Ransomware, Erpressungstrojaner Locky zurzeit allgegenwärtig – wie können sich Unternehmen schützen?

Der Erpressungstrojaner Locky treibt derzeit sein Unwesen auf etlichen PCs. Das Geschäftsmodell der Hacker ist denkbar einfach. Locky verschlüsselt Dateien auf dem Rechner, und die Entschlüsselung der Dateien wird wiederum nur gegen Zahlung eines Lösegeldes (engl. „ransom“) angeboten.

Soweit so gut, nur ob nach einer solchen Zahlung auch wirklich entschlüsselt wird, kann nicht garantiert werden.

Demzufolge ist die beste Strategie gegen Ransomware wie Locky, sich gar nicht erst zu infizieren. Wie man das macht bzw. wie einem das mit einer vernünftigen Wahrscheinlichkeit gelingt, wurde schon in vielen Blogs und Artikeln beschrieben. Stichwort „nur das anklicken, was man kennt“, „Anti-Virus installieren und aktuell halten“, „Betriebssystem auf möglichst aktuellen Patchlevel halten“, etc.

In diesem Artikel beschreibt unser VP Product Management, Thomas Reichert, eine andere Möglichkeit sich vor Malware wie Locky zu schützen.

Die Security-Software DriveLock vom deutschen Software Spezialisten CenterTools Software SE enthält u.a. das Modul „Application Control“. Hiermit lassen sich einzelne Applikationen oder Prozesse proaktiv und somit vor deren Ausführung erkennen und blockieren. DriveLock`s Application Control lässt sich im sog. Whitelist und Blacklist Modus betreiben.

Wie der Name schon verrät werden im Blacklist Modus alle Applikationen oder Prozesse ausgeführt außer denjenigen, die explizit auf der sog., Blacklist stehen. Ein Blacklistansatz ist bei einer Malware wie Locky wenig erfolgsversprechend, denn erstens einmal weiß man nicht, was genau zu blocken ist und zweitens gelingt das natürlich frühestens nach erstmaligem Auftreten der besagten Malware.

Zu empfehlen ist somit der Ansatz via Whitelist.

Hier werden prinzipiell alle Applikationen oder Prozesse geblockt, außer denjenigen, die gesondert auf der Whitelist stehen. Die Crux liegt aber auch hier im Detail, denn man kann offensichtlich nicht alles blockieren, ohne den PC zu „bricken“, d.h. funktionsunfähig zu machen. Und natürlich muss eine solche Whitelist auch gepflegt werden. DriveLock bietet hier sehr feingranulare, aber gleichzeitig einfach benutzbare Mechanismen an.

DriveLock Application Control erlaubt es z.B. zu definieren, dass nur Applikationen, die von sog. trusted vendors wie Microsoft, Adobe, VMware, etc. digital signiert sind, ausgeführt werden dürfen. Zudem ist es einfach möglich, die zur installierten Windows-Version gehörenden Binaries und Prozesse zu enablen. Des Weiteren gibt es das DriveLock Tool, das einen konkreten PC oder einen Referenz-PC im Unternehmen zu scannen und somit eine initiale Whitelist zu erstellen oder eine Existierende zu modifizieren.

Als Fazit lässt sich sagen, dass die Granularität, Flexibilität , aber vor allem die Einfachheit, mit der sich DriveLock Application Control Whitelists automatisiert erstellen und warten lassen, den Unterschied ausmacht. Ein Windows PC mit DriveLock Application Control und einer aktuellen Whitelist reduziert das Risiko, dass eine Ransomware wie Locky ausgeführt wird, beträchtlich.

DriveLock Managementkonsole mit Avira Antivirenschutz

Einladung zum TeleTrusT Regionaltreffen am 9.6.16 in Stuttgart