Pressemitteilungen

Ist die neue Erpressersoftware Stampado nur ein fieser Marketingtrick?

Ein Kommentar von Sicherheitsexperte Richard Werner, Business Consultant beim japanischen IT-Sicherheitsanbieter Trend Micro, zur Erpressersoftware Stampado

Tags: #cryptoransomware #erpressersoftware #verschlüsselung #av #trendmicro #bedrohung #datensicherung #ranscam #backup #löschen #cloudspeicher #sicherheitssoftware #whitelisting #news #nachrichten #crypto-ransomware-file-decryptor #trendmicro-anti-ransomware #screenlock #bildschirmsperre #rexit #fake-av #stampado #conficker #donwnad #virustotal

Hallbergmoos, 15. Juli 2016. Zurzeit schreckt die Nachricht den Markt auf, es sei eine „unentdeckbare“ Ransomware im Umlauf und diese koste nur 39 US-Dollar. Sogar ein YouTube-Video existiert, auf dem die Hintermänner die Funktionsweise der Erpressersoftware erklären. Merkwürdig ist jedoch: Bislang fehlt jeglicher Beweis, dass es diesen Schädling überhaupt gibt. Daher stellt sich die Frage: Was ist los im Crypto-Ransomware-Untergrund? Zuerst taucht mit Ranscam eine Variante auf, die Dateien nicht verschlüsselt, sondern löscht, und jetzt „werben“ Cyberkriminelle für einen Schädling, der wahrscheinlich gar nicht existiert? Stehen wir am Beginn einer Welle mit gefälschter Anti-Ransomware, die vermeintlich vor Erpressersoftware schützt?

Als vor einigen Jahren die Schadsoftware Conficker – auch DownAD genannt – ihr Unwesen trieb, dauerte es nicht lange, bis Online-Gangster auf die Idee kamen, gefälschte Antivirenprogramme in Umlauf zu bringen, die angeblich vor dieser Bedrohung mit sehr hohen Infektionszahlen schützten. Damit haben die Cyberkriminellen das Bedrohungspotenzial von Conficker potenziert und ihren Gewinn maximiert.

Während Ranscam implizit den Sinn von Zahlungen an die Erpresser zumindest mittel- und langfristig in Frage stellt, da die Dateien ja nicht wiederhergestellt, sondern unwiederbringlich gelöscht werden, sendet das YouTube-Video zu STAMPADO das gegenteilige Signal. Aus der Sicht von Trend Micro verstecken sich dahinter drei Aussagen:

  • 1. „Ransomware ist nicht tot! Wir verteilen Erpressersoftware gerade im gesamten Cyber-Untergrund.“ Die Absicht ist klar: Ransomware kann und wird jeden treffen. Und um den Schaden für die Opfer und dadurch den Gewinn für die Cyberkriminellen zu maximieren, wäre es denkbar, dass dies eine neue Welle von gefälschten Antiviren-Programmen ankündigt. Trifft dies zu, gibt es demnächst viele neue Anti-Ransomware-Tools, die damit werben, Stampado & Co zu erkennen und zu entfernen – natürlich gegen Zahlung einer Gebühr von vielleicht 20 Euro. Mit diesem Trick haben Conficker-Hintermänner Millionen „verdient“.
  • 2. „Installierte IT-Sicherheitslösungen nützen nichts, sie entdecken uns nicht. Unser Schädling ist nicht zu erkennen.“ Damit wird suggeriert, dass Investitionen in IT-Sicherheitslösungen nichts bringen, weil diese angeblich wirkungslos sind. Doch das stimmt natürlich nicht.
  • 3. „Wer bezahlt, kann wieder auf seine Daten und Informationen zugreifen.“ Dies könnte die Antwort auf Ranscam sein. Die Opfer sollen weiter in dem Glauben gelassen werden, dass es sich „lohnt“, den Online-Kriminellen Geld zu bezahlen. Doch so einfach ist es nicht. Es ist besser, auf die Geldforderungen nicht einzugehen.
     

