Ein Leitfaden zu Ransomware und zum Schutz durch Acronis Active Protection

In diesem Artikel werden folgende Themen vorgestellt:

• Ransomware: Funktionsweise und Gefährlichkeit
• Möglichkeiten zum Schutz vor Ransomware
• Schutzfunktionen von Acronis Active Protection
• Ein Ransomware-Angriff und die Schutzmaßnahmen im Detail

Ransomware ist heute eine der häufigsten Formen von Malware, die Unternehmen und Verbrauchern enorme Schäden zufügt. Der Begriff beschreibt eine große Familie gefährlicher Computerviren, die Server, PCs, Laptops, Tablets, Smartphones und andere Datenverarbeitungsgeräte wie Geldautomaten und Flughafen-Eincheck-Terminals infiltrieren. Dabei ist Ransomware nicht darauf aus, wertvolle Informationen vom Gerät zu stehlen, sondern sperrt den Benutzerzugriff auf die darauf gespeicherten Dateien und Daten. Die einfacheren „Blocker“ zeigen einen Bildschirm, der die Benutzung des Computer-Desktops verhindert. Die raffiniertere und zerstörerische „Verschlüsseler“-Variante geht hingegen einen großen Schritt weiter und verschlüsselt die Dateien mathematisch, sodass sie unbenutzbar werden. Beide Ransomware-Formen zeigen einen Bildschirm mit der Anweisung an, ein Lösegeld in einer digitalen Währung an einen nicht rückverfolgbaren Empfänger zu zahlen. Dieser verspricht, das System nach der Lösegeldzahlung wieder zu entsperren.   Kriminelle, die Ransomware einsetzen, nutzen die Angst und das Unwissen ihrer Opfer aus. Mit Taktiken wie Countdown-Anzeigen, die den Ablauf der Zahlungsfrist in Tagen oder Stunden darstellen, üben sie Druck aus, um ihre Opfer zur schnellen Lösegeldzahlung zu bewegen. Wenn der Benutzer dann zahlt, stellt der Angreifer einen mathematischen Schlüssel zum Entschlüsseln der Dateien bereit oder liefert Anweisungen zum Entfernen des Blockers.   Das Volumen und die Raffinesse von Ransomware-Angriffen hat in den letzten Jahren stetig zugenommen, sodass diese Malware-Form mittlerweile zu einer der häufigsten und teuersten kriminellen Online-Bedrohungen geworden ist. Das US-amerikanische FBI schätzt, dass Ransomware-Gangster im Jahr 2016 mehr als 1 Milliarde US-Dollar von ihren Opfern erpresst haben, und diese Zahl dürfte zum Ende 2017 um den Faktor 3 oder 4 gestiegen sein. Viele Benutzer wurden erst durch den Ausbruch der berüchtigten Ransomware „WannaCry“ im Mai 2017 auf die Bedrohung aufmerksam, als innerhalb weniger Stunden hunderttausende Computersysteme in 150 Ländern infiziert wurden.   Wie nachfolgende Angriffswellen bewiesen, wird sich die Ransomware-Bedrohung nur noch weiter verschärfen. Organisierte kriminelle Banden kopieren die Geschäfts- und Technologiemodelle legitimer Software-as-a-Service-Unternehmen und erleichtern damit auch unerfahrenen Akteuren die profitable Verteilung von Ransomware. Mit jedem Tag wächst die Wahrscheinlichkeit, dass Sie, Ihre Familie, Ihr Unternehmen oder jemand in Ihrem Bekanntenkreis Opfer von Ransomware wird. Benutzer müssen sich aktiv über die Ransomware-Bedrohung informieren und lernen, mit welchen Schritten sie sich davor schützen können.

