Minderung und Schutz vor Ransomware mit
Symantec Endpoint Protection
und Symantec Endpoint Security

Was ist Ransomware?

Ransomware ist eine Malware, die Dokumente verschlüsselt und dadurch unbrauchbar macht. Der Rest des Computers ist weiterhin zugänglich. Ransomware-Angreifer fordern von ihren Opfern die Zahlung eines Lösegelds über spezielle Zahlungsmethoden. Anschließend können die Opfer unter Umständen wieder auf ihre Daten zugreifen.
Gezielte Ransomware ist komplexer als die ursprünglichen Ransomware-Angriffe und erfordert mehr als nur eine erste Infektion. Angreifer haben weitere Möglichkeiten für die Erpressung von Organisationen gefunden und nutzen hierfür u. a. die folgenden Verteilungsmethoden:
  • Phishing:
    E-Mails werden als arbeitsbezogene Korrespondenz getarnt und an Mitarbeiter gesendet.
  • Malvertising:
    Medienwebsites werden manipuliert, um bösartige Werbung zu schalten, die ein JavaScript-basiertes Framework, auch bekannt als SocGholish, enthält, das als Software-Update maskiert ist.
  • Ausnutzung von Sicherheitslücken:
    Es werden Sicherheitslücken in Software ausgenutzt, die auf öffentlichen Servern ausgeführt wird.
  • Sekundäre Infektionen:
    Es werden bereits bestehende Botnets genutzt, um im Netzwerk des Opfers Fuß zu fassen.
  • Schlecht gesicherte Dienste:
    Unternehmen werden über schlecht gesicherte RDP-Dienste angegriffen, wobei bekannt gewordene oder schwache Zugangsdaten ausgenutzt werden.

Schützen vor Ransomware mit
Symantec Endpoint Protection Manager
oder Symantec Endpoint Security

Gezielte Ransomware-Angriffe lassen sich grob in die folgenden Phasen einteilen: Infiltration, Eskalation von Rechten und Diebstahl von Zugangsdaten, Lateral Movement (Erkundung des Netzwerks) und Verschlüsselung und Löschung von Backups. Die beste Verteidigung ist, die zahlreichen Angriffstypen zu blockieren und die Angriffskette zu kennen, die von den meisten Cyberkriminellen verwendet wird, um Sicherheitsprioritäten zu identifizieren. Leider lässt sich Ransomware-Verschlüsselung nicht mit Entfernungsprogrammen entfernen.
Stellen Sie in
Symantec Endpoint Protection Manager
oder Symantec Endpoint Security die folgenden Funktionen bereit und aktivieren Sie sie. Einige Funktionen sind standardmäßig aktiviert.
Funktion
Symantec Endpoint Protection
Symantec Endpoint Security
Datei-basierter Schutz
Symantec isoliert die folgenden Dateitypen: Ransom.Maze, Ransom.Sodinokibi und Backdoor.Cobalt.
Viren- und Spyware-Schutz ist standardmäßig aktiviert.
Verhindern und Behandeln von Virus- und Spywareangriffen auf Clientcomputern
Die Anti-Malware-Richtlinie ist standardmäßig aktiviert.
SONAR
SONARs verhaltensbasierter Schutz ist eine weitere entscheidende Verteidigung gegen Malware. SONAR verhindert das Ausführen der doppelten Programmnamen von Ransomware-Varianten wie CryptoLocker.
Klicken Sie in einer Richtlinie für Viren- und Spyware-Schutz auf
SONAR
>
SONAR aktivieren
(standardmäßig aktiviert).
Verwalten von SONAR
Klicken Sie in einer Anti-Malware-Richtlinie auf
Enable behavioral analysis
(standardmäßig aktiviert).
Download-Insight oder Intensiver Schutz
Ändern Sie Symantec Insight so, dass Dateien isoliert werden, die von Symantec-Kunden noch nicht als sicher bestätigt wurden.
Download-Insight ist Teil der Standardrichtlinie für
Viren- und Spyware-Schutz – Hohe Sicherheit
.
