ransomware-osiris

Verschlüsselungstrojaner – wie mit der Gefahr umgehen?

Veröffentlicht von

Im letzten Jahr verging kaum ein Tag ohne Meldungen über verschiedene Ableger eines sogenannten Verschlüsselungs- oder Erpressungstrojaners und dessen Auswirkungen. Quasi als Nachfolger der BKA-Version eines Erpressungtrojaners tauchten in der Kategorie Ransomware Namen wie Locky, Goldeneye oder Osiris auf. Daher kann dieses Thema an jemandem, der sich auch nur im entferntesten mit IT beschäftigt, nicht ohne Berührungen vorüberziehen.

Was also, wenn man bemerkt, dass gerade irgendetwas ziemlich schief läuft? Dateien in Verzeichnissen sehen plötzlich seltsam aus und lassen sich nicht mehr öffnen – höchste Zeit den Stecker zu ziehen. Nachfolgend möchte ich meine eigenen Erfahrungen mit Ransomware schildern.

Die folgenden Schilderungen erklären zunächst die Hintergründe dieses Beitrags. Für die Abkürzung zum rein technischen Teil, bitte  klicken.

Der Anruf, den man nicht bekommen möchte

8.15 Uhr an einem Mittwochmorgen, das Smartphone klingelt und der Geschäftsführer einer meiner Kunden erklärt mir mit leicht aufgeregter Stimme, dass etwas mit einem PC seiner Sachbearbeiterin nicht stimme. Sie könne ihre gerade noch geöffnete Word-Datei nicht mehr öffnen. Außerdem wäre ihr Ordner voller Dateien mit seltsamen Namen.

Im ersten Moment dachte ich an die üblichen kleinen Probleme, ging bei den ungewöhnlichen Dateinamen von Lock-Dateien geöffneter Dokumente aus. Erst als es hieß, dass die Dateien immer mehr würden, dämmerte es mir. Ich fragte nach, wie lange das Problem schon bestand und ob die Dame kürzlich zufälligerweise einen E-Mail-Anhang geöffnet hatte.

Nachdem mir letztere Frage mit „Ja“ beantwortet wurde, war ich mir ziemlich sicher, womit ich es hier zu tun hatte und teilte meinem Kunden mit, dass wir ein größeres Problem haben würden. Ich bat darum, den betroffenen PC unverzüglich abzuschalten. Auch ihre Kolleginnen und Kollegen sollten bitte das Gleiche tun. Bei 20 Arbeitsplätzen, die zu dieser Uhrzeit glücklicherweise noch nicht alle besetzt waren, nicht so einfach durchzusetzen, aber ich machte ihr die Priorität klar.

Hinweis: Dieser Kunde betreibt seine IT-Infrastruktur nahezu vollständig in entsprechenden Räumlichkeiten im eigenen Haus.

Not-Aus

Da nun zumindest alle Client-Arbeitsstationen abgeschaltet waren, wurde es auch für mich höchste Zeit zunächst aus der Ferne einzugreifen. Theoretisch war der ransomware-locky-abschaltungHerd der Infektion, nämlich der oben genannte Client-PC, bereits außer Betrieb. Da aber noch völlig unklar war, womit ich es hier genau zu tun hatte, wollte ich jedes weitere Risiko minimieren.

Falls es sich um Ransomware handelte, sollten vor allem Dateien vor deren Zugriff „in Sicherheit gebracht werden“. Also schaltete ich zuerst den Storage, auf dem nur Dateien lagen, in Form von zwei sich replizierenden Fileservern ab. Hier ist jedoch auch das betroffene Verzeichnis der meldenden Sachbearbeiterin zuhause.

Die virtuellen Server machten alle auf den ersten Blick noch einen munteren Eindruck, laut Hyper-V-Manager war jeder einzelne noch erreichbar. Auch der Betrieb auf den VM-Hosts schien auf den ersten Blick normal zu laufen. Ich informierte die Mitarbeiter noch einmal per Telefon, dass sie innerhalb der nächsten Stunde nicht damit rechnen konnten, mit ihren PCs weiterzuarbeiten und fuhr daraufhin einen virtuellen Server nach dem anderen herunter. Schließlich konnte ich also auch den Storage für die Server abschalten und mich auf den Weg zum Kunden machen.

Locky und seine Ableger

Wichtig bei Problemen, die Hinweise auf den Befall mit Malware geben, ist die Lokalisierung und Isolation der ersten Infektion. Da in diesem Fall weder ein Virenscanner noch der Filter des E-Mail-Servers Alarm geschlagen hatten, konzentrierte ich mich auf das Objekt der ersten Meldung – den PC der Sachbearbeiterin.