Eine bewährte Technologie zum Schutz vor Ransomware ist Acronis Active Protection. Diese Funktion ist in zwei beliebten Backup-Programmen integriert: Acronis Backup (für Unternehmen) und Acronis True Image (für Verbraucher). Acronis Active Protection überwacht kontinuierlich das Benutzersystem und sucht nach verdächtigem, für Ransomware typischem Verhalten, zum Beispiel nach unbekannten Prozessen, die plötzlich versuchen, eine Reihe von Dateien umzubenennen und zu verschlüsseln. Dank künstlicher Intelligenz und Machine Learning kann Acronis Active Protection auf Ransomware hindeutende Verhaltensweisen schnell erkennen, die entsprechenden Prozesse anhalten und den Benutzer über die wahrscheinlich böswillige Aktivität informieren. Basierend auf der Reaktion des Benutzers („Das ist eine legitime Aktion – Zulassen“ oder „Nein, das ist verdächtiges Verhalten – Blockieren“) lässt Acronis Active Protection die weitere Ausführung des Prozesses zu oder hält ihn an und repariert automatisch alle davon beschädigten Dateien. Dazu werden diese Dateien aus einer Backup-Kopie wiederhergestellt.

Acronis Active Protection nutzt KI-basierte Mustererkennung zur Aufdeckung verdächtiger Verhaltensweisen, die für Ransomware-Angriffe typisch sind. Dank Maschine Learning wird das Verständnis von Angriffsverhalten im Laufe der Zeit noch erweitert, wenn Kriminelle versuchen, die Schutzmaßnahmen der Benutzer zu überwinden. Dies bietet eine wichtige zusätzliche Schutzebene oberhalb herkömmlicher Virenschutzprodukte, die mithilfe bekannter Codesegmente in Malware (so genannter Signaturen) Bedrohungen erkennen. Virenschutzprogramme haben jedoch den Nachteil, dass sie brandneue Bedrohungen, deren Signaturen noch nicht bekannt sind, nicht erkennen können.   Anders gesagt: Virenschutz-Software erkennt Ransomware-Bedrohungen anhand ihres Aussehens. Acronis Active Protection erkennt Ransomware-Bedrohungen hingegen anhand ihres Verhaltens, sodass auch brandneue Varianten aufgedeckt werden können, die noch nicht in die Signaturdatenbank eines Virenschutzprogramms aufgenommen wurden.   Acronis Active Protection besitzt auch eine Whitelist der Programme, die der Benutzer als zulässig gekennzeichnet hat, damit diese bei scheinbar Ransomware-typischen Aktivitäten nicht ungewollt blockiert werden. Beispiele hierfür sind zum Beispiele das zulässige Umbenennen oder Verschlüsseln von Dateien. Erkannte und blockierte Ransomware-Angriffe werden automatisch zu einer Blacklist hinzugefügt, sodass nachfolgende Attacken mit der gleichen Ransomware-Version gar nicht erst starten können.

Die schnelle Erkennung und Behebung eines Ransomware-Angriffs ist wichtig. Je schneller die Bedrohung abgewehrt wird, desto weniger Zeit hat sie für die Zerstörung von Dateien durch Verschlüsselung. Die Möglichkeit zur Wiederherstellung von durch Ransomware verschlüsselten Dateien ist sehr nützlich, doch ihre Effektivität hängt davon ab, wie häufig Sie Backups anlegen. Vielleicht können Sie eine Ransomware-verschlüsselte Datei wiederherstellen, doch nur zu der Version, die Sie vor einigen Tagen oder gar Wochen gesichert haben.   Acronis Active Protection ergänzt Acronis Backup und Acronis True Image, indem beschädigte Dateien aus einem von mehreren Speicherorten wiederhergestellt werden: Arbeitsspeicher, lokaler Datenträger, externes Laufwerk, Laufwerk im lokalen Netzwerk des Benutzers, Laufwerk an einem externen Standort oder Cloud-Daten-Storage. In vielen Fällen kann eine beschädigte Datei sofort aus einem lokalen Cache auf dem System des Benutzers wiederhergestellt werden.   Diese Möglichkeit, Angriffe nicht nur zu erkennen und abzuwehren, sondern auch sämtliche beschädigten Dateien schnell wiederherzustellen, bietet nur Acronis Active Protection. Viele Produkte, die als Ransomware-Schutz beworben werden, können zwar Angriffe stoppen, aber keine vor der Angriffserkennung entstandenen Schäden beheben. Andere Produkte können zwar die Wiederherstellung nach einem Angriff unterstützen, jedoch nur bei kleineren Dateien.  Acronis Active Protection erkennt und blockiert Ransomware-Angriffe, um anschließend schnell und automatisch alle beschädigten Dateien unabhängig von ihrer Größe wiederherzustellen.