Download-Insight ist immer aktiviert und Teil der Richtlinie
Intensiver Schutz
. Informationen zum Ändern der Einstellungen für "Intensiver Schutz" finden Sie unter:
Angriffsschutzsystem (IPS)
  • IPS blockiert Bedrohungen, die von herkömmlichen Virendefinitionen allein nicht verhindert werden können. IPS ist die beste Verteidigung vor unbemerkten Downloads, d. h. wenn Software unbeabsichtigt aus dem Internet heruntergeladen wird. Angreifer nutzen häufig Exploit-Pakete zum Durchführen webbasierter Angriffe (z. B. CryptoLocker durch einen unbemerkten Download).
  • In einigen Fällen kann IPS die Dateiverschlüsselung blockieren, indem die C&C-Kommunikation (Command and Control, Steuerung und Kontrolle) unterbrochen wird. Ein C&C-Server ist ein Computer, der von einem Angreifer oder Cyberkriminellen gesteuert und dazu verwendet wird, Befehle an mit Malware infizierte Computer zu senden und gestohlene Daten von einem Zielnetzwerk zu empfangen.
  • Die
    URL-Reputation
    verhindert Webbedrohungen basierend auf dem Reputationswert einer Webseite. Die Option
    URL-Reputation aktivieren
    blockiert Webseiten mit Reputationswerten unter einem bestimmten Schwellenwert. (ab 14.3 RU1)
Aktivieren des Netzwerk- bzw. Browser-Angriffsschutzes
Die URL-Reputation ist standardmäßig aktiviert.
Erste Schritte mit dem Angriffsschutz
Die URL-Reputation ist nicht standardmäßig aktiviert.
PDF-Dateien und Skripte blockieren
Klicken Sie in der Ausnahmerichtlinie auf
Windows-Ausnahmen
>
Dateizugriff
.
Verwenden Sie die Zulassungs- und die Verweigerungsliste, um bekannte schädliche Dateien und Domänen zu verhindern. Klicken Sie auf
Einstellungen
>
Deny List and Allow List
.
Laden Sie die neuesten Patches für Webanwendungen, Webbrowser und Plugins herunter.
  1. Verwenden Sie die Anwendungs- und Gerätesteuerung, um zu verhindern, dass Anwendungen in Benutzerprofilverzeichnissen ausgeführt werden, zum Beispiel in den Ordnern "Local" und "LocalLow". Ransomware-Anwendungen installieren sich außer im Verzeichnis "Local\Temp\Low" auch in vielen weiteren Verzeichnissen.
  2. Verwenden Sie Endpoint Detection and Response (EDR), um Dateien mit Ransomware-Verhalten zu identifizieren:
    1. Deaktivieren Sie Makroskripte aus MS Office-Dateien, die per E-Mail gesendet werden.
    2. Klicken Sie mit der rechten Maustaste auf die erkannten Endgeräte und wählen Sie
      Isolate
      aus. Um Endgeräte über die Konsole zu isolieren und wieder zu verbinden, benötigen Sie eine Quarantänerichtlinie für Firewall in Symantec Endpoint Protection Manager, die einer Hostintegritätsrichtlinie zugewiesen ist.
  • Erkennungsscans: Die Cloud-Konsole bietet eine umfassende Ansicht der Dateien, Anwendungen und ausführbaren Dateien, die in Ihrer Umgebung angezeigt werden. Sie können Informationen über Risiken, Sicherheitslücken, Reputation, Quelle und andere Merkmale anzeigen, die mit diesen erkannten Elementen verknüpft sind.
  • Verwenden Sie erkannte Elemente, wenn EDR aktiviert ist. Der Erkennungs-Agent in SES ähnelt dem nicht verwalteten Detektor in SEP, stellt jedoch viel mehr Informationen über einzelne Dateien und Anwendungen bereit.
  • Mit der Anwendungssteuerung wird die Verwendung von unerwünschten und nicht autorisierten Anwendungen in Ihrer Umgebung gesteuert und verwaltet. Die Funktion der Anwendungssteuerung in SES ist nicht mit der in SEP identisch.
