Veriato RansomSafe

Veriato firmierte früher unter dem Namen Spectorsoft und entwickelt im Schwerpunkt eigentlich Spionage-Software für die lückenlose Überwachung der eigenen Mitarbeiter ("Veriato 360"). Mit "RansomSafe" [6] hat das in Florida beheimatete Unternehmen nun aber auch eine Anti-Ransomware-Software im Programm, die sowohl auf Windows-Servern als auch Workstations eingesetzt werden kann.

Der Fokus von RansomSafe liegt auf Windows-Dateiservern, zusätzlich können Sie aber auch einen RansomSafe-Client auf den Workstations der Benutzer installieren. Dieser verbindet sich dann mit dem RansomSafe-Server etwa auf dem Fileserver und bietet dem Benutzer so einen Self-Service, mit dem er seine Dateien (und nur diese) nach einem Ransomware-Befall selbst wiederherstellen kann. Die Installation von RansomSafe auf Workstations ist natürlich auch dann sinnvoll, wenn die Daten auf dem Endgerät des Benutzers selbst vor Ransomware geschützt werden sollen.

RansomSafe setzt zur Erkennung von Ransomware zum einen auf eine Signaturdatenbank und zum anderen auf ein Honeypot-Verfahren. Zusätzlich legt RansomSafe Sicherungskopien aller Dateien der geschützten Systeme an, aus denen diese im Fall der Fälle leicht wiederhergestellt werden können. Der "FileScreener" überwacht das Dateisystem auf typischerweise von Ransomware verwendete Dateierweiterungen wie etwa .locky und Anweisungen für das Opfer.

Mit Hilfe des Honeypots platziert RansomSafe per Default in allen Windows-Freigaben je eine Honeypot-Datei und einen Honeypot-Ordner mit zufällig generiertem Namen. Erkennt RansomSafe nun eine Datei oder einen Dateityp mit dem FileScreener oder durch entsprechende Modifikationen an den Honeypot-Dateien und -Ordnern als Ransomware, werden dem betreffenden Benutzer des Prozesses die Schreibrechte entzogen. Gleichzeitig versendet das System eine Warnung per E-Mail an den Administrator. Der Admin kann dann mit Hilfe der RansomSafe-Konsole auf dem Server bereits verschlüsselte Dateien aus den Backups wiederherstellen und – nach Beseitigung der Ransomware – auch die Schreibrechte für den Benutzer wieder freigeben.

Das Setup von RansomSafe selbst ist simpel, das Programm ist nach der Installation bereits sinnvoll voreingestellt. In der Default-Einstellung werden die Sicherungskopien auf dem lokalen Laufwerk angelegt und maximal 25 Prozent des verfügbaren Speicherplatzes dafür verwendet. Sind davon 80 Prozent belegt, beginnt RansomSafe automatisch damit, die ältesten Sicherungskopien zu löschen. Für die Dateien selbst gilt in der Default-Einstellung ein maximales Alter von zehn Versionen und sieben Tagen. Diese Werte können genauso individuell angepasst werden wie zusätzliche Verzeichnisse, in denen weitere Honeypot-Köder ausgelegt werden sollen. Die Sicherungskopien können alternativ auch außerhalb des lokalen Dateisystems angelegt werden.

Panda Adaptive Defense 360

Der spanische Sicherheitsanbieter Panda Security bietet mit dem Produkt "Panda Adaptive Defense 360" eine Sicherheitslösung für Endgeräte an, die ebenfalls Schutz vor Ransomware und anderen

Bedrohungen verspricht. Der Ransomware-Schutz ist hier allerdings fest in den Endpoint-Client integriert, die Lösung lässt sich daher nicht parallel zu einer vorhandenen Antivirenlösung installieren.

Ähnlich wie bei Sophos erfolgen Rollout und Verteilung der Sicherheitsrichtlinien über die Cloud-Plattform "Panda Cloud Security" [7], entsprechend ist dort zunächst ein Account einzurichten und eine Trial-Lizenz zu beantragen. Für die Erkennung und Abwehr von Ransomware- und anderen Malware-Angriffen setzt Panda auf eine Kombination von Prozessüberwachung und kontinuierlicher Analyse von Windows-Executables. Diese permanente Reputationskontrolle nennt Panda "Advanced Protection", Aktivitäten der Programme auf den Clients werden von diesem Modul zur Laufzeit permanent mit den Panda-Datenbanken in der Cloud abgeglichen. Mit der Aktivierung der Lizenz erstellt Panda im Bereich "Einstellungen / Profile / Default" automatisch eine neue Sicherheitsrichtlinie namens "Default Policy Group". Diese unterstützt im Bereich Advanced Protection drei unterschiedliche Betriebs-Modi:

- Audit: Programmaktivitäten werden überwacht, aber nicht blockiert.

- Hardening: Ist ein Programm bereits als schädlich oder wahrscheinlich schädlich bekannt, wird es automatisch blockiert, die Ausführung unbekannter Programme aus dem Internet wird bis zu ihrer Analyse ebenfalls verhindert. Die Ausführung bereits installierter Programme hingegen ist erlaubt und ihr Verhalten wird während der Laufzeit analysiert.

- Lock: Als schädlich bekannte Programme sowie alle unbekannten Programme werden blockiert.

Bild 3: Panda Adaptive Defense 360 informiert den Benutzer am Client über blockierte Programme und isolierte Dateien und überträgt diese Information auch in die Cloud Managementplattform.

Der voreingestellte Modus in der Default-Policy-Group ist "Hardening", der einen guten Schutz vor Ransomware bietet, den Anwender bei der Nutzung seiner gewohnten Programme aber nur selten einschränkt. Die Endpoint-Clients für Windows, Linux und Android finden Sie im Bereich "Installation", für den Windows-Client steht hier auch ein Tool für die Verteilung zur Verfügung. Nach der Installation verbindet sich der Endpoint-Client automatisch mit der Panda-Cloud und bezieht seine Sicherheitsrichtlinie von dort. Erkannte beziehungsweise abgewehrte Bedrohungen werden zur Cloud-Plattform übertragen, der Admin kann sich über relevante Ereignisse zusätzlich per E-Mail informieren lassen.