+ All Categories
Home > Documents > Vortrag Ransomware CC BY-SA - edvgt.de¶rn... · EDV-Gerichtstag 2016, Jörn Erbguth,...

Vortrag Ransomware CC BY-SA - edvgt.de¶rn... · EDV-Gerichtstag 2016, Jörn Erbguth,...

Date post: 10-Sep-2019
Category:

Documents
Upload: others
View: 3 times
Download: 0 times
Download Report this document
Share this document with a friend
34
Ransomware Erpressungssoftware EDV-Gerichtstag 2016 Jörn Erbguth [email protected]
Transcript
Page 1: Vortrag Ransomware CC BY-SA - edvgt.de¶rn... · EDV-Gerichtstag 2016, Jörn Erbguth, joern@erbguth.net Funktionsweise Ransomware 1. Ransomware infiziert Rechner 8

RansomwareErpressungssoftware

EDV-Gerichtstag 2016Jörn Erbguth

[email protected]

mailto:[email protected]
Page 2: Vortrag Ransomware CC BY-SA - edvgt.de¶rn... · EDV-Gerichtstag 2016, Jörn Erbguth, joern@erbguth.net Funktionsweise Ransomware 1. Ransomware infiziert Rechner 8

EDV-Gerichtstag 2016, Jörn Erbguth, [email protected] 2

mailto:[email protected]?subject=
Page 3: Vortrag Ransomware CC BY-SA - edvgt.de¶rn... · EDV-Gerichtstag 2016, Jörn Erbguth, joern@erbguth.net Funktionsweise Ransomware 1. Ransomware infiziert Rechner 8

EDV-Gerichtstag 2016, Jörn Erbguth, [email protected] 3

mailto:[email protected]?subject=
Page 4: Vortrag Ransomware CC BY-SA - edvgt.de¶rn... · EDV-Gerichtstag 2016, Jörn Erbguth, joern@erbguth.net Funktionsweise Ransomware 1. Ransomware infiziert Rechner 8

EDV-Gerichtstag 2016, Jörn Erbguth, [email protected] 4

mailto:[email protected]?subject=
Page 5: Vortrag Ransomware CC BY-SA - edvgt.de¶rn... · EDV-Gerichtstag 2016, Jörn Erbguth, joern@erbguth.net Funktionsweise Ransomware 1. Ransomware infiziert Rechner 8

EDV-Gerichtstag 2016, Jörn Erbguth, [email protected] 5

mailto:[email protected]?subject=
Page 6: Vortrag Ransomware CC BY-SA - edvgt.de¶rn... · EDV-Gerichtstag 2016, Jörn Erbguth, joern@erbguth.net Funktionsweise Ransomware 1. Ransomware infiziert Rechner 8

EDV-Gerichtstag 2016, Jörn Erbguth, [email protected] 6

mailto:[email protected]?subject=
Page 7: Vortrag Ransomware CC BY-SA - edvgt.de¶rn... · EDV-Gerichtstag 2016, Jörn Erbguth, joern@erbguth.net Funktionsweise Ransomware 1. Ransomware infiziert Rechner 8

EDV-Gerichtstag 2016, Jörn Erbguth, [email protected] 7

mailto:[email protected]?subject=
Page 8: Vortrag Ransomware CC BY-SA - edvgt.de¶rn... · EDV-Gerichtstag 2016, Jörn Erbguth, joern@erbguth.net Funktionsweise Ransomware 1. Ransomware infiziert Rechner 8

EDV-Gerichtstag 2016, Jörn Erbguth, [email protected]

Funktionsweise Ransomware

8

mailto:[email protected]?subject=
Page 9: Vortrag Ransomware CC BY-SA - edvgt.de¶rn... · EDV-Gerichtstag 2016, Jörn Erbguth, joern@erbguth.net Funktionsweise Ransomware 1. Ransomware infiziert Rechner 8

EDV-Gerichtstag 2016, Jörn Erbguth, [email protected]

