Tipps zum Stoppen von Ransomware – selbst wenn Hacker schon die Kontrolle haben

  • 10. Februar 2021
  • 3 min Lesezeit
How to stop ransomware—even if your system has been taken over by a hacker

Unsere Ransomware-Experten haben kürzlich eine Reihe von Vorfällen beobachtet, bei denen die Angreifer die Antivirus-Software auf dem infizierten Rechner deaktiviert hatten. Das war ihnen möglich, weil das Antivirenprogramm kein Authentifizierungssystem hatte, um dies zu verhindern.

Nach dem Deaktivieren der AV-Software (und andere installierte Sicherheitslösungen) konnten die Angreifer ihren bösartigen Payload bereitstellen, ohne sich darum Gedanken machen zu müssen, ob der Schadcode erkannt und sie aufgehalten werden.

Es gibt jedoch eine sehr einfache Methode, um Ihr Netzwerk zu stärken und derartigen Angriffen vorzubeugen: Legen Sie ein Administratorpasswort für Ihre Antivirus-Software an.

Weshalb werden Unternehmen weiter Opfer von Ransomware?

Obwohl jedes seriöse Unternehmen auf diesem Planeten durch irgendeine Art von Antivirenlösung geschützt ist, erwischt Ransomware dennoch weiter erschreckend viele von ihnen.

Das liegt allerdings in der Regel nicht daran, dass die AV-Software die bösartige Aktivität nicht erkennt. Jede vertrauenswürdige Antivirenlösung auf dem Markt kann den Großteil der Ransomware-Varianten zuverlässig erkennen und aufhalten. Das allerdings nur, wenn sie während der Bereitstellung auch wirklich aktiviert ist. Und dort liegt der berühmte Haken.

Ist ein Rechner in einem Unternehmen kompromittiert (etwa über Phishing oder eine nicht gepatchte Software), werden die Angreifer im Grunde zum neuen Systemadministrator und können innerhalb der Berechtigungen des gehackten Kontos machen, was sie wollen. Dazu gehört auch, die Antivirus-Software und andere Sicherheitsprozesse zu deaktivierten, bevor die Ransomware bereitgestellt wird.

Derartige Angriffe lassen sich jedoch verhindern, wenn die Cyberkriminellen auf dem infizierten Computer das AV-Programm gar nicht erst deaktivieren können.

Wie können Sie Hacker daran hindern, die Antivirus-Software zu deaktivieren?

Die einfachste und wirkungsvollste Methode, um Angreifer am Deaktivieren der Antivirensoftware zu hindern (und folglich Ihr Unternehmen vor Ransomware zu schützen), besteht darin, ein Administratorpasswort anzulegen.

Mit einem Administratorpasswort ist es Cyberkriminellen unmöglich, die Sicherheitssoftware zu deaktivieren oder zu deinstallieren – selbst, wenn sie sich bereits unerlaubten Zugriff auf Ihr Netzwerk verschafft haben. Kann die Software wie vorgesehen ausgeführt werden, wird eine gute Antivirus-Lösung Ihnen verdächtige Aktivitäten melden und die Ransomware-Bedrohung aufhalten, sobald diese aktiv wird.

So legen Sie ein Administratorpasswort für die Schutzsoftware von Emsisoft an:

  1. Melden Sie sich bei MyEmsisoft an.
  2. Rufen Sie Ihren Workspace auf und klicken Sie auf „Schutzrichtlinien“.
  3. Wählen Sie die Basisvorlage (Ihr Workspace-Name) und blättern Sie nach unten zum Bereich „Passwort“ fast am Ende der Liste.
  4. Setzen Sie die Option auf „Ein“ und geben Sie das gewünschte Administratorpasswort ein. Denken Sie daran, dass Passwörter lang, einzigartig und zufällig sein sollten.

Jedes Mal, wenn ein Anwender nun auf einem Ihrer Geräte die Emsisoft-Schutzsoftware zu deaktivieren versucht, wird das Passwort abgefragt:

Ein Administratorpasswort ist besonders für MSPs wichtig, da sie ein beliebtes Ziel für Ransomware sind. Mehr Informationen dazu, wie MSPs gezielte Ransomware-Angriffe abwehren können, finden Sie auch in diesem Blogartikel.

Hinweis: Auch wenn das Administratorpasswort lokal an den Endpunkten angelegt werden kann, empfehlen wir unseren Anwendern dennoch, Emsisoft Management Console zu verwenden. Auf diese Weise können Sie selbst bei einem vollständigen Datenverlust am lokalen Gerät über die Protokolle in MyEmsisoft genau nachvollziehen, was vorgefallen ist. Emsisoft Management Console kann außerdem so eingerichtet werden, dass Benachrichtigungen ausgegeben werden, wenn eine Schutzkomponente deaktiviert wird.

Für noch sicheren AV-Schutz Administratorberechtigungen beschränken

Um für noch mehr Sicherheit zu sorgen, empfehlen wir Ihnen, die Berechtigungen der lokalen Admin-Benutzerkonten zu beschränken. Sollten sich Angreifer Zugriff auf ein Administratorkonto mit „Vollzugriff“ verschaffen, können sie theoretisch gesamte Laufwerke vom Schutz ausnehmen oder einzelne Komponenten zum Echtzeitschutz deaktivieren.

Durch das Einschränken der lokalen Admin-Berechtigungen lässt sich das verhindern. Gehen Sie dazu wie folgt vor:

  1. Melden Sie sich bei MyEmsisoft an.
  2. Rufen Sie Ihren Workspace auf und klicken Sie auf „Berechtigungsrichtlinien“.
  3. Wählen Sie die Gruppe „Administratoren“.
  4. Wählen Sie dann im Bereich „Stufe“ die Option „Basiszugriff“. (Hinweis: Sie müssen ein Administratorpasswort anlegen, bevor Sie die Administratorberechtigungen einschränken können.)

Ransomware-Angriffe sind häufig nur möglich, weil die Angreifer auf den betroffenen Systemen die Sicherheitsprozesse deaktivieren oder deinstallieren konnten. Ein Administratorpasswort für Ihre Antivirus-Software ist eine einfache, aber wirksame Methode, um für noch mehr Sicherheit zu sorgen und Ihre Systeme vor Ransomware zu schützen.

 

Übersetzung: Doreen Schäfer

Jareth

Jareth

Freier Schriftsteller und Sicherheits-Enthusiast in Auckland, Neuseeland.

Weitere Artikel