Deutschland haben sich die festgestellten
Infektionszahlen nach einem Jahr um 61
Prozent reduziert, was verglichen mit der
weltweiten Entwicklung – einer Reduzie-
rung um 45 Prozent – ein großer Erfolg
ist“, erklärt Seite 31 von [1].Backups gegen Ransomware
Ransomware verschlüsselt wichtige Da-
ten und erpresst dann die Opfer, diese
erst nach dem Überweisen von x Bitcoin
wieder zugänglich zu machen. Sie ist
heute so verbreitet, dass es scheinbar
sogar lukrativ ist, Spam-Mails mit fikti-
ven Ransomware-Behauptungen zu ver-
senden. Bevor Admins bei solchen Mails
aktiv werden, sollten sie also einen Blick
in die Header riskieren.
Wer eine gute Backupstrategie hat,
braucht zwar keine Datenverluste durch
Ransomware zu befürchten – wohl aber
die verlorene Zeit beim Neu-Einrichten
des Systems und Schließen des Einfalls-tors. Als gute Strategie gilt ein regelmäßi-
ges und ausgelagertes Backup, inklusive
Tests der Wiederherstellbarkeit (Restore).
Die Verbindung zum Backupmedium darf
keinesfalls permanent bestehen, andern-
falls könnte die Ransomware auch das
Backup verschlüsseln.
Schutz vor derartiger Spam-Malware bie-
ten ohnehin nur ein Training der Anwen-
der, Aufklärung und Vorbereitung auf den
Ernstfall. Dann ist im Falle eines erfolg-
reichen Hacks auch das Prozedere klar:
Neu installieren, Sicherheitsupdates und
Patches einspielen, Backup wiederher-
stellen. Bei derart automatisierten Hacks
spielt die Frage nach dem Urheber ohne-
hin nur eine untergeordnete Rolle.Vorbereitung ist alles:
Monitoring und IDSUm Angriffe schon im Vorfeld zu verhin-
dern, sind auch jene Aufgaben wichtig,
die im Beispiel 1 der Provider implizitEntwarnung kann dennoch nicht gege-
ben werden, da weltweit noch zahlreiche
Instanzen verfügbar sind und weiterhin
für Angriffe genutzt werden“, weiß man
heute zu berichten.
Admins, die jetzt „Hoppla – war da was?“
denken und vermuten, dass ihre Server
zu den genannten fünf Prozent gehören,
finden in Listing 1 den vom BSI emp-
fohlenen Test, um betroffene Server zu
identifizieren [9]. Gibt ein mit Netcat
so getestetes System eine ähnliche Ant-
wort, sollte der Admin schnellstens den
Rat befolgen, UDP in der Memcached-
Konfiguration zu schließen und seine
Firewallregeln anzupassen. Nur in Aus-
nahmefällen muss ein Memcache-Dienst
übers Netzwerk erreichbar sein.
Der Jahresbericht des BSI ist auch eine
gute Quelle, um sich über Auswirkungen
von Malware zu informieren. Zum Bei-
spiel seien die Nachwirkungen des IoT-
Botnetzes Avalanche, das im Jahr 2016
für Ärger sorgte, immer noch spürbar: „In
27http://www.linux-magazin.deTitelthemaMaßnahmen