Funktionsweise Ransomware1. Ransomware

infiziert Rechner

8

mailto:[email protected]?subject=
Page 10: Vortrag Ransomware CC BY-SA - edvgt.de¶rn... · EDV-Gerichtstag 2016, Jörn Erbguth, joern@erbguth.net Funktionsweise Ransomware 1. Ransomware infiziert Rechner 8

EDV-Gerichtstag 2016, Jörn Erbguth, [email protected]

Funktionsweise Ransomware1. Ransomware

infiziert Rechner

2. Ransomware tauscht Schlüsselinformationen mit Server aus

8

mailto:[email protected]?subject=
Page 11: Vortrag Ransomware CC BY-SA - edvgt.de¶rn... · EDV-Gerichtstag 2016, Jörn Erbguth, joern@erbguth.net Funktionsweise Ransomware 1. Ransomware infiziert Rechner 8

EDV-Gerichtstag 2016, Jörn Erbguth, [email protected]

Funktionsweise Ransomware1. Ransomware

infiziert Rechner

2. Ransomware tauscht Schlüsselinformationen mit Server aus

3. Ransomware verschlüsselt Daten

8

mailto:[email protected]?subject=
Page 12: Vortrag Ransomware CC BY-SA - edvgt.de¶rn... · EDV-Gerichtstag 2016, Jörn Erbguth, joern@erbguth.net Funktionsweise Ransomware 1. Ransomware infiziert Rechner 8

EDV-Gerichtstag 2016, Jörn Erbguth, [email protected]

Funktionsweise Ransomware1. Ransomware

infiziert Rechner

2. Ransomware tauscht Schlüsselinformationen mit Server aus

3. Ransomware verschlüsselt Daten

4. Ransomware stellt Lösegeldforderung

8

mailto:[email protected]?subject=
Page 13: Vortrag Ransomware CC BY-SA - edvgt.de¶rn... · EDV-Gerichtstag 2016, Jörn Erbguth, joern@erbguth.net Funktionsweise Ransomware 1. Ransomware infiziert Rechner 8

EDV-Gerichtstag 2016, Jörn Erbguth, [email protected]

Funktionsweise Ransomware1. Ransomware

infiziert Rechner

2. Ransomware tauscht Schlüsselinformationen mit Server aus

3. Ransomware verschlüsselt Daten

4. Ransomware stellt Lösegeldforderung

5. Nutzer / Nutzerin zahlt

8

mailto:[email protected]?subject=
Page 14: Vortrag Ransomware CC BY-SA - edvgt.de¶rn... · EDV-Gerichtstag 2016, Jörn Erbguth, joern@erbguth.net Funktionsweise Ransomware 1. Ransomware infiziert Rechner 8

EDV-Gerichtstag 2016, Jörn Erbguth, [email protected]

Funktionsweise Ransomware1. Ransomware

infiziert Rechner

2. Ransomware tauscht Schlüsselinformationen mit Server aus

3. Ransomware verschlüsselt Daten

4. Ransomware stellt Lösegeldforderung

5. Nutzer / Nutzerin zahlt

6. Server übermittelt Entschlüsselungskey und Ransomware entschlüsselt Daten

8

mailto:[email protected]?subject=
Page 15: Vortrag Ransomware CC BY-SA - edvgt.de¶rn... · EDV-Gerichtstag 2016, Jörn Erbguth, joern@erbguth.net Funktionsweise Ransomware 1. Ransomware infiziert Rechner 8

EDV-Gerichtstag 2016, Jörn Erbguth, [email protected]

Ransomware as a Service „Partner Programm“

• Angriff wird durch Partner durchgeführt

• Lokal angepasste Phishing Mails

• z.B. CTB Locker, Chimera, Cerber

9

mailto:[email protected]?subject=
Page 16: Vortrag Ransomware CC BY-SA - edvgt.de¶rn... · EDV-Gerichtstag 2016, Jörn Erbguth, joern@erbguth.net Funktionsweise Ransomware 1. Ransomware infiziert Rechner 8

EDV-Gerichtstag 2016, Jörn Erbguth, [email protected]

