F-Secure DeepGuard erkennt und verbannt Ransomware „Ryuk“

Nachdem mit Ryuk einmal mehr ein Ransomware-Trojaner in die Schlagzeilen geraten ist (kann hier, hier und hier nachgelesen werden), hat sich unser Labor diese Ransomware näher angeschaut und konnte dem bereits im August 2018 erste Aktivitäten in einer gezielten Kampagne zuordnen.

Folgende Samples wurden dabei erkannt:

• Exploit:W32/PowerShellStager.C!DeepGuard
• Trojan:W32/GenericSuspExecution.A
• Trojan:W32/KillProc.B!DeepGuard
• Trojan:W32/GenericDropper.C!DeepGuard

Samples, die durch unsere F-Secure DeepGuard (z.B. enthalten in der Sicherheitslösung F-Secure Business Suite) bereits abgedeckt werden und die Endpoints unserer Kunden somit schon proaktiv geschützt hätte.

Einer der besten Wege, Endpoints gegen moderne Gefahren wie eben Emotet, Trickbot oder Ryuk zu schützen, ist es, Gefahren von vornherein daran zu hindern, überhaupt zu den potenziellen Opfern durchzudringen. Die effizienteste Art, das zu erreichen, ist die Nutzung mehrerer Schutzebenen, die intelligentes Scanning, Verhaltensanalyse und die Cloud (für immer Informationen zu aktuellen Gefahren) verbinden.

Ein Großteil der Malware kann durch statische Scan-Engines gefunden werden, was den Vorteil bietet, dass die Malware gestoppt wird, bevor sie überhaupt ausgeführt wird. Durch die Verbindung mit heuristischen Schutzmaßnahmen, Sandboxing und anderen Sicherheitsmechanismen, kann zukunftssicheren Schutz für Ihr Unternehmen erreicht werden. Zusätzlich würde die Nutzung von schwerer Artillerie für bekannte Gefahren nur Geld und Ressourcen verschwenden.

Eine noch unbekannte Gefahr bereits im Keim ersticken

Allerdings sind statische Mechanismen nicht genug. Fortschrittliche Technologien wie F-Secure DeepGuard, schützen vor neuen, noch unbekannten Gefahren. DeepGuard ist unser heuristischer Agent, der das Verhalten analysiert, um Samples zu kategorisieren. Wenn etwas verdächtig erscheint, überprüft er im Backend die Reputation. Wenn dann eine potenzielle Gefahr eine geringe oder gar keine Verbreitung hat, wird sie als schlecht eingestuft und geblockt. Dieses Verfahren generiert fast eine Million Erkennungsreports und verbessert die Sicherheit und Blockrate auf fast 100% zu jedem Zeitpunkt.

Da Endpoints leicht anzugreifen sind, ist die Effizienz des Malware-Schutzes so wichtig. Unser Lab kümmert sich um 450.000 Samples und 6 Milliarden Anfragen jeden Tag. Etwa 30% davon sind im Endeffekt Malware oder PUA (Potentially Unwanted Applications).

Selbst wenn man annimmt, dass der Unterschied im Bereich Detektion zwischen den besten und durchschnittlichen Lösungen nur 2-4% beträgt, ist das eine immense Summe, wenn man es in konkrete Fakten fasst. F-Secure Labs kümmert sich um 135.000 schädliche Samples jeden Tag. Und das sind zum Beispiel bei 3% von 135.000 schon 4.050 Samples.

Wenn Sie unsere Software DeepGuard nutzen, wird unsere verhaltensbezogene Erkennungs-Engine sowohl die von der Malware genutzten Angriffsüberträger und das Verhalten der Malware selbst unterbunden haben.

Gemäß unserer tried-and-tested Präventionsstrategie erkennt DeepGuard bösartiges Verhalten wie beispielsweise Office-Dokumente, die Inhalte herunterladen, Dateien abwerfen oder Code ausführen. DeepGuard stoppt die Mechanismen, die es solchen Bedrohungen erlauben, Ihren Computer zu infizieren, bereits an der Quelle.

Weitere Informationen, wie Sie Ihr Unternehmen gegen Ransomware schützen können finden Sie unter https://secure.f-secure.com/protect-your-business-against-ransomware.