Wie können Sie Ihre Daten vor Ransomware schützen?

Artikel

Im Jahr 2015 konnten Cyberkriminelle mithilfe von Ransomware-Angriffen gerade einmal 50 Millionen US-Dollar von ihren Opfern erbeuten. Nach Schätzungen des FBI wird dieser Betrag Ende 2016 bereits bei 1 Milliarde US-Dollar liegen – eine enorme Steigerung! Die Kriminellen spannen ihr Netz weiträumig auf und machen bei ihren Opfern keinen Unterschied zwischen Verbrauchern und Unternehmen.

In der Zukunft könnte sich Ransomware darauf beschränken, lediglich Geld zu fordern, damit die Kriminellen nicht Daten in einem zufälligen Dokument ändern, um eine Person bloßzustellen oder ein Gerichtsverfahren zu gefährden. Wie können Sie sich vor einer so gefährlichen Bedrohung schützen?

Was ist Ransomware?

Ransomware gehört bekanntermaßen zu den weltweit am schnellsten wachsenden Cybersicherheitsbedrohungen. Doch was genau verbirgt sich hinter dem Begriff Ransomware?

Ransomware ist eine Form von Schadsoftware (Malware), die nach der Infektion eines Geräts den Zugriff auf einige oder alle darauf gespeicherten Daten blockiert. Um das Gerät oder die Daten wieder nutzen zu können, soll der Benutzer ein Lösegeld zahlen – meist in einer verbreiteten elektronischen Währung. Der Begriff Ransomware bezeichnet vor allem zwei Schadsoftware-Varianten: so genannte Windows-Blocker (die den Zugriff auf das Betriebssystem oder den Browser mithilfe eines Popup-Fensters blockieren) sowie Verschlüsselungs-Ransomware. Der Begriff deckt auch einige Trojaner-Downloader ab, vor allem solche, die nach der Infektion des Computers Verschlüsselungs-Ransomware herunterladen. Heutzutage ist mit Ransomware eigentlich immer Verschlüsselungs-Ransomware gemeint.

Daten aus dem jüngsten Kaspersky Lab-Bericht

Die Zahl der Benutzer, die mit Ransomware angegriffen wurden (Daten von 2015 aus dem jüngsten Symantec-Bericht)

Das Diagramm oben zeigt, dass die Malware-Schutz-Branche (sowie das FBI und ähnliche Behörden bzw. Organisationen) davon ausgeht, dass die Zahl der Ransomware-Bedrohungen zunehmen wird und insbesondere kleine und große Unternehmen ins Visier geraten werden.

Es ist immer besser, einen Ransomware-Angriff so früh wie möglich aufzuhalten. Im Idealfall sollte dies bereits auf dem Desktop geschehen, bevor die Ransomware Dateien verschlüsseln konnte. Aus diesem Grund ist es wichtig, die Bedrohung zu verstehen und Datensicherungslösungen bereitzustellen, mit denen ein Sicherheitsteam schnell auf einen Ransomware-Angriff reagieren kann, ohne die Arbeit der Desktop- und Netzwerkteams sowie der Benutzer zu unterbrechen. Dies gilt nicht nur für Unternehmensnutzer, sondern auch für Verbraucher.

Zum Glück bietet Acronis eine Lösung zum Schutz vor Ransomware, mit der Unternehmensnutzer ebenso wie Verbraucher Ransomware effektiv abwehren können. Unsere Lösung kann zusammen mit Acronis Produkten für Verbraucher (und später Unternehmensprodukten) sowie in Kombination mit Malware-Schutzlösungen anderer Hersteller eingesetzt werden.

Acronis Active Protection™: Eine effektive Antwort auf Ransomware-Bedrohungen

Acronis Active Protection ist eine fortschrittliche Technologie für Windows-Betriebssysteme. Acronis hat vor, den Schutz auch auf Android und weitere Betriebssysteme auszudehnen, doch zum jetzigen Zeitpunkt richten sich die meisten Ransomware-Angriffe gegen Windows-Benutzer. Für Cyberkriminelle ergibt das durchaus Sinn, da die Entwicklung von Ransom-Malware für Windows-Systeme derzeit mit weniger Forschung und Aufwand verbunden ist.

