PC Magazin Total Security
Die aktuelle Welle von Crypto-Trojanern zwingt jedermann, Sicherheitsvorkehrungen zu treffen. Linux-Live-Systeme sind sowohl bei der Analyse und Reparatur als auch bereits im Vorfeld für die Datensicherung eine große Hilfe.
Die aktuelle Welle von Crypto-Trojanern zwingt jedermann, Sicherheitsvorkehrungen zu treffen. Linux-Live-Systeme sind sowohl bei der Analyse und Reparatur als auch bereits im Vorfeld für die Datensicherung eine große Hilfe.
L ücken in der Update-Funktion der ukrainischen Steuersoftware Medoc führten zur ersten Welle der NotPetya-Ransomware, die sich aber auch über Schwachstellen im SMB-Protokoll der veralteten Version 1 verbreiten konnte. Einmal im eigenen Netz, gab es kaum ein Halten mehr: Das musste beispielsweise die Reederei Maersk erfahren, die als internationales Unternehmen eben auch in der Ukraine präsent ist und daher deren Steuersoftware nutzt. Verbreitung außerhalb von Firmennetzen kann wohl als Beifang gelten, was es den Betroffenen nicht gerade leichter macht.
Zahlen oder nicht?
Im Falle einer echten NotPetya-Infektion ist die Antwort einfach: Nein. Es spricht vieles dafür, dass die Schadsoftware nur vorgeblich ein Ransomware-Trojaner ist, aber pri- mär versucht, der ukrainischen Wirtschaft zu schaden. Zudem ist nach gegenwärtiger Kenntnis zumindest zweifelhaft, dass die Entschlüsselungskeys per Mail überhaupt zugestellt werden können. Wer zahlt, kann also davon ausgehen, dass er Bitcoins an ein Wallet überweist, das aufgrund seiner Bekanntheit nie geleert werden wird (wer wäscht schon gerne Erpressergeld?), und ist zudem seine Daten los.
Doch es gibt Hilfen: Nicht jede NotPetya-Infektion verschlüsselt alle Dateien, offenbar erkennt NotPetya bestimmte auf dem PC installierte Software und löscht in diesem Fall die ersten zehn Sektoren der Festplatte. Hier residieren der Bootsektor und die Partitionstabelle. Auf den ersten Blick ist das ein Desaster, auf den zweiten ein absoluter Glücksfall, denn gelöschte Partitionen lassen sich zumeist wenigstens so wiederherstellen, dass zumindest Daten von der Festplatte kopiert werden können.
Loslegen mit der Heft-DVD
Auf der Heft-DVD nden Sie sowohl das Kaspersky Rescue System als auch das auf LessLinux basierende PC-Magazin Notfall-System als ISO-Images. Wir raten aber nicht dazu, diese zu brennen, wenn ein wenigstens 1 GByte großer (Kaspersky) oder 2 GByte großer (PC-Magazin-NotfallSystem, 8 oder 16 GByte empfohlen, dann wird der USB-Stick partitioniert, und Signaturen sowie andere Daten können gespeichert werden) USB-Stick zur Hand ist. Für die Installation auf USB-Stick haben wir EXE-Dateien vorbereitet, die den Win- 32DiskImager aufrufen, der das ISO-Image dann nach Auswahl des Ziellaufwerkes und Bestätigung auf den Stick schreibt. Dabei wird der Stick vollständig überschrieben, Sie sollten also doppelt nachprüfen, ob der richtige Stick ausgewählt ist! Der Start der Notfall-Systeme unterscheidet sich zwischen BIOS- und UEFI-Systemen. Als Faustregel kann man annehmen, dass Windows-PCs, die mit Windows 8 oder höher ausgeliefert wurden und keine Individualkon gurationen eines lokalen Systemhauses oder PC-Bastlers sind, das neuere UEFI verwenden. Mit Windows 7 und früher ausgelieferte PCs verwenden in der Regel BIOS (tatsächlich erlaubte bereits Windows 7 64 Bit auf ab circa 2009 verfügbaren EFI-PCs die Installation auf Bootlaufwerken, die größer als zwei TByte waren).
