RANSOMWARE. Informationen zu Ransomware

Transkript

1

2 RANSOMWARE Informationen zu Ransomware

3 Ransomware? > Ransomware; eine Art von Malware, die anstrebt: Zugriff auf den infizierten Computer einzuschränken oder sperren Daten verschlüsseln > Ransomware verlangt Lösegeld am meisten akzeptierte Währungen: Bitcoins, Paysafecards und Ukash > Beispiele: CTB-Locker, CryptoDefense, CryptoWall, CryptoLocker, CoinVault, TeslaCrypt, Locky, Petya Folie 3

4 Ransomware? > Ransomware; eine Art von Malware, die anstrebt: Zugriff auf den infizierten Computer einzuschränken oder sperren Daten verschlüsseln > Ransomware verlangt Lösegeld am meisten akzeptierte Währungen: Bitcoins, Paysafecards und Ukash > Beispiele: CTB-Locker, CryptoDefense, CryptoWall, CryptoLocker, CoinVault, TeslaCrypt, Locky, Petya Folie 3

5 Ransomware? > Ransomware; eine Art von Malware, die anstrebt: Zugriff auf den infizierten Computer einzuschränken oder sperren Daten verschlüsseln > Ransomware verlangt Lösegeld am meisten akzeptierte Währungen: Bitcoins, Paysafecards und Ukash > Beispiele: CTB-Locker, CryptoDefense, CryptoWall, CryptoLocker, CoinVault, TeslaCrypt, Locky, Petya Folie 3

6 Wie infiziert Ransomware die Systeme? > > Infizierte Links > Drive-by-downloads > USB-Sticks > Externe Festplatten > Folie 4

7 Wie infiziert Ransomware die Systeme? > > Infizierte Links > Drive-by-downloads > USB-Sticks > Externe Festplatten > Folie 4

8 Wie infiziert Ransomware die Systeme? > > Infizierte Links > Drive-by-downloads > USB-Sticks > Externe Festplatten > Folie 4

9 Wie infiziert Ransomware die Systeme? > > Infizierte Links > Drive-by-downloads > USB-Sticks > Externe Festplatten > Folie 4

10 Wie infiziert Ransomware die Systeme? > > Infizierte Links > Drive-by-downloads > USB-Sticks > Externe Festplatten > Folie 4

11 Wie infiziert Ransomware die Systeme? > > Infizierte Links > Drive-by-downloads > USB-Sticks > Externe Festplatten > Folie 4

12 WinLocker - blockiert Windows Bildschirm Folie 5

13 Wie arbeitet der WinLocker? > Lock Screen Ransomware > Malware wird ausgeführt Windows-Desktop wird durch Überlagerung des Bildschirms gesperrt Lösegeld gefordert deaktiviert TaskManager, Windows Registrierungs-Editor, Kommandozeile Autostarts an unterschiedlichen Stellen in der Windows-Registrierung Dateien sind nicht verschlüsselt Folie 6

14 Wie arbeitet der WinLocker? > Lock Screen Ransomware > Malware wird ausgeführt Windows-Desktop wird durch Überlagerung des Bildschirms gesperrt Lösegeld gefordert deaktiviert TaskManager, Windows Registrierungs-Editor, Kommandozeile Autostarts an unterschiedlichen Stellen in der Windows-Registrierung Dateien sind nicht verschlüsselt Folie 6

15 Petya blockiert MBR Folie 7

16 Wie arbeitet der Petya? > MBRLocker Ransomware > Malware wird ausgeführt Malware überschreibt MBR simuliert einen Absturz Windows um einen Neustart zu erzwingen Forderungen Lösegeld Folie 8

17 Wie arbeitet der Petya? > MBRLocker Ransomware > Malware wird ausgeführt Malware überschreibt MBR simuliert einen Absturz Windows um einen Neustart zu erzwingen Forderungen Lösegeld Folie 8

18 Locky blockiert Daten Folie 9

19 Wie arbeitet der Locky? > Encryption Ransomware > Malware wird ausgeführt Droper lädt die Malware Malware listet lokale und angeschlossene Laufwerke Malware verschlüsselt Dateien mit starken Verschlüsselungsalgorithmus die Originaldateien werden gelöscht Benutzer wird über verschlüsselte Dateien informiert Lösegeld gefordert Folie 10

20 Wie arbeitet der Locky? > Encryption Ransomware > Malware wird ausgeführt Droper lädt die Malware Malware listet lokale und angeschlossene Laufwerke Malware verschlüsselt Dateien mit starken Verschlüsselungsalgorithmus die Originaldateien werden gelöscht Benutzer wird über verschlüsselte Dateien informiert Lösegeld gefordert Folie 10

21 SCHUTZ VOR RANSOMWARE Kaspersky Security 10 für Windows Server (KSWS)

22 Funktionen im KSWS > Kontrolle des Programmstarts > Blockieren des Zugriffs auf Dateien im Netzwerk > Schutz vor Verschlüsselung (AntiCryptor) > Kaspersky Security Network (KSN) wird verwendet Folie 12

