{"id":19749,"date":"2021-03-16T19:41:36","date_gmt":"2021-03-16T18:41:36","guid":{"rendered":"https:\/\/www.wallix.com\/ryuk-defending-against-malware-epm\/"},"modified":"2025-12-15T13:36:28","modified_gmt":"2025-12-15T12:36:28","slug":"ryuk-verteidigung-gegen-malware-epm","status":"publish","type":"post","link":"https:\/\/www.wallix.com\/de\/blogpost\/privileged-access-management-de\/ryuk-verteidigung-gegen-malware-epm\/","title":{"rendered":"Verteidigung gegen Malware mit EPM: Ryuk, Emotet, TrickBot"},"content":{"rendered":"<div class='flex_column_table av-3mf923p-ff1bd282eca0b4069c79697731828847 sc-av_two_third av-equal-height-column-flextable'>\n<style type=\"text\/css\" data-created_by=\"avia_inline_auto\" id=\"style-css-av-3mf923p-ff1bd282eca0b4069c79697731828847\">\n#top .flex_column_table.av-equal-height-column-flextable.av-3mf923p-ff1bd282eca0b4069c79697731828847{\nmargin-top:0px;\nmargin-bottom:0;\n}\n.flex_column.av-3mf923p-ff1bd282eca0b4069c79697731828847{\npadding:50px 50px 50px 50px;\nbackground-color:#ffffff;\n}\n\n@media only screen and (max-width: 479px){ \n#top .flex_column_table.av-equal-height-column-flextable.av-3mf923p-ff1bd282eca0b4069c79697731828847{\nmargin-top:-200px;\nmargin-bottom:0;\n}\n}\n<\/style>\n<div  class='flex_column av-3mf923p-ff1bd282eca0b4069c79697731828847 av_two_third  avia-builder-el-0  el_before_av_one_third  avia-builder-el-first  first no_margin flex_column_table_cell av-equal-height-column av-align-top  '     ><p>\n<style type=\"text\/css\" data-created_by=\"avia_inline_auto\" id=\"style-css-av-lsad4fl3-02b8194ff300b632473fa419426aaaa4\">\n#top .av-special-heading.av-lsad4fl3-02b8194ff300b632473fa419426aaaa4{\npadding-bottom:10px;\n}\nbody .av-special-heading.av-lsad4fl3-02b8194ff300b632473fa419426aaaa4 .av-special-heading-tag .heading-char{\nfont-size:25px;\n}\n.av-special-heading.av-lsad4fl3-02b8194ff300b632473fa419426aaaa4 .av-subheading{\nfont-size:15px;\n}\n<\/style>\n<div  class='av-special-heading av-lsad4fl3-02b8194ff300b632473fa419426aaaa4 av-special-heading-h1 blockquote modern-quote  avia-builder-el-1  el_before_av_textblock  avia-builder-el-first '><h1 class='av-special-heading-tag '  itemprop=\"headline\"  >Verteidigung gegen Malware mit PEDM: Ryuk, Emotet, TrickBot<\/h1><div class=\"special-heading-border\"><div class=\"special-heading-inner-border\"><\/div><\/div><\/div><br \/>\n<section  class='av_textblock_section av-lsad485l-4c1d1ea0cdb341a4b6254a9ae679f866 '   itemscope=\"itemscope\" itemtype=\"https:\/\/schema.org\/BlogPosting\" itemprop=\"blogPost\" ><div class='avia_textblock'  itemprop=\"text\" ><h2><span style=\"color: #f4913a;\"><strong>Was ist RYUK &#8211; Warum ist es neu?<\/strong><\/span><\/h2>\n<p>Ryuk ist eine Art von Ransomware, die alle Daten auf einem infizierten System verschl\u00fcsselt und sie unzug\u00e4nglich macht, bis ein L\u00f6segeld gezahlt wird. Sie wurde erstmals 2018 gemeldet und ist besonders daf\u00fcr bekannt und ber\u00fcchtigt, dass sie auf gro\u00dfe Unternehmens-Umgebungen abzielt.