    Erste Schritte mit der Anwendungssteuerung
    • Verwenden Sie für Symantec Agents ab Version 14.3 RU1 die Funktion "Behavioral Isolation" für Endgeräte, die die Anwendungsisolierung und Anwendungssteuerung nicht verwenden. Die Richtlinie "Behavioral Application Isolation" gibt an, wie verdächtiges Verhalten von vertrauenswürdigen Anwendungen behandelt werden soll. Sie erhalten Warnmeldungen in der Cloud-Konsole und eine Meldung in der Richtlinie, wenn eine neue oder vorhandene Verhaltenssignatur in der Richtlinie verfügbar ist. Sie bestimmen, ob das Verhalten auf einen Angriff auf eine Datei zurückzuführen ist, und geben eine Aktion an.
Teil von Symantec Endpoint Security Complete
Umleitung des Netzwerkdatenverkehrs und Web Security Service
Verwenden Sie die Einstellungen für die Umleitung des Netzwerkverkehrs und für sichere Verbindungen, damit Endgeräte in einem Unternehmensnetzwerk oder zu Hause in Symantec Web Security Service (WSS) integriert werden können. NTR leitet den Internetverkehr auf dem Client an Symantec WSS um, wo der Datenverkehr basierend auf den WSS-Richtlinien zugelassen oder blockiert wird.
Memory Exploit Mitigation
Schützt vor bekannten Sicherheitslücken in nicht gepatchter Software, z. B. JBoss- oder Apache-Webservern, die von Angreifern ausgenutzt werden.
AMSI und dateiloses Scannen
Anwendungsentwickler von Drittanbietern können ihre Kunden vor dynamischer, skriptbasierter Malware und außergewöhnlichen Cyberangriffen schützen. Die Drittanbieteranwendung ruft die Windows AMSI-Schnittstelle auf, um einen Scan des vom Benutzer bereitgestellten Skripts anzufordern, der an den Symantec Endpoint Protection-Client weitergeleitet wird. Der Client sendet eine Antwort, in der angegeben ist, ob das Skriptverhalten bösartig ist. Wenn das Verhalten nicht bösartig ist, wird die Ausführung des Skripts fortgesetzt. Wenn das Verhalten des Skripts bösartig ist, wird es von der Anwendung nicht ausgeführt. Im Client wird im Dialogfeld "Erkennungsergebnisse" der Status "Zugriff verweigert" angezeigt. Beispiele für Skripte von Drittanbietern sind Windows PowerShell, JavaScript und VBScript. Auto-Protect muss aktiviert sein. Diese Funktion ist für Windows 10 und höhere Computer geeignet.
Ab 14.3
Standardmäßig aktiviert.
Antimalware Scan Interface (AMSI) (nur auf Englisch verfügbar)
Nicht verfügbar.
Endpoint Detection and Response (EDR)
Der Schwerpunkt von EDR liegt auf Verhalten statt auf Dateien. So kann der Schutz gegen Spear-Phishing und die Verwendung von Living-off-the-Land-Tools verstärkt werden. Beispiel: Wenn PowerShell in der Umgebung des Kunden normalerweise nicht von Word gestartet wird, sollte es im Blockiermodus platziert werden. Mit der EDR-Benutzeroberfläche können Kunden leicht verstehen, welches Verhalten üblich ist und zugelassen werden sollte, welches zwar gesehen wird, aber trotzdem gemeldet werden sollte, und welches ungewöhnlich ist und blockiert werden sollte. Sie können Lücken im Rahmen einer Untersuchung und Reaktion auf Vorfallswarnungen auch rückwirkend schließen. Die Vorfallswarnung zeigt alle Verhalten an, die als Teil des Verstoßes beobachtet wurden, und bietet die Möglichkeit, diese auf der Seite mit den Vorfallsdetails in den Blockiermodus zu setzen.
KI-basierter Schutz
Die Cloud-Analyse für gezielte Angriffe von Symantec nutzt Advanced Machine Learning, um Aktivitätsmuster zu erkennen, die mit gezielten Angriffen verknüpft sind.