Die zum Patent angemeldete Technologie Acronis Active Protection bildet auch die Grundlage für einen sehr zuverlässigen Data Protection-Ansatz, der auf verschiedene Weise erweitert werden kann. Im Folgenden stellen wir diesen Ansatz in Grundzügen vor und erklären, warum Acronis Active Protection das wichtigste Tool für Ihre Ransomware-Abwehr sein sollte.

Der Heuristik-Ansatz zur Ransomware-Erkennung

Die Grundlage von Acronis Active Protection bildet ein heuristischer Ansatz, der bereits in der Malware-Schutzbranche zum Einsatz kommt und erheblich moderner sowie fortschrittlicher ist als der signaturbasierte Ansatz. Eine Signatur kann nur eine Variante erkennen, während die Heuristik in der Lage ist, mehrere oder sogar hunderte Varianten zu entdecken, die zu einer so genannten Familie gehören und daher meist ähnliche Verhaltensweisen oder Aktionsmuster aufweisen. Diese Verhaltensheuristik vergleicht letztendlich eine Reihe von Aktionen eines Programms (genauer gesagt Dateisystemereignisse) mit einer Datenbank von Ereignissen, die bei bekannt böswilligen Programmen zum Einsatz kommen.

Ereigniskette in einer Datenbank mit böswilligen Verhaltensmustern

Die Verhaltensheuristik wird mit White- und Blacklists verschiedenster Programme kombiniert. Warum ist die Whitelist-Überprüfung notwendig? Weil die Heuristik zwar neue Ransomware-Bedrohungen erkennen kann, gleichzeitig aber Erfahrungen sowie Verhalten berücksichtigt und auf False Positives kontrolliert werden muss. Aus diesem Grund überprüfen Produkte mit Acronis Active Protection alle verdächtigen Prozesse anhand der White- und der Blacklist. Wenn der Benutzer einen potenziellen Ransomware-Angriff blockiert, werden die entsprechenden Informationen in die Blacklist eingetragen, damit dieses böswillige Programm beim nächsten Neustart nicht ausgeführt werden kann. Das ist wichtig, weil die Benutzer sonst bestimmte Ransomware-Typen wieder und wieder von neuem blockieren müssten.

Die einfachste Möglichkeit für Cyberkriminelle, Backups zu kompromittieren, wäre ein Angriff auf die Lösung Acronis True Image. Deshalb setzt Acronis Active Protection auf Selbstschutz durch das Acronis Agent-Programm. Kein Prozess außer der Acronis Software kann Backup-Dateien verändern. Außerdem haben wir einen zuverlässigen Selbstschutzmechanismus implementiert, der alle typischen Ransomware-Angriffe abwehrt und Kriminellen keine Chance lässt, die Arbeit der Backup-Software zu unterbrechen oder den Inhalt der Backup-Dateien zu verändern.

Acronis Active Protection überwacht zudem den Master Boot Record für das Windows-Laufwerk des Benutzer-Computers und blockiert jegliche Änderungen durch Programme, die nicht auf der Whitelist enthalten sind.

Schützt Acronis Active Protection vor allen Ransomware-Angriffen?

Ja, der Schutz ist gewährleistet. Dabei ist jedoch zu beachten, dass es für Ransomware drei Hauptvektoren gibt, die ständig und aktiv mit Data Protection überwacht werden müssen.