<\/p>\n<p>Die Analyse der Malware hat gezeigt, dass Ryuk von einer anderen Art von Ransomware namens Hermes abstammt, von der bekannt ist, dass sie im Deep Web im Quellcode-Format \u00f6ffentlich verf\u00fcgbar ist und sogar bis heute gepflegt wird. Im Gegensatz zu den bisher entdeckten Hermes-Derivaten zielen die Entwickler von Ryuk auf gro\u00dfe, \u00f6ffentlich-rechtliche Organisationen ab.<\/p>\n<p>Auch Ryuk selbst wird st\u00e4ndig weiterentwickelt; in den letzten Monaten gab es viele Berichte \u00fcber verschiedene Varianten der gleichen Malware-Familie. Je mehr Exemplare gefunden wurden, desto mehr Funktionalit\u00e4ten wurden vermutlich zu den verschiedenen Bin\u00e4rdateien hinzugef\u00fcgt. Zu diesen Funktionen geh\u00f6ren Anti-Analyse-Mechanismen, Virtualisierungserkennung und verschiedene Ping-\u00e4hnliche Anfragen in verschiedenen Phasen der Infektion.<\/p>\n<h2><span style=\"color: #f4913a;\"><strong>Wie funktioniert die Ryuk-Malware?<\/strong><\/span><\/h2>\n<p>Die Identifizierung der Infektionsvektoren von Ryuk war schon immer schwierig, da die Ransomware in der Regel alle Spuren ihres Droppers als Teil ihrer Routine beseitigt. Im Laufe der Zeit haben viele Berichte gezeigt, dass Ryuk durch andere Malware wie Emotet oder TrickBot heruntergeladen werden kann. Es ist jedoch nicht auszuschlie\u00dfen, dass auch andere Sicherheitsl\u00fccken oder Schwachstellen in Unternehmenssystemen als potenzielle Infektionspunkte in Frage kommen.<\/p>\n<p>Bei der gr\u00f6\u00dferen &#8222;Triple Threat&#8220;-Angriffsmethodik mit Emotet und TrickBot beginnt der erste Schritt mit einer Phishing-E-Mail. Diese scheinbar harmlose E-Mail enth\u00e4lt eine angeh\u00e4ngte Microsoft Office-Dokumentendatei mit b\u00f6sartigem Makrocode (eine sehr h\u00e4ufige Infektionstechnik). Dieser b\u00f6sartige Code versucht, Emotet mit einem einzigen PowerShell-Befehl herunterzuladen und auszuf\u00fchren, ohne Skriptdateien zu verwenden. Damit beginnt der Ryuk-Infektions- und Verschl\u00fcsselungsprozess.<\/p>\n<h4><span style=\"color: #f4913a;\"><strong>Aber was ist Emotet?<\/strong><\/span><\/h4>\n<p>Emotet selbst ist ein Trojaner, von dem zuerst berichtet wurde, dass er als Sammler von Bankdaten von infizierten Hosts fungiert. Im Laufe der Jahre, in denen er aktiv war, wurde er jedoch so aktualisiert, dass er auch als Loader fungiert. In diesem Fall wird er von den Entwicklern verwendet, um zus\u00e4tzliche Nutzdaten herunterzuladen, nachdem sie sich erfolgreich Zugang zu einem System verschafft haben. Diese Nutzdaten sind es, die die Computer Malware TrickBot in Aktion treten lassen.<\/p>\n<h4><span style=\"color: #f4913a;\"><strong>Inwiefern sind TrickBot und Ryuk miteinander verbunden?<\/strong><\/span><\/h4>\n<p>TrickBot war urspr\u00fcnglich ebenfalls ein Trojaner, der Bankdaten und andere Anmeldeinformationen stehlen sollte. Jedoch haben die Entwickler seine F\u00e4higkeiten \u00fcber die Zeit erweitert, um ein komplettes modulares Framework zu schaffen, das anderen Schadprogrammen Zugriff auf das bereits infizierte System bietet. In diesem Fall sammelt TrickBot, sobald das Zielsystem infiziert ist, Informationen und stellt sie den T\u00e4tern zur Verf\u00fcgung, damit diese pr\u00fcfen k\u00f6nnen, ob das System aus dem Bereich \u00a0stammt, auf den sie abzielen, und entscheiden k\u00f6nnen, ob sie mit dem Angriff fortfahren oder nicht.