NAKIVO > Bloggen

Ransomware-Angriffe und Datenwiederherstellung: Vollständiger Überblick

Veröffentlicht am: Februar 27, 2019

Written by: NAKIVO Team

Angesichts der Datenverluste und Ausfallzeiten, die sie verursachen, stellen Ransomware-Angriffe eine gefährliche Bedrohung für Unternehmen aller Branchen dar. Die durchschnittliche Lösegeldforderung im Jahr 2023 hat laut Sophos 1,54 Millionen US-Dollar erreicht . Leider nimmt die Intensität von Ransomware-Angriffen von Jahr zu Jahr zu. Jeder ist gefährdet. Nach der Installation von Ransomware auf einem Computer löscht oder beschädigt sie Daten mithilfe starker Verschlüsselungsalgorithmen.

Die böswilligen Akteure hinter Ransomware verlangen in der Regel eine Geldsumme (Lösegeld), um die Daten freizugeben und wieder verfügbar zu machen. Diese Zahlungen bieten jedoch nicht nur einen Anreiz für Kriminelle, sondern garantieren auch nicht, dass Sie wieder vollen Zugriff auf nutzbare Daten erhalten. In diesem Blogbeitrag wird erläutert, wie Sie sich effektiv von einem Ransomware-Angriff wiederherstellen und gleichzeitig Transaktionen mit Angreifern vermeiden können.

Say no to ransoms with NAKIVO

Say no to ransoms with NAKIVO

Use backups for fast data recovery after ransomware attacks. Multiple recovery options, immutable local and cloud storage, recovery automation features and more.

DISCOVER SOLUTION

Was nach einem Ransomware-Angriff zu tun ist

Trotz der zahlreichen verfügbaren Präventionsmaßnahmen besteht immer noch die Möglichkeit, dass Ihr Unternehmen Opfer eines Ransomware-Angriffs wird. Die folgenden Maßnahmen können Ihnen helfen, die Auswirkungen eines Ransomware-Angriffs zu minimieren, falls es doch einmal dazu kommen sollte. Wenn Ihre Computer mit Ransomware infiziert sind, befolgen Sie diese Empfehlungen, bevor Sie Dateien aus der Ransomware wiederherstellen.

  • Trennen Sie das infizierte Gerät vom Netzwerk.. Sobald Sie feststellen, dass ein Computer mit Malware infiziert ist, müssen Sie das Gerät sofort vom Netzwerk und von externen Speichergeräten trennen. Auf diese Weise können Sie sicherstellen, dass andere Computer und Systeme in Ihrer Infrastruktur nicht ebenfalls infiziert werden. Dieser Schritt ermöglicht es Ihnen, nicht betroffene Daten zu speichern und den Arbeitsaufwand für das Wiederherstellen von Dateien nach einem Ransomware-Angriff zu reduzieren.

    Identifizieren Sie nach dem Ransomware-Angriff die Anzahl der Computer, die tatsächlich betroffen sind, und suchen Sie nach verdächtigen Aktivitäten in Ihrer Infrastruktur.

  • Identifizieren Sie die Art der Ransomware. Sprechen Sie mit der Person, die das Problem zuerst entdeckt hat. Fragen Sie, was sie vor dem Vorfall gemacht hat, ob sie E-Mails mit verdächtigen Anhängen erhalten hat und welche Dateien sie kürzlich heruntergeladen hat. Die Identifizierung der Art der Ransomware liefert wertvolle Informationen, mit denen Sie Schwachstellen in Ihrem System für Datensicherheit erkennen und entsprechend ändern können.

    Wenn es Ihnen gelingt, die Art der Ransomware zu bestimmen, können Sie außerdem genau feststellen, wie Ihre Dateien betroffen sind (d. h. ob sie durch Verschlüsselung geschützt sind oder gesperrt sind). Dann können Sie die möglichen Folgen einer Nichtzahlung des Lösegelds einschätzen und entscheiden, welche Strategie Sie anwenden sollten, um sich erfolgreich von dem Ransomware-Angriff wiederherzustellen.