Ransomware mit Support

10

mailto:[email protected]?subject=
Page 17: Vortrag Ransomware CC BY-SA - edvgt.de¶rn... · EDV-Gerichtstag 2016, Jörn Erbguth, joern@erbguth.net Funktionsweise Ransomware 1. Ransomware infiziert Rechner 8

EDV-Gerichtstag 2016, Jörn Erbguth, [email protected]

Ransomware mit Support

10

mailto:[email protected]?subject=
Page 18: Vortrag Ransomware CC BY-SA - edvgt.de¶rn... · EDV-Gerichtstag 2016, Jörn Erbguth, joern@erbguth.net Funktionsweise Ransomware 1. Ransomware infiziert Rechner 8

EDV-Gerichtstag 2016, Jörn Erbguth, [email protected]

Reue

11

mailto:[email protected]?subject=
Page 19: Vortrag Ransomware CC BY-SA - edvgt.de¶rn... · EDV-Gerichtstag 2016, Jörn Erbguth, joern@erbguth.net Funktionsweise Ransomware 1. Ransomware infiziert Rechner 8

EDV-Gerichtstag 2016, Jörn Erbguth, [email protected] 12

mailto:[email protected]?subject=
Page 20: Vortrag Ransomware CC BY-SA - edvgt.de¶rn... · EDV-Gerichtstag 2016, Jörn Erbguth, joern@erbguth.net Funktionsweise Ransomware 1. Ransomware infiziert Rechner 8

EDV-Gerichtstag 2016, Jörn Erbguth, [email protected] 13

mailto:[email protected]?subject=
Page 21: Vortrag Ransomware CC BY-SA - edvgt.de¶rn... · EDV-Gerichtstag 2016, Jörn Erbguth, joern@erbguth.net Funktionsweise Ransomware 1. Ransomware infiziert Rechner 8

EDV-Gerichtstag 2016, Jörn Erbguth, [email protected]

Was machen, wenn man betroffen ist?

• Foto des Bildschirms mit der Lösegeldforderung machen

• Weiteren Schaden verhindern

• Situation analysieren • Welche Daten sind betroffen? • Gibt es Backups? • Gibt es Entschlüsselungssoftware? • Entschlüsselt diese Ransomware nach Zahlung?

14

mailto:[email protected]?subject=
Page 22: Vortrag Ransomware CC BY-SA - edvgt.de¶rn... · EDV-Gerichtstag 2016, Jörn Erbguth, joern@erbguth.net Funktionsweise Ransomware 1. Ransomware infiziert Rechner 8

EDV-Gerichtstag 2016, Jörn Erbguth, [email protected] 15

mailto:[email protected]?subject=
Page 23: Vortrag Ransomware CC BY-SA - edvgt.de¶rn... · EDV-Gerichtstag 2016, Jörn Erbguth, joern@erbguth.net Funktionsweise Ransomware 1. Ransomware infiziert Rechner 8

EDV-Gerichtstag 2016, Jörn Erbguth, [email protected] 16

mailto:[email protected]?subject=
Page 24: Vortrag Ransomware CC BY-SA - edvgt.de¶rn... · EDV-Gerichtstag 2016, Jörn Erbguth, joern@erbguth.net Funktionsweise Ransomware 1. Ransomware infiziert Rechner 8

EDV-Gerichtstag 2016, Jörn Erbguth, [email protected]

Zahlen oder nicht zahlen?

17

mailto:[email protected]?subject=
Page 25: Vortrag Ransomware CC BY-SA - edvgt.de¶rn... · EDV-Gerichtstag 2016, Jörn Erbguth, joern@erbguth.net Funktionsweise Ransomware 1. Ransomware infiziert Rechner 8

EDV-Gerichtstag 2016, Jörn Erbguth, [email protected] 18

FBI Cyberdivision 8.2.2016

mailto:[email protected]?subject=
Page 26: Vortrag Ransomware CC BY-SA - edvgt.de¶rn... · EDV-Gerichtstag 2016, Jörn Erbguth, joern@erbguth.net Funktionsweise Ransomware 1. Ransomware infiziert Rechner 8

EDV-Gerichtstag 2016, Jörn Erbguth, [email protected]

Zahlen oder nicht zahlen?