23 Funktionen im KSWS > Kontrolle des Programmstarts > Blockieren des Zugriffs auf Dateien im Netzwerk > Schutz vor Verschlüsselung (AntiCryptor) > Kaspersky Security Network (KSN) wird verwendet Folie 12

24 Funktionen im KSWS > Kontrolle des Programmstarts > Blockieren des Zugriffs auf Dateien im Netzwerk > Schutz vor Verschlüsselung (AntiCryptor) > Kaspersky Security Network (KSN) wird verwendet Folie 12

25 Funktionen im KSWS > Kontrolle des Programmstarts > Blockieren des Zugriffs auf Dateien im Netzwerk > Schutz vor Verschlüsselung (AntiCryptor) > Kaspersky Security Network (KSN) wird verwendet Folie 12

26 Funktionen im KSWS Folie 12

27 Funktionen im KSWS Folie 12

28 Kontrolle des Programmstarts > man kann Regeln für ausführbare Dateien, Skripte (bat,cmd,vbs,js,ps1,py,pl) und MSI-Pakete erstellen > dabei können auch die geladenden DLLs mit überwacht werden > man kann Regeln manuell erstellen, alternativ kann auch eine Aufgabe zum automatischen Erstellen der Regeln gestartet werden Folie 13

29 Kontrolle des Programmstarts > man kann Regeln für ausführbare Dateien, Skripte (bat,cmd,vbs,js,ps1,py,pl) und MSI-Pakete erstellen > dabei können auch die geladenden DLLs mit überwacht werden > man kann Regeln manuell erstellen, alternativ kann auch eine Aufgabe zum automatischen Erstellen der Regeln gestartet werden Folie 13

30 Kontrolle des Programmstarts > man kann Regeln für ausführbare Dateien, Skripte (bat,cmd,vbs,js,ps1,py,pl) und MSI-Pakete erstellen > dabei können auch die geladenden DLLs mit überwacht werden > man kann Regeln manuell erstellen, alternativ kann auch eine Aufgabe zum automatischen Erstellen der Regeln gestartet werden Folie 13

31 Kontrolle des Programmstarts Folie 13

32 Blockieren des Zugriffs auf Dateien im Netzwerk > es werden Angriffe aus dem Netzwerk erkannt > die Angreifer können für einen vordefinierten Zeitraum geblockt werden > die Angreifer können auch wieder freigeschaltet werden Folie 14

33 Blockieren des Zugriffs auf Dateien im Netzwerk > es werden Angriffe aus dem Netzwerk erkannt > die Angreifer können für einen vordefinierten Zeitraum geblockt werden > die Angreifer können auch wieder freigeschaltet werden Folie 14

34 Blockieren des Zugriffs auf Dateien im Netzwerk > es werden Angriffe aus dem Netzwerk erkannt > die Angreifer können für einen vordefinierten Zeitraum geblockt werden > die Angreifer können auch wieder freigeschaltet werden Folie 14

35 Blockieren des Zugriffs auf Dateien im Netzwerk Folie 14

36 Schutz vor Verschlüsselung (AntiCryptor) > das ungewollte Verschlüsseln von Dateien kann verhindert werden > der AntiCryptor nutzt Signaturen aber auch heuristische Methoden zum Aufspüren von Malware Folie 15

37 Schutz vor Verschlüsselung (AntiCryptor) > das ungewollte Verschlüsseln von Dateien kann verhindert werden > der AntiCryptor nutzt Signaturen aber auch heuristische Methoden zum Aufspüren von Malware Folie 15

38 Schutz vor Verschlüsselung (AntiCryptor) > das ungewollte Verschlüsseln von Dateien kann verhindert werden > der AntiCryptor nutzt Signaturen aber auch heuristische Methoden zum Aufspüren von Malware Folie 15

39 Schutz vor Verschlüsselung (AntiCryptor) Folie 15

40 AntiCryptor Logs > der AntiCryptor blockt Cryptor-Malware > es werden Logs erstellt > zusätzlich werden Events generiert Folie 16

41 AntiCryptor Logs > der AntiCryptor blockt Cryptor-Malware > es werden Logs erstellt > zusätzlich werden Events generiert Folie 16

42 AntiCryptor Logs > der AntiCryptor blockt Cryptor-Malware > es werden Logs erstellt > zusätzlich werden Events generiert Folie 16

43 Kaspersky Security Network > KSN steht für unterschiedliche Module zur Verfügung Real-time protection On-demand scanning Storage protection (RPC, ICAP) Application Control Folie 17

44 Kaspersky Security Network > KSN steht für unterschiedliche Module zur Verfügung Real-time protection On-demand scanning Storage protection (RPC, ICAP) Application Control Folie 17

45 Kaspersky Security Network Folie 17

46 Entschlüsseln > bereits verschlüsselte Dateien können entschlüsselt werden utm_campaign=com-securelist Folie 18

47 Entschlüsseln > bereits verschlüsselte Dateien können entschlüsselt werden utm_campaign=com-securelist Folie 18

48 Entschlüsseln Folie 18

49 VIELEN DANK.