![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Die letzten Wochen machten ja Erpressungstrojaner (Ransomware) wie Locky, .TRUN etc. Schlagzeilen. Virenscanner sind teilweise oder zeitweise blind und erkennen die Sch\u00e4dlinge nicht. Gibt es Schutzm\u00f6glichkeiten? Hier einmal der Versuch, bestimmte Schutzans\u00e4tze vorzustellen.<\/p>\n
<\/p>\n
Problem sind meist die Nutzer, die einfach mal einen Mail-Anhang \u00f6ffnen und oft auch noch administrative Privilegien \u00fcber die Benutzerkontensteuerung anfordern (wenn ich es richtig mitbekommen habe, war das in der Neusser-Klinik jemand von der IT, der eine solche Mail ge\u00f6ffnet hat).<\/p>\n Aber wie kannst Du dich sch\u00fctzen? Wenn Virenscanner blind sind und Brain.exe nicht funktioniert, sieht es schlecht aus. Vorab: Ich habe auch nicht die ultimative L\u00f6sung, m\u00f6chte aber Ans\u00e4tze zur Diskussion stellen, die m\u00f6glicherweise den Schaden begrenzen (ohne Anspruch auf Vollst\u00e4ndigkeit und nicht als How-To).<\/p>\n Der wohlfeile Ratschlag ist h\u00e4ufig, die Daten regelm\u00e4\u00dfig per Backup zu sichern. Das Problem: Sobald das Backup-Medium zugreifbar ist, kann die Ransomware diese Daten auch verschl\u00fcsseln.<\/p>\n Eine M\u00f6glichkeit besteht darin, Wechseldatentr\u00e4ger (z.B. USB-Festplatten) zur Sicherung zu verwenden. Die Sicherung wird Offline, also mit einem gebooteten Backup-Programm durchgef\u00fchrt und man hat darauf zu achten, dass immer neue Backup-Datens\u00e4tze auf das Sicherungsmedium geschrieben werden. Nach dem Backup ist das Sicherungsmedium physikalisch vom Rechner zu trennen. Das erfordert viel Disziplin, hilft aber, wenn pl\u00f6tzlich die Dokumente verschl\u00fcsselt sind, doch noch per Backup an die Dokumente (oder zumindest einen Teil davon) heran zu kommen.<\/p>\n AppLocker wurde von Microsoft mit Windows 7 (ab Ultimate und Enterprise, also keine Professional und Home-Editionen) eingef\u00fchrt, um die Ausf\u00fchrung unerw\u00fcnschter und unbekannter Anwendungen im Netzwerk einer Organisation (Firma, Beh\u00f6rde etc.) zu blockieren und die Sicherheit des Systems zu erh\u00f6hen. Hier mal einige Artikel rund um AppLocker.<\/p>\n AppLocker<\/a> An dieser Stelle m\u00f6chte ich aber darauf hinweisen, dass man als Administrator KB2532445<\/a> (You can circumvent AppLocker rules by using an Office macro on a computer that is running Windows 7 or Windows Server 2008 R2) ausrollen sollte, um das Loch zu stopfen. Mit AppLocker stehen Admins in Firmen also M\u00f6glichkeiten zur Verf\u00fcgung, um den Anwender von Locky & Co. zu sch\u00fctzen. Und in diesem heise.de-Forenkommentar<\/a> sind f\u00fcr Server-Admins noch einige weitere Ans\u00e4tze genannt.<\/p>\n Eine weitere M\u00f6glichkeit best\u00e4nde nat\u00fcrlich, dass man sein Windows-System so absichert, dass an Orten, wo ein Nutzer speichern kann, nichts ausgef\u00fchrt werden darf. Und dort wo der Benutzer etwas ausf\u00fchren kann, darf er nichts speichern.<\/p>\n Microsoft hat in Windows das sogenannte Safer-API eingebaut (siehe hier<\/a>), um bestimmte Funktionen beim Ausf\u00fchren externer Programme nutzen zu k\u00f6nnen. So lassen sich z.B. Ausf\u00fchrungsregeln f\u00fcr Software in Windows festlegen, die genau diese Absicherung gew\u00e4hrleisten. Das Zauberwort hei\u00dft Software Restriction Policies (SRP). In diesem Beitrag<\/a> wird das in Windows XP bereits existierende Konzept vorgestellt.<\/p>\n Stefan Kanthak jat nun eine solche L\u00f6sung f\u00fcr Windows in Form von .INF-Dateien bereitgestellt, um das SAFER-API und die Software Restriction Policies (SRP) unter diversen Windows-Versionen (auch Home-Editionen) nutzen zu k\u00f6nnen. Christoph Schneegans hat sich des Themas in diesem Beitrag<\/a> angenommen. Der Beitrag ist schon etwas \u00e4lter, funktioniert aber auch f\u00fcr neuere Windows-Versionen (siehe zum Beispiel die Diskussion hier<\/a>).<\/p>\n In dieser Google-Gruppe<\/a> gibt es nun eine nette Diskussion, ob man SAFER zum Schutz vor Ransomware wie Locky einsetzen kann. Ein Blog-Beitrag in englischer Sprache, der das Einrichten von Software Restriction Policies \u2013 mit Family Safety \u2013 diskutiert, findet sich hier<\/a>.