Zum Inhalt

Permalink für diese Seite

Verwenden Sie immer den folgenden Permalink, um auf diese Seite zu verweisen. Der Link bleibt auch in zukünftigen Versionen dieser Hilfe unverändert.

https://docs.sophos.com/central/mdr/help/de-de/index.html?contextId=Malware

Workflow der Ransomware-Bereinigung

Befolgen Sie diese Schritte, um einen Ransomware-Angriff zu beheben.

Einleitung

Warnung

Bei der Beseitigung eines Angriffs entfernen Sie möglicherweise Hinweise auf den Angriffsablauf. Wir empfehlen, die betroffenen Systeme und Dateien zu sichern, die von dem Angriff übrig geblieben sind. Wenn Sie nicht sicher sind, ob die Dateien sicher sind, können Sie sie komprimieren, um zu verhindern, dass sie ausgeführt werden.

Weitere Ressourcen

Auffinden unerkannter Malware mit Microsoft Autoruns

Interessante Windows-Ereignis-IDs – Malware/Allgemeine Untersuchung

Ransomware: Wiederherstellung und Entfernung

Ransomware: Information und Prävention

Ausmaß des Problems bestimmen

Gehen Sie wie folgt vor, um das Ausmaß des Problems zu verstehen:

  1. Identifizieren Sie alle betroffenen Endpoints und Server.

    Betroffene Geräte haben verschlüsselte Dateien und Lösegeldforderungen in ihren Ordnern.

    1. Wenn Sie verschlüsselte Dateien und Lösegeldforderungen auf Dateifreigaben finden, müssen Sie überprüfen, welcher Benutzer oder welches Gerät sie erstellt hat.
    2. Stellen Sie sicher, dass Sie mehrere Samples der verschlüsselten Dateien und Lösegeldforderungen an einem zugänglichen Ort speichern, damit Sie sie später auffinden können.

  2. Finden Sie heraus, welches Konto kompromittiert wurde.

    Wenn Sie wissen, welches Konto kompromittiert wurde, können Sie herausfinden, wie groß die Anzahl der lokalen und Remote-Dateien ist, die auf diesem Gerät von der Ransomware betroffen sind, da die Berechtigungen des Benutzerkontos dies einschränken. Um das kompromittierte Konto aufzufinden, gehen Sie folgendermaßen vor:

    1. Suchen Sie eine verschlüsselte Datei, klicken Sie mit der rechten Maustaste auf die Datei und wählen Sie Eigenschaften.
    2. Klicken Sie auf Details und suchen Sie nach dem Eigentümer der Datei.
    3. Notieren Sie sich die Eigentümerinformationen der Datei.

  3. Alternativ können Sie einen Ordner verwenden, um Informationen zum Eigentümer zu erhalten. Gehen Sie wie folgt vor, um einen Ordner zu verwenden:

    1. Gehen Sie in Windows Explorer zu einem Ordner mit verschlüsselten Dateien.

      Wir empfehlen Ihnen, eine Netzwerk-Dateifreigabe auszuwählen, auf die mehrere Benutzer zugreifen können.

    2. Wählen Sie die Ansicht Details aus, in der Sie verschiedene Spalten mit Informationen zu den Dateien anzeigen können.

    3. Klicken Sie mit der rechten Maustaste auf eine Spaltenüberschrift und klicken Sie anschließend auf Mehr.
    4. Blättern Sie nach unten, wählen Sie Eigentümer aus der Liste aus, und klicken Sie anschließend auf OK.

  4. Verschiedene infizierte Geräte können über unterschiedliche kompromittierte Konten verfügen. Sie müssen diesen Vorgang auf allen infizierten Geräten wiederholen und eine Liste der kompromittierten Konten erstellen.

  5. Stellen Sie sicher, dass Sie alle kompromittierten Konten mit Administratorrechten (lokal und Domäne) notieren.
  6. Wenn Sie über die Liste der Konten verfügen, überprüfen Sie, auf welche Dateifreigaben diese Konten SCHREIBZUGRIFF haben. Sie müssen alle diese Freigaben überprüfen.

