Sicherheitswarnung: Gefahr durch E-Mails mit Erpressungstrojaner

TUM-IT-Newsletter tum-it-newsletter at lists.lrz.de
Mi Feb 24 08:55:58 CET 2016 

Liebe Kolleginnen und Kollegen,

wir möchten Sie eindringlich vor einem gefährlichen Erpressungstrojaner warnen, der derzeit per E-Mail kursiert. Bitte öffnen Sie diese E-Mails und ihren Anhang - häufig z.B. als Rechnung getarnt - keinesfalls! Hier haben wir wichtige Informationen zu der Schadsoftware für Sie zusammengestellt:
Was sind Erpressungstrojaner?
Erpressungstrojaner - auch Ransomware genannt - verschlüsseln Daten auf Ihrer Festplatte, angeschlossenen Laufwerken, wie z.B. USB-Sticks und angebunden Netzlaufwerken, wie z.B. dem NAS-Filer oder auch Sync&Share-Ordner, falls dieser verfügbar ist. Sie haben dann keinen Zugang mehr zu Ihren Daten.
Die Kriminellen hinter den Erpressungstrojanern fordern anschließend ein in Bitcoin (elektronische Währung) zu zahlendes Lösegeld. Anderenfalls sind die Daten in den meisten Fällen verloren. Wenn Sie viel Glück haben, haben die Kriminellen gepfuscht und die Verschlüsselung ist knackbar, darauf sollten Sie allerdings nicht setzen. Als Alternative bliebe das Bezahlen, allerdings raten wir davon dringend ab! Weiter unten finden Sie vorbeugende Maßnahmen, die Sie unbedingt treffen sollten, damit Ihre Daten im Fall einer Infektion nicht verloren sind.

Übrigens: Erpressertrojaner gibt es für alle Plattformen, sogar für Smartphones (Android)!
Verbreitungsweg
Derzeit sind vermehrt E-Mails mit als Rechnung getarnten Anhängen im Umlauf. Häufig sind Office-Dokumente oder ZIP-Dateien angehängt, aber auch Links auf schadhafte Webseiten können die Verschlüsselung auslösen.
Maßnahmen
Die Virenscanner des LRZ können bereits einige Erpressungstrojaner erkennen und weisen diese E-Mails ab. Leider hinken naturgemäß die Entwickler von Virenscannern den Programmierern von Schadsoftware hinterher, so dass neueste Schadsoftware unter Umständen in Ihrem Postfach landet.
Deshalb haben wir hier eine wichtige Punkte für Sie zusammengestellt:

  *   Zusätzlich zum Virenscan untersucht das LRZ E-Mails auf Anzeichen von Spam und markiert diese E-Mails.
E-Mails mit Ransomware im Anhang weisen häufig Kennzeichen von Spam auf.  Damit können Sie diese Markierung für Ihren zweiten Schutzwall nutzen. Richten Sie in Ihrem E-Mailclient eine Regel ein, um Spam-E-Mails auszusortieren. Mehr hierzu unter www.it.tum.de/it-sicherheit/anleitungen/schutz-vor-unerwuenschten-e-mails/<http://www.it.tum.de/it-sicherheit/anleitungen/schutz-vor-unerwuenschten-e-mails/>.
  *   Machen Sie regelmäßig ein Backup (Sicherungskopie). Mehr zu den Backupangeboten des LRZ finden Sie unter www.lrz.de/services/datenhaltung/adsm/<http://www.lrz.de/services/datenhaltung/adsm/>.
  *   Da sich Schadsoftware auch über Office-Dokumente verbreiten kann: Führen Sie Markos in Office-Dokumenten nur aus, wenn es sich um vertrauenswürdige Dokumente handelt. Vertrauenswürdig ist keinesfalls ein Dokument, das Sie von einem unbekannten Absender oder unaufgefordert erhalten haben.
Office hat in den aktuellen Versionen die Voreinstellung, dass Markos nicht ausgeführt werden sollen. Belassen Sie es bei dieser Voreinstellung.
  *   Arbeiten Sie an Ihrem Rechner nie mit Administratorrechten. Schadsoftware kann so noch mehr Schaden verursachen.
  *   Spielen Sie Sicherheitsupdates zeitnah ein.
  *   Stellen Sie sicher, dass Sie einen Virenscanner installiert haben und dass er sich regelmäßig aktualisiert. Das LRZ bietet für alle Mitglieder der TUM den Sophos Virenscanner an.
  *   Informieren Sie sich über den Umgang mit Phishing-Mails. In den meisten Fällen können Sie die dort verwendeten Maßnahmen auch hier anwenden: http://www.it.tum.de/it-sicherheit/glossar/phishing-mails/
  *   Sollten Sie bei einer E-Mail Zweifel haben, ob es sich um eine legitime E-Mail oder eine Schad-E-Mail handelt, leiten Sie die E-Mail an den TUM IT-Support (it-support at tum.de<mailto:it-support at tum.de>) weiter, dort kann die E-Mail genauer untersucht werden. Wichtige Infos hierbei sind, ob Sie ein derartiges Dokument erwarten und ob Sie den Absender kennen.