Nach dem Hochfahren des PCs im abgesicherten Modus ohne Verbindung zum Netz war auch schnell klar, dass es sich wirklich um Ransomware handelte. Genauer genommen war es der Locky-Ableger Osiris, der mich mit einer Lösegeldforderung begrüßte. Dass ein solcher Verschlüsselungstrojaner mittlerweile auch offline über alle erreichbaren Laufwerke bzw. Verzeichnisse streuen kann, sollte bekannt sein.

Was richtet Osiris an?

Locky verschlüsselt so ziemlich alle Daten, die in dessen Reichweite liegen, mit einem RSA-2048 Schlüssel und dem AES CBC 256-bit Verschlüsselungsalgorithmus. Damit sind diese Daten ohne den passenden privaten Schlüssel nicht mehr lesbar.

ransomware-locky-verzeichnis
Verschlüsselte Dateien in Verzeichnis

Konkret ist am betroffenen PC folgendes festzustellen:

  • verschlüsselte Dateien in Verzeichnissen erhalten die „.osiris“-Dateierweiterung und erhalten einen Dateinamen mit zufälligen Zeichenfolgen
  • Desktophintergrund und Browserstartseite enthalten die Lösegeldforderung
  • Jedes Verzeichnis mit verschlüsselten Dateien enthält diese Lösegeldforderung mit Anweisungen zur Bezahlung als .html- und .bmp-Datei
  • Osiris startet sich per zufällig benannter .exe-Datei aus %APPDATA% und kann sich auch an einen Systemprozess heften

Jetzt ist das Kind in den Brunnen gefallen. Für die verschlüsselten Daten lässt sich nichts mehr tun, einen Decryptor gibt es für diese Locky-Variante nicht. Das in diesem Fall ziemlich hoch angesetzte geforderte Lösegeld zu zahlen und auf eine Entschlüsselung zu hoffen, wäre fahrlässig und wird grundsätzlich vom BSI nicht empfohlen.

Verschlüsselungstrojaner entfernen

An dieser Stelle könnte man jetzt damit beginnen, Osiris auf dem PC, auf dem es ausgeführt wurde, händisch zu entfernen. Für diesen Zweck sind mittlerweile Programme auf dem Markt. Auf zwei dieser Programm möchte ich hier hinweisen:

Beide Programme eignen sich prinzipiell zum Entfernen von vorhandenen Programmdateien einer Ransomware, nicht aber zur Entschlüsselung von eigenen Daten.

Da aber ein „klassischer“ PC-Client in der Umgebung meines Kunden keine wichtigen Daten vorhält, bevorzugte ich in meinem Fall eine Neuinstallation des Betriebssystems von einem vorhandenen Bereitstellungsserver. Damit ist das Thema innerhalb einer guten Stunde sauber und ohne eventuelle Überreste von Osiris erledigt.

Parallel stellte ich fest, dass die Ransomware auch in den entsprechenden Freigaben des Fileservers ihr Werk verrichtet hatte. Jedes Verzeichnis, auf welches der Benutzer der entsprechenden Sachbearbeiterin Zugriff hatte, enthielt zumindest einige wenige Dateien, die von Osiris verschlüsselt worden waren.

Die Quelle des Übels

Diese Dateien auf dem Fileserver wurden laut Dateieigenschaften auch tatsächlich ausschließlich vom Benutzerkonto der Sachbearbeiterin erstellt.

Damit wurde noch einmal klarer, dass der Verschlüsselungstrojaner auch wirklich von diesem Benutzer ausgeführt wurde. Ein restriktives Berechtigungskonzept hat also auch hier schlimmeres verhindert. Weitere betroffene Dateien ließen sich auf dem ersten Fileserver nicht auffinden.

Da kein Domänenbenutzer weitere Schreibrechte auf vorhandene Freigaben der vorhandenen Server hatte, waren auch hier keine veränderten Daten zu finden. Die Eingrenzung und Isolation des Schädlings hatte also funktioniert.

ransomware-osiris-locky

Doch wie fand Osiris nun überhaupt seinen Weg ins System? Die Anwenderin bestätigte ja bereits auf Nachfrage, dass es sich um einen E-Mail-Anhang gehandelt haben könnte. Genau dies bestätigte sich auch. Recherchen ergaben, dass speziell Osiris zum Zeitpunkt der Infektion eine vergleichsweise niedrige Erkennungsrate bei Virenscannern aufwies. Das erklärt zumindest einigermaßen, warum die vorhandenen Schutzmaßnahmen nicht gegriffen haben könnten.

