Ransomware mit der PowerShell aufspüren

Backups sind nicht in allen Fällen ein Allheilmittel bei Ransomware-Infektionen. Denn ein Backup sichert auch die Daten, die bereits durch eine Ransomware verschlüsselt wurden. Werden die Originale dabei überschrieben, sind die Dateien futsch. Zugegeben: Das trifft nur auf triviale Backupstrategien zu, die jedoch im Umfeld kleiner Unternehmen oder etwa bei Freiberuflern durchaus anzutreffen sein mögen. Im mittelständischen und Enterprise-Umfeld mag das auf den ersten Blick nicht so tragisch sein, denn es existieren ja Sicherungen der zurückliegenden Wochen im Archiv.

Doch ist selbst dies nicht garantiert und wenn die Daten überaltert sind, nützen sie nach einem Restore dem Anwender nur bedingt etwas. In einfachen Szenarien wird lediglich auf eine USB-Festplatte gesichert oder in einen Online-Storage, wodurch in der Regel nur ein Backup-Set vorliegt. Hier ist die Gefahr noch größer, sich nutzbare Sicherungsdaten durch Daten, die von einer Ransomware verschlüsselt wurden, zu überschreiben. Das gilt vor allem dann, wenn die Ransomware die Dateiendungen nicht ändert, wie in Einzelfällen schon geschehen. Natürlich führt am Schutzkonzept des Backup und Restore kein Weg vorbei.

Grundlegende Schutzmaßnahmen

Ein zuverlässiges Verfahren, um Ransomware zu begegnen, ist heute noch nicht verfügbar, auch wenn die Security-Industrie hier und da erste Erfolge vermeldet. Idealerweise sollten Sie allgemeine Sicherheitsempfehlungen umsetzen und es damit der Ransomware möglichst schwermachen. Dazu zählt wie bekannt:

- Zeitnahes Patchen

- Kein Arbeiten mit administrativen Berechtigungen

- Web-Browser absichern und (JS-)Skripte unterbinden, wo machbar

- Makro-Funktionalität abschalten, wo sinnvoll möglich

- E-Mail-Anhänge besonders kritisch analysieren

- Systemübergreifende Zugriffsberechtigungen verifizieren

- Mehrstufige Datensicherung

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.