Ein Ransomware-Angriff ist eine der größten Bedrohungen für Online-Nutzer. In diesem Artikel gehen wir auf einige Punkte im Umgang mit Ransomware ein. Kurz gesagt:
Was ist zu tun, wenn Sie von Ransomware betroffen sind?
- Bewahren Sie Ruhe. Jede überstürzte Entscheidung kann zu weiteren Datenverlusten führen.
- Überprüfen Sie Ihre letzten Backups.
- Zahlen Sie kein Lösegeld, da es keine Garantie dafür gibt, dass Sie Ihre Daten zurückerhalten.
- Kontaktieren Sie uns, um Ratschläge zu erhalten und Möglichkeiten zur Datenwiederherstellung zu erkunden.
Ein paar Punkte, die wir hervorheben möchten:
Bewahren Sie Ruhe, aber Eile ist geboten.
In diesen ersten Momenten schießt wahrscheinlich das Adrenalin in die Höhe, begleitet von Gefühlen wie Schock, Wut und Angst. Es ist wichtig, nicht in Panik zu geraten und ruhig zu bleiben, während man die Situation einschätzt. Sobald die Ransomware die Verschlüsselung beginnt, geht es sehr schnell und 100.000 Dateien werden dabei pro Minute verschlüsselt.
Stoppen Sie die weitere Ausbreitung! Schließen Sie alle (Netzwerk-)Verbindungen.
Sobald Sie wissen, dass Sie von einem Ransomware-Angriff betroffen sind - in der Regel, weil eine große Benachrichtigung auf dem Bildschirm aufblitzt -, müssen Sie das/die infizierte(n) Gerät(e) unbedingt isolieren. Entfernen Sie Netzwerk- und Datenkabel, USB-Geräte und Dongles und deaktivieren Sie WiFi (WLAN) und Bluetooth, um zu verhindern, dass das Gerät eine Verbindung herstellt, die zur Verbreitung der Bedrohung führen könnte. Das Netzwerkteam muss so schnell wie möglich informiert werden, um den Zugang zu beschränken und diese Verbindungen zu unterbrechen.
Suchen Sie sofort Rechtsbeistand und Beratung.
Handelt es sich um einen Vorfall oder eine Datenschutzverletzung, die gemeldet werden muss? Es ist ein erfahrener Rechtsbeistand erforderlich, der darüber berät, ob und wie die Behörden korrekt und rechtzeitig informiert werden müssen, um alle geltenden Vorschriften zu erfüllen.
Kommunikation.
Es ist wichtig, dass die gesamte Kommunikation von einer zentralen Stelle innerhalb der Organisation gesteuert wird, um Fehlinformationen oder Verwirrung zu vermeiden. Dazu sollte die Anweisung gehören, mit niemandem in den Medien zu sprechen oder etwas in den sozialen Medien zu veröffentlichen. PR-Ankündigungen müssen sorgfältig vorbereitet werden, um Aktionäre, Interessengruppen und den Markt nicht zu verunsichern.
Sobald ein Angriff bekannt ist, muss jeder im Unternehmen auf die Bedrohung aufmerksam gemacht werden. Wenn jemand den Verdacht hat, dass sein Gerät infiziert ist, muss er es zwingend melden und sofort vom Netzwerk trennen.
In der heutigen vernetzten Welt ist es auch wichtig, Partner Unternehmen und Kontakte zu benachrichtigen. Stimmen Sie dies mit dem Rechtsbeistand ab.
Zugangsdaten (User + Login) zurücksetzen.
Best Practices, also die bewährten Vorgehensweisen besagen auch, dass Benutzer alle ihre Anmeldeinformationen zurücksetzen sollten - insbesondere für privilegierte ADMIN Konten -, um zu verhindern, dass ein Angreifer weiterhin wertvolle Daten sammelt, die für mögliche weitere Angriffe verwendet werden könnten.
Überprüfen Sie Ihre letzten Backups / Ist eine Wiederherstellung von Daten aus Backups möglich?
Ein aktuelles Backup ist die effektivste Methode, um sich von einem Ransomware-Angriff zu erholen. Vor allem, wenn Sie die "3-2-1-1-0-Regel" befolgt haben - 3 Kopien der Daten, die auf 2 verschiedenen Medien gespeichert sind, wovon 1 offline und 1 offsite ist, und überprüft wurde, dass sie 0 Fehler aufweist. Wenn es um die Wiederherstellung von Daten geht, scannen Sie Ihre Daten zuerst auf Malware und stellen Sie sicher, dass Backups nur mit bekanntermaßen sauberen Geräten verbunden sind, um eine erneute Infektion zu verhindern.
Falls Sie sich entschließen ein Backup zurück zu sichern, dann unbedingt nur in neue Speicher. Sehr oft wird im nachhinein festgestellt, dass das Backup unvollständig war und mit der Rücksicherung mögliche weitere Aktionen und Optionen nicht mehr möglich sind.
