Post on 10-Sep-2019
transcript
RansomwareErpressungssoftware
EDV-Gerichtstag 2016Jörn Erbguth
joern@erbguth.net
EDV-Gerichtstag 2016, Jörn Erbguth, joern@erbguth.net
Funktionsweise Ransomware
8
EDV-Gerichtstag 2016, Jörn Erbguth, joern@erbguth.net
Funktionsweise Ransomware1. Ransomware
infiziert Rechner
8
EDV-Gerichtstag 2016, Jörn Erbguth, joern@erbguth.net
Funktionsweise Ransomware1. Ransomware
infiziert Rechner
2. Ransomware tauscht Schlüsselinformationen mit Server aus
8
EDV-Gerichtstag 2016, Jörn Erbguth, joern@erbguth.net
Funktionsweise Ransomware1. Ransomware
infiziert Rechner
2. Ransomware tauscht Schlüsselinformationen mit Server aus
3. Ransomware verschlüsselt Daten
8
EDV-Gerichtstag 2016, Jörn Erbguth, joern@erbguth.net
Funktionsweise Ransomware1. Ransomware
infiziert Rechner
2. Ransomware tauscht Schlüsselinformationen mit Server aus
3. Ransomware verschlüsselt Daten
4. Ransomware stellt Lösegeldforderung
8
EDV-Gerichtstag 2016, Jörn Erbguth, joern@erbguth.net
Funktionsweise Ransomware1. Ransomware
infiziert Rechner
2. Ransomware tauscht Schlüsselinformationen mit Server aus
3. Ransomware verschlüsselt Daten
4. Ransomware stellt Lösegeldforderung
5. Nutzer / Nutzerin zahlt
8
EDV-Gerichtstag 2016, Jörn Erbguth, joern@erbguth.net
Funktionsweise Ransomware1. Ransomware
infiziert Rechner
2. Ransomware tauscht Schlüsselinformationen mit Server aus
3. Ransomware verschlüsselt Daten
4. Ransomware stellt Lösegeldforderung
5. Nutzer / Nutzerin zahlt
6. Server übermittelt Entschlüsselungskey und Ransomware entschlüsselt Daten
8
EDV-Gerichtstag 2016, Jörn Erbguth, joern@erbguth.net
Ransomware as a Service „Partner Programm“
• Angriff wird durch Partner durchgeführt
• Lokal angepasste Phishing Mails
• z.B. CTB Locker, Chimera, Cerber
9
EDV-Gerichtstag 2016, Jörn Erbguth, joern@erbguth.net
Ransomware mit Support
10
EDV-Gerichtstag 2016, Jörn Erbguth, joern@erbguth.net
Ransomware mit Support
10
EDV-Gerichtstag 2016, Jörn Erbguth, joern@erbguth.net
Was machen, wenn man betroffen ist?
• Foto des Bildschirms mit der Lösegeldforderung machen
• Weiteren Schaden verhindern
• Situation analysieren • Welche Daten sind betroffen? • Gibt es Backups? • Gibt es Entschlüsselungssoftware? • Entschlüsselt diese Ransomware nach Zahlung?
14
EDV-Gerichtstag 2016, Jörn Erbguth, joern@erbguth.net
Zahlen oder nicht zahlen?
17
EDV-Gerichtstag 2016, Jörn Erbguth, joern@erbguth.net 18
FBI Cyberdivision 8.2.2016
EDV-Gerichtstag 2016, Jörn Erbguth, joern@erbguth.net
Zahlen oder nicht zahlen?
19
EDV-Gerichtstag 2016, Jörn Erbguth, joern@erbguth.net
StrafverfolgungBitcoin-Transaktionen sind zwar pseudonym aber komplett nachvollziehbar
20
ComputerWeekly.com 19.8.2016
EDV-Gerichtstag 2016, Jörn Erbguth, joern@erbguth.net
Vorbeugung: Offline Backup
23
EDV-Gerichtstag 2016, Jörn Erbguth, joern@erbguth.net
Vorbeugung: Mailanhänge
Schutzmaßnahmen von Client-Systemen (BSI Lagedossier Ransomware, Stand Mai 2016)Spam-E-Mails mit Schadprogrammen bzw. Droppern als Anhang und geschicktem Social Engineering sind aktuell einer der Haupt-Angriffsvektoren von Ransomware. Dementsprechend wichtig ist es, Maßnahmen gegen diesen Angriffsvektor umzusetzen, um die Schadenswirkung durch Ausführung von E-Mail-Anhängen oder heruntergeladenen Dateien zu reduzieren:
• Ausführung von Skript-Dateien wie JavaScript, VisualBasicScript oder PowerShellScripts verhindern durch Maßnahmen wie:
• DeaktivierungdesWindowsScriptHostshttps://technet.microsoft.com/en-us/library/ee198684.aspx
• Ausführung von VisualBasicScript einschränken https://technet.microsoft.com/en-us/library/ee198679.aspx
• Deaktivierung von PowerShell mittels AppLocker bzw. Aktivierung der PowerShell-Protokollierung über die Gruppenrichtlinien. Es reicht nicht aus, die Skript-Ausführungsrichtlinie für Windows PowerShell auf Restricted zu setzen, da diese Einstellung über einen Parameter umgangen werden kann.
• Änderung der Standard-Dateizuordnung von Skript-Dateien, so dass diese nicht ausgeführt, sondern z.B. nur mit einem Texteditor (Notepad) angezeigt werden.
• Ausführung von Makros in Ofice-Dokumenten verhindern durch Maßnahmen wie:
• Deaktivierung der Ausführung von Makros in MicrosoftOffice-Produktenhttps://technet.microsoft.com/de-de/library/ee857085.aspx#changevba
• Aktivierung der geschützten Ansicht in Microsoft-Ofice-Produktenhttps://technet.microsoft.com/de-de/library/ee857087.aspx
• Falls Geschäftsprozesse die Ausführung von Makros benötigen, kann deren Nutzung durch andere Einschränkungen und ergänzende Maßnahmen abgesichert werden:
• Nutzung von vertrauenswürdigen Orten für Dokumente mit Makroshttps://support.of ce.com/en-us/article/Create-remove-or-change-a-trusted-location-for-your-files-f5151879-25ea-4998-80a5-4208b3540a62
• Nutzung signierter Makros https://technet.microsoft.com/de-de/library/ee857085.aspx
• Grundsätzlich sollte die Möglichkeit genutzt werden, innerhalb einer Organisation genutzte Makros digital zu signieren und deren Ausführung anhand
24
EDV-Gerichtstag 2016, Jörn Erbguth, joern@erbguth.net
Anti-Ransomware• Mail
• Web
• Netzwerk
• Server
• PC
25
EDV-Gerichtstag 2016, Jörn Erbguth, joern@erbguth.net
Vielen Dank für Ihre Aufmerksamkeit!
26
Fragen ?
Vortragsfolien werden nach CC BY-SA 3.0 veröffentlicht
Bildnachweise
• Virusbild ist von A2-33
• Laptopbild ist von André Karwath aka Aka
• Bild Rechenzentrum Cern ist von Florian Hirzinger – www.fh-ap.com
• Bild Festplatte ist von Eric Gaba, Wikimedia Commons user Sting
27