Die Verwendung von Backup-Dateien zur Wiederherstellung nach einem Ransomware-Angriff ist eine nützliche und empfohlene Schutztechnik. Das haben auch die Angreifer erkannt, sodass viele Malware-Entwickler nun Ransomware erstellen, die auch die Backup-Dateien der Benutzer sucht und verschlüsselt. Acronis macht jedoch einen Strich durch diese Rechnung, da die Schutzmaßnahmen von Active Protection auch Backup-Dateien sowie andere Dateien erfassen. Angriffe auf extern gespeicherte Backup-Dateien (z. B. in Acronis Cloud Storage) sind zusätzlich zweifach geschützt: durch Verschlüsselung bei Übertragung und Speicherung sowie durch die Beschränkung des Zugriffs auf Cloud Backup-Dateien ausschließlich auf von Acronis autorisierte Prozesse.

Die Integration von Acronis Active Protection in Acronis Backup und Acronis True Image stellt einen erheblichen Vorteil gegenüber separat bereitgestellten Malware-Schutz- und Backup-Produkten dar. Keine Kombination eigenständiger Produkte bietet die gleiche hochautomatisierte Erkennung, Abwehr und Wiederherstellung von Ransomware-Angriffen wie Acronis mit dem eng verzahnten Backup- und Ransomware-Schutz.