<\/p>\n<p>Anschlie\u00dfend nutzt TrickBot (m\u00f6glicherweise unter Verwendung weiterer Nutzdaten) die zuvor gesammelten Informationen, um sich mit Admin-Anmeldeinformationen und einer Liste erreichbarer Adressen auf andere Systeme im selben Netzwerk zu bewegen. Nach einer erfolgreichen Verbindung zu einem Server (zum Beispiel einem Dom\u00e4nencontroller) werden die Nutzdaten von Ryuk in die Windows-Verwaltungsfreigaben (Admin$, C$ usw.) kopiert, zusammen mit einigen anderen legitimen Tools wie PsExec. Von hier aus \u00fcbertragen die Angreifer Ryuk so weit wie m\u00f6glich auf einzelne Hosts und f\u00fchren es aus.<\/p>\n<p>Das Ziel einer Endpoint Privilege Management-L\u00f6sung wie <strong>WALLIX PEDMe<\/strong> ist es, das Prinzip des geringsten Privilegs anzuwenden, um die Infektion in den fr\u00fchesten Phasen zu stoppen. Das hei\u00dft, L\u00f6sungen und Prozesse zu implementieren, die Emotet &#8211; oder jede andere Malware &#8211; effektiv daran hindern, ihre notwendigen Schritte auszuf\u00fchren und eine potenzielle Infektion und als Resultat deren Ausbreitung zu blockieren.<\/p>\n<h2><span style=\"color: #f4913a;\"><strong>Ryuk Ransomware im \u00dcberblick<\/strong><\/span><\/h2>\n<p>Ryuk besteht aus zwei Haupt-Nutzdaten: einem Dropper und der ausf\u00fchrbaren Datei selbst. Der Dropper ist schwer zu finden, da die ausf\u00fchrbare Datei daf\u00fcr sorgt, dass sie bei der Ausf\u00fchrung gel\u00f6scht wird.<\/p>\n<p>Wenn er ausgef\u00fchrt wird, pr\u00fcft der Dropper die Windows-Version und ob es sich um 32 oder 64 Bit handelt. Dann erstellt er einen gemeinsamen Ordnerpfad. Wenn es sich um Windows XP oder Windows Server 2003 handelt, legt er die ausf\u00fchrbare Ryuk-Datei unter &#8222;C:\\Dokumente und Einstellungen\\Standardbenutzer\\&#8220; ab, und wenn es sich um Windows Vista oder h\u00f6her handelt, legt er sie unter &#8222;C: Benutzer\\\u00d6ffentlich&#8220; ab. Anschlie\u00dfend wird die neu geschriebene ausf\u00fchrbare Datei ausgef\u00fchrt und der Dropper gel\u00f6scht.<\/p>\n<p>Der Dropper ist auch daf\u00fcr bekannt, dass er mehrere Antimalware-Dienste und damit verbundene Prozesse stoppt, was ihm dabei hilft, Systeme unentdeckt zu infiltrieren.<\/p>\n<p><em><u>Die Ausf\u00fchrung &amp; Prozessinfiltration<\/u><\/em><\/p>\n<p>Der ausf\u00fchrbare Teil von Ryuk verwendet den Schl\u00fcssel \u201eHKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\u201c, um die Persistenz zu erreichen. Die ausf\u00fchrbare Datei erstellt einen neuen Wert unter dem Namen &#8222;svchos&#8220;, wodurch die ausf\u00fchrbare Datei Ryuk jedes Mal in Aktion tritt, wenn sich der aktuelle Benutzer anmeldet.<\/p>\n<p><strong>Um eine schnelle Identifizierung zu vermeiden, f\u00fchrt Ryuk aber die Verschl\u00fcsselung nicht innerhalb seines eigenen Prozessspeichers durch, sondern verwendet einen aktuell laufenden Prozess, dem das System bereits vertraut.