19

mailto:[email protected]?subject=
Page 27: Vortrag Ransomware CC BY-SA - edvgt.de¶rn... · EDV-Gerichtstag 2016, Jörn Erbguth, joern@erbguth.net Funktionsweise Ransomware 1. Ransomware infiziert Rechner 8

EDV-Gerichtstag 2016, Jörn Erbguth, [email protected]

StrafverfolgungBitcoin-Transaktionen sind zwar pseudonym aber komplett nachvollziehbar

20

ComputerWeekly.com 19.8.2016

mailto:[email protected]?subject=
Page 28: Vortrag Ransomware CC BY-SA - edvgt.de¶rn... · EDV-Gerichtstag 2016, Jörn Erbguth, joern@erbguth.net Funktionsweise Ransomware 1. Ransomware infiziert Rechner 8

EDV-Gerichtstag 2016, Jörn Erbguth, [email protected] 21

mailto:[email protected]?subject=
Page 29: Vortrag Ransomware CC BY-SA - edvgt.de¶rn... · EDV-Gerichtstag 2016, Jörn Erbguth, joern@erbguth.net Funktionsweise Ransomware 1. Ransomware infiziert Rechner 8

EDV-Gerichtstag 2016, Jörn Erbguth, [email protected] 22

mailto:[email protected]?subject=
Page 30: Vortrag Ransomware CC BY-SA - edvgt.de¶rn... · EDV-Gerichtstag 2016, Jörn Erbguth, joern@erbguth.net Funktionsweise Ransomware 1. Ransomware infiziert Rechner 8

EDV-Gerichtstag 2016, Jörn Erbguth, [email protected]

Vorbeugung: Offline Backup

23

mailto:[email protected]?subject=
Page 31: Vortrag Ransomware CC BY-SA - edvgt.de¶rn... · EDV-Gerichtstag 2016, Jörn Erbguth, joern@erbguth.net Funktionsweise Ransomware 1. Ransomware infiziert Rechner 8

EDV-Gerichtstag 2016, Jörn Erbguth, [email protected]

Vorbeugung: Mailanhänge

Schutzmaßnahmen von Client-Systemen (BSI Lagedossier Ransomware, Stand Mai 2016)Spam-E-Mails mit Schadprogrammen bzw. Droppern als Anhang und geschicktem Social Engineering sind aktuell einer der Haupt-Angriffsvektoren von Ransomware. Dementsprechend wichtig ist es, Maßnahmen gegen diesen Angriffsvektor umzusetzen, um die Schadenswirkung durch Ausführung von E-Mail-Anhängen oder heruntergeladenen Dateien zu reduzieren:

• Ausführung von Skript-Dateien wie JavaScript, VisualBasicScript oder PowerShellScripts verhindern durch Maßnahmen wie:

• DeaktivierungdesWindowsScriptHostshttps://technet.microsoft.com/en-us/library/ee198684.aspx

• Ausführung von VisualBasicScript einschränken https://technet.microsoft.com/en-us/library/ee198679.aspx

• Deaktivierung von PowerShell mittels AppLocker bzw. Aktivierung der PowerShell-Protokollierung über die Gruppenrichtlinien. Es reicht nicht aus, die Skript-Ausführungsrichtlinie für Windows PowerShell auf Restricted zu setzen, da diese Einstellung über einen Parameter umgangen werden kann.

• Änderung der Standard-Dateizuordnung von Skript-Dateien, so dass diese nicht ausgeführt, sondern z.B. nur mit einem Texteditor (Notepad) angezeigt werden.

