Tipps zum Schutz des Computers vor Ransomware
Ransomware ist ein Typ schädlicher Programme, die Dateien auf einem Computer verschlüsseln und Lösegeld für das Entschlüsseln erpressen. Es gibt auch Programme, die Daten verschlüsseln, aber jedoch kein Lösegeld verlangen.
Tipps zur Minderung Risiken der Infektion durch Ransomware
Installieren Sie eine Schutz-App
Kaspersky-Apps mit aktuellen Antiviren-Datenbanken blockieren Angriffe und die Installation von schädlichen Programmen. Die neuesten App-Versionen enthalten die Komponente „Aktivitätsmonitor“, der automatisch Sicherungskopien von Dateien erstellt, wenn ein verdächtiges Programm darauf zuzugreifen versucht.
Installieren Sie Updates
Aktualisieren Sie regelmäßig die installierte Software, Betriebssysteme und Kaspersky-Apps. Legen Sie ein besonderes Augenmerk auf die Installation von Patches, die Sicherheitslücken schließen. Die aktualisierte Software mit den neuesten Patches beschränkt die Möglichkeiten von Cyberkriminellen.
Updates erhöhen die Sicherheit, Stabilität und Leistung von Systemen, schließen die neuesten Sicherheitslücken und verhindern, dass letztere durch Cyberkriminellen ausgenutzt werden.
Software, die es wichtig ist, regelmäßig zu aktualisieren:
- Betriebssysteme
- Plug-ins für Browser
- VPN-Apps, die als Gateways einen Remotezugriff auf Ihr Netzwerk ermöglichen
Aktivieren Sie alle Schutzkomponenten der Kaspersky-Anwendungen
Alle Komponenten und Funktionen der Kaspersky-Apps zielen darauf ab, das höchste Schutzniveau bereitzustellen und und Risiken der Infektion durch Ransomware zu minimieren. Prüfen Sie, dass alle Komponenten und Funktionen der Anwendung aktiviert sind und ausgeführt werden.
Erstellen Sie Sicherungskopien von Dateien und speichern Sie sie außerhalb des Computers
Wir empfehlen die Datensicherung regelmäßig durchzuführen. Selbst wenn Ihr Gerät einem Ransomware-Angriff ausgesetzt und Ihre Dateien verschlüsselt werden, können Sie die Daten aus Sicherungskopien wiederherzustellen. Um Informationen vor schädlichen Programmen und Computerschäden zu schützen, sichern Sie Dateien und speichern Sie diese auf Wechselmedien oder im Online-Speicher.
Öffnen Sie keine Dateien aus E-Mails von unbekannten Absendern
Ransomware wird über infizierte Dateien aus E-Mails verteilt. In solchen Nachrichten geben sich Cyberkriminelle als Geschäftspartner oder Beamte aus, und der Betreff und Anhänge enthalten angeblich wichtige Mitteilungen, beispielsweise eine Klageschrift des Schiedsgerichts. Überprüfen Sie aufmerksam den Absender, bevor Sie eine E-Mail und eine angehängte Datei geöffnet haben.
Wenn Sie einen Remotezugriff verwenden, erstellen Sie starke Kennwörter für Windows-Benutzerkonten
Schwache Kennwörter sind leicht zu hacken, sodass Cyberkriminelle auf sensible Daten zugreifen können. Um personenbezogene Daten zu schützen und einen Hack von Benutzerkonten bei einer Remotesitzung zu verhindern, verwenden Sie sichere Kennwörter.
Wenn Sie ein öffentliches Netzwerk nutzen, können Cyberkriminelle über Remotedesktopdienste auf Ihre Geräte zugreifen. Stellen Sie eine Remotedesktopverbindung nur über Ihr Heim- oder Firmennetzwerk. Informationen über den Remotedesktopdienst finden Sie auf der Support-Website von Microsoft.