<\/strong><\/p>\n<p>Daf\u00fcr muss Ryuk zun\u00e4chst seine Prozess-Token-Rechte anpassen, um speziell das &#8222;SeDebugPrivilege&#8220; zu aktivieren, das laut Microsoft \u201enotwendig ist, um den Speicher eines Prozesses, der einem anderen Konto geh\u00f6rt, zu debuggen und anzupassen. Mit diesem Privileg kann der Benutzer einen Debugger an einen beliebigen Prozess oder an den Systemkern anh\u00e4ngen\u201c.<em><br \/>\n<\/em><\/p>\n<p>Um eine solche Aktion durchzuf\u00fchren, muss der Prozess das Privileg zuvor in seinem Token haben. Wenn der Benutzer, der Ryuk ausf\u00fchrt, kein Administrator ist, kann Ryuk dieses Privileg nicht aktivieren und alle nachfolgenden Operationen schlagen fehl.<\/p>\n<p>Bevor Ryuk in einen bestehenden Prozess eingeschleust wird, werden alle auf dem System laufenden Prozesse aufgelistet. Danach integriert er sich in einen ausgew\u00e4hlten Prozess, solange dieser nicht &#8222;csrss.exe&#8220;, &#8222;lsaas.exe&#8220; oder &#8222;explorer.exe&#8220; hei\u00dft oder unter dem Systemkonto NT_AUTHORITY l\u00e4uft.<\/p>\n<p>Dazu verwendet Ryuk eine g\u00e4ngige Prozessinjektionstechnik, die darin besteht, einem Host-Prozess Speicher zuzuweisen, diesen mit b\u00f6sartigem Code zu versehen und sicherzustellen, dass der Remote-Prozess diesen l\u00e4dt, indem er einen Remote-Thread im Zielprozess erstellt. Aus diesem Grund ist das &#8222;SeDebugPrivilege&#8220; so wichtig. Ohne dieses Privileg und Zugangsrecht kann diese Technik nicht funktionieren.<\/p>\n<p>Der eingeschleuste Prozess f\u00fchrt schlie\u00dflich eine Batch-Datei aus, die in einem fr\u00fcheren Schritt abgelegt wurde. Diese Datei enth\u00e4lt mehrere Verwendungen der Befehle &#8222;vssadmin&#8220; und &#8222;delete&#8220;. Das Ziel ist es, die Konfiguration zu \u00e4ndern und Wiederherstellungspunkte oder Backups zu l\u00f6schen. Dabei handelt es sich um ein g\u00e4ngiges Vorgehen von Ransomware, das noch vor der Verschl\u00fcsselung durchgef\u00fchrt wird, um sicherzustellen, dass das Opfer gezwungen ist, f\u00fcr die Wiederherstellung wertvoller Dateien zu zahlen, die nicht \u00fcber ein Backup wiederhergestellt werden k\u00f6nnen.<\/p>\n<p>&#8222;vssadmin.exe&#8220; ist ein Befehlszeilen-Tool, das den Volume Shadow Copy Service (VSS) verwaltet, der stabile Images f\u00fcr Backups auf laufenden Systemen erfasst und kopiert. Viele Backup-L\u00f6sungen wie Microsoft Restore Point oder Microsoft Windows Server Backup verwenden es, aber auch Drittanbieter k\u00f6nnen auf diese Technologie zur\u00fcckgreifen.<\/p>\n<p>Dar\u00fcber hinaus ist bekannt, dass einige Exemplare von Ryuk \u00fcber die Windows-Anwendung &#8222;icacls.exe&#8220; die Zugriffskontrolllisten der Originaldokumente auf &#8222;vollst\u00e4ndig&#8220; f\u00fcr &#8222;jeden Benutzer&#8220; \u00e4ndern.<\/p>\n<p><strong>Um das kurz zusammenzufassen: Ryuk injiziert sich also in einen entfernten Prozess und erstellt einen Thread, um die Verschl\u00fcsselung an andere laufende Prozesse zu delegieren, mit dem Ziel, eine Entdeckung zu vermeiden. <\/strong><\/p>\n<p><em><u>Der Verschl\u00fcsselungsprozess<\/u><\/em><\/p>\n<p>Der Verschl\u00fcsselungsprozess erstellt f\u00fcr jede Datei, die er verschl\u00fcsselt, einen neuen Thread, was ihn sehr schnell macht. Hierbei wird jede Datei mit ihrem eigenen AES-Schl\u00fcssel verschl\u00fcsselt.