  • Melden Sie das Problem. Erklären Sie Ihren Mitarbeitern bei der Schulung, dass es wichtig ist, das Support-Team über verdächtige Aktivitäten auf ihren Rechnern zu informieren. Auf diese Weise können IT-Fachleute rechtzeitig auf den Ransomware-Angriff reagieren, bevor ernsthafte Schäden entstehen. Melden Sie den Ransomware-Angriff anschließend den Behörden (z. B. dem FBI, wenn Sie sich in den Vereinigten Staaten befinden) und stellen Sie ihnen alle notwendigen Informationen über den Vorfall zur Verfügung. Die Meldung an die Behörden kann dazu beitragen, zukünftige Angriffe von denselben oder denselben Ransomware-Akteuren zu verhindern.
  • Zahlen Sie kein Lösegeld. Strafverfolgungsbeamte raten davon ab, den Forderungen der Angreifer nachzukommen, da dies zu noch mehr Ransomware-Angriffen in der Zukunft führt. Hacker, die schnelles Geld verdienen wollen, sehen Sie als leichtes Ziel für ihre zukünftigen Angriffe. Darüber hinaus garantiert die Zahlung des Lösegelds in den meisten Fällen nicht, dass die Angreifer die Daten wie versprochen entsperren oder entschlüsseln. Denken Sie daran, dass Sie es mit Kriminellen zu tun haben, die nur an Profit interessiert sind.
  • Ermitteln Sie die Auswirkungen des Ransomware-Angriffs. Sie sollten ermitteln, wie viele Daten beschädigt wurden, wie viele Rechner infolge des Angriffs infiziert wurden und wie lange es dauern wird, um die Folgen des Angriffs wiederherzustellen. Bewerten Sie außerdem die Kritikalität der nicht mehr verfügbaren Daten und stellen Sie fest, ob diese ohne Zahlung des Lösegelds wiederhergestellt werden können.
  • Wiederherstellen Sie Ihr System nach einem Angriff mit Ransomware. Nachdem Sie die Ransomware von Ihren Computern entfernt haben, können Sie mit der Wiederherstellung nach dem Ransomware-Angriff beginnen.

Wiederherstellungsoptionen für durch Ransomware verschlüsselte Dateien

Es gibt mehrere Methoden zur Datenwiederherstellung nach einem Ransomware-Angriff. Die Wirksamkeit dieser Methoden variiert je nach Situation.

Verwendung der in Ihrem Betriebssystem integrierten Tools

Wenn Sie Windows 10 verwenden, können Sie versuchen, mit dem Windows-Systemwiederherstellungsprogramm die Systemeinstellungen und Programmeinstellungen von einem automatisch erstellten Wiederherstellungspunkt wiederherzustellen. Mit dieser Methode können nicht alle Daten wiederhergestellt werden. Moderne Ransomware kann die Systemwiederherstellung deaktivieren und Windows-Wiederherstellungspunkte löschen oder beschädigen. In diesem Fall ist diese Methode unwirksam.

Verwenden Sie das Entschlüsselungstool für Ransomware

Wenn Sie den Typ und die Version der Ransomware ermittelt haben, versuchen Sie, das von Sicherheitsforschern bereitgestellte Entschlüsselungstool zu finden. Entschlüsselungstools sind nicht für jede Version der Ransomware verfügbar. Außerdem ist es heutzutage immer seltener, ein Entschlüsselungstool zu finden.

Verwenden Sie Software zur Wiederherstellung gelöschter Dateien

Wenn die Ransomware die Dateien auf der Festplatte nicht überschrieben und die Festplattenoberfläche nicht mit Nullen oder Zufallsdaten gefüllt hat, besteht die Möglichkeit, dass Sie einige wichtige Daten wiederherstellen können. Das Scannen der Festplattenoberfläche dauert sehr lange. Die Dateinamen können nach der Wiederherstellung verloren gehen und beispielsweise wie folgt lauten: RECOVER0001.JPG, RECOVER0002.JPGusw.

