Entschlüsselung der Ransomware Shade
Auch wenn es schon länger her ist und der Crypto seit Ende 2019 nicht mehr aktiv ist:
Die Gruppe, die hinter dem Verschlüsselungstrojaner „Share/Troldesh“ steckt, hat letztens die Keys veröffentlicht.
Kaspersky hat zum Mai ein Entschlüsselungstool dafür freigegeben:
https://www.kaspersky.de/blog/shade-decryptor-2020/23912/ beziehungsweise
https://noransom.kaspersky.com/
Da ja viele Ransomware Trojaner unterwegs waren und sind, kann es sich lohnen im Falle aller Fälle hier zur suchen:
https://www.nomoreransom.org/de/decryption-tools.html
Generell sollte man einige Sicherheitsvorkehrungen treffen, um größeren Schaden zu verhindern:
- Backup der wichtigen DatenbereicheWenn man die Daten regelmäßig und mit „Medienbruch“ sichert, hat man eine gute Chance, einen solchen Vorfall recht unbeschadet zu überstehen. Medienbruch bedeutet, dass das Sicherungsmedium während des normalen Betriebes nicht zugänglich ist. Zum Beispiel Backup auf Band oder externe Platte (im Heimbereich), wobei diese Platte dann ausschließlich für die Sicherung verwendet wird und ansonsten nicht am PC hängt.
- Vorsicht bei Mails!
Man sollte generell beim Umgang mit Mails vorsichtig sein – vor allem wenn sie von extern kommen und Anhänge oder Links enthalten. Sollte einem eine Mail verdächtig vorkommen, aber von einem vermeintlich bekannten Absender stammen, sollte man diesen lieber zunächst kontaktieren und sich vergewissern, BEVOR man auf irgendwelche Links klickt. - Keine Hektik!
Gerade wenn es mal etwas stressig ist, ist man evtl. dazu geneigt eine Mail einfach zu überfliegen und dann unachtsam zu handeln.
Wenn es zu turbulent ist, sollte man sich organisatorisch ein Zeitfenster freimachen, in dem man in Ruhe seine Mails bearbeiten kann. Im Zweifelsfall einfach liegen lassen – denn die Alternative kann unter Umständen sehr viel schlimmer sein, als eine Mail, die unbeantwortet liegen bleibt. - Unsichere Webseiten meiden
Neben Mails sind auch Besuche auf Webseiten eine zuverlässige Quelle für Schadsoftware aller Art.
Zwar versuchen einige Browser durch Safe-Browsing-Service den Benutzer zu schützen, aber am besten ist es, wenn man sich mit einer gewissen Skepsis im Internet bewegt. Auch viel beworbene Add-Ons, die Scipts verhindern oder Popups und Seiten blocken, bieten da keine Sicherheit. Man legt die Latte höchstens etwas höher. - Patchen
Auch wenn es zu den nervigen Aufgaben gehört: Euer System sollte immer auf dem aktuellen Stand sein.
Das betrifft nicht nur das Betriebssystem, sondern auch Anwendungssoftware, wie z.B. diverse Mediaplayer. - Berechtigungen verwenden
Gerade in kleineren Umgebungen spart man sich gerne mal ein umfassendes Berechtigungskonzept.
Das kann sich bei einem Befall rächen: Die Ransomware kann nur die Daten verschlüsseln, auf die sie Zugriff hat.
Ganz einfach … - Mitarbeiter sensibilisieren
Sehr gerne wird bei allen Sicherheitsvorkehrungen der Faktor Mensch vergessen. Was nutzt einem die größte Burg, wenn die Wache aus Unachtsamkeit das Tor offen lässt. 🙂
Daher sollte man die Mitarbeiter regelmäßig auf den richtigen Umgang mit Mails und Internet aufmerksam machen. - Bookmark – Lesezeichen
Für wichtige und kritische Seiten, wie Banking, Paketdienst oder Shopping, solltet ihr euch Lesezeichen hinterlegen.
Erhaltet ihr eine Mail von der Bank oder von Amazon, dass irgendetwas unternommen werden soll, verwendet auf keinen Fall die Links in der Mail. Öffnet euer Lesezeichen, meldet euch an und wenn ein Anbieter etwas von euch will, wird er es euch im Kundenbereich schon mitteilen. - Erweiterungen bei bekannten Dateitypen einblenden
Eine Unsitte von Windows 10 ist es, die bekannten Dateierweiterungen auszublenden. Dadurch könnte man eine Datei sehen, die auf den ersten Blick Quartalszahlen.pdf heißt, aber in Wirklichkeit verbirgt sich dahinter eine Quartalszahlen.pdf.exe. Da aber .exe ein bekannter Dateityp ist, wird der Teil des Dateinamens ausgeblendet.
Wenn man der ausführbaren Datei dann noch eine passendes PDF-Icon gibt, ist die Falle perfekt.
Deswegen solltet ihr in den Optionen des Windows-Explorers den Punkt „Erweiterungen bei bekannten Dateientypen ausblenden“ deaktivieren, damit Windows den Dateinamen mit Dateiendung vollständig anzeigt. - Schutzsoftware
Dieser Punkt ist nur der Vollständigkeit halber hier. 🙂
Der Nutzen von sogenannten Security Suites und anderer Software diverser AV Hersteller ist mittlerweile recht umstritten. Das liegt zum Teil daran, dass man es im Gegensatz zur Vergangenheit nicht mehr mit statischen programmierten Viren mit fester Dateisignatur zu tun hat, sondern die Bedohungen sind mittlerweile hochdynamisch und ändern sich teilweise innerhalb eines Netzwerkes von PC zu PC.
Da hat man wieder das alte Hase-und-Igel Problem, bei dem die Hersteller von Antivirensoftware immer häufiger den Hasen abgeben.
Nichtsdestotrotz kann eine Antivirensoftware auch heute noch die ein oder andere Bedrohung abwehren.