<\/p>\n<p>Nachdem die Datei nun also verschl\u00fcsselt wurde, wird ihr eine Dateierweiterung &#8222;.RYK&#8220; angeh\u00e4ngt. In alle Verzeichnisse wird eine L\u00f6segeldforderung (RyukReadMe.txt) geschrieben. Ryuk verwendet eine Kombination aus symmetrischer (AES) und asymmetrischer (RSA) Verschl\u00fcsselung, um Dateien zu chiffrieren. Ohne den von den Autoren bereitgestellten privaten Schl\u00fcssel k\u00f6nnen die Dateien nicht entschl\u00fcsselt werden und sind nicht wiederherstellbar.<\/p>\n<p>Anschlie\u00dfend werden die Dateien auf dem Zielsystem mit mehrfach gesicherten privaten Schl\u00fcsseln verschl\u00fcsselt.<\/p>\n<p>Ryuk nutzt die Windows CryptoAPI f\u00fcr die Verschl\u00fcsselungsphase. Bevor Ryuk die Verschl\u00fcsselungsphase an andere Prozesse delegieren kann, muss es neben anderen Vorg\u00e4ngen die eingebetteten Schl\u00fcssel importieren.<\/p>\n<h2><span style=\"color: #f4913a;\"><strong>Ryuk mit Wallix BestSafe aufhalten<\/strong><\/span><\/h2>\n<p>Herk\u00f6mmliche Antiviren-Software und Scanner sind gegen Ryuk und andere moderne Ransomware machtlos. Das ist die traurige Wahrheit, und zwar auf Grund der einfachen Tatsache, dass diese Tools Vorkenntnisse \u00fcber Bedrohungen ben\u00f6tigen, um sie zu erkennen. Da st\u00e4ndig neue Malware mit neuen Techniken und subtilen Methoden auftaucht, gibt es f\u00fcr Antivirenl\u00f6sungen keine M\u00f6glichkeit, damit Schritt zu halten.<\/p>\n<p>Der Schutz vor Ransomware, Malware und Kryptoviren erfordert einen proaktiven, innovativen Ansatz f\u00fcr die Sicherheit. WALLIX PEDM bietet eine bahnbrechende Endpunktsicherheit, die diese Infizierung bereits im Entstehen stoppen kann.<\/p>\n<p>Da Ryuk die Verschl\u00fcsselung nicht direkt durchf\u00fchrt, sondern bestehende und vertrauensw\u00fcrdige Prozesse f\u00fcr die Verschl\u00fcsselung missbraucht, ist es wichtig, dass eine Sicherheitsl\u00f6sung in der Lage ist, dieses ungew\u00f6hnliche Verhalten auch bei bekannten Anwendungen zu erkennen. WALLIX PEDM erm\u00f6glicht es, auf Anwendungs- und Prozessebene genau zu definieren, welche Programme welche Aktionen durchf\u00fchren d\u00fcrfen und welche nicht. Wenn Ryuk also versucht, ein vertrauensw\u00fcrdiges Programm zur Verschl\u00fcsselung von Unternehmensdaten zu zwingen, erkennt WALLIX PEDM den verd\u00e4chtigen Prozess und verhindert die Ausf\u00fchrung der Aktion.<\/p>\n<p>Wie stoppt WALLIX PEDM Endpoint Privilege Management Ransomware wie Ryuk?<\/p>\n<h5><\/h5>\n<h5><strong>Schritt 1: Die Schadsoftware von Anfang an stoppen<\/strong><\/h5>\n<ul>\n<li>WALLIX PEDM blockiert die Ausf\u00fchrung der Dropper-Datei von vornherein und verhindert so, dass der gesamte Prozess \u00fcberhaupt beginnt. Dabei wird beispielsweise davon ausgegangen, dass das Prinzip der geringsten Privilegien angewandt wurde und der Benutzer daher keinen Zugriff auf Systemdateien und -ordner hat. BestSafe kann auch das \u00c4nderungsdatum der Datei auf Dateisystemebene \u00fcberpr\u00fcfen. Normalerweise funktioniert Malware, indem sie Nutzdaten herunterl\u00e4dt und ausf\u00fchrt. Man kann also davon ausgehen, dass ein Prozess, dessen ausf\u00fchrbare Datei gerade erstellt wurde, potenziell gef\u00e4hrlich ist.