santiago silver - Fotolia

Ransomware und Makroviren: Microsoft Windows und Office schützen

Mit kostenlosen Tools und Gruppenrichtlinien können Anwender wie Admins Microsoft Windows und Office schützen sowie Schadsoftware entfernen.

Laut einem Bericht des Bundesamt für Sicherheit in der Informationstechnik (BSI) vom April 2016 waren in den davor liegenden sechs Monaten bereits ein Drittel der deutschen Unternehmen vom Thema Ransomware beziehungsweise Erpressungstrojaner betroffen.

Und es betrifft Firmen aller Größenkategorien. Grund genug, einen Blick auf einige Maßnahmen zu werfen, mit denen sich die Angriffsfläche zumindest etwas verringern lässt, beziehungsweise mit denen sich einige Probleme lösen lassen. Diese Maßnahmen eignen sich auch insbesondere für den Einsatz in kleineren Unternehmen.

Office mit Gruppenrichtlinien schützen

Um Rechner, auf denen Microsoft Office 2013/2016 genutzt wird, besser zu sichern, sollten in den Gruppenrichtlinien wichtige Sicherheitseinstellungen vorgenommen werden. Diese ergänzen den Virenschutz auf dem Rechner mit zusätzlichen Sicherheitsoptionen. Gelangen dennoch Viren auf das System, helfen spezielle Zusatztools, die von den Herstellern von Antivirensoftware zur Verfügung gestellt werden.

Die entsprechenden Gruppenrichtlinienvorlagen für Office 2016 stellt Microsoft kostenlos zur Verfügung. Diese werden entweder lokal installiert, oder über Gruppenrichtlinien auf Basis von Windows Server 2012/2012 R2. Innerhalb der Gruppenrichtlinien sind die verschiedenen Einstellungen von Office 2016 über Computerkonfiguration\Richtlinien\Administrative Vorlagen und Benutzerkonfiguration\Richtlinien\Administrative Vorlagen zu finden. So können Administratoren Makros über diese Richtlinien verbieten. Zudem lassen sich mehr Benachrichtigungen an Nutzer konfigurieren, das erhöht die Aufmerksamkeit und Sensibilität. Angesichts der recht öffentlichkeitswirksamen Diskussion in Sachen Ransomware, können in diesem Fall Benachrichtigungen tatsächlich eine Hilfe darstellen.

Zudem können Administratoren über diese Gruppenrichtlinien festlegen, dass bei Office-Dokumenten, die von außen ins Unternehmen gelangen, keine Makros ausgeführt werden. Sprich, wie sich Office gegenüber Makros verhält, kann über die Herkunft des Dokumentes (Internet, Outlook oder Exchange etc.) bestimmt werden. Ausführliche Informationen hierzu finden sich in Microsofts TechNet.

Abbildung 1: Microsoft Office 2016 lässt sich über Gruppenrichtlinien gegen Makroviren aus Ransomware besser absichern.

Die Konfiguration von Sicherheitseinstellungen für Office-Programme finden sich über Computerkonfiguration\Richtlinien\Administrative Vorlagen und Benutzerkonfiguration\Richtlinien\Administrative Vorlagen\Microsoft Office 2016\Sicherheitseinstellungen. Auch bei Benutzerkonfiguration\Richtlinien\Administrative Vorlagen und Benutzerkonfiguration\Richtlinien\Administrative Vorlagen\Microsoft Office 2016\Datenschutz\Trust Center sind wichtige Einstellungen integriert.

Einstellungen für Makros und Add-ins konfigurieren

Manche Dokumente enthalten Programmcode, der die Ausführung von bestimmten Funktionen von Viren erst ermöglicht. Solche Makros basieren auf Programmcode, zum Beispiel VBA, und können natürlich auch gefährlichen Code enthalten. Aus diesem Grund benachrichtigt Outlook Anwender bei digital signierten Makros, bevor diese ausgeführt werden. Bei diesen Makros ist der Ersteller durch ein Zertifikat authentifiziert. Das gilt natürlich auch für andere Office-Programme.

Makros, die über keine Signatur verfügen, blockiert Outlook ohne eine Meldung. Anwender können die Einstellungen für Makros im Trust Center definieren. Hier besteht die Möglichkeit, auch bei nicht signierten Makros Informationen zu erhalten, oder dass Outlook auch signierte Makros ohne Meldung blockiert.

Abbildung 2: Bei Makros mit Signatur benachrichtigt Outlook den Nutzer, alle anderen Makros blockiert Outlook – so die Einstellungen im Trust Center.

Windows zurücksetzen

Je nach Grad eines Schädlingsbefalls kann das Zurücksetzen von Windows ein hilfreicher Schritt sein. Wenn das Unternehmen bereits Windows 10 einsetzt, rufen die Anwender über das Startmenü die Einstellungen auf. Über Update und Sicherheit gelangt man zu dem Punkt Wiederherstellung. Mit einem Klick auf Los geht’s bei Diesen PC zurücksetzen lassen kann man Rechner teilweise wieder reparieren.

Mit Windows 8/8.1 funktioniert das ebenfalls. Dazu nutzen Anwender die Wiederherstellungsoptionen über die Windows 8.1-DVD oder in der Systemwiederherstellung von Windows 8.1. Zunächst wird die Charms-Leiste aufgerufen (Tastenkombination „Windows+C“) und dann Einstellungen/PC-Einstellungen ändern. In der Kategorie Update/Wiederherstellung kann über einen Klick auf Wiederherstellung und dann im Bereich PC ohne Auswirkungen auf die Dateien auffrischen mit Los geht’s eine Bereinigung gestartet werden.

Live-CDs zum Säubern von Systemen

Ransomware kann nicht immer von der installierten Virenschutzsoftware aus Windows heraus entfernt werden. Hier helfen aber Live-CDs, die von den Softwareherstellern meistens kostenlos angebunden werden. Wird mit diesen Tools ein Rechner gestartet, kann er von Viren bereinigt werden. Hier exemplarisch eine Liste hilfreicher Tools:

Tools gegen Ransomware

Einige Anbieter von Sicherheitslösungen stellen inzwischen auch spezielle Tools zum Einsatz gegen Ransomware zum Download parat. Nachfolgend einige Beispiele: Das kostenlose Tool Anti-Ransomware von Malwarebytes soll gegen Erpressersoftware wie Locky, aber auch CryptoWall4, CryptoLocker und CTB-Locker schützen. Kaspersky bietet ebenfalls Tools an, mit denen sich durch Ransomware verseuchte Rechner bereinigen lassen. Ein Beispiel dafür ist CoinVaultDecryptor.

Trend Micro bietet mit dem Anti-Ransomware Tool gleichfalls ein Tool an, das beim Entfernen von Ransomware hilft.

TeslaCrypt-verseuchten Systeme können Admins und Anwender mit dem kostenlosen Tool von ESET behandeln. CryptInfinite kann mit dem Emisoft-Tool DecryptInfinite Utility entfernt werden.

Aufgrund der stetigen Entwicklung der Ransomware sind die genannten Maßnahmen in Sachen Wirksamkeit immer nur eine Momentaufnahme, können aber in einigen Fällen dazu beitragen, dass sich der Schaden begrenzen lässt.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Artikel wurde zuletzt im Juni 2016 aktualisiert

Erfahren Sie mehr über Malware, Viren, Trojaner und Spyware

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close