Die Anwender – ob in Unternehmen oder privat – sind jedenfalls gut beraten, nicht auf Meldungen, sie hätten sich mit Stampado infiziert, hereinzufallen und zu zahlen. Ein Anwender, der aufgrund der aktuellen Nachrichtenlage nach Stampado recherchiert, findet vielleicht schon bald nicht mehr nur Suchtreffer, die auf die Seiten der seriösen IT-Sicherheitsanbieter verweisen, sondern auf dubiose Angebote. Dabei könnte es sich um ein Fake-Antiransomware-Werkzeug handeln. Fällt ein Anwender auf diesen Trick herein, erscheint wohl schon bald ein Popup-Fenster und meldet den Befall mit Stampado, selbst wenn gar keine Infektion vorliegt. Natürlich schlägt in einem solchen Fall kein legitimes Sicherheitsprodukt an – was dem ahnungslosen Opfer wieder die Echtheit der Aussagen im YouTube-Video suggeriert. Dadurch steigt die Wahrscheinlichkeit, dass das Opfer zahlt, enorm.

Nie zahlen! Niemals!
Bei Ransomware gibt es keine Garantie, dass die Opfer den Schlüssel tatsächlich bekommen, um mit ihren Dateien wieder arbeiten zu können. Außerdem sind Fälle bekannt geworden, dass nach der Zahlung weitere Geldforderungen erhoben wurden, statt den Schlüssel zu liefern. Es zahlt sich also generell nicht aus, den Erpressern nachzugeben.

Nein zu Ransomware
Als erste Hilfe im Fall einer Infektion mit einigen Varianten von Erpressersoftware hilft Trend Micro mit zwei kostenlos abrufbaren Tools: „Trend Micro Crypto-Ransomware File Decryptor“ und „Trend Micro Anti-Ransomware“. Darüber hinaus empfiehlt Trend Micro Privatanwendern wie Unternehmen zwei grundlegende Strategien, um sich vor Infektionen mit Erpressersoftware zu wappnen:

1. Backups anlegen
Eine grundlegende Möglichkeit, sich vor Erpressersoftware zu schützen, sind regelmäßige Datensicherungen (Backups). Dabei sollten die Anwender der 3-2-1-Regel folgen – drei Kopien in zwei Formaten auf einem isolierten Medium. So lassen sich zum Beispiel die Familienfotos erstens auf einem externen Speichermedium (externe Festplatte oder Stick) speichern, zweitens in der Cloud ablegen und drittens auf eine CD brennen. Der Cloud-Speicher und der nicht eingesteckte USB-Stick verhindern dabei, dass der Schädling auch die Sicherungskopien verschlüsseln und löschen kann. Sollte kein Cloud-Speicher vorhanden und der USB-Stick mit dem Rechner verbunden sein, so wären wenigstens die auf CD gebrannten Bilder sicher, selbst wenn diese im CD-Laufwerk eingelegt wäre.

Wichtig dabei ist, nicht nur die Daten und Dateien, sondern auch ein System-Image zu sichern – im Falle von Windows am besten einmal in der Woche. Hierfür eignet sich wegen der Datenmenge idealerweise eine externe Festplatte, die nur während der Sicherung mit dem Rechner per USB-Schnittstelle verbunden wird. Kommt es zu einer Infektion, ist es immer empfehlenswert, den befallenen Rechner komplett neu aufzusetzen – selbst nach geglückter Entfernung des Schädlings. Schließlich kann es immer möglich sein, dass einzelne Komponenten einer Bedrohung weiter auf dem Gerät verbleiben und bei künftigen Kampagnen wieder ihr Unwesen treiben.