Schützen Sie freigegebene Ordner
Über freigegebene Ordner können Kriminelle schädliche Programme verteilen, auf die Geräte im Firmennetzwerk zugreifen und Dateien verschlüsseln. Kaspersky Endpoint Security für Windows schützt freigegebene Ordner vor Ransomware und hilft dabei, starke Kennwörter für solche Ordner einzurichten.
Verwenden Sie Kaspersky Endpoint Detection and Response und Kaspersky Managed Detection and Response
Kaspersky Endpoint Detection and Response und Kaspersky Managed Detection and Response ermöglichen eine Früherkennung und Verhinderung von Angriffen. Mithilfe dieser Lösungen können Sie verdächtige Aktivitäten aufzudecken und zu verfolgen.
Schützen Sie Administratorkonten
Prüfen Sie, dass die Administratorkonten mit sicheren Kennwörtern geschützt sind, die regelmäßig (beispielsweise alle drei Monate) geändert werden. Wenn möglich, verwenden Sie eine Zwei-Faktor-Authentifikation, um das Risiko zu mindern, dass Kriminelle die Kontrolle über Ihr Netzwerk übernehmen, falls sie Zugriff auf die Benutzerkonten erhalten haben.
Überwachen Sie verdächtige Aktivitäten
Prüfen Sie den Ereignisverlauf und Echtzeitdaten auf verdächtige Aktivitäten. Überwachen Sie laterale Netzwerkbewegungen und den ausgehenden Datenverkehr, denn Kriminelle benötigen normalerweise Zugriff auf externe Netzwerke bzw. Tools, um Daten zu stehlen.
Verwenden Sie PowerShell mit Vorsicht
Über PowerShell werden häufig Geräte mit Windows attackiert. Ransomware und dateilose Malware verwenden auch PowerShell für Angriffe.
Beschränken Sie die Ausführung von Skripts in PowerShell. Verbieten Sie mithilfe von Richtlinien die Ausführung von unsignierten Skripts in PowerShell. Erlauben Sie die Ausführung von Skripts nur den Benutzerkonten, die es tatsächlich brauchen. Ändern Sie die Richtlinien zur Einschränkung von PowerShell (Set-ExecutionPolicy) nicht. Auf Geräten, die mit Kaspersky Endpoint Security für Windows geschützt sind, aktivieren Sie die Komponente Adaptive Kontrolle von Anomalien legen Sie die Option „Blockieren“ für alle Regeln im Abschnitt „Aktivität von Interpretern für Skriptsprachen“.
Passen Sie Richtlinien an
Um den Umfang von Informationen zu reduzieren, auf die Kriminelle bei einem Netzwerkangriff zugreifen können, beschränken Sie den Zugriff darauf für Benutzerkonten. Selbst wenn ein Benutzerkonto oder ein Gerät gehackt wird, verringert sich das Risiko, dass weitere Geräte oder Benutzerkonten betroffen werden.
Verwenden Sie IDS- und IPS-Systeme, die das Scannen von Netzwerken erkennen und verhindern
Bei einem Netzwerkangriff werden vor allem Systeminformationen erfasst. Malware scannt das Netzwerk und sammelt Informationen über offene Ports, aktive Betriebssysteme und Software und Status von Geräten im Netzwerk. Sie können einen Cyberangriff erschweren, indem Sie das Scannen des Netzwerks verhindern.
Lehren Sie Ihre Mitarbeiter
- Behandeln Sie Anhänge in E-Mails mit Vorsicht und überprüfen Sie unsichere E-Mail-Adressen. Prüfen Sie, dass die Komponente „Schutz vor E-Mail-Bedrohungen“ in Kaspersky Endpoint Security für Windows aktiviert ist. Diese Komponente untersucht Geräte und schützt sie vor schädlichen Anhängen.
- Achten Sie auf verdächtige Links in E-Mails und in anderen Kommunikations-Apps. Selbst wenn ein Bekannter von Ihnen einen Link geteilt hat, wurde sein Account möglicherweise gehackt.