<\/li>\n<li>Sollte der Dropper, rein hypothetisch gesehen, erfolgreich ausgef\u00fchrt werden, w\u00fcrde die Ausf\u00fchrung der abgelegten ausf\u00fchrbaren Dateien ebenfalls durch diese Regel blockiert werden. Die Ryuk-Malware ist mit einem von einer vertrauensw\u00fcrdigen Zertifizierungsstelle ausgestellten Code Signing Certificate versehen. Daher muss die Regel auch dann gelten, wenn der Prozess signiert und vertrauensw\u00fcrdig ist.<\/li>\n<li>Unter dieser BestSafe-Regel existiert kein Registrierungsschl\u00fcssel, den Ryuk zum Fortbestehen nach einem Neustart verwendet, so dass die Malware nicht fortfahren kann und bei der n\u00e4chsten Anmeldung nicht automatisch wieder ausgef\u00fchrt wird.<\/li>\n<li>BestSafe kann verhindern, dass ein beliebiger Prozess eine Privilegienerweiterung durchf\u00fchrt, unabh\u00e4ngig von der Berechtigungsstufe des Benutzers. Daher w\u00fcrden alle nachfolgenden Operationen fehlschlagen, einschlie\u00dflich der raffinierten Prozessinjektionstechnik.<\/li>\n<\/ul>\n<h5><\/h5>\n<h5><\/h5>\n<h5><strong>Schritt 2: Verhinderung weiterer verd\u00e4chtiger Aktionen<\/strong><\/h5>\n<p>Sollte BestSafe aus irgendeinem Grund nicht so konfiguriert sein, dass es alle vorherigen Schritte stoppt, k\u00f6nnen wir uns immer noch auf weitere wichtige Funktionen zum Schutz vor b\u00f6sartigen Aktionen verlassen.<\/p>\n<ul>\n<li>Regelkonfigurationen k\u00f6nnen die Aktivit\u00e4t weiter einschr\u00e4nken. Dabei kann zum Beispiel jeder <strong>Subprozess eines \u00fcbergeordneten Prozesses blockier<\/strong>t werden, der unter dem \u00a0Profil des Benutzers ausgef\u00fchrt und dessen ausf\u00fchrbare Datei vor weniger als 5 Minuten ge\u00e4ndert wurde.<\/li>\n<li>Dar\u00fcber hinaus kann eine BestSafe-Ransomware-Regel so konfiguriert werden, dass sie jeden Prozess blockiert, der unter dem Profil des Benutzers ausgef\u00fchrt wird, <strong>der versucht, einen der Prozesse in einer Liste auszuf\u00fchren<\/strong>, und dessen ausf\u00fchrbare Datei auch innerhalb eines bestimmten Zeitraums ge\u00e4ndert wurde. Wenn der Prozess der Ransomware-Regel versucht, einen dieser Prozesse zu starten, wird er von BestSafe beendet. Denn diese Liste wird mit Prozessen gef\u00fcllt, die h\u00e4ufig von Malware und insbesondere von Ransomware, einschlie\u00dflich Ryuk, verwendet werden (L\u00f6schen von Backups, Wiederherstellungspunkte, Erteilen von Privilegien usw.).<\/li>\n<\/ul>\n<h5><\/h5>\n<h5><\/h5>\n<h5><strong>Schritt 3: Verschl\u00fcsselung blockieren<\/strong><\/h5>\n<p>Sollte es dazu kommen, dass BestSafe nicht alle vorherigen Schritte stoppen konnte und die Ransomware die Verschl\u00fcsselungsphase erreicht, gibt es noch einen weiteren Schritt, der zus\u00e4tzliche Schl\u00fcsselfunktionen ins Spiel bringt.<\/p>\n<ul>\n<li>BestSafe erkennt Ransomware-Aufrufe an die Windows CryptoAPI und stoppt die Ausf\u00fchrung des Prozessbaums (d. h. den Prozess, der alles gestartet hat, sowie alle Prozesse, die er ausgef\u00fchrt hat). Dazu werden dieselben Ransomware-Regeln und -Flags wie in den vorherigen Schritten sowie einige Bedingungen verwendet, die darauf abzielen, ein Verhalten zu erkennen, das nur Ransomware ausf\u00fchren w\u00fcrde.