Teil von Symantec Endpoint Security Complete
Verwenden Sie Prüftools, um Einblick in Ihre Endgeräte innerhalb und außerhalb Ihres Unternehmensnetzwerks zu erhalten, bevor Ransomware die Möglichkeit erhält, sich zu verbreiten.

Best Practices für die Minderung von Ransomware

Schützen der Netzwerkumgebung vor Ransomware
Um eine Infektion mit Ransomware zu vermeiden, aktivieren Sie den SEP- oder SES-Schutz und führen Sie zusätzlich diese Schritte aus.
Schritt
Beschreibung
1. Schützen der lokalen Umgebung
  1. Stellen Sie sicher, dass Sie die neueste Version von PowerShell haben
    und dass die Protokollierung aktiviert ist.
  2. Schränken Sie den Zugriff auf RDP-Dienste ein.
    Lassen Sie RDP nur von bestimmten bekannten IP-Adressen zu und stellen Sie sicher, dass Sie die Multifaktor-Authentifizierung verwenden. Verwenden Sie den Ressourcen-Manager für Dateiserver, damit keine bekannten Ransomware-Erweiterungen auf Dateifreigaben geschrieben werden können, bei denen ein Benutzer-Schreibzugriff erforderlich ist.
  3. Erstellen Sie einen Plan, um ggf. externe Parteien zu benachrichtigen.
    Um sicherzustellen, dass erforderliche Organisationen ggf. korrekt benachrichtigt werden, z. B. das FBI oder andere Strafverfolgungsbehörden/Behörden, prüfen Sie, dass Sie einen Plan zur Überprüfung haben.
  4. Erstellen Sie eine Art Notfalltasche mit Ausdrucken und archivierten Kopien in elektronischer Form aller wichtigen administrativen Informationen.
    Um die Verfügbarkeit dieser kritischen Informationen sicherzustellen, speichern Sie sie in Ihrer Notfalltasche mit der Hardware und Software, die für die Problembehebung erforderlich ist. Das Speichern dieser Informationen im Netzwerk ist nicht hilfreich, wenn Netzwerkdateien verschlüsselt werden. Implementieren Sie eine ordnungsgemäße Prüfung und Steuerung für die Verwendung des Administratorkontos. Sie können auch einmalige Zugangsdaten für administrative Aufgaben implementieren, um Diebstahl und Verwendung von Administrator-Zugangsdaten zu verhindern.
  5. Erstellen Sie Nutzungsprofile für Administrator-Tools.
    Viele dieser Tools werden von Angreifern verwendet, um sich unerkannt durch ein Netzwerk zu bewegen und dieses zu erkunden. Ein Benutzerkonto, das mithilfe von PsInfo/PsExec auf einigen wenigen Systemen als Administratorkonto ausgeführt wird, ist wahrscheinlich in Ordnung. Ein Dienstkonto, das PsInfo/PsExec auf allen Systemen ausführt, ist jedoch verdächtig.
2. Schützen des E-Mail-Systems
  1. Aktivieren Sie die Zwei-Faktor-Authentifizierung (2FA), um zu verhindern, dass Zugangsdaten bei Phishing-Angriffen kompromittiert werden.
  2. Härten Sie die Sicherheitsarchitektur um E-Mail-Systeme herum
    , um die Menge an Spam zu minimieren, die die Posteingänge von Endbenutzern erreicht, und um sicherzustellen, dass Sie die Best Practices für Ihr E-Mail-System einhalten, einschließlich der Verwendung von SPF und anderer Maßnahmen gegen Phishing-Angriffe.
3. Erstellen von Backups
Sichern Sie regelmäßig die Dateien auf Clientcomputern und Servern. Führen Sie das Backup aus, wenn die Computer offline sind oder verwenden einen Computer, auf den Netzwerkcomputer und Server keinen Schreibzugriff haben. Wenn Sie keine dedizierte Backup-Software haben, können Sie die wichtigen Dateien auch auf einen Wechseldatenträger kopieren. Werfen Sie diesen dann aus und trennen Sie ihn vom Computer.