<\/p>\n Eine m\u00f6glicher Schutzma\u00dfnahme besteht auch darin, zumindest die Ausf\u00fchrung von WSH-Scripten unter Windows einen Riegel vorzuschieben (siehe auch hier<\/a>). Microsoft hat diesen Technet-Beitrag<\/a> zu diesem Thema ver\u00f6ffentlicht. In diesem heise.de-Forenbeitrag<\/a> hat ein Benutzer das Ganze kurz auf Deutsch erkl\u00e4rt und gibt weitere Hinweise, was man noch tun kann. Man k\u00f6nnte auch Script-Dateien gem\u00e4\u00df diesem Forenbeitrag<\/a> so einrichten, dass diese per Doppelklick im Windows-Editor ge\u00f6ffnet werden.<\/p>\n Es gibt inzwischen wohl Tools, die aber teilweise noch im Teststadium sind, die solche Verschl\u00fcsselungstrojaner erkennen und blockieren sollen.<\/p>\n Unter dem Strich sollte man aber mit den Tools noch vorsichtig sein, diese sind teilweise im Beta-Stadium und k\u00f6nnen m\u00f6glicherweise versagen. Hier gibt es<\/a> z.B. eine Stimme zu Malwarebytes Anti-Ransomware und hier auch<\/a>.<\/p>\n Und zum Schluss kann ich mich ja eines Seitenhiebs nicht enthalten. Im Artikel Locky-Kommentar: Windows der Sicherheits-Alptraum<\/a> wollte ich einen Denkansto\u00df geben, mal \u00fcber den Tellerrand zu schauen. Der Schuss ist nach hinten losgegangen, wie man an den Kommentaren sieht Der obige Abriss zeigt aber, dass man der ganzen Entwicklung nicht schutzlos ausgesetzt ist, sondern reagieren kann. Es bleibt also spannend \u2013 aber so mancher Nutzer wird sich von \"och, ich kann Computer und klicke auf alles, was bei drei nicht vor der Maus gefl\u00fcchtet ist, einfach mal an\" verabschieden m\u00fcssen.<\/p>\n \u00c4hnliche Artikel:<\/strong> Die letzten Wochen machten ja Erpressungstrojaner (Ransomware) wie Locky, .TRUN etc. Schlagzeilen. Virenscanner sind teilweise oder zeitweise blind und erkennen die Sch\u00e4dlinge nicht. Gibt es Schutzm\u00f6glichkeiten? Hier einmal der Versuch, bestimmte Schutzans\u00e4tze vorzustellen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,161],"tags":[4838,4839,4715],"class_list":["post-175244","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-virenschutz","tag-erpressungstrojaner","tag-locky","tag-ransomware"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/175244","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=175244"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/175244\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=175244"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=175244"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=175244"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Die Vorgehensweise der Verschl\u00fcsselungstrojaner ist immer die Gleiche: In Mail-Anh\u00e4ngen und kompromittierten Webseiten wird der Sch\u00e4dling ausgerollt. Sobald dieser aktiv wird, beginnt er mit dem Verschl\u00fcsseln der Daten der Nutzer. Nur wer ein L\u00f6segeld zahlt, bekommt den Key zum Entschl\u00fcsseln der Dokumente. Gerade Firmen und gr\u00f6\u00dfere Einrichtungen sind schwer gebeutelt. So mussten mehrere Kliniken den Betrieb wegen einer Infektion der IT einstellen und es hat wohl auch Firmen getroffen. Selbst in Amiland ist mit jetzt ein Artikel<\/a> ins Auge gesprungen, in dem weitere F\u00e4lle aufgef\u00fchrt sind.<\/p>\n
Backup \u2013 nur mit ausgekl\u00fcgelter Strategie<\/h3>\n
White-Listing mit Microsoft AppLocker<\/h3>\n
\nWindows 7 AppLocker im \u00dcberblick
\n\"Versiegeln\" von Windows-Systemen mittels Applocker (Uni Rostock)
\nApplication Whitelisting using Microsoft AppLocker (NSA Dokument)<\/p>\nSAFER als Schutz vor Locky \u2013 auch f\u00fcr Home-Anwender<\/h3>\n
Windows Script Host abdrehen<\/h3>\n
HitmanPro.Alert 2, Malwarebytes Anti-Ransomware & Co.<\/h3>\n
\n
Mit Linux w\u00e4r das nicht passiert?<\/h3>\n
![\"Zwinkerndes](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2016\/02\/wlEmoticon-winkingsmile-2.png\")
. Ist aber nicht das Thema. Mir ist vor einigen Tagen aber der Artikel Subgraph OS Wants to Make Using a Secure Operating System Less of a Headache<\/a> bei motherbord.vice.com unter die Augen gekommen. Subgraph OS ist ein (noch im Alpha-Status befindliches) Projekt, um eine Betriebssystem zu schaffen, welches Hackern weniger Angriffsfl\u00e4che bietet. Das Ganze basiert auf einem schlanken Linux-Kern und soll wohl im M\u00e4rz auf dem Logan CIJ Symposium<\/a> vorgestellt werden.<\/p>\n
\nCrypto-Trojaner die Erste: Win.Trojan.Ramnit<\/a>
\nCrypto-Trojaner die Zweite: .TRUN der (noch) Unbekannte<\/a>
\nMalwarebytes ver\u00f6ffentlicht Anti-Exploit-L\u00f6sung<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"