- Achten Sie auf verdächtige Aktivitäten auf Ihren Geräten oder in Ihren Benutzerkonten. Melden Sie sich von Arbeitssystemen ab, wenn Sie den Zugriff darauf nicht mehr brauchen.
- Verwenden Sie sichere Kennwörter und eine Zwei-Faktor-Authentifizierung.
- Aktualisieren Sie regelmäßig Betriebssysteme und Software.
Kaspersky bietet einen Trainingskurs zur Erhöhung der Cybersicherheitskompetenz Ihrer Mitarbeiter – Automated Security Awareness Platform. Dieser Kurs vermittelt theoretische Kenntnisse und ermöglicht die Gestaltung von Fertigkeiten im Cybersicherheitsverhalten.
Tipps zur Anpassung der Computereinstellungen
Erstellen Sie Systemwiederherstellungspunkte und Sicherungskopien von Dateien
Erstellen Sie regelmäßig Systemwiederherstellungspunkte und Sicherungskopien von Dateien, auch auf Wechselmedien. Dadurch wird das Betriebssystem wieder in den stabilen Betrieb versetzt und beschädigte Dateien werden im Falle eines Fehlers oder einer Infektion wiederhergestellt.
Mehr Informationen über die Datensicherung und die Systemwiederherstellung finden Sie auf der Support-Website von Microsoft.
Verweigern Sie die Fernverbindung zum Computer
Um zu verhindern, dass Angreifer eine Remote-Verbindung zu Ihrem Computer herstellen, können Sie solche Verbindungen in den Computereinstellungen verbieten:
- Öffnen Sie die Suche auf Ihrem Computer und tippen Sie „Systemsteuerung“ ein. Wählen Sie die Systemsteuerung.
- Wählen Sie System.
- Klicken Sie auf Computerschutz.
- Gehen Sie auf die Registerkarte Remote. Deaktivieren Sie das Kontrollkästchen Remoteunterstützungsverbindungen mit diesem Computer zulassen und wählen Sie Keine Remoteverbindung mit diesem Computer zulassen. Klicken Sie auf OK.
Tipps zur Anpassung der Einstellungen der Kaspersky-Apps
- Richten Sie ein Kennwort für den Zugriff auf eine Kaspersky-Anwendung ein:
- Aktivieren Sie die Komponente „Aktivitätsmonitor“ in der Kaspersky-App.
Der Aktivitätsmonitor blockiert und hebt die Aktionen von Schadprogrammen auf, erkennt und löscht Banner und erstellt Sicherungskopien von Dateien, wenn ein Schadprogramm versucht, auf diese zuzugreifen. Die Anleitungen sind in der Onlinehilfe für
Tipps zur Entschlüsselung von Dateien
Versuchen Sie, die Dateien wiederherzustellen
Sie können Dateien mit Standard-Windows-Tools wiederherstellen. Die Anleitung ist auf der Support-Website von Microsoft.
Deaktivieren Sie automatisches Entfernen von schädlichen Dateien
Wenn eine Kaspersky-App auf Ihrem Computer installiert ist, gehen Sie zu den App-Einstellungen und deaktivieren Sie das Kontrollkästchen Empfohlene Aktionen automatisch ausführen.
Wir empfehlen es nicht, schädliche Dateien aus der Quarantäne zu entfernen, da sie möglicherweise Schlüssel zum Entschlüsseln enthalten.
Senden Sie Dateien zur Analyse
Kontaktieren Sie den Kundenservice von Kaspersky. Hängen Sie verschlüsselte Dateien oder E-Mails an Ihre Anfrage an.
Wenn Sie Kaspersky Endpoint Security für Windows nutzen, erstellen Sie eine Anfrage an den technischen Support via Kaspersky CompanyAccount.
Die Spezialisten des Kundenservice von Kaspersky können nicht garantieren, dass die beschädigten Dateien entschlüsselt werden können.