  1. Implementieren Sie die Speicherung von Backup-Kopien an einem anderen Standort.
    Richten Sie die Speicherung an einem anderen Standort von wöchentlichen vollständigen und täglichen inkrementellen Backups für mindestens vier Wochen ein.
  2. Implementieren Sie Offline-Backups, die vor Ort gespeichert werden.
    Stellen Sie sicher, dass Sie Backups haben, die nicht mit dem Netzwerk verbunden sind, um zu verhindern, dass sie durch Ransomware verschlüsselt werden. Eine Entfernung erfolgt am besten, wenn das System vom Netzwerk getrennt ist, um eine mögliche Verbreitung der Bedrohung zu verhindern.
  3. Überprüfen und testen Sie Ihre Backup-Lösung auf Serverebene.
    Dies sollte bereits Teil des Notfallwiederherstellungsprozesses sein.
  4. Sichern Sie die Berechtigungen auf Dateiebene für Backups und Backup-Datenbanken.
    Sorgen Sie dafür, dass Ihre Backups nicht verschlüsselt werden.
  5. Testen Sie die Wiederherstellungsfunktion.
    Stellen Sie sicher, dass die Wiederherstellungsfunktionen die Anforderungen des Unternehmens unterstützen.
Schützen Sie zugeordnete Netzwerklaufwerke mit einem Kennwort und Zugriffssteuerungseinschränkungen. Aktivieren Sie den Schreibschutz für Dateien auf Netzwerklaufwerken, es sei denn, Schreibzugriff ist unbedingt erforderlich. Ein Verringern der Benutzerrechte schränkt ein, welche Dateien von der Bedrohungen verschlüsselt werden können.

Was sollten Sie tun, wenn Ihr System mit Ransomware infiziert wird?

Es gibt kein Entfernungsprogramm für Ransomware. Kein Sicherheitsprodukt kann Dateien entschlüsseln, die von Ransomware verschlüsselt werden. Sollten Clientcomputer mit Ransomware infiziert und Ihre Daten verschlüsselt werden, gehen Sie folgendermaßen vor:
  1. Zahlen Sie das Lösegeld nicht.
    Falls Sie das Lösegeld zahlen:
    • Es gibt keine Garantie, dass der Angreifer den Computer freigibt bzw. die Dateien entschlüsselt.
    • Der Angreifer finanziert weitere Angriffe mit dem Lösegeld.
  2. Isolieren Sie den infizierten Computer, bevor die Ransomware Netzwerklaufwerke angreifen kann.
  3. Verwenden Sie
    Symantec Endpoint Protection Manager
    oder SES, um die Virendefinitionen zu aktualisieren und die Clientcomputer zu scannen.
    Es ist wahrscheinlich, dass neue Definitionen Ransomware erkennen und entfernen.
    Symantec Endpoint Protection Manager
    lädt automatisch Virendefinitionen auf den Client herunter, solange der Client verwaltet und mit dem Management-Server oder der Cloud-Konsole verbunden ist.
    • Klicken Sie in
      Symantec Endpoint Protection Manager
      auf "
      Clients
      ", klicken Sie mit der rechten Maustaste auf die Gruppe und wählen Sie im Kontextmenü "
      Befehl für Gruppe ausführen
      >
      Content aktualisieren und scannen
      ".
    • Führen Sie in Symantec Endpoint Security den Befehl
      Jetzt scannen
      aus.
      Ausführen von Befehlen auf Clientgeräten
  4. Führen Sie eine neue Installation durch.
    Wenn Sie verschlüsselte Dateien aus einem Backup wiederherstellen, können Sie Ihre wiederhergestellten Daten zurückerhalten. Es ist jedoch möglich, dass während des Angriffs weitere Malware installiert wurde.
  5. Senden Sie die Malware an Symantec Security Response.
    Wenn Sie die bösartige E-Mail oder das Programm identifizieren können, senden Sie sie/es an Symantec Security Response. Anhand dieser Proben kann Symantec neue Signaturen entwickeln und den Schutz vor Ransomware verbessern.