Daten von einem Backup wiederherstellen

Der wichtigste Punkt bei dieser Methode ist, dass Sie sich im Voraus vorbereiten müssen und nicht warten dürfen, bis Ihre Computer mit Ransomware infiziert sind. Wenn Sie vor dem Ransomware-Angriff kein Backup erstellt haben, können Sie diese Methode nicht anwenden. Sie müssen sich im Voraus vorbereiten und regelmäßig Ihre Daten sichern. Zu den Best Practices für Backups gehört die Befolgung der 3-2-1-Backup-Regel und die Speicherung von Backups außerhalb des Standorts und/oder offline, um sie nach einem Angriff mit Ransomware wiederherstellen zu können. Zu diesem Zweck können Sie die Cloud, Band und/oder unveränderlicher Backupspeicher Speicher verwenden.

Die beste Methode zum Erstellen von Backups ist die Verwendung spezieller Lösungen für Datensicherheit, die verschiedene Arten von Workloads und Infrastrukturen unterstützen und Ihnen die Umsetzung der 3-2-1-Regel ermöglichen.

Eine solche Lösung ist NAKIVO Backup & Replication. Mit der Lösung von NAKIVO können Sie die Backup-Leistung steigern, die Wiederherstellbarkeit von Daten sicherstellen und die Datenwiederherstellung nach Ransomware-Angriffen verbessern. Die Lösung unterstützt die Datensicherheit für physische Server, virtuelle Maschinen (VMware vSphere, Microsoft Hyper-V, Nutanix AHV), Amazon EC2-Instanzen und Microsoft 365. Mit dieser Lösung können Sie:

  • Imagebasierte, Application-Aware, inkrementelle Backups und Replikationen durchführen.
  • Einfach Backupkopien erstellen, ohne die Quellen oder Virtuellen Maschinen (VMs) zu beanspruchen.
  • Speichern Sie Backups an einem Remote-Standort, in einer öffentlichen Cloud oder auf Band.
  • Aktivieren Sie die Unveränderlichkeit für lokale Linux-basierte Repositorys oder in der Amazon S3-Cloud.
  • Wählen Sie aus einer Vielzahl flexibler Optionen für die Wiederherstellung, darunter sofortiges Starten von VMs, granulare Wiederherstellung und P2V-Wiederherstellung physischer Maschinen als VMware vSphere-VMs.
  • Erstellen Sie Workflows für die Disaster Recovery, indem Sie verschiedene Aktionen und Bedingungen in einer automatisierten Abfolge anordnen.

Wie lange dauert die Wiederherstellung nach einem Ransomware-Angriff?

Die Zeit, die zur Wiederherstellung von durch Ransomware-Viren verschlüsselten Dateien benötigt wird, hängt von der Menge der beschädigten Daten auf den infizierten Computern und der für die Ransomware-Wiederherstellung verwendeten Methode ab. Wenn wir die für die Wiederherstellung nach einem Ransomware-Angriff benötigte Zeit schätzen, meinen wir damit die Datenwiederherstellung und die Wiederherstellung aller Systeme mit wiederhergestellten Workloads.

Die Zeit für die Wiederherstellung von Daten und Workloads kann zwischen einigen Tagen und mehreren Monaten variieren. Betrachten wir die wichtigsten Faktoren, die sich auf die Zeit der Wiederherstellung auswirken.