Auswirkungen der Malware begrenzen

Jetzt, da Sie die ersten Daten haben, müssen Sie Ihre Untersuchung durchführen. Zunächst müssen Sie verhindern, dass die Ransomware weitere Daten verschlüsselt. Um die Ransomware zu stoppen, gehen Sie wie folgt vor:

  1. Schalten Sie alle infizierten Geräte aus.

    Durch das Ausschalten der Geräte erhöhen sich Ihre Chancen, Ihre Daten speichern zu können. Je länger ein infiziertes Gerät läuft, desto mehr Zeit hat die Ransomware zum Verschlüsseln von Dateien.

  2. Identifizieren Sie die Angriffsmethode der Ransomware mithilfe von Ransomware: So funktioniert ein Angriff vor dem Testen. Aufgrund weiterer Verschlüsselung können Daten verloren gehen.

  3. Einige dieser Geräte werden ausgeführt, wenn Sie ein Gerät starten. Erstellen Sie ein Image eines infizierten Geräts und starten Sie das infizierte Gerät, um zu sehen, ob Dateien noch verschlüsselt werden.

  4. Wenn Sie die infizierten Geräte nicht ermitteln können, müssen Sie eine schwierige Entscheidung treffen. Schalten Sie zu diesem Zeitpunkt alle Geräte aus, um Ihre Daten zu speichern.

    Dadurch wird der Vorfall eingedämmt. Jetzt haben Sie die Zeit, Ihre Analyse fortzusetzen.

  5. Schalten Sie Ihre Geräte einzeln nacheinander ein. Bereinigen Sie ein Gerät und fahren Sie dann mit dem nächsten fort.

    Wir empfehlen Ihnen, sich an uns zu wenden und unseren Managed Detection and Response zu erwerben. Unser Experten-Team kann die Bereinigung für Sie vornehmen. Sie können auch eine Ursachenanalyse anstellen und weitere Sicherheitsempfehlungen aussprechen.

Ransomware-Autor ermitteln

Wenn Sie den Ransomware-Autor kennen, erhalten Sie viele Informationen über die genauen Auswirkungen der vorliegenden Variante. So lässt sich einfacher feststellen, welche Dateien verschlüsselt wurden, über welchen Infektionsvektor die Ransomware aller Wahrscheinlichkeit nach ins Netzwerk gelangte und ob ein Persistenzproblem vorliegt. So lässt sich eine erneute Infektion einfacher verhindern. Wenn Sie eine Lösegeldforderung von einem infizierten Gerät oder Samples der verschlüsselten Dateien haben, können Sie die verantwortliche Malware-Gruppe identifizieren.

Gehen Sie zum Ermitteln des Autors folgendermaßen vor:

  1. Laden Sie Ihre Lösegeldforderung oder Samples auf https://id-ransomware.malwarehunterteam.com/ hoch.

    Hinweis

    Dies ist keine von Sophos unterstützte Website.

Verbessern Ihrer Sicherheit

Um Ihre Sicherheit zu verbessern, gehen Sie folgendermaßen vor:

  1. Wenn Sie nicht auf Sophos Central mit Intercept X und EDR umgestellt haben, müssen Sie migrieren.

    Unsere hochmodernen Security-Technologien bieten den besten Schutz vor Bedrohungen.

    • Die Lösung umfasst CryptoGuard zum Schutz vor Ransomware.
    • Wenn Sie Fragen zur Migration oder dazu haben, warum dies wichtig ist, kontaktieren Sie uns. Unser Rapid Response Team kann Sie bei der Migration unterstützen.

  2. Prüfen Sie, ob Sie unsere Best Practices für die Einstellungen von Threat-Protection-Richtlinien befolgen. Dies ist wichtig, da Ihre Umgebung kürzlich kompromittiert wurde. Sie müssen Ihre Sicherheit erhöhen, um eine erneute Infektion zu verhindern. Nähere Informationen finden Sie unter folgenden Links:

  3. Stellen Sie sicher, dass alle Ihre Geräte über die neuesten Patches verfügen.

    Dies schützt vor vielen Exploits, da Microsoft viele Schwachstellen mit Updates behebt.

