Verschlüsselungstrojaner über E-Mail Anhänge

Button-email-sicherheit-kl

​Verschlüsselungstrojaner wie z.B. der Trojaner Emotet, die im Infektionsfall alle Daten auf dem Rechner verschlüsseln und damit unbrauchbar machen, haben auch schon Rechner der UDE getroffen.

Die beste Strategie gegen Verschlüsselungtrojaner ist die Erstellung von regelmäßigen Backups. Wenn Sie alle wichtigen Dateien im Fileservice auf einen unserer Netzwerklaufwerke im ZIM speichern, sind diese ebenfalls durch regelmäßige Snapshots unserer NetApp-Dateiserver geschützt.

Verbreitet werden solche Trojaner über Spam-Mails mit Word-,Excel-, in Einzelfällen auch über PDF-Dateien im Anhang. Die Office-Dateien enthalten ein Makro-Script, dass beim Öffnen der Datei automatisch ausgeführt wird.

Die E-Mails sind oft zielgerichtet formuliert, sodass zunächst kein Verdacht auf eine Spam-Mail aufkommt. So werden z.B. Bewerbungen an Personalabteilungen verschickt, die einen infizierten Anhang enthalten. Wenn Sie Ihr Office so eingestellt haben, dass Makros deaktiviert sind (siehe unten), kann der Trojaner nicht unbemerkt ausgeführt werden.

Bitte beachten Sie deshalb:

  • Senden Sie Anhänge bevorzugt im PDF/A1 (sie unten) oder Libreoffice Format und stellen Sie sicher, dass in Ihrem Office das Ausführen von Makros deaktiviert ist.
  • Öffnen Sie möglichst keine Office-Anhänge. Bitten Sie die Absender stattdessen um Zusendung einer PDF-Datei.
  • Auch bei PDF-Dateien ist Vorsicht angebracht, da auch sie aktive Inhalte enthalten können. Fragen Sie vorsichtshalber beim Versender nach, ob er wirklich eine Mail mit Anhang an Sie versandt hat, bevor Sie einen Anhang öffnen. Verwenden Sie alternativ zu Adobe Acrobat SumatraPDF, welches keine aktiven PDF-Elemente zulässt. PDF/A1-Dateien für Langzeitarchivierung dürfen keine aktiven Inhalte wie  z.B. Javascript enthalten und sind deshalb als PDF-Austauschformat zu bevorzugen. Ein Anleitung wie Sie ein solches ungefährliches PDF/A1 erzeugen finden Sie hier.

Weitere Informationen finden Sie auch im 'Leitfaden Sicherer Umgang mit E-Mails'.

Wenn der Rechner bereits infiziert ist

  • Trennen Sie den Rechner sofort vom Netz. Die Daten auf dem Rechner sind unbrauchbar.
  • Auf einem potentiell infizierten System dürfen Sie sich auf keinen Fall mit einem Administrationspasswort anmelden, solange dieses System noch aktiv im Netz ist. Passwörter werden durch den Virus mit-/ausgelesen und zur weiteren Verbreitung genutzt.
  • Wer an einem infiziertem System gearbeitet hat muss zwingend auch alle anderen dort verwendeten / gespeicherten Passwörter (auch private) ändern.
  • Sie können den Rechner nur neu installieren und die Daten aus einem Backup (das hoffentlich vorhanden ist) wieder einspielen.
  • Es ist auch nicht sicher, dass die Daten wieder entschlüsselt werden, wenn Sie das geforderte Geld bezahlen.

Bitte melden Sie den Sicherheitsvorfall bei unseren ZIM-Cert-Team oder der Hotline.

Mit ein paar Vorsichtsmassnahmen können Sie Ihren Rechner vor gefählichen Makros schützen

Erhalten Sie unaufgefordert E-Mails mit Anhängen, sollten die Anhänge auf keinen Fall geöffnet werden. Auch wenn das Anschreiben und der Absender einer E-Mail legitim erscheinen, ist Vorsicht geboten, wenn in angehängten Office-Dokumenten zur Aktivierung von Inhalten aufgefordert wird.

  • Folgen Sie der Aufforderung zur Aktivierung von Inhalten in Office-Dokumenten generell nicht!
    Makros-aktivieren
  • Folgen Sie der Aufforderung, Zugangsdaten auf einer verlinkten Webseite einzugeben, nicht.
  • Fragen Sie Ihren IT-Ansprechpartner (PC-Betreuer, IT-Service-Center oder PC-Service), wenn Sie unsicher sind!
  • Fertigen Sie von all Ihren Daten regelmäßig Backups an!
    Auch bei aller Vorsicht können Infektionen über Sicherheitslücken im Betriebssystem oder der eingesetzten Software auf Ihren PC gelangen. Daher bieten regelmäßige Backups den besten Schutz.

Makros deaktivieren in Outlook

​Öffnen Sie Outlook und wählen Sie 'Datei' und dann 'Optionen'.

Klicken Sie auf 'Trust Center' und dann auf 'Einstellungen für das Trust Center'.

Outlook-makros-2

​Klicken Sie auf 'Makroeinstellungen'.
Als Normalanwender können Sie 'Alle Makros ohne Benachrichtigung deaktivieren' wählen.
Wenn Sie häufig mit Makros arbeiten, wählen Sie 'Benachrichtigungen für alle Makros'

Outlook-makros-3

Makros deaktivieren in anderen Microsoft Office Programmen

Leider gibt es keine globale Einstellung für die Office Programme. ​Um auch in anderen Office Programmen das Ausführen von Makros zu deaktivieren, gehen Sie analog der Anleitung zu Outlook vor.