Goldeneye Ransomware: Augen auf, Verstand an!

In immer regelmäßigeren Abständen werden Nutzer in der IT Opfer von Ransomware: Das ist nicht gerade freundliche Software, die dann die eigenen Daten verschlüsselt und diese dann bis zur Zahlung quasi als Geisel hält. So die generelle Annahme, denn die Zahlung selbst über BitCoin, DarkNet & Co. ist nur selten der Garant dafür, dass man seine Daten auch wiederbekommt. Betroffene mögen zu jedem nur erdenklich vorhandenen Strohhalm greifen, realistisch muss man aber sagen: Sind die Daten erst einmal verschlüsselt, ist guter Rat teuer und man darf hoffen, dass zumindest ein Backup der betroffenen Nullen und Einsen besteht. Locky macht nun Pause und gibt den Staffelstab weiter an Goldeneye und entgegen den Geschehnissen im gleichnamigen Film ist 007 eben mal nicht zur Stelle, um zu helfen. Was immer hilft: Augen auf, Verstand an!

Klingt erst einmal völlig banal, ist aber sowohl aus Dienstleister-Sicht als auch vom Standpunkt eines langjährigen internen Administrators die einzig wahre Option, derlei Schädlinge im Keim zu ersticken: Alle internen Schutzmaßnahmen treffen, die so möglich sind – angefangen von der Security-Suite bis zur Firewall, die auch auf Applikations-Ebene filtern kann. Damit ist dann erst einmal der Grundschutz gegeben, wenngleich der viel wichtigere Punkt immer und immer wieder durchzukauen ist: Aufklärung der Anwender. Bis zum Erbrechen. Und jeden abholen, der das nach einer Woche wieder vergessen hat, denn so gut die Schutzmaßnahmen auch sind: Keine Suite ist minutiös so aktuell, dass nicht irgendeiner im Unternehmen doch den Jackpot knackt und sich den Schädling auf den Rechner zieht, was noch nicht einmal in böser Absicht geschehen muss.

Früher konnte man Mails, die durch den damals reinen Virenscanner gekommen und mit Glück im Spam-Ordner gelandet sind, noch relativ einfach an den phantasievollen Namen oder der grottigen Rechtschreibung recht schnell identifizieren. Heute ist das selbst für Anwender, die stets mit Bedacht agieren, schwieriger geworden: Bei Goldeneye wird gezielt die Personalabteilung ins Visier genommen, oft schreibt ein Rolf Drescher in fehlerfreiem Deutsch und hat schon entsprechende Anhänge beigefügt, von denen zumindest einer ein PDF ist.

Stutzig machen sollte neben dem sehr kleinen PDF die angehängte Excel-Datei, denn kein normaler Mensch verschickt Bewerbungen im Excel- oder Word-Format. Schickt sich nicht, gehört sich nicht – und vor allem ist Excel eigentlich eine Tabellenkalkulation. Spätestens dürfte es hier bei der ein oder anderen umsichtigen Seele klingeln und man sollte nun eigentlich Rücksprache halten, was das denn für ein Anhang ist – oder eben versuchen, Herrn Drescher telefonisch zu kontaktieren. Letzteres geht leider nicht, da der virtuelle Kollege leider keine weiteren Kontaktdaten an seine sicherlich ernstgemeinte Bewerbung gehangen hat. Ein wohl dem, der spätestens jetzt die Mail mit Shift+ENTF dauerhaft löscht. Wer nun einen der möglicherweise

Wiebold-Bewerbung.xls
Meinel-Bewerbung.xls
Seidel-Bewerbung.xls
Wüst-Bewerbung.xls
Born-Bewerbung.xls
Schlosser-Bewerbung.xls

betitelten Anhänge dennoch ausführt UND in Excel noch die Makros aktiviert – oder sowieso aktiviert hat – ist der Held des Tages. Oder eher das tragische Opfer, das mindestens den eigenen Rechner in Richtung ungewollte Verschlüsselung geschoben, im schlimmsten Fall aber ein grösseres Problem im Firmen-Netzwerk hat. Auch wenn man meinen sollte, Makro-Viren sind längst nicht mehr in der Mode, zeigt Goldeneye dann hervorragende Aktivitäten und generiert ein .VBS-Skript, das wiederum eine .EXE-Datei im Temp-Ordner erstellt und so die Grundlage für den Verschlüsselungs-Vorgang ist. Jackpot!

Was nun folgt, ist erst einmal die Verschlüsselung der Benutzerdaten. Freundlicherweise wird auch überall die bekannte „YOUR_FILES_ARE_ENCRYPTED.TXT“-Datei hinterlassen, damit man auch weitere Informationen zur Entschlüsselung samt Bezahlung findet. Anschliessend wird der Master Boot Record des betroffenen Systems durch eine eigene Variante ersetzt. Spätestens nach einem Neustart wird dann ein Checkdisk der Festplatte vorgetäuscht, welches man in der Tat wirklich hin und wieder schon auf normalen Wege gesehen hat.

