Die Neue Westfälische hat heute basierend auf einer Pressemitteiling der IHK Ostwestfalen zu Bielefeld unter der etwas reißerischen Überschrift »Polizei Bielefeld ermittelt in einem Fall von Firmensabotage« einen Artikel zur Schadsoftware Cryptowall. Leider enthalten die allgemein gehaltenen Artikel nicht sehr viele verwertbare Informationen. Mit ein bißchen Recherche zu Cryptowall 3.0 ergibt sich:

Cryptowall 3.0 gibt es seit Anfang 2015, Vorgängerversionen schon länger. Diese Schadsoftware für Windows-Betriebssysteme ist eine sogenannte Ransomware, die nach dem Einnisten im Computer die Dateien der Nutzer im Hintergrund verschlüsselt und dann die Nutzer auffordert, ein Lösegeld für die Dateien mittels eines anonymen Zahlungsmittels zu zahlen, danach würden die Dateien wieder entschlüsselt.

Die Erpresser scheinen verbreitet Zahlung per Bitcoin zu fordern, in der Regel wohl im Gegenwert von 500 Euro oder US-Dollar innerhalb einer Woche.

Die Schadsoftware gelangt zum Beispiel über infizierte E-Mail-Anhänge oder infizierte Websites auf den Computer und nutzt dort Sicherheitslücken aus, um sich zu installieren. Außerdem mißbraucht Cryptowall Anonymisierungsnetzwerke wie Tor und I2P zur Verschleierung von Verbindungen (etwa zu Command-and-Control-Servern und Zahlungsdienstleistern).

Geht man auf die Lösegeldforderung ein, kann man sich nicht sicher sein, ob die Kriminellen überhaupt die Dateien entschlüsseln oder möglicherweise zukünftig noch mehr Geld fordern.

Die einzige sichere Möglichkeit, nach dem Befall mit Cryptowall an seine Daten zu kommen, stellen regelmäßige Datensicherungen (Backups) dar. Möglicherweise kann man frühere Versionen von einigen Dateien auch per Shadow Explorer zurückholen.

Schadsoftware wie Cryptowall ist alles andere als ungewöhnlich, deshalb der Zeitungsbericht darüber umso mehr. Es werden ganz sicher viel mehr Unternehmen als die drei angesprochenen in Ostwestfalen-Lippe betroffen sein; und natürlich auch jede Menge Privathaushalte.

Allgemeine grundlegende Schutzmaßnahmen

Einige grundlegende Schutzmaßnahmen sollten sein:

  1. Regelmäßige Datensicherungen (Backups).
  2. Betriebssysteme und Anwendungen immer auf aktuellstem Softwarestand halten.
  3. Programme absichern. Zum Beispiel JavaScript, Flash und Java in Webbrowsern abschalten und nur bei Bedarf kurzzeitig aktivieren. (Flash am besten ganz deinstallieren.) Werbeblocker nutzen (Schadsoftware wird durchaus über manipulierte Werbebanner ausgeliefert).
  4. Alternative Programme verwenden, wo möglich. Zum Beispiel Linux als Betriebssystem, Mozilla Firefox als Webbrowser, Mozilla Thunderbird für E-Mails, LibreOffice statt Microsoft Office. Eine Alternative zum Adobe Reader zum PDF-Anzeigen nutzen.
  5. Nutzer schulen, damit möglicherweise gefährliche E-Mails, Anhänge und Links früh erkannt und gar nicht erst geöffnet werden.
  6. Auch aktuell gehaltene Virenscanner und eine gut konfigurierte Firewall können gegen manche Gefahren schützen.
  7. Zugeschickte Dateien in Sandboxen oder virtualisierten Umgebungen öffnen.