Erste Hilfe bei Virenbefall

//Erste Hilfe bei Virenbefall

Genau wie in dem „Erste Hilfe Kurs“ oder für die „Sofortmaßnahmen am Unfallort“, die jeder Führerscheininhaber einmal in seinem Leben gemacht hat gibt es auch bei einem Security Incident – und dazu gehört sicherlich auch der Befall durch Schadsoftware – sinnvolle Sofortmaßnahmen, die eine Ausbreitung und das Ausmaß des Schadensereignises eindämmen können.

Eines Vorweg: Es gibt keinen allgemein gültigen Standardweg, wie vorzugehen ist. Der Punkt den Rechner umgehend auszuschalten wird in der Community genauso  hitzig diskutiert, wie, um bei dem Beispiel mit dem Erste Hilfe Kurs zu bleiben das Abnehmen eines Sturzhelms bei Motorradfahrern.

Rechner vom Netzwerk trennen und Ausschalten

Kommt es zu einem Sicherheitsvorfall, so besteht die Gefahr, dass dieser sich über das Netzwerk verbreitet oder Dateien auf Netzwerkfreigaben kompromittiert, hier gilt ganz klar: Umgehend die Verbindung kappen und das System ausschalten, nötigenfalls „hart“ durch Gedrückthalten des Netzschalters.

Informationen sammeln

Notieren Sie sich gleich zu beginn, solange die Erinnerungen noch präsent sind, was Sie getan haben, bevor das Problem aufgetreten ist. Haben Sie etwa im Internet etwas herunterladen wollen oder sind beim Surfen versehentlich auf unseriöse Seiten gekommen, haben Sie e-Mails gelesen? All diese Informationen sind im Nachgang hilfreich, denn es gilt ja nicht nur die Schadensauswirkungen zu beseitigen, sondern nach Möglichkeit zu Verhindern, dass so etwas in der gleichen Form erneut auftritt.

Den Rechner mit einer Live-CD oder einem anderen Boot-Medium starten und untersuchen

Es gibt eine Fülle an geeigneten Boot Medien, die einen Virenscanner beinhalten. Starten Sie den PC damit um eine erste Analyse zu machen. Dabei ist wichtig: Das System muss in der Lage sein jetzt eine Verbindung ins Internet zu bekommen um sich zu aktualisieren, schließen Sie das Internetkabel wieder an. Nutzen Sie normalerweise WLAN sollten Sie auch hier ein Kabel nutzen, da die Netzwerkschlüssel dem aktuellen Boot Medium ja nicht bekannt sind. Eigentlich ist jetzt der geeignete Zeitpunkt einen Spezialisten hinzuzuziehen! Nutzen Sie immer auch mehrere unterschiedliche Virenscanner, so steigt die Chance den Schädling zu erkennen.

Gegenmaßnahmen

Ist der Schädling identifiziert. Kann das Weitere vorgehen geplant werden, auch hier gibt es eine klare Empfehlung: Ein Kompromittiertes System sollte grundsätzlich neu installiert werden ! Kopieren Sie wichtige Daten mittels der CD aus dem vorigen Punkt auf einen USB Datenträger (natürlich müssen Sie sicher sein, dass diese nicht mit Schadsoftware infiziert sind) und installieren das System neu. Da es auch Viren gibt, die sich im Bootsektor verankern, muss auch dieser neu geschrieben werden. Kommt eine Neuinstallation, aus welchen Gründen auch immer nicht in Frage ist jetzt endgültig der Zeitpunkt gekommen einen Spezialisten zu kontaktieren. Ist der Schädling eindeutig (und das ist wichtig) identifiziert und das Verhalten in den Knowledge Bases der namhaften Antivirenhersteller genau dokumentiert können auch manuelle Gegenmaßnahmen eingeleitet werden.

Dr. Christian Kompa, seit 1997 selbstständig mit EDV Service Christian Kompa als Systemadministrator für kleine und mittelständische Unternehmen und Berater in allen Fragen zur Erhöhung der IT Sicherheit in Anbetracht der aktuellen Bedrohungslage durch Ransomware.