UEFI ärgert Nutzer
Auf dem BIOS-System muss der PC zunächst komplett heruntergefahren und dann neu gestartet werden. Zur temporären Auswahl des Bootmediums müssen Sie in der Regel unmittelbar nach den BIOS-Pieps eine der Tasten Esc oder F8 bis F12 drücken
– welche, das wird meist für einen kurzen Moment angezeigt. Bei einigen BIOSen ist es dennoch nötig, bei eingelegtem oder eingestecktem Bootmedium (meist mit Entf) in das Setup zu wechseln und dort im Reiter Boot USB- oder DVD-Laufwerk nach oben zu schieben. Auf UEFI-PCs ist die Auswahl des Bootmediums direkt beim „kalten Start“oft nicht möglich. Grund dafür ist in der Regel ein ominöser Beschleunigungsmechanismus, der zur Folge hat, dass die Tastatur erst initialisiert wird, wenn das Betriebssystem schon halb geladen ist. Aus diesem Mechanismus steigen die meisten UEFIs nur aus, wenn drei Startversuche des Betriebssystems bereits nach einigen Sekunden abgebrochen wurden. Bei einem voll funktionsfähigen Windows kann man daher einen kleinen Trick verwenden, der allerdings eine Maus erfordert: Klicken Sie im Startmenü bei gedrückter Shift-Taste auf Neu starten. So gelangen Sie in das erweiterte Neustartmenü, in dem Sie Ein Gerät verwenden anklicken. Sie erhalten nun eine Liste der UEFI-bootfähigen Geräte, in der Regel ist das Startmedium als EFI USB Device oder EFI DVD Drive gekennzeichnet. Nach dem Anklicken wird direkt das Bootmenü des LessLinux-basierten Notfall- Systems gestartet, wo Sie die gewünschte Sprache auswählen. Sollten Sie an dieser Stelle eine Sicherheitswarnung zu Gesicht bekommen, in der Sie angeboten bekommen, das sogenannte Hashtool zu starten, dann ist Secure Boot aktiv. Starten Sie das Hashtool und fügen Sie im Hashtool die Hashes der Dateien LOADER.EFI und LINUX. EFI zur Liste der zugelassenen Bootdateien hinzu. Wenn Sie dann das Hashtool wieder verlassen, können Sie im Bootloader den gewünschten Eintrag starten.
Desktop und Menüs
Der Desktop startet direkt mit einem kleinen Assistenten, der viele häu g benötigte Programme zum Schnellstart anbietet, darunter auch den Virenscanner von ESET. Im Dock und im ganz links im Dock be ndlichen Startmenü können Sie auf weitere Notfall- und Sicherungswerkzeuge zugreifen, beispielsweise Programme zum Kopieren von Dateien über das Netzwerk oder zur Rettung von Daten von beschädigten Festplatten. Bitte beachten Sie einen fundamentalen Unterschied zwischen Linux und Windows: Unter Linux haben Sie die Möglichkeit, Laufwerke auch nur lesbar einzubinden, was gerade bei beschädigten Datenträgern das Risiko einer Verschlimmerung verhindert. Das Einbinden nur lesbar ist auch dann notwendig, wenn ein zuletzt im Hyperboot-Modus heruntergefahrenes Windows 8 bis 10 nicht mehr richtig startet. Auf Windows im Hyperboot deutet in der Regel eine Warnung vor dem Start des Desktops hin. Erscheint die Warnung und Sie sind sicher, dass kein Verschlüsselungstrojaner auf Ihrem PC aktiv ist, starten Sie Windows erneut und fahren es in einer Eingabeaufforderung mit dem Befehl shutdown.exe /s /t 0 vollständig herunter. Beim Verdacht auf einen Verschlüsselungstrojaner sollten Sie darauf verzichten, da der Trojaner beim nächsten Start sein unheilvolles Werk weiterführen wird, Daten verschlüsselt und Schattenkopien löschen wird.