Identifizieren Sie den Typ der Ransomware.
Wenn die Organisation bereits eine „Lösegeldforderung“ erhalten hat, können Sie anhand des Textes der „Lösegeldforderung“ im Internet nachsehen, von welcher Art von Malware/Ransomware Sie betroffen sind, um mögliche Gegenmaßnahmen zu ermitteln. Einige Bedrohungsakteure benennen aktive Dateien mit einer zusätzlichen Erweiterung um. Notieren Sie sich diese Erweiterung und suchen Sie im Internet nach weiteren Informationen. Sie können auch Beispiel Dateien (Samples) bei einigen Webseiten hoch laden um den Angreifer zu identifizieren.
Nutzen Sie das Malware-Scanning-Tool auf dem Gerät oder über das Security Operations Centre (SOC) des Unternehmens, um festzustellen, welche Ransomware verwendet wurde, da dies dabei hilft, die erforderlichen Abhilfemaßnahmen zu bestimmen.
Protokollieren Sie alle Maßnahmen.
Zusätzlich sollten Sie sich Notizen über den Angriff machen, einschließlich Datum, Uhrzeit, Dateidetails, erste Anzeichen von Ransomware, betroffene Geräte, was Sie unmittelbar vor dem Angriff getan haben und wann Ihr Gerät angeschlossen war. Machen Sie außerdem Fotos und zeichnen Sie verdächtige Programme, Dateien und Pop-ups auf.
Dokumentieren Sie auch alle Aktionen welche Sie seit der Entdeckung unternommen haben.
Das Lösegeld bezahlen (keine Garantie, dass Sie Ihre Daten zurückbekommen)
Cybersicherheitsexperten und Bundesbehörden sind sich einig: Zahlen Sie kein Lösegeld. Untersuchungen haben ergeben, dass nur 3 von 5 Unternehmen wieder Zugang zu ihren Daten/Systemen erhalten haben. Es gibt also keine Garantie, dass Sie Zugang zu Ihren Daten oder Ihrem Computer erhalten. Und selbst wenn Sie Ihre Daten zurückerhalten, gibt es keine Garantie, dass sie sicher sind - bei 18 % der Ransomware-Opfer, die das Lösegeld gezahlt haben, wurden die sensiblen Daten dennoch von bösartigen Akteuren im Dark Web veröffentlicht.
Entfernen Sie die Ransomware von Ihren Geräten
Leider ist das Entfernen von Ransomware von Geräten nicht so einfach wie das Klicken auf „Löschen“. In vielen Fällen ist ein kompletter Reset auf Werkseinstellungen erforderlich, der irreversibel ist und das Risiko eines Datenverlusts birgt. Daher ist es immer am besten, sich an einen Fachmann zu wenden, der geeignete Entschlüsselungstools verwenden und Sie sicher wieder in den Normalbetrieb zurückversetzen kann. Es ist immer eine gute Praxis, die verschlüsselten Daten längerfristig zu bewahren und zu speichern, falls internationale polizeiliche Ermittlungen Kriminelle aufspüren und spezifische Erkenntnisse und Codes sammeln, um geeignete Entschlüsselungstools zu programmieren.
Meldung des Angriffs
Diese Informationen sind von unschätzbarem Wert, da sie den Behörden dabei helfen, die Entwicklung von Ransomware-Angriffen zu verfolgen, um die Cyber-Kriminellen zu stoppen, mit Abhilfemaßnahmen zu unterstützen und eine weitere Ausbreitung zu verhindern.
Klären Sie mit Ontrack die Wiederherstellung Ihrer Daten nach einem Ransomware Angriff
Kontaktieren Sie uns, um sich beraten zu lassen und die Möglichkeiten der Datenwiederherstellung auszuloten. Jeder Ransomware-Angriff ist einzigartig und variiert in seiner Komplexität, aber eine Datenwiederherstellung ist möglich. Wir bei Ontrack haben eine spezielle Sammlung von proprietären Tools zur Datenwiederherstellung bei Ransomware Incidents entwickelt. Mit Laboren auf der ganzen Welt stehen unsere Spezialisten rund um die Uhr zur Verfügung, um im Falle eines Worst-Case-Szenarios Hilfe und Unterstützung zu leisten.
Wenden Sie sich daher an Ihr Ontrack-Datenrettungsteam, um zu erfahren, wie wir Sie bei der Wiederherstellung von Daten nach dem Ausfall Ihres Enterprise NAS oder SAN Storage aber insbesondere nach einem Ransomware Incident unterstützen können.
Weitere Informationen zum Thema finden Sie unter:
Datenwiederherstellung nach einem Ransomware-Angriff
Lesen Sie unseren Ransomware-Leitfaden
Kontakt Ontrack Deutschland
Deutschland | Deutsch
Standorte
Suche
Zurück zur auflistung