Untersuchen Sie den Computer und entfernen Sie das Schadprogramm
Führen Sie eine vollständige Untersuchung des Computers durch, um die Ursache der Infektion festzustellen und zu beseitigen. Wenn auf Ihrem Computer kein Schutzprogramm installiert ist, verwenden Sie die kostenfreie Kaspersky-Apps: Kaspersky Free, Kaspersky Rescue Disk oder Kaspersky Virus Removal Tool.
Vorgehensweise, wenn eine verdächtige Datei auf dem Computer gefunden wurde
Wenn Sie eine verdächtige Datei gefunden haben, deren Ausführung die Infektion des Computers oder die Verschlüsselung von Dateien verursachen kann, führen Sie eine der folgenden Aktionen aus:
- Untersuchen Sie Dateien auf bekannte Bedrohungen auf der Website Kaspersky Threat Intelligence Portal. Bei Bedarf benachrichtigen Sie die Experten von Kaspersky über einen Fehlalarm oder ein schädliches Programm. Gehen Sie dazu wie folgt vor:
- Klicken Sie auf Submit to reanalyze auf der Seite mit den Untersuchungsergebnissen.
- Geben Sie Ihre E-Mail-Adresse ein, damit wir Sie bei Bedarf kontaktieren könnten.
- Klicken Sie auf Senden.
- Kontaktieren Sie den Kundenservice von Kaspersky. Hängen Sie an Ihre Anfrage die verdächtige Datei an und fügen Sie den Kommentar „vermutliche Ransomware“ hinzu.
Wenn Sie Kaspersky Endpoint Security für Windows nutzen, erstellen Sie eine Anfrage an den technischen Support via Kaspersky CompanyAccount. - Senden Sie die Dateien zur Analyse an newvirus@kaspersky.com. Dazu packen Sie eine verdächtige Datei in ein ZIP- oder RAR-Archiv. Die Anleitung ist im Artikel. Legen Sie für das Archiv das Kennwort „infected“ und aktivieren Sie das Kontrollkästchen Dateinamen verschlüsseln (Encrypt file names).
Speicherort der Ransomware-Dateien
- APPDATA
Windows NT, Windows 2000 und Windows XP: Laufwerk:\Documents and Settings\%UserName%\Application Data\%USERPROFILE%\Local Settings\Application Data
Windows Vista, Windows 7, Windows 8 und WIndows 10: Laufwerk:\Users\%UserName%\AppData\Roaming\%USERPROFILE%\AppData\Local
- TEMP (temporärer Katalog)
%TEMP%\xxxxxxx.tmp\, wobei „x“ für Zeichen von „a“ bis „z“ und von „0“ bis „9“ stehen;
%TEMP%\xxxxxxx.tmp\xx\, wobei „x“ für Zeichen von „a“ bis „z“ und von „0“ bis „9“ stehen;
%TEMP%\xxxxxxx\, wobei „x“ für Zeichen von „a“ bis „z“ und von „0“ bis „9“ stehen;
%WINDIR%\Temp
- Temporärer Ordner von Internet Explorer
Windows NT, Windows 2000 und Windows XP: %USERPROFILE%\Local Settings\Temporary Internet Files\
Windows Vista, Windows 7, Windows 8 und WIndows 10: %LOCALAPPDATA%\Microsoft\Windows\Temporary Internet Files\content.ie5\xxxxxxxx, wobei „x“ für Zeichen von „a“ bis „z“ und von „0“ bis „9“ stehen;
- Desktop
%UserProfile%\Desktop\
- Papierkorb
Laufwerk:\Recycler\
Laufwerk:\$Recycle.Bin\
Laufwerk:\$Recycle.Bin\s-1-5-21-??????????-??????????-??????????-1000, wobei „x“ für Zeichen von „0“ bis „9“ stehen;
- Systemordner
%WinDir%
%SystemRoot%\system32\
- Ordner der Dokumente des Benutzers
%USERPROFILE%\Dokumente\
%USERPROFILE%\Dokumente\Downloads
- Ordner für heruntergeladene Dateien im Browser
%USERPROFILE%\Downloads
- Ordner für Autostart-Objekte
%USERPROFILE%\Start Menu\Programs\Startup