Kryptotrojaner (Verschlüsselungstrojaner)

In den letzten Monaten hat die Verbreitung sogenannter Kryptotrojaner massiv zugenommen und auch an der GU sind erste Fälle solcher Infektionen aufgetreten. Ein Kryptotrojaner verschlüsselt nach Infektion Dateien auf allen verfügbaren Laufwerken mit einem starken Algorithmus, der ohne Schlüssel nicht zu brechen ist. Der Schlüssel wird zu den Angreifern hochgeladen, lokal gelöscht und gegen Lösegeld zur Verfügung gestellt. Ohne diesen Schlüssel kann auf die so verschlüsselten Dateien nicht mehr zugegriffen werden. Das heißt, die Inhalte dieser Dateien sind zwar noch grundsätzlich vorhanden, aber der originäre Besitzer hat keine Möglichkeiten an die Dateien dran zu kommen oder sie zu öffnen. Nur in Einzelfällen ist die Schadsoftware schlecht programmiert und es tauchen Entschlüsselungstools für einen spezifischen Typ im Netz auf, mit denen die Daten auch ohne Zahlung wieder entschlüsselt werden können.

Verbreitung

Die Verbreitung von Trojanern aller Art erfolgt momentan in den meisten Fällen durch Öffnen von E-Mail-Anhängen, die getarnte Schadsoftware enthalten, oder durch den Besuch von infizierten Webseiten. Dabei werden verschiedenste Mechanismen ausgenutzt um den Rechner zu infizieren.

Die Bandbreite reicht dabei von Fenstern, die die Nutzer unter Vorgabe falscher Tatsachen zur Ausführung eines Programms oder das schlichte Klicken auf einen Button bringen wollen, bis zur Nutzung von Schwachstellen in Programmen oder dem Betriebssystem. Diese Sicherheitsschwachstellen werden dabei oft sehr schnell ausgenutzt, so dass noch keine Updates der Hersteller existieren, die den Fehler beheben. Es wird oft auch versucht veraltete Systemen anzugreifen, bei denen bereits existierenden Updates nicht oder nicht richtig angewendet worden sind.

Die Webseiten, die infiziert werden, sind meistens normale unverdächtige Seiten. Die Schadsoftware wird hier oft eingebunden, indem der Webserver selber erfolgreich angegriffen wurde. Diese Angriffe haben oft nur den Zweck eine Basis für Infektionen von Clientcomputern zu schaffen und werden dadurch oft relativ spät durch die Administratoren der Serversysteme bemerkt. Ein weiterer Angriffspunkt ist Werbung auf Webseiten, die meistens nicht direkt vom Anbieter der Webseiten bereitgestellt werden. Eine einzelne Webseite enthält oft Werbung aus unterschiedlichen Quellen und viele Werbeanbieter haben keine ausgefeilten Prüfungsmechanismen für die Werbung, die sie anbieten.

Wenn ein infizierter Mailanhang geöffnet wird, startet im Hintergrund die Installation von Schadsoftware. Die aktuellsten Virenscanner erkennen die Schadsoftware dabei oft nicht. Bei einigen Varianten von Kryptotrojanern werden die befallenen Rechner sogar genutzt um die Schadsoftware weiterzuverbreiten, indem automatisch E-Mails an das gesamte Adressbuch versendet werden.

Nutzer müssen daher vor dem Öffnen eines E-Mail-Anhangs überlegen, ob ein Bekannter tatsächlich eine solche E-Mail verschicken würde. Häufig wird die Schadsoftware auch über gefälschte Rechnungen von Dienstleistern verbreitet. In beiden Fällen sollten Nutzer im Zweifelsfall persönlich nachfragen. Generell sollten auf keinen Fall Nachrichten von unbekannten Absendern geöffnet werden.

Schutz- und Gegenmaßnahmen

Einen hundertprozentigen Schutz gegen diese Gefährdungen gibt es leider nicht. Um die Risiken jedoch weitgehend einzuschränken, sind folgende Maßnahmen sinnvoll:

1)      Regelmäßige Installation sämtlicher verfügbarer Sicherheitsupdates bei Betriebssystemen und verwendeten Programmen (z.B. Internet-Browser, Office, Flash Player, Adobe Reader, Java, usw.)

2)      Regelmäßige Aktualisierung des Virenschutzprogramms. Das Rechenzentrum empfiehlt Sophos als Anti-Virus-Software http://www.rz.uni-frankfurt.de/45663375/Sophos

3)      Firewall nicht ausschalten. Diese ist in den Betriebssystemen bereits integriert und soll den Rechner vor Angriffen von außen schützen. Dazu kontrolliert die Firewall alle Verbindungen des Rechners in andere Netzwerke und überprüft sowohl die Anfragen ins Internet als auch die Daten, die aus dem Internet an den Rechner gesendet werden.