  4. Aktualisieren Sie alle Geräte, die alte Betriebssystemsversionen verwenden, z. B. Windows Server 2003, Windows 2008 nicht-R2, Windows 7 oder Windows XP.

    Windows-Betriebssysteme, die nicht offiziell von Microsoft unterstützt werden, weisen Sicherheitslücken auf, für die es keine Patches gibt.

  5. Vergewissern Sie sich, dass Sie keine anfälligen Geräte haben, die mit dem Internet in Kontakt stehen.

    Hinweis

    In der Regel sind SMB 445, RDP 3389 oder andere Ports geöffnet. Böswillige Akteure können diese Ports ausnutzen.

    Sie müssen Ihre Geräte überprüfen. Sie müssen herausfinden, welche Ports geöffnet sind, um Ihr Risiko zu reduzieren. Um Ihre Geräte zu prüfen, gehen Sie wie folgt vor:

    1. Sie können Shodan.io oder Censys.io mit Ihren öffentlichen IPs verwenden, um zu bestätigen, welche Ports außerhalb Ihrer Umgebung angezeigt werden können.
    2. Wenn nicht erforderliche, öffentlich zugängliche Geräte oder offene Ports vorhanden sind, ändern Sie Ihre Firewall-Richtlinie, um das Risiko zu verringern.

Daten und den Normalbetrieb wiederherstellen

Nachdem Sie alle Ihre Geräte bereinigt und mit Sophos Central Intercept X Advanced with EDR geschützt haben, können Sie Ihre Systeme wiederherstellen.

Verfahren Sie wie folgt:

  1. Stellen Sie Ihre Daten aus Ihren Backups wieder her.

    Hinweis

    Wenn Sie eine Ursachenanalyse durchführen möchten, benötigen Sie Backups und Images der infizierten Geräte. Die Wiederherstellung Ihrer Geräte zerstört diese Beweise und macht eine Ursachenanalyse unmöglich.

    1. Stellen Sie sicher, dass Sie Datensicherungen verwenden, die Sie vor der Infektion erstellt haben.
    2. Stellen Sie sicher, dass Sie auf die Daten in den Dateien in der Sicherung zugreifen können.

  2. Bringen Sie Ihre Geräte wieder online.

    1. Wenn das Betriebssystem beschädigt ist oder Sie nicht über ausreichende Backups der infizierten Geräte verfügen, müssen Sie diese reparieren oder neu erstellen.
    2. Befolgen Sie die vom Hersteller Ihres Betriebssystems angegebenen Reparatur- und Wiederherstellungsprozesse.

  3. Führen Sie Tests durch, um sicherzustellen, dass Ihre Geräte ordnungsgemäß funktionieren. Verfahren Sie wie folgt:

    1. Prüfen Sie, ob sie auf die erforderlichen Ressourcen zugreifen können.
    2. Überprüfen Sie, ob die Anwendungen ordnungsgemäß ausgeführt werden.
    3. Führen Sie ggf. weitere Tests durch, um zu bestätigen, dass Ihre Geräte ordnungsgemäß funktionieren.

  4. Erlauben Sie Ihren Benutzern, auf die Geräte zuzugreifen.

Ursachenanalyse

Um Ihre Umgebung in Zukunft zu schützen, müssen Sie wissen, wie es zur Infektion kam. Auf diese Weise können Sie Fehler im Design und in der Konfiguration Ihres Netzwerks oder Ihrer Umgebung identifizieren und diese für die Zukunft verbessern. Führen Sie eine Ursachenanalyse durch, um Ihnen dabei zu helfen.

Für eine Ursachenanalyse benötigen Sie Backups und Images Ihrer Geräte im infizierten Zustand.

Video zur Ransomware-Bereinigung

In diesem Video wird dieser Workflow behandelt.