Maßnahmen gegen Verschlüsselungstrojaner
Um sich gegen Verschlüsselungstrojaner zur Wehr zu setzen, sollten keine Anhänge die Office Dokumente beinhalten,
geöffnet werden. Gerade Rechnungs-Mails sind da mit Vorsicht zu genießen.
Unter Umständen bekommen Sie auch verschleierte js Dateien in Anhängen zu gesendet (z.B. Rechnung.pdf.js o.ä.)
In einigen Fällen geht das allerdings nicht (z.B. Rechnungsabteilungen in Firmen).
Hier kann man unter anderem folgendes tun um sich diese Verschlüsselungstrojaner so weit wie möglich
vom Hals zu halten.
0. REGELMÄSSIG SICHERHEITSKOPIE ERSTELLEN
1. Keine Java und Flash Plugins nutzen
2. Adblocker/Scriptblocker Plugins in den Internet Browsern nutzen (Adblock Plus,uBlock,Scriptblock...)
3. Komplette Deaktivierung der Makros in Office
4a. Eingeschränktes Benutzerkonto anlegen
4b. IDEE: Entziehung der Rechte zur Ausführung der Dateien cscript.exe, wscript.exe, cmd.exe,powershell.exe...
für bestimmte Benutzer
4c. THEORETISCHE IDEE -> Eigene Programmstarter programmieren
5. IDEE: Deaktivierung des Windows Scripting Host via Registry Schlüssel
6. Automatisches Ausführen durch Doppelklick von js bzw. vbs Dateien verhindern
- Punkt 1 nur möglich wenn Sie keine Java/Flash Plugins verwenden wie z.B. Pinpad Eingabe oder Loginkarten bei Banken (z.B.Deutsche Bank,Santander Bank) oder java Programme auf internet Seiten
- Punkt 3 ist nur anwendbar wenn sie keine Makros in Office Dateien nutzen.
- Punkt 5 und 6 geht natürlich nur wenn sie keine Programme nutzen die den Windows Scripting Host benötigen.
Zu Punkt 0. Sicherheitskopieen Ihrer Daten
Verschlüsselungstrojaner greifen sich alle gängigen Dateiformate aus den angeschlossenen Laufwerken raus
(Bilder,Office Dokumente,Musik,Videos).
Auch Festplatten,Sticks,Kameras... die via USB Verbindung an den PC angeschlossen sind, werden verschlüsselt.
Je nach Wichtigkeit der Dokumente sollten mehrere Sicherheitskopien der Daten erstellt werden.
Wichtige Unterlagen sollten zusätzlich auf CD/DVD/Bluray gespeichert werden. Dort können sie auch vom besten Trojaner nicht mehr verändert werden.
ACHTUNG:
Wenn Ihr PC von einem dieser Verschlüsselungstrojaner befallen wurde und Ihre Daten alle schon verschlüsselt wurden, kommen Sie bitte nicht auf die Idee direkt ein vorhandenes Sicherheitsmedium (Festplatte,USB Stick) an den Rechner anzuschließen um die Originaldaten wieder zu bekommen .Es besteht die Gefahr das auch die Daten auf diesem Medium dann sofort verschlüsselt werden.
Starten Sie den Rechner mit einer Linux DVD und sichern Sie die verschlüsselten Daten auf einer extra USB Festplatte oder einem Stick (Je nach Datenmenge), für die eventuell später möglichen Entschlüsselung.
Sichern Sie auch die E-Mail Profildaten
Bei MS Outlook -> \Benutzer\<Benutzername>\AppData\Local\Microsoft\Outlook\Outlook.pst
Bei Thunderbird -> %APPDATA%\Thunderbird\Profiles\xxxxxxxx.default\
Sichern Sie auch alle anderen Persönlichen Daten in Ihrem Profil die noch übrig geblieben sind (Itunes usw)
Löschen Sie die Betriebssystempartition und installieren Sie das Betriebssystem komplett neu.
Alle Virenscanner und Entfernungstools helfen hier auch nichts mehr.
Wer weiß wo auf dem System noch irgend ein Teil des Trojaners schlummert das irgendwann wieder zuschlägt.
Zu Punkt 1. Java / Flash Plugins
Es wird immer mal wieder berichtet das Java und oder Flash unsicher sind.
Die Hersteller (Oracle,Adobe) bemühen sich, das Ganze so sicher wie möglich zu machen, trotzdem hört man immer wieder von Lücken.