Die Folgen von Osiris

Wenn man den tatsächlich angerichteten Schaden betrachtet, halten sich die Folgen des ganzen Vorfalls in Grenzen. Wie beschrieben, wurde der betroffene Client ohne Datenverlust neu bereitgestellt. Da das betroffene Benutzerprofil auf dem Fileserver sehr regelmäßig gesichert wird, konnte ein wenige Stunden alter Datenbestand wiederhergestellt werden.

Wäre Osiris jedoch nicht bemerkt worden, hätte die Ransomware auch auf die Sicherung (jedenfalls die des Benutzerverzeichnisses) übergegriffen uns eine Datenwiederherstellung hätte mehr Zeit in Anspruch genommen. Zwangsläufig wären die Daten des nächsten Sicherungszyklus dann zwischen einem und sieben Tagen alt gewesen.

Erkennen eines Verschlüsselungstrojaners

Wichtig ist also das schnellstmögliche Erkennen von Aktivität einer Malware und das Unterbinden der weiteren Verschlüsselung z. B. durch Abschalten der betroffenen Komponente. Doch wie kann man dies ermöglichen?

Der in diesem Fall wohl ergiebigste Punkt ist die Sensibilisierung der Anwender auf verdächtige Aktivitäten. Zusätzlichen Schutz können speziell auf Ransomware ausgerichtete Schutzprogramme wie Malwarebytes Anti Ransomware bieten. Im Test bei heise konnte mit dieser Software Schlimmeres verhindert werden.

Was tun gegen Ransomware?

Eins kann an dieser Stelle schon vorab festgehalten werden: Es gibt keine Ein-Klick-Lösung, um einen Ransomware-Vorfall zu verhindern oder zu behandeln. Stattdessen kann man auf unterschiedliche Weise vorbeugen und im Notfall richtig reagieren.

Zusammenfassend möchte ich einige Empfehlungen geben, um der Gefahr durch Verschlüsselungstrojaner zu begegnen.

Handlungsempfehlung – Vorbeugung und Absicherung

Das beste Mittel gegen Erpressungstrojaner wie Locky, Goldeneye und Osiris? Es gibt etwas, das IMMER und auch bei vielen anderen Worst-Case-Szenarien helfen kann.

„Ein regelmäßiges konsistentes Backup ist das einzig verlässliche Rezept, um Datenverlust zu vermeiden und Wiederanlaufzeiten klein zu halten.“

Damit hätte man schon mehr als die halbe Miete. Zu einem guten Sicherungskonzept gehören auch der regelmäßige Wiederherstellungstest und eine Konsistenzprüfung. Der Speicherort der Backup-Dateien sollte keinesfalls durch Benutzer zugreifbar sein. Besser noch wäre eine physische oder logische Trennung von anderen Netzbereichen.

Neben diesem essentiellen Aspekt der Absicherung, können folgende Maßnahmen nützlich sein:

  • funktionierendes Patchmanagement für Betriebssystem und Anwendungen
  • proaktive Virenscanner und Contentfilter, ggf. speziell auf Ransomware ausgerichtet
  • restriktive Berechtigungen, Arbeiten ohne Administratorberechtigungen
  • Bestimmte Dateitypen im E-Mail-Server filtern lassen
  • Microsoft Office Makros per Gruppenrichtlinie deaktivieren
  • Sensibilisierung der Benutzer

Handlungsempfehlung – Erkennung und Schadensbegrenzung

Wie weiter oben bereits kurz angedeutet, beeinflusst der Zeitraum zwischen Infektion und Erkennung maßgeblich das Ausmaß des Schadens. Eine schnelle Reaktion auf Ransomware ist also wünschenswert. Folgende Maßnahmen unterstützen die Schadensbegrenzung:

  • Identifikation der ersten Infektion
  • sofortiges Abschalten und Isolieren des betroffenen Systems
  • Scannen aller zugreifbaren Dateisysteme nach Ransomware-spezifischen Dateien
  • Desinfektion der betroffenen Systeme

Erst wenn sichergestellt ist, dass keine Komponenten der Ransomware mehr aktiv sind, sollte mit der Datenwiederherstellung begonnen werden.

Passende Beiträge

Dienste mit fail2ban absichern Jeder Administrator wird die Problematik kennen: über das Internet erreichbare Ports von Serverdiensten sind notwendig und bergen gleichzeitig ein Ris...
SSL kostenlos mit Froxlor und Let’s Encrypt Die Letsencrypt-Initiative war 2016 mit ca. 20 Mio. aktiven Zertifikaten ein durchschlagender Erfolg. Nicht verwunderlich also, dass die Verbreitung u...
Einfaches Monitoring mit Monitorix Mal schnell einen Blick auf die Leistungsdaten eines Linux-Servers werfen. Theoretisch kein Problem, doch wo liegt die Ursache für eine schlechte Perf...

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.