1. Abwehr eines Ransomware-Angriffs auf eine beliebige Datei

Eine typische Ransomware-Infektion kann meist dadurch behoben werden, dass kompromittierte Daten mithilfe zuvor gesicherter Dateien wiederhergestellt werden. Diese Vorgehensweise ist unkompliziert, sodass solche Angriffe bei Produkten mit Acronis Active Protection kaum eine Chance haben. Die Wiederherstellung einiger verschlüsselter Dateien geschieht automatisch (nach einer Benutzerbestätigung), zudem wird stets die neueste Version wiederhergestellt, da die Technologie in Echtzeit agiert. In einer Situation, in der die Sicherung für Mitternacht geplant ist, der Ransomware-Angriff jedoch schon um 23 Uhr zuschlägt, würde die Wiederherstellung aus einem Online-Backup bedeuten, dass 11 Stunden an Arbeit verloren wären. Dank der oben beschriebenen konstanten Überwachung von Prozessen und Aktivitäten gehen jedoch bei einem Ransomware-Angriff keine Daten verloren.

2. Ransomware-Attacke auf eine lokale Backup-Datei

Für diesen Fall überwacht Acronis Active Protection alle lokalen Laufwerke und verhindert, dass Backup-Dateien von Malware wie Ransomware verändert werden.

3. Von Ransomware veränderte Cloud-Backups

Im Acronis Cloud Storage gespeicherte Cloud-Backup-Dateien sind außergewöhnlich gut vor direkten Veränderungen durch böswilligen Code geschützt. Erreicht wird das durch starke End-to-End-Verschlüsselung sowie dadurch, dass ausschließlich signierte und autorisierte Acronis Agenten-Software Dateiveränderungsaktivitäten durchführen darf.

So wehren Sie Ransomware-Angriffe ab

Die Tabelle unten zeigt, mit welchen Techniken und Methoden Ransomware Daten kompromittiert.

Ransomware-Angriff Beschreibung Reaktion von Acronis Active Protection
Durch direktes Überschreiben Der Ransomware-Angriff öffnet und verwendet Datendateien direkt. Der Treiber benachrichtigt den Dienst über Dateizugriffe, stellt Heuristikdaten bereit und führt Copy-on-Write-Operationen bei verdächtigen Aktivitäten durch. Der Dienst erkennt den Vorfall, blockiert die Ransomware und der Treiber stellt die Datei aus seinem eigenen Cache wieder her.
Durch Umbenennen Die Ransomware erstellt eine neue Datei, kopiert den Inhalt der Originaldatei hinein, verändert die neue Datei und löscht die Originaldatei. Gleiches Verhalten wie oben.
Durch eine neue Datei Die Ransomware erstellt eine neue Datei, kopiert den Inhalt der Originaldatei hinein, verändert die neue Datei und löscht die Originaldatei. Gleiches Verhalten wie oben.
Durch Überschreiben des Master Boot Record Ransomware öffnet das physische Laufwerk, überschreibt den MBR und startet das System neu. Beim Neustart wird die Festplatte bzw. Master File Table verschlüsselt (chkdsk wird unterdrückt). Der Treiber überwacht WRITE/SCSI-Operationen im Zusammenhang mit dem MBR per RAW FS, benachrichtigt den Dienst, der Dienst überprüft den Prozess und trifft eine Entscheidung.
Durch direktes Überschreiben bzw. Umbenennen bzw. neue Datei mit Injektion in bekannte Prozesse Ransomware wird in bekannten und vertrauenswürdigen Prozess injiziert und führt böswillige Aktionen durch. Der Treiber benachrichtigt den Dienst über den Injektionsversuch und der Dienst weist den Treiber an, den Prozess zu überwachen, ohne Copy-on-Write durchzuführen. Wenn verdächtige Muster erkannt werden, kann ein Benutzer angewiesen werden, Dateien aus der Cloud wiederherzustellen.

Warum schützt Acronis Active Protection besser als Virenschutz- und Backup-Software?

Die Antwort ist tatsächlich einfach: Zwei unterschiedliche Produkte können Ihre Daten nicht vor einem Ransomware-Angriff schützen, da sie nicht miteinander kommunizieren. Wenn eine herkömmliche Virenschutzlösung eine Bedrohung nicht erkannt hat, sind alle Daten verloren, da keine Malware-Schutzlösung Dateien in die Cloud sichert und keine Backup-Lösung Malware erkennt. Wenn jedoch Acronis Active Protection über einen Acronis Endgeräte-Agenten mit der Acronis Cloud kombiniert wird, können die Originaldaten aus lokalen Caches, lokalen Backups oder Cloud-Backups wiederhergestellt werden. Dadurch wird einer der gefährlichsten Ransomware-Typen schachmatt gesetzt.