4)      Für den Zugriff auf das Internet darf ausschließlich ein Benutzerkonto mit eingeschränkten Rechten benutzt werden, keinesfalls ein Administrator-Konto. Ein Administrator-Konto sollte nur zur gezielten Softwareinstallation genutzt werden. Die Gefahr einer Infektion ist bei einem Benutzerkonto aufgrund der eingeschränkten Berechtigungen entscheidend verringert.

5)      Nicht automatisch auf jeden Link oder jeden Dateianhang klicken, der per E-Mail gesendet wird. Immer zunächst nachdenken ob Anhang und Inhalt plausibel sind und gegebenenfalls aktiv per Mail oder Telefon nachforschen.

6)      Software und Programme sollen möglichst ausschließlich aus vertrauenswürdigen Quellen bezogen werden. Diese Quellen sind zum Beispiel die Webseiten namhafter Hersteller oder Softwarearchive von großen bekannten Webseiten (z.B. www.heise.de).
Bei Treffern von Suchmaschinen sind Teile der ersten Ergebnisse  nicht vertrauenswürdige Seiten, bei denen Schadsoftware mit der gewünschten Software zusammen installiert wird.
Eine unbedachte Nutzung von Suchmaschinenergebnissen kann so direkt zu einer Infektion des Rechners führen.

7)      Domänen-Benutzer sollen ihre wichtigen Daten ausschließlich auf dem Home-Laufwerk bzw. auf den Gruppenlaufwerken (Netzwerklaufwerken) der Domäne speichern. Alle Daten auf den Domänen-Laufwerken des Hochschulrechenzentrums (HRZ) werden täglich durch den zentralen Backup-Service des Rechenzentrums gesichert.

8)      Regelmäßige Datensicherung auf ein externes Speichermedium, beispielsweise eine USB-Festplatte oder einen USB-Speicherstick. Die Datensicherung muss getrennt vom Computer an einem geschützten Ort aufbewahrt werden. Wenn ein Sicherungsdatenträger zum Zeitpunkt einer Infektion mit dem Rechner verbunden ist, wird er genauso verschlüsselt wie die Daten auf dem Rechner.

Richtiger Umgang im Falle einer Infektion

Das BSI (Bundesamt für Sicherheit in der Informationstechnik) rät grundsätzlich davon ab, auf die Lösegeldforderungen einzugehen. Die Dateien oder Programme werden in vielen Fällen trotz Bezahlung nicht entschlüsselt.

Nutzer sollten beim Auftreten von Lösegeldforderung in Bilddateien oder auf dem Bildschirm oder beim Fund von verschlüsselten Dateien (unerwartete Dateiname, unerwartete Dateiendung, Buchstabensalat in Dateinamen oder Dateien, die sich in großer Anzahl nicht öffnen lassen) das System sofort ausschallten, vom Netz trennen und die zuständigen IT-Verantwortlichen informieren. Die IT-Verantwortlichen können das System analysieren und entscheiden welche Maßnahmen zu ergreifen sind.

In vernetzten Systemen ist es vor allem wichtig sicherzustellen, ob die Schadsoftware auch auf anderen Systemen aktiv ist. Die Fähigkeiten der Trojaner werden stetig weiterentwickelt, und auch wenn an der Universität bisher noch keine Mechanismen beobachtet wurden, mit denen sich die Infektion von Rechner zu Rechner verbreiten kann, ist in der nächsten Zeit damit zu rechnen, dass solche Fälle häufiger werden.

Auch im privaten Bereich sollte man bei Verdacht auf den Befall durch einen Trojaner eine Person hinzuziehen, der sich in dieser Thematik gut auskennt. Da dort Datensicherungen häufig nicht so professionell und häufig durchgeführt werden, wie in einer Arbeitsumgebung, ist dort die Wahrscheinlichkeit sehr groß das eine Infektion zu einem dauerhaften Datenverlust führt.

Wenn eine Trojanerinfektion stattgefunden hat oder ein begründeter Verdacht dafür besteht, bieten die Bereinigungsfunktionen der gängigen Antivirusprogramme leider nie 100% Sicherheit. Ein Rechner kann im Anschluss an eine Bereinigung nicht wieder als vertrauenswürdig betrachtet werden. Um sicherzugehen hilft nur eine komplette Neuinstallation des Betriebssystem und Aufspielen des Daten-Backups.