• Ausführung von Makros in Ofice-Dokumenten verhindern durch Maßnahmen wie:

• Deaktivierung der Ausführung von Makros in MicrosoftOffice-Produktenhttps://technet.microsoft.com/de-de/library/ee857085.aspx#changevba

• Aktivierung der geschützten Ansicht in Microsoft-Ofice-Produktenhttps://technet.microsoft.com/de-de/library/ee857087.aspx

• Falls Geschäftsprozesse die Ausführung von Makros benötigen, kann deren Nutzung durch andere Einschränkungen und ergänzende Maßnahmen abgesichert werden:

• Nutzung von vertrauenswürdigen Orten für Dokumente mit Makroshttps://support.of ce.com/en-us/article/Create-remove-or-change-a-trusted-location-for-your-files-f5151879-25ea-4998-80a5-4208b3540a62

• Nutzung signierter Makros https://technet.microsoft.com/de-de/library/ee857085.aspx

• Grundsätzlich sollte die Möglichkeit genutzt werden, innerhalb einer Organisation genutzte Makros digital zu signieren und deren Ausführung anhand

24

mailto:[email protected]?subject=
http://ce.com/en-us/article/Create-remove-or-change-a-trusted-location-for-your-files-f5151879-25ea-4998-80a5-4208b3540a62
Page 32: Vortrag Ransomware CC BY-SA - edvgt.de¶rn... · EDV-Gerichtstag 2016, Jörn Erbguth, joern@erbguth.net Funktionsweise Ransomware 1. Ransomware infiziert Rechner 8

EDV-Gerichtstag 2016, Jörn Erbguth, [email protected]

Anti-Ransomware• Mail

• Web

• Netzwerk

• Server

• PC

25

mailto:[email protected]?subject=
Page 33: Vortrag Ransomware CC BY-SA - edvgt.de¶rn... · EDV-Gerichtstag 2016, Jörn Erbguth, joern@erbguth.net Funktionsweise Ransomware 1. Ransomware infiziert Rechner 8

EDV-Gerichtstag 2016, Jörn Erbguth, [email protected]

Vielen Dank für Ihre Aufmerksamkeit!

26

Fragen ?

mailto:[email protected]?subject=
Page 34: Vortrag Ransomware CC BY-SA - edvgt.de¶rn... · EDV-Gerichtstag 2016, Jörn Erbguth, joern@erbguth.net Funktionsweise Ransomware 1. Ransomware infiziert Rechner 8

Vortragsfolien werden nach CC BY-SA 3.0 veröffentlicht

Bildnachweise

• Virusbild ist von A2-33

• Laptopbild ist von André Karwath aka Aka

• Bild Rechenzentrum Cern ist von Florian Hirzinger – www.fh-ap.com

• Bild Festplatte ist von Eric Gaba, Wikimedia Commons user Sting

27

http://www.fh-ap.com

Recommended
RANSOMWARE - healthyagingcore.ca

RANSOMWARE - healthyagingcore.ca

Documents

CROWDSTRIKE // WHITE PAPER RANSOMWARE A GROWING …€¦ · CROWDSTRIKE // WHITE PAPER RANSOMWARE A GROWING ENTERPRISE THREAT ... the sheer volume of ransomware variants released

CROWDSTRIKE // WHITE PAPER RANSOMWARE A GROWING …€¦ · CROWDSTRIKE // WHITE PAPER RANSOMWARE A GROWING ENTERPRISE THREAT ... the sheer volume of ransomware variants released

Documents

A QUICK GUIDE FOR RANSOMWARE DEFENSE · 2019-03-02 · A QUICK GUIDE FOR RANSOMWARE DEFENSE | 2 A BRIEF HISTORY OF RANSOMWARE Before understanding how to defend against ransomware,

A QUICK GUIDE FOR RANSOMWARE DEFENSE · 2019-03-02 · A QUICK GUIDE FOR RANSOMWARE DEFENSE | 2 A BRIEF HISTORY OF RANSOMWARE Before understanding how to defend against ransomware,

Documents

Colorectal Cancer Paula M. Rechner M.D. War Memorial Hospital October 13, 2005.

Colorectal Cancer Paula M. Rechner M.D. War Memorial Hospital October 13, 2005.