Im Schadensfall

  *   Gehen Sie keinesfalls auf die Forderung der Erpresser ein. Es ist nicht zu erwarten, dass Sie wieder Zugriff auf Ihre Daten erhalten.
  *   Lassen Sie Ihren Rechner neu installieren und spielen Sie ein Backup ein.
  *   Informieren Sie die zentrale Meldestelle für IT-Sicherheitsvorfälle der TUM über it-sicherheit at tum.de<mailto:it-sicherheit at tum.de>.
  *   Zusätzlich können Sie Anzeige bei der nächsten Polizeidienststelle erstatten.

Weitere Informationen
Folgende weiterführende Links haben wir für Sie zusammengestellt:

  *   Definition Ramsomware/Erpressungstrojaner
https://de.wikipedia.org/wiki/Ransomware
  *   Ransomware für Android
https://blog.botfrei.de/2016/02/bka-trojaner-ransomware-fuer-android-entfernen/
  *   Anleitung Einrichten LRZ-SPAM-Filter
http://www.it.tum.de/it-sicherheit/anleitungen/schutz-vor-unerwuenschten-e-mails/
  *   Backup beim LRZ
http://www.lrz.de/services/datenhaltung/adsm/
  *   Virenscanner vom LRZ
http://www.lrz.de/services/client-server/serverdienste/antivirus/
  *   Phishing
http://www.it.tum.de/it-sicherheit/glossar/phishing-mails/
  *   Informationen über unterschiedliche Varianten von Ransomware
https://blog.botfrei.de/category/ransomware/
  *   Informationen über die aktuell am stärksten kursierende Ransomware
https://nakedsecurity.sophos.com/2016/02/17/locky-ransomware-what-you-need-to-know/?utm_source=Naked+Security+-+Sophos+List&utm_campaign=70bf3a85ba-Naked+Security+C&utm_medium=email&utm_term=0_31623bb782-70bf3a85ba-418422381
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Hier können Sie sich für den IT-Newsletter an- und abmelden: https://lists.lrz.de/mailman/listinfo/tum-it-newsletter
Sie haben Fragen oder Probleme mit der IT? Unser IT-Support hilft gerne weiter: it-support at tum.de<mailto:it-support at tum.de>
Wir wollen den IT-Informationsfluss an der TUM verbessern und sind daher sehr daran interessiert, dass wichtige IT-News aus allen Einrichtungen TUM-weit bekannt werden. Wenn Sie also selbst IT-Themen und -Neuigkeiten aus Ihrem Bereich in unseren Newsletter einbringen möchten, wenden Sie sich bitte an Dr. Frauke Donner (donner at tum.de<mailto:donner at tum.de>).

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <http://lists.lrz.de/pipermail/tum-it-newsletter/attachments/20160224/23cd482f/attachment.html>

Mehr Informationen über die Mailingliste TUM-IT-Newsletter