Durch die neue HTML5 Technik wird Flash aber immer weiter zurückgedrängt.
Apple und Android unterstützen Flash überhaupt nicht mehr.
Einige Banken verwenden noch Java Plugins damit Sie sich sich via PinPad oder Schlüsselkarte auf der Webseite
anmelden können. Wenn Sie diese Möglichkeiten nutzen wollen, müssen Sie leider noch das Java RE installieren.
Wenn Sie sich sicher sind, dass Sie kein Java und/oder Flash benötigen, deinstallieren Sie diese beiden Pakete.
Zu Punkt 2. Adblocker/Scriptblocker
Adblocker und Scriptblocker im Internet Browser, schützen nicht nur vor lästiger Flimmerwerbung sondern auch vor
Infektionen mit Trojanern.
Wenn Sie Webseiten unterstützen wollen, können Sie die Blocker so einstellen, dass sie die Werbung auf einzelnen
Seiten zulassen.
Gerade wenn Sie sich auf zwielichtigen Seiten (Pornoseiten, Nicht autorisierte Streamingseiten,...) "rumtreiben"
können Sie sich ganz schnell mal eines der Scripte einfangen, die Ihren Rechner bzw. Ihre Daten unbrauchbar macht.
Besonders die Aufforderung zur Installation eines speziellen Videoplayers oder Windows Media Player Updates, sollten Sie ignorieren.
Zu Punkt 3. Office Makros deaktivieren
Unter Microsoft Office 2010 findet man die Einstellungen unter:
In Office 2013 nennt sich der Menüpunkt nicht Sicherheitscenter sondern Trust Center.
Zu Punkt 4a. Nicht mit einem Administrator Konto arbeiten
Erstellen Sie sich ein weiteres Konto das zur Gruppe "Benutzer" gehört und arbeiten Sie damit.
Erstellen Sie für alle Konten mit vollem administrativem Zugriff, Passwörter mit mindestens 12 Zeichen bestehend aus
kleinen und großen Buchstaben, Ziffern und Sonderzeichen wie #*%&... sonst hilft der folgende Tipp nicht viel.
Zusätzlicher Hinweis am Rande:
Wer sein Benutzerkonto "Benutzer" nennen will, stößt auf Widerstand, da es schon eine Gruppe mit dem Namen "Benutzer" gibt.
Als weitere Schutzmaßnahme ist der nächste Punkt anzuwenden.
Zu Punkt 4b. Entzug der Ausführrechte für c(w)script.exe... für bestimmte Benutzer
ACHTUNG:
Der folgende Vorgang ist eine Idee von mir.
Unter Umständen ist das ganze für Ihre Zwecke nicht umsetzbar weil Sie diese Programme intensiv nutzen oder Fremdprogramme auf diese Dateien zugreifen müssen.Um es Trojanern so schwer wie möglich zu machen sollte der "Verwirrungsgrad" für solche Schädlinge so hoch wie möglich sein.
Als erfahrener Anwender sollten sich selbst eine für Sie passende Methode ausdenken um Programme wie cscript, wscript, cmd, powershell... so weit wie möglich vor Trojanern zu verstecken.
Im folgenden Teil wird beschrieben was mit Bordmitteln möglich ist.
Normalerweise kann jeder die Dateien cscript.exe, wscript.exe, cmd.exe, poweshell.exe... ausführen.
Sie können die Ausführung der Programmdateien cscript.exe und wscript.exe sowie andere für Trojaner nützliche
Programme, für bestimmte Benutzer blockieren, so das Trojaner diese Dateien nicht mehr starten können.
Schritt 1: Datei in Besitznahme
Da die beiden Dateien dem Konto "TrustedInstaller" gehören, müssen Sie (Als Administrator) die Datei erst in Ihren
Besitz bringen um danach die Ausführrechte ändern zu können.
Hier eine Bilderstrecke, wie das geht.
Schritt 2: Dateirechte für bestimme Benutzer einschränken
Jetzt können Sie den Benutzerkonten die Berechtigung zur Ausführung der Datei entziehen.
Hier dazu eine Bilderstrecke:
Zu Punkt 4c. Theoretische Idee -> Eigene Programmstarter programmieren
ACHTUNG:
das ist nur eine Anregung die ich noch nicht selber getestet habe.
Wenn ich mal Zeit habe, werde ich das mal selber ausprobieren.
Ob Fremdprogramme das so ohne weiteres mitmachen, müssen Sie dann selber testen.