Diese Demonstration zeigt die Ereigniskette bei einem typischen Ransomware-Angriff, bei dem ein argloser Benutzer in einer scheinbar legitimen E-Mail eines ihm bekannten Absenders auf einen Link klickt oder einen Anhang öffnet. Tatsächlich ist es eine „Phishing“-E-Mail eines Cyberkriminellen, die so gestaltet ist, dass der Benutzer der E-Mail vertraut. Der Klick auf den Link oder den Anhang öffnet nicht etwa die erwartete Tabelle oder die amüsante GIF-Datei, sondern infiziert das Benutzersystem stattdessen mit einem Ransomware-Virus. Einige Ransomware-Versionen (wie das berüchtigte WannaCry-Virus) enthalten Wurmtechnologien, mit denen sie sich automatisch auf alle anderen Systeme im lokalen Ethernet- oder WLAN-Netzwerk des Benutzers ausbreiten können.   Im gezeigten Videoclip erhält der Benutzer eine legitim aussehende E-Mail, die spannende Informationen zu neuen Folgen einer beliebten Fernsehserie verspricht. Der neugierige Benutzer lädt den E-Mail-Anhang herunter und öffnet ihn, wodurch die WannaCry-Ransomware freigesetzt wird. Das Virus verschlüsselt die Dateien des Benutzers und macht sie dadurch absolut unbenutzbar. Anschließend zeigt es einen Lösegeldhinweis mit einer Countdown-Anzeige an, die eine Zahlung in Höhe von 300 US-Dollar in Bitcoin fordert, bevor die Zeit abgelaufen ist. Der Benutzer steht vor der Wahl, schnell Geld an den gesichtslosen Kriminellen zu bezahlen oder die eigenen Dateien nicht mehr nutzen zu können. (Übrigens: Strafverfolgungs- und Sicherheitsexperten empfehlen im Allgemeinen, das Lösegeld nicht zu zahlen, da 20 % der zahlenden Opfer den versprochenen Schlüssel nicht erhalten.)   Anschließend zeigt die Demonstration, was geschieht, wenn derselbe Benutzer den infizierten Anhang öffnet, dieses Mal jedoch durch Acronis Active Protection geschützt ist. Die Acronis-Komponente erkennt die Dateiumbenennungs- und Verschlüsselungsaktivitäten als böswillig und hält den Prozess sofort an. Anschließend werden die vor der Angriffserkennung verschlüsselten Dateien automatisch wiederhergestellt. Das Video erklärt, wie die Entscheidungen von Acronis Active Protection zum Zulassen/Blockieren im Laufe der Zeit dank Machine Learning immer besser werden und durch White- und Blacklists noch weiter optimiert werden.   Ein Virenschutzprogramm kann einige Ransomware-Angriffe erkennen und blockieren, jedoch nur für Versionen, die bereits bekannt genug sind, sodass der Virenschutzanbieter eine Signatur dafür erstellen konnte. Zudem werden sie nur erkannt, wenn der Benutzer vor Kurzem die Signaturdatenbank seines Virenschutzprogramms aktualisiert hat. Malware-Kriminelle entwickeln ihre Ransomware permanent weiter, um Signatur-basierte Erkennungsmaßnahmen zu unterlaufen. Deshalb ist Virenschutz zur Abwehr bekannter Ransomware-Angriffe durchaus sinnvoll, bei brandneuen Varianten jedoch absolut machtlos.   Eine bessere Lösung ist die Wiederherstellung der verschlüsselten Dateien aus einem Backup. Doch das kann zur Folge haben, dass alle seit dem letzten Backup neu erstellten Dateien verloren sind – und das kann die Arbeit von Stunden, Tagen oder Wochen sein.   Eine bessere Lösung ist die Acronis Active Protection-Komponente in Acronis Backup und Acronis True Image. Sie kombiniert die Erkennung und Blockierung von Ransomware-Angriffen (einschließlich bisher unbekannter Versionen) mit der Möglichkeit zur sofortigen Wiederherstellung aller Dateien, die vor der Angriffserkennung beschädigt wurden. Die Möglichkeit, Ransomware anhand ihres Verhaltens und nicht nach ihrer Signatur zu erkennen und abzuwehren ist ein enormer defensiver Vorteil gegenüber Virenschutzsystemen. Die integrierte Funktion zur automatischen Wiederherstellung beschädigter Dateien aus Backups macht Acronis Active Protection zu einer besseren Lösung als reine Malware-Schutzlösungen. Kein anderes Produkt kombiniert Ransomware-Schutzmaßnahmen und Backups in einem einzigen integrierten und automatisierten Paket.   Umfang und Wert der Daten, die auf Ihren Systemen gespeichert sind, nehmen im Laufe der Zeit immer weiter zu. Die kriminelle Branche, die Ransomware entwickelt und verbreitet, ist heute schon enorm profitabel und wird das Volumen und die Raffinesse der Angriffe weiter steigern. Es gibt viele grundlegende Schritte, um Ihre Chancen auf die erfolgreiche Abwehr eines Ransomware-Angriffs zu verbessern:

1. Nutzen Sie ein Virenschutz-Programm und aktualisieren Sie regelmäßig dessen Signaturdatenbank.
2. Halten Sie auch Ihr Betriebssystem und die Anwendungen auf dem neuesten Stand, damit Sie in diesen Produkten entdeckte Software-Schwachstellen mit Patches schließen können. Beispielsweise nutzte WannaCry für seine weltweite Zerstörungsorgie eine bekannte Schwachstelle in Windows aus, die viele Benutzer nicht mithilfe von Windows Update geschlossen hatten.
3. Nehmen Sie sich vor Phishing-E-Mails in Acht und raten Sie Ihrer Familie, Freunden und Kollegen zur Vorsicht beim Klicken auf Links oder Öffnen von Anhängen in E-Mails von Quellen, denen sie nicht blind vertrauen können.

Wenn Sie den Ransomware-Verbrechern jedoch dauerhaft einen Schritt voraus bleiben wollen, benötigen Sie Acronis Backup oder Acronis True Image mit Acronis Active Protection, die einzige integrierte Lösung zur Erkennung, Abwehr und automatischen Wiederherstellung nach Ransomware-Angriffen.