Ransomware-Wiederherstellung: So stellen Sie eine Ransomware wieder her

Ransomware gibt es schon seit Jahrzehnten, aber Ransomware Angriffe haben in den letzten Jahren stark zugenommen, nachdem der WannaCry- Ransomware Angriff gezeigt hat, dass diese Angriffe sowohl effektiv als auch profitabel sind. In den letzten Jahren sind viele Ransomware-Gruppen entstanden und verbreiten hochentwickelte Malware.

Diese Gruppen nutzten die COVID-19-Pandemie, um ihre Angriffe über RDP und anfällige VPN-Endgeräte zu verbreiten. Doch während das Ende der COVID-19-Pandemie in Sicht ist, scheint die Ransomware-Pandemie nur an Fahrt zu gewinnen.

Mehr erfahren Sprechen Sie mit einem Experten

Ein Anstieg von Ransomware-Angriffen

Ursprünglich handelte es sich bei Ransomware um Malware, die von einer einzelnen Bedrohungsgruppe verbreitet wurde, die Dateien auf einem System verschlüsselte und ein Lösegeld für den Entschlüsselungsschlüssel verlangte. Allerdings hat sich das Gesicht der Ransomware-Bedrohung in den letzten Jahren dramatisch verändert.

Eine wesentliche Veränderung ist die zunehmende Eskalation dieser Angriffe. Erstens wurden bei „doppelten Erpressungsangriffen“ sensible Daten vor der Verschlüsselung gestohlen und mit der Offenlegung der Daten gedroht, wenn das Lösegeld nicht gezahlt würde. Dann begannen Gruppen der „dreifachen Erpressung“, auch den Kunden ihrer Opfer zu drohen und Lösegeld zu fordern. Mittlerweile drohen einige Ransomware-Gruppen Distributed-Denial-of-Service-Angriffe (Distributed Denial of Service, DDoS) oder führen diese durch, um den Opfern zusätzlichen Einfluss auf die Zahlung des Lösegelds zu verschaffen.

Eine weitere wichtige Entwicklung ist das Aufkommen des Ransomware as a Service (RaaS) -Modells, bei dem eine Ransomware Gruppe Malware entwickelt und diese dann an „Partner“ verteilt, um sie für ihre Angriffe zu verwenden. Mit RaaS haben mehr Gruppen Zugriff auf hochentwickelte Malware, was zu mehr Ransomware-Angriffen führt.

Was tun bei einer Infektion?

Wenn Sie infiziert wurden, führen Sie die folgenden Schritte aus, um die Auswirkungen des Vorfalls zu bewältigen und sich auf die Wiederherstellung nach Ransomware vorzubereiten:

  1. Bleiben Sie gelassen: Ransomware-Angriffe können stressig sein, aber überstürzte Angriffe können große Fehler begehen. Um bei der Wiederherstellung nach Ransomware die richtigen Entscheidungen zu treffen, ist es wichtig, einen kühlen Kopf zu bewahren.
  2. Betroffene Systeme unter Quarantäne stellen: Ransomware versucht häufig, sich über das Netzwerk zu verbreiten, um so viele Systeme wie möglich zu infizieren. Die Trennung infizierter Systeme vom Rest des Netzwerks kann dazu beitragen, dass auch andere Daten nicht verschlüsselt werden.
  3. Trennen Sie Backups: Ransomware zielt häufig auf Backup-Systeme ab, da Ransomware Betreiber wissen, dass Unternehmen versuchen werden, Backups wiederherzustellen, anstatt das Lösegeld zu zahlen. Verbinden Sie keine Backups mit dem infizierten Computer und überwachen und isolieren Sie alle Backups, die möglicherweise infiziert sind.
  4. Erstellen Sie eine Kopie: Die Ransomware-Entschlüsselung funktioniert nicht immer und Ransomware Entschlüsselungsprogramme werden ständig weiterentwickelt. Durch das Erstellen einer Kopie der verschlüsselten Daten können diese möglicherweise später wiederhergestellt werden, falls etwas schief geht.
  5. Halten Sie infizierte Systeme online: Einige Ransomware-Varianten können infizierte Systeme instabil machen, was bedeutet, dass sie nach einem Neustart in einem nicht wiederherstellbaren Zustand verbleiben können. Versuchen Sie nicht, Systeme neu zu starten oder Updates auf infizierten Systemen durchzuführen, während Sie daran arbeiten, die Ransomware zu entfernen.
  6. Kooperieren und kommunizieren: Wenden Sie sich an Strafverfolgungsbehörden, Aufsichtsbehörden und andere Interessengruppen und erwägen Sie die Kontaktaufnahme mit einem seriösen Team für die Reaktion auf Vorfälle. Sie verfügen möglicherweise über Fachwissen oder zusätzliche Ressourcen, um bei der Lösung des Problems zu helfen.
  7. Identifizieren Sie die Variante: Es sind viele verschiedene Ransomware-Varianten im Umlauf und die Liste ändert sich ständig. Wenn der Erpresserbrief den Autor nicht nennt, schauen Sie sich das No More Ransom Project an, um weitere Informationen und möglicherweise einen kostenlosen Entschlüsseler zu erhalten.
  8. Bezahlen oder nicht: Diese Frage ist schwierig. Einerseits kann die Zahlung des Lösegelds eine schnellere und kostengünstigere Wiederherstellung ermöglichen. Andererseits bietet die Zahlung keine Garantie für eine Wiederherstellung und stellt den Angreifern die Ressourcen zur Verfügung, die sie für die Fortsetzung ihrer Aktivitäten benötigen.
  9. Lernen Sie aus dem Vorfall: Die Ransomware hat sich irgendwie Zugang zu Ihren Systemen verschafft. Identifizieren Sie den Infektionsvektor und schließen Sie ihn, um zu verhindern, dass zukünftige Angreifer dieselben Techniken anwenden.