Documents

AtomSilo Ransomware

AtomSilo Ransomware

Documents

Ein Rechner, ein Chip: MOS Technology 6502

Ein Rechner, ein Chip: MOS Technology 6502

Education

Ransomware - asecuritysite.com · Types •Locker Ransomware. Locks the computer. •Crypto Ransomware. Requires decryption key. •Master Boot Record Ransomware. Attack MBR so that

Ransomware - asecuritysite.com · Types •Locker Ransomware. Locks the computer. •Crypto Ransomware. Requires decryption key. •Master Boot Record Ransomware. Attack MBR so that

Documents

CAPACITIVE SEnSorS2 RECHNER Industrie-Elektronik GmbH • Gaußstraße 6-10 • D-68623 Lampertheim • Tel. +49 6206 5007-0 • fax +49 6206 5007-36 • e-mail: info@rechner-sensors.de

CAPACITIVE SEnSorS2 RECHNER Industrie-Elektronik GmbH • Gaußstraße 6-10 • D-68623 Lampertheim • Tel. +49 6206 5007-0 • fax +49 6206 5007-36 • e-mail: [email protected]

Documents

SAP Enhancement Packages Funktionsweise und ...

SAP Enhancement Packages Funktionsweise und ...

Documents

Ransomware Tips to Help Avoid Ransomware Attacks · 2019. 5. 8. · installed the ransomware. Tips to Help Avoid Ransomware Attacks 1. Don’t click. Visiting unsafe, suspicious or

Ransomware Tips to Help Avoid Ransomware Attacks · 2019. 5. 8. · installed the ransomware. Tips to Help Avoid Ransomware Attacks 1. Don’t click. Visiting unsafe, suspicious or

Documents

An Enterprise Guide to Preventing Ransomware Attacksstratxsolutions.com/...black_ebook_ransomware_0912.pdf · AN ENTERPRISE GUIDE TO PREVENTING RANSOMWARE ATTACKS Ransomware isn’t

An Enterprise Guide to Preventing Ransomware Attacksstratxsolutions.com/...black_ebook_ransomware_0912.pdf · AN ENTERPRISE GUIDE TO PREVENTING RANSOMWARE ATTACKS Ransomware isn’t

Documents

Ransomware- success stories Triangle InfoSeCon · Ransomware Ransomware WannaCry,Petya,CryptoLocker,and TeslaCrypt are some of the more notable examples of such ransomware. In general,

Ransomware- success stories Triangle InfoSeCon · Ransomware Ransomware WannaCry,Petya,CryptoLocker,and TeslaCrypt are some of the more notable examples of such ransomware. In general,

Documents

Ransomware and tips to prevent ransomware attacks

Ransomware and tips to prevent ransomware attacks

Technology

Ransomware: Wannacry

Ransomware: Wannacry

Technology

Ransomware Payment: Legality, Logistics, …...• Ransomware start-up costs are cheap. Ransomware software is readily and easily available – and is extraordinarily inexpensive.

Ransomware Payment: Legality, Logistics, …...• Ransomware start-up costs are cheap. Ransomware software is readily and easily available – and is extraordinarily inexpensive.

Documents

LockBit Ransomware

LockBit Ransomware

Documents

SAP Enhancement Packages Funktionsweise und ... · SAP PRESS SAP Enhancement Packages – Funktionsweise und Implementierung Aktuell zu EHP5 Bearbeitet von Martina Kaplan, Christian

SAP Enhancement Packages Funktionsweise und ... · SAP PRESS SAP Enhancement Packages – Funktionsweise und Implementierung Aktuell zu EHP5 Bearbeitet von Martina Kaplan, Christian

Documents

Ransomware infographicITU - itu.int · ransomware detections were flagged as crypto-ransomware. a 27% increase since it was discovered. A ransomware variant seen in Russia that zipped

Ransomware infographicITU - itu.int · ransomware detections were flagged as crypto-ransomware. a 27% increase since it was discovered. A ransomware variant seen in Russia that zipped

Documents