2. Mehrschichtige Sicherheitslösungen helfen
Generell sollten Anwender auf ihren Geräten eine moderne Sicherheitssoftware installieren und stets auf dem aktuellen Stand halten. Außerdem sollten diese Schutzlösungen über Cloud-Sicherheitsmechanismen verfügen, damit etwa Webadressen, die zu Erpresser- und anderer Schadsoftware führen, oder E-Mails mit bösartigen Links geblockt und bösartige Dateien gar nicht heruntergeladen oder ausgeführt werden. Zusätzlich bietet die Verhaltensanalyse solcher Sicherheitssoftware Schutz und kann eine unbekannte oder zunächst nicht erkannte Bedrohung noch vor dem eigentlichen Schaden abwehren.

Trend Micro-Kunden – Privatanwender wie Unternehmen – können sich durch Lösungen wie „Security“, „Smart Protection Suites“, „Worry-Free Business Security“, „Deep Discovery Email Inspector“, „InterScan Web Security“, „Deep Security“ und „Endpoint Application Control“ vor Bedrohungen durch Erpressersoftware schützen. „Endpoint Application Control“ verhindert dabei das Installieren und Ausführen jeglicher Software, die nicht vorher von den Administratoren als vertrauenswürdig und zugelassen definiert wurde (so genanntes „Whitelisting“).
 

Über Richard Werner
Als Business Consultant bringt Richard Werner den IT-Sicherheitsverantwortlichen größerer Unternehmenskunden die Strategie Trend Micros näher, speziell im Hinblick auf aktuelle Cyberbedrohungen. In dieser Rolle, die er seit Juni 2016 innehat, hält Werner zudem Vorträge und kommuniziert mit der Presse. Davor verantwortete er als Regional Solution Manager die Einführung insbesondere der Cloud- und Rechenzentrumslösungen in Deutschland, Österreich und der Schweiz. Werner, der seit 2000 im Unternehmen ist, hatte beim japanischen IT-Sicherheitsanbieter verschiedene leitende Positionen im technischem Bereich inne, insbesondere im Post- und Pre-Sales-Support: Er war unter anderem Leiter des Presales-Teams für die Region Zentraleuropa sowie Senior Sales Engineer.

Über Trend Micro

Als einer der weltweit führenden IT-Sicherheitsanbieter verfolgt Trend Micro das Ziel, eine sichere Welt für den digitalen Datenaustausch zu schaffen. Die innovativen Lösungen für Privatanwender, Unternehmen und Behörden bieten mehrschichtigen Schutz für Rechenzentren, Cloud-Umgebungen, Netzwerke und Endpunkte.

Die Lösungen von Trend Micro sind für führende Umgebungen wie Amazon Web Services, Microsoft® und VMware® optimiert. Mit ihnen können Organisationen den Schutz ihrer wertvollen Daten vor aktuellen Bedrohungen automatisieren. Die miteinander kommunizierenden Produkte bilden einen vernetzten Schutzmechanismus, der durch zentrale Transparenz und Kontrolle eine schnellere und bessere Absicherung ermöglicht.

Zu den Kunden von Trend Micro zählen 45 der Top-50-Unternehmen der Fortune® Global 500 sowie alle der zehn jeweils führenden Unternehmen in den Branchen Automotive, Bankenwesen, Telekommunikation und Erdöl.

Mit nahezu 6.000 Mitarbeitern in über 50 Ländern und der fortschrittlichsten Analyse globaler Cyberbedrohungen schützt Trend Micro zuverlässig vernetzte Unternehmen.
Die deutsche Niederlassung von Trend Micro befindet sich in Hallbergmoos bei München. In der Schweiz kümmert sich die Niederlassung in Wallisellen bei Zürich um die Belange des deutschsprachigen Landesteils, der französischsprachige Teil wird von Lausanne aus betreut; Sitz der österreichischen Vertretung ist Wien.

Weitere Informationen zum Unternehmen und seinen Lösungen sind unter www.trendmicro.de verfügbar, zu aktuellen Bedrohungen unter blog.trendmicro.de sowie blog.trendmicro.ch. Anwender können sich auch unter @TrendMicroDE informieren.