So erholen Sie sich von Ransomware

Bei einem erfolgreichen Ransomware-Angriff werden Daten auf eine Weise verschlüsselt, die eine Entschlüsselung ohne den richtigen Entschlüsselungsschlüssel unmöglich macht. Es gibt jedoch einige Optionen für die Wiederherstellung von Ransomware:

  • No More Ransom Project: Wie oben erwähnt, ist das No More Ransom Project die erste Anlaufstelle für die Suche nach einer Lösung. Für viele Ransomware-Varianten wurden kostenlose Entschlüsselungsprogramme veröffentlicht, die eine Wiederherstellung ohne Zahlung des Lösegelds ermöglichen. Für die häufigsten Ransomware-Varianten stehen jedoch in der Regel keine Tools zur Verfügung.
  • Aus Backups wiederherstellen: Ransomware versucht häufig, Backups zu löschen oder zu verschlüsseln, es ist jedoch möglich, dass einige davon unangetastet bleiben. wenn sie offline oder schreibgeschützt sind. Nachdem Sie überprüft haben, ob das Backup sauber ist, und den Computer einschließlich des Master Boot Record (MBR) vollständig gelöscht haben, ist es möglicherweise möglich, eine teilweise oder vollständige Wiederherstellung von Backups durchzuführen.
  • Zahlen Sie das Lösegeld: Das Ziel von Ransomware besteht darin, Opfer in eine Lage zu bringen, in der die Zahlung des Lösegelds die „einzige verfügbare Option“ ist. Die Entscheidung, ob eine Zahlung erfolgt oder nicht, hängt von der individuellen Situation einer Organisation ab und birgt erhebliche Risiken.

Neben der Wiederherstellung von Dateien muss unbedingt sichergestellt werden, dass Angreifer Dateien auf infizierten Computern nicht sofort erneut verschlüsseln können. Ein wichtiger Schritt vor der Wiederherstellung dieser Systeme ist die Beauftragung eines Incident-Response-Teams (IRT), um die Schwachstelle zu identifizieren und zu schließen, die für den Zugriff auf die Unternehmensumgebung genutzt wird, und um alle auf infizierten Systemen installierten Hintertüren und Persistenzmechanismen zu erkennen und zu entfernen.

Ransomware-Wiederherstellung mit Check Point

Wenn es um Ransomware geht, ist Prävention immer die beste Option. Die Bereitstellung einer Anti-Ransomware -Lösung vor einem Angriff kann einem Unternehmen viel Zeit, Geld und Ärger ersparen. Um mehr über Anti-Ransomware-Lösungen zu erfahren, lesen Sie diesen Einkaufsführer und fordern Sie eine kostenlose Demo von Harmony Endpoint an.

Wenn Sie jedoch Opfer eines erfolgreichen Ransomware-Angriffs werden, ist es eine gute Idee, die Experten einzuschalten. Die Teams für Managed Detection and Response (MDR) und Incident Response (IR) von Check Point verfügen über umfassende Erfahrung in der Erkennung, Untersuchung und Verwaltung von Ransomware-Infektionen.

Wenn bei Ihnen ein Cybersicherheitsvorfall auftritt, rufen Sie unsere Notfall-Hotline an. Für weniger dringende Angelegenheiten und um mehr darüber zu erfahren, wie Sie sich vor zukünftigen Ransomware-Angriffen schützen können, kontaktieren Sie uns.

Loslegen

Schutz vor Ransomware

Incident Response Services

Ransomware-Pandemie

Harmony Endpoint

Ransomware-Hub

Verwandte Themen

Ransomware-Angriff

Wie kann man Ransomware verhindern?

Beseitigung von Ransomware

Ryuk-Ransomware

DarkSide-Ransomware 

×
  Feedback
Diese Website verwendet Cookies für ihre Funktionalität sowie für Analyse- und Marketingzwecke. Durch die weitere Nutzung dieser Website erklären Sie sich mit der Verwendung von Cookies einverstanden. Für weitere Informationen lesen Sie bitte unseren Hinweis zu Cookies.
OK