Das Kind ist nun eigentlich schon in den Brunnen gefallen und wer jetzt noch ordentlich abwartet, bis die augenscheinliche Festplattenüberprüfung fertig ist, hat eine wunderbar bis zum Ende durchverschlüsselte Festplatte. Spätestens jetzt ist die Frage, ob und inwiefern das Konstrukt schon auf angeschlossene Netzwerklaufwerke übergegriffen und auch Dateien dort verschlüsselt hat. Sinnigerweise sollte man – auch wenn es bereits zu spät ist – mit dem Rechner nur noch eins tun: Vom Netz nehmen, ausschalten, parken – und sich Gedanken darüber machen, ob hier gegebenenfalls auch ein Backup auf PC-Ebene besteht.

Diese Diashow benötigt JavaScript.

Aus eigener Erfahrung weiss ich, dass es müßig ist, nun auf Freigabe-Ebene im Netzwerk nach betroffenen Shares zu suchen, denn: Mindestens eine Freigabe, nämlich die, auf die der Nutzer schreiben konnte – und davon gibt es mindestens eine im Netz, garantiert! – hat dem kleinen Gizmo schon Unterkunft gewährt. Bei einem betroffenen Kunden gab es vor ein paar Monaten zu „Locky“-Zeiten nur eine sinnvolle Lösung: Wiederherstellung des betroffenen PCs auf Bare Metal-Ebene und Wiederherstellung der betroffenen Server – das waren alle vier. Kurz geprüft, wie aktuell das Backup war und da seit der Infektion nur drei Stunden vergangen waren, mußte man einmal in den sauren Apfel beißen und eben diese Maschinen komplett wiederherstellen. Das ist je nach Kundengröße harter Tobak, allerdings in meinen Augen die beste Variante, um wirklich sicher zu gehen, denn: Wer sichert, ist nicht feige und sowohl als Privatmensch als auch Geschäftsanwender würde ich in diesem Falle keine 1000 US$ investieren, um möglicherweise (!) von irgendeiner obskuren Instanz im DarkNet vielleicht (!!) einen Wiederherstellungsschlüssel zu erhalten.

Das ist natürlich einfacher gesagt als getan, wenn man denn betroffen ist und sich versucht, an jeden nur erdenklichen Strohhalm zu klammern. Fakt ist aber auch: Es gibt mittlerweile soviel Optionen für das Backup auf PC-Basis: Ob sie nun von Veeam, Acronis kommen oder die Windows-interne Sicherung darstellen – auf Server-Seite ganz zu schweigen. Da kosten die Lizenzen dann zwar Geld, aber für ein Unternehmen, welches Geld verdient und von den Erträgen – unabhängig von der eigenen Größe – lebt, ist ein Datenverlust ein absolutes Existenzrisiko. Bevor ich als IT-Entscheider auch nur einen Euro in irgendwelche dunklen Kanäle pumpe, um vielleicht an meine Daten heranzukommen, sollte ich doch auch ohne Locky, Goldeneye & Co. bereits ein entsprechendes Backup-Szenario besitzen. Hier zu zahlen, hieße den Leuten hinter Goldeneye noch eine Plattform zu bieten, mit dem Ding oder einer weiteren Variante weiterzumachen – das Geld kommt schon irgendwie rein.

Von daher kann ich nur dazu raten, rechtzeitig und umfassend zu sichern und die Leute vor den Rechnern abzuholen. Speziell letzteres ist oft ein Kampf gegen Windmühlen – auch das weiß ich aus eigener Erfahrung – aber besser es fragt jemand einmal zu viel als zu wenig. Das „zu wenig“ kommt dann eh irgendwann unweigerlich um die Ecke und dann ist man als IT-Verantwortlicher oder eben Privat-Anwender besser gewappnet. In diesem Sinne also: Augen auf, Verstand an!

Quelle (auch Screenshots): Bleeping Computer

  • facebook
  • googleplus
  • twitter
  • linkedin
  • linkedin
  • linkedin

Stolzer Familienvater. Digital Native und chronischer Device-Switcher. Multimedia-Freak. UK-Fan, auch mit Brexit. Blogger mit stets zu wenig Zeit. Hobbyphilosoph. Musik-Enthusiast. Querdenker. Zyniker. Hauptberuflicher IT-Consultant- & Vertriebler. Auch zu finden bei XING. Dieser Artikel hat einen Job oder zumindest Euren Seelenfrieden gerettet und gegebenfalls sogar für Kurzweil gesorgt? Die PayPal-Kaffeekasse freut sich - dankeschön!

  • facebook
  • twitter
  • googleplus
  • linkedIn
  • instagram
  • telegram

5 Kommentare

Kommentar verfassen