Vorgehen bei Ransomware
Sind Sie Opfer von Ransomware geworden, stehen die Chancen bei zeitigem Abbruch der Verschlüsselung recht gut, Daten zu retten. Zwar versucht Ransomware, die sogenannten Virtual Shadow Snapshots (Schattenkopien) zu löschen und möglichst viele Dateien zu verschlüsseln, doch das benötigt Zeit für die Verschlüsselung und Schreibzugriffe.
Hier kommt Ihnen entgegen, dass Microsofts Dateisystem NTFS ein Copy on Write- Dateisystem ist, das heißt, Schreibvorgänge nden in Kopien der ursprünglichen Datei statt, ursprüngliche Dateien bleiben erhalten, bis der Speicherplatz anderweitig benötigt wird. Bei Festplatten, die zu weniger als zur Hälfte gefüllt sind, ist ergo die Chance besonders groß, unbeschädigte Dateien vorzu nden. Um Dateien nach Ransomware-Angriffen zu retten, gehen Sie daher wie folgt vor: 1 Binden Sie das betroffene Laufwerk über das Festplattentool im Dock nur lesbar ein und suchen Sie nach unbeschädigten Dateien, die Sie per Dateimanager auf ein USB-Laufwerk kopieren. 2 Verwenden Sie Start/Weitere Wartungswerkzeuge/VSS-Zugriff, um gegebenenfalls noch vorhandene Virtual Shado w Snapshots wie ein Laufwerk einzubinden, Windows legt diese Snapshots in der Regel bei den monatlich anstehenden Sicherheitsupdates an. 3 Mit dem Datenrettungs-Tool QPhotoRec scannen Sie freie Speicherbereiche nach nicht vom Dateisystem referenzierten Dateien. Hier nden Sie mitunter viele Datei- en, deren Original verschlüsselt wurde, die aber wegen der COW-Eigenschaft des Dateisystems vollständig erhalten sind. Sollte es gelingen, alle wichtigen Daten auf diesen drei Wegen zu retten: Glückwunsch! Formatieren Sie die Festplatte komplett und installieren Sie Windows von Original-DVD. Sollten unrettbare Daten übrig bleiben, hilft nur Geduld: Löschen Sie keinesfalls Schadsoftware, denn oft kann der Schlüssel oder Teile davon extrahiert werden. Spezielle, auf eine bestimmte Ransomware zugeschnittene Entschlüsselungstools machen dann Ihre Daten wieder lesbar. Daher: Festplatte ausbauen, mit Warnhinweis in den „Giftschrank“legen, warten und von Zeit zu Zeit die News zu Ransomware verfolgen. Bei Notebooks, wo der Ausbau zu aufwendig wäre, klonen Sie die Festplatte auf eine externe und löschen die interne dann vor der Neuinstallation vollständig.
Und normale Schadsoftware?
Bei normaler Schadsoftware sollten Sie im Einzelfall unterscheiden. Dem Autor kam vor einigen Monaten auf einem Kunden-PC ein Bitcoin-Miner unter, der zwar spürbare Stromkosten verursachte und aufgrund seiner mangelnden Zurückhaltung etliche graue Haare verursachte. Allerdings ergab eine Analyse des in Java geschriebenen und ohne Administratorrechte laufenden Programmes, dass es weder eine eigene Verbreitungsfunktion besaß noch eine Spionagefunktion enthielt – es tat nichts anderes als Cryptowährungen für Fremde zu schürfen. In solchen Fällen ist die Entfernung meist ohne große Risiken möglich, Entscheidungen sollten aber im Einzelfall getroffen werden. Gerade wenn eine bestimmte Schadsoftware lediglich als „zugehörig zu einer bestimmten Familie“beschrieben wird, ist Vorsicht angebracht: Oft verfügen derartige Programme über Nachladefunktionen, mit denen neue, den Virenscannern noch unbekannte Schadsoftware auf den Rechner gelangt. Als Faustregel gilt deshalb: Zwar ist das Risiko bei bestimmten Typen von Schadsoftware, die keine Spionage oder Ransomware-Funktionalität haben, deutlich geringer als bei Erpressungstrojanern, doch ein Restrisiko bleibt. Nehmen Sie sich die Zeit und installieren Sie Windows neu, nachdem Sie alle wichtigen Nutzdaten gesichert haben. tr