  • Die Erfahrung eines Systemadministrators. Erfahrene Systemadministratoren verfügen in der Regel über mehrere Pläne für Disaster Recovery für verschiedene Szenarien und wissen, was in jeder Situation zu tun ist. Sie sollten einen Ransomware-Wiederherstellungsplan haben, um auf Ransomware-Angriffe vorbereitet zu sein.
  • Die Wiederherstellung mit einem Tool für die Entschlüsselung (sofern Sie eines für eine bestimmte Version von Ransomware finden) kann lange dauern. Wenn nach der Verschlüsselung auch die Dateinamen geändert wurden (z. B. sLc6-fAl26m.nSeB2 anstelle von image001.jpg), würde es noch mehr Zeit in Anspruch nehmen, sie nach der Wiederherstellung in die richtigen Verzeichnisse zu verschieben. Sie müssen die korrekte Datei- und Verzeichnisstruktur beachten, insbesondere wenn diese Dateien für die Funktion von Anwendungen erforderlich sind.
  • Durch ein Backup wird der Zeitaufwand für die Wiederherstellung von Dateien und Servern nach einem Ransomware-Angriff reduziert. Der Vorteil der Wiederherstellung von Dateien aus einem Backup nach einem Ransomware-Angriff besteht darin, dass Sie strukturierte Daten wiederherstellen, einschließlich Datei- und Ordnernamen mit ihrem korrekten Pfad. Sie müssen ein Backup für das entsprechende Datum/die entsprechende Uhrzeit auswählen und den Zielspeicherort für die Wiederherstellung der Daten auswählen. Dann müssen Sie nur noch warten, bis die Daten kopiert und wiederhergestellt sind.
    Darüber hinaus basieren Backup-Lösungen wie NAKIVO Backup & Replikation auf einer imagebasierten Technologie zur Erfassung von Backups von virtuellen Maschinen und physischen Maschinen. Das bedeutet, dass das Backup das Betriebssystem und andere mit dem Betriebssystem verbundene Dateien wie Anwendungskonfigurationsdateien und den Systemstatus erfasst, wodurch Sie Zeit bei der Wiederherstellung und Inbetriebnahme der Systeme sparen.
  • Unzureichende Tests eines Ransomware-Wiederherstellungsplans können zu längeren Datenwiederherstellungszeiten als erwartet führen. Aus diesem Grund sollten Sie immer versuchen, Ihren Plan für die Wiederherstellung zu testen , um sicherzustellen, dass Sie alles, was Sie benötigen, innerhalb des angemessenen Zeitrahmens wiederherstellen können.

Beachten Sie, dass Sie bei der Erstellung einer Disaster-Recovery-Strategie, die einen Ransomware-Disaster-Recovery-Plan umfasst, die folgenden Faktoren berücksichtigen sollten: RTO- und RPO- Metriken.

Fazit

Die Wiederherstellung nach einem Ransomware-Angriff ist ein komplexer Prozess, der die Wiederherstellung von Daten und Workloads umfasst. Die Kosten und der Zeitaufwand für die Wiederherstellung nach einem Ransomware-Angriff hängen davon ab, wie gut die Backup-Strategie vorbereitet ist und wie gut die Wiederherstellung nach Ransomware-Angriffen funktioniert.

Der wichtigste Ansatz zur Minderung der durch Ransomware-Angriffe verursachten Probleme besteht darin, vorbeugende Maßnahmen zu ergreifen und regelmäßig Backups der Daten zu sichern. Befolgen Sie die 3-2-1-Backup-Regel und verwenden Sie einen Unveränderlichen Backupspeicher sowie eine zuverlässige Lösung für die Datensicherheit, mit der sich Aufgaben automatisieren lassen.

Try NAKIVO Backup & Replication

Try NAKIVO Backup & Replication

Get a free trial to explore all the solution’s data protection capabilities. 15 days for free. Zero feature or capacity limitations. No credit card required.

Try for Free

Empfohlene Artikel

Picture
So führen Sie ein AWS EC2-Backup durch: Schritt-für-Schritt-Anleitung
Picture
Nehmen Sie mit NAKIVO an der VMware Explore 2023 in Barcelona teil
Picture
So stellen Sie Dateien mit Microsoft OneDrive wieder her