Malware-Schutzsoftware kann Lösegeld fordernde Malware übersehen. Cyberkriminelle sind sich dessen absolut bewusst und untersuchen daher alle wichtigen – oder vielleicht sogar überhaupt alle – Malware-Schutzlösungen, um Schwachstellen in Erkennungstechnologien oder Programmarchitekturen zu finden und eine Entdeckung zu vermeiden. Wie bereits erwähnt verlieren herkömmliche Signaturerkennungen zunehmend an Bedeutung, da die Cyberkriminellen lediglich die Malware verschlüsseln müssen, um weiterhin verborgen zu bleiben. Viele kostenlose Virenschutzprogramme nutzen weiterhin den Signaturansatz, weshalb die Malware-Schutzanbieter das Anlegen von Backups empfehlen. Gleichzeitig schützen alle Cloud-Backup-Lösungen vor einem einfachen Angriffsvektor – der Beschädigung von Daten auf einer lokalen Maschine. Doch nichts schützt vor einem gezielten Angriff auf eine Backup-Lösung.

UPDATE, 10. April:
Das unabhängige IT-Sicherheitsinstitut AV-TEST schickte vier neue Programme durch den Testparcours und kam zu folgendem Schluss: „Der Test zeigt klar, dass wirksamer Malware-Schutz den Einsatz einer Backup-Software umfasst.“ Acronis True Image 2017 New Generation Premium war die einzige getestete Backup-Lösung, die Ransomware-Angriffe abwehren konnte. Hier finden Sie weitere Informationen über die Tests und Ergebnisse.

Acronis Active Protection schützt auch vor zukünftigen Bedrohungen

Warum sollten Cyberkriminelle Backups angreifen? Weil das für sie schon bald die größte Bedrohung für ihr Geschäft und ihre Einnahmen ist. Projekte wie www.nomoreransom.org/prevention-advice.html geben den Benutzern zwei einfache und sehr wichtige Ratschläge:

  1. Sichern Sie stets Ihre Daten.
  2. Zahlen Sie niemals Lösegeld.

Deshalb greifen die Kriminellen schon heute Backup-Dateien an. In fast allen Fällen genügt das jedoch nicht, da fast alle Backup-Lösungen Cloud-Storage nutzen. Um ein Cloud-Backup zu kompromittieren, müssen die Angreifer die Anmeldedaten in die Finger bekommen – was gewöhnlichen Ransomware- und Malware-Angreifern unmöglich ist.

Ransomware wird von Acronis Active Protection abgewehrt – AAP mit aktivierter Selbstschutzfunktion

Schon bald werden sich die Kriminellen fragen: „Wie gelangen Daten in die Cloud?“ Die Antwort ist: Über einen Agenten auf dem Gerät. Auf technischer Ebene gibt es vielfältige Möglichkeiten, böswilligen Code in den lokalen Agenten zu injizieren und Backup-Daten in der Cloud zu kompromittieren. Die einzige Backup-Software, die solche zukünftigen Angriffe abwehren kann, ist ein Acronis Produkt mit Acronis Active Protection.

Wichtige Fakten

Acronis Active Protection ist die neue Data Protection-Generation und bietet folgende Vorteile:

  • Echtzeit-Backups und Schutz vor Ransomware-Angriffen für die Windows-Plattform – ohne zeitliche Lücke zwischen wiederhergestellten Dateiversionen, sodass Sie keine Daten verlieren
  • Zukunftssicherer Schutz, der erweitert werden kann, wenn neue Ransomware-Bedrohungen auftreten
  • Eine transparente und benutzerfreundliche Oberfläche, die weitestgehend automatisch agiert

Acronis Active Protection bildet also eine zusätzliche und vor allem bessere Schutzebene zur Abwehr von Ransomware-Angriffen – heute, morgen und in der Zukunft.