpegel) ohne Bezug zu Ihrer Tätigkeit am Gerät.
• Ungewöhnliche Dateien bzw. Dateiendungen bei den Dateien, mit denen Sie normalerweise arbeiten.

Was kann man tun, wenn man verdächtige Aktivität bemerkt?

Handeln Sie sofort, um möglichst viel Schaden zu verhindern.

• Trennen Sie den Computer vom Netzwerk.
• Fahren Sie den Computer so schnell wie möglich vollständig herunter und lassen Sie das Gerät abgeschaltet. Nutzen Sie hierfür NICHT den Ruhezustand.
• Wie bei jeder Art einer Infektion mit Schadsoftware ist eine Änderung der auf dem Gerät benutzten Passwörter dringend zu empfehlen. Bitte führen Sie die Änderung der Passwörter mit einem anderen, sicheren Gerät durch.
• Wenn möglich, führen Sie mit geeigneter fachlicher Unterstützung (etwa EDV-Beauftragte*r) eine Prüfung des Geräts bzw. Datenrettung mit einem externen Bootmedium durch.
• Um eine sichere Entfernung der Schadsoftware zu gewährleisten, ist ein Zurücksetzen auf Werkszustand bzw. eine Neuinstallation nach einem Backup der Daten zu empfehlen.
• Sollten Sie weitere Fragen haben, wenden Sie sich an Ihre*n EDV-Beauftragte*n, den ZID-Helpdesk, das IT-Security-Team des ZID oder andere qualifizierte Vertrauenspersonen.