Wenn Sie die Idee weiterentwickeln wollen, ist es wichtig, das diese Starter alle Kommandozeilenparameter eins zu eins an das Zielprogramm weitergeben.
Nutzen Sie dazu eine Programmiersprache die ausführbare Dateien erstellen kann (exe).
Eigene Starter mit zusätzlicher Startabfrage programmieren.
Die originalen Windows Dateien bekommen andere Namen z.B. cscript.exe wird zu wincscript.exe
und die programmierten Starter übernehmen den Originalnamen z.B. cscript.exe.
Die programmierten Starter sollten alle Parameter transparent an die umbenannte Datei (z.B. winscript.exe) übergeben
aber eine Abfrage im Stile von
"Es wird ein Script/Kommando mit dem Programm $PROGRAMMNAME ausgeführt $SCRIPTNAME !!! WOLLEN SIE DAS ZULASSEN???"
anzeigen.
Hier ein vorbildliches Beispiel zufällig in Linux Mint entdeckt (Leider in Englisch)
Zu Punkt 5. Windows Scripting Host via Registry lahmlegen
Dieser Tipp legt den Windows Scripting Host (cscript,wscript) für den angemeldeten Benutzer (HKEY_CURRENT_USER)
oder alle Benutzer (HKEY_LOCAL_MACHINE) komplett lahm.
Da der Windows Scripting Host für einige Programme notwendig ist (z.B. WSUS Offline Updader) ist von der Änderung
im Schlüsselpfad HKEY_LOCAL_MACHINE abzuraten.
Das ist eine Alternative zu Punkt 4.
Die Programmdateien "cmd.exe" und die "Powershell.exe" ist dann aber immer
noch offen und können missbraucht werden.
Hier der Vorgang in Kurzform:
In der Registry folgenden Pfad durchklicken
HKEY_CURRENT_USER\Software\Microsoft\Windows Script Host\Settings\
Für alle Nutzer des PCs
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Script Host\Settings\
Hier den DWORD Wert "Enabled" erzeugen und auf 0 setzen.
ACHTUNG:
Wenn ein Trojaner diesen Schlüssel prüft und ihn wieder geradebiegt, hilft das auch nicht weiter.
Zu Punkt 6. Versehentlicher Start von js bzw vbs Dateien verhindern
Dateien mit der Endung .js werden, wenn man darauf doppelklickt, mit dem Programm cscript.exe ausgeführt.
Das sollten Sie ändern in dem sie solche Dateien auf Dauer mit einem anderen Standard Programm öffnen lassen.
Für diesen Vorgang müssen Sie die Dateierweiterungen anzeigen lassen.
In Windows 8.x und 10 geht das so:
Nachdem Sie die Einstellungen vorgenommen, und den Explorer wieder geschlossen haben, erzeugen Sie auf dem Desktop eine neue Txt Datei.
Danach benennen Sie die Erweiterung .txt in .js um.
Diese Datei kann jetzt durch Doppelklick gestartet werden und würde ggf. gefährlichen Scriptcode.ausführen.
Um das zu verhindern, klicken Sie mit der rechten Maustaste auf die erstellte und in .js umbenannte Datei.
Es öffnet sich ein Kontextmenü in dem Sie auf den Eintrag "Öffnen mit..." klicken.
Es öffnet sich ein Fenster, das sie zur Eingabe eines Programms auffordert, mit dem diese js Datei geöffnet werden
soll.
Hier klicken Sie auf den grauen Eintrag "Weitere Apps".
Die Liste mit Programmen wird nun erweitert und Sie können eines dieser Programme (Apps) auswählen.
Ich habe hier sinnvollerweise den Editor ausgewählt.
Ganz unten in diesem Fenster ist bei "Immer diese App zum öffnen von .js Dateien verwenden" noch ein Hacken rein zu
klicken damit auch in Zukunft js Dateien immer mit dem Editor geöffnet werden.
Danach dann auf OK klicken.
Nachdem Sie auf OK geklickt haben, öffnet sich die leere Datei mit dem Editor.
Den Editor können Sie nun wieder schließen.
Das Symbol für .js Dateien hat sich nun geändert.
Der gleiche Vorgang auch für Dateien mit der Endung .vbs durchführen.
Wenn Sie eigene jscript oder vbs Dateien verwenden, können Sie den Dateien andere Endungen (z.B. msjs,msbvs)
geben und diese mit "Offnen mit..." mit dem Windows Scriptiong Host verknüpfen.