<\/li>\n<\/ul>\n<h3><\/h3>\n<h2><span style=\"color: #f4913a;\"><strong>Ransomware mit Endpoint Privilege Management (EPM) stoppen<\/strong><\/span><\/h2>\n<p>Ryuk ist eine der fortschrittlichsten Ransomware-Varianten, die wir je gesehen haben. Das liegt vor allem an der Kombination aus drei verschiedenen Malware-Typen und der Kommunikation zwischen den Opfern und den Hackern.<\/p>\n<p>Diese Raffinesse hat jedoch ihren Preis, und die Prozessinjektionstechnik erfordert, dass die Malware \u00fcber Administratorenrechte verf\u00fcgt (zumindest f\u00fcr die Verschl\u00fcsselungsphase). Dies macht Ryuk zu einer der wenigen Formen von Ransomware, die diese Rechte voraussetzt. Das ist deshalb so besonders, da der Hauptgrund, warum Ransomware schwer zu erkennen war, bislang immer darin lag, dass eben diese Rechte nicht vorausgesetzt wurden.<\/p>\n<p>Demnach kann Ransomware nicht sehr weit kommen und die Dateien nicht verschl\u00fcsseln, wenn der Benutzer, der diese Malware ausf\u00fchrt, ein Standardbenutzer ist und \u00fcber keinerlei privilegierte Anmeldeinformationen verf\u00fcgt. Die Anwendung des Prinzips der geringsten Privilegien durch ein starkes Endpunktmanagement ist daher entscheidend.<\/p>\n<p>F\u00fcr Unternehmen, die noch kein echtes Least-Privilege-Modell eingef\u00fchrt haben, bietet WALLIX BestSafe die M\u00f6glichkeit, Anwendungen zu deeskalieren, selbst wenn die Benutzer, die sie ausf\u00fchren, Administrator-Benutzer sind. Durch die Anwendung allgemeiner Regeln auf das Benutzerprofil und die Deeskalierung jeder Anwendung h\u00e4tte Ryuk versucht, ohne Berechtigungen zu arbeiten, und w\u00e4re gescheitert. W\u00e4hrenddessen ist der Benutzer immer noch ein vollwertiger Administrator mit vollen Administratorrechten.<\/p>\n<p>Stoppen Sie Ryuk und andere Ransomware, Malware und Kryptoviren mit WALLIX PEDM Endpoint Privilege Management direkt vor Ort.<\/p>\n<\/div><\/section><\/p><\/div>\n<style type=\"text\/css\" data-created_by=\"avia_inline_auto\" id=\"style-css-av-2yg2t9h-e286052d0448c5a109e6c316c332fd1c\">\n#top .flex_column_table.av-equal-height-column-flextable.av-2yg2t9h-e286052d0448c5a109e6c316c332fd1c{\nmargin-top:0px;\nmargin-bottom:0;\n}\n.flex_column.av-2yg2t9h-e286052d0448c5a109e6c316c332fd1c{\npadding:50px 50px 50px 50px;\nbackground-color:#ffffff;\n}\n\n@media only screen and (max-width: 479px){ \n#top .flex_column_table.av-equal-height-column-flextable.av-2yg2t9h-e286052d0448c5a109e6c316c332fd1c{\nmargin-top:-200px;\nmargin-bottom:0;\n}\n}\n<\/style>\n<div  class='flex_column av-2yg2t9h-e286052d0448c5a109e6c316c332fd1c av_one_third  avia-builder-el-3  el_after_av_two_third  avia-builder-el-last  no_margin flex_column_table_cell av-equal-height-column av-align-top  '     ><p><div  class='av-social-sharing-box av-2hq1acl-499830994fbf9e7353b48463ba9bee38 av-social-sharing-box-default  avia-builder-el-4  el_before_av_hr  avia-builder-el-first  av-social-sharing-box-fullwidth'><div class=\"av-share-box\"><h5 class='av-share-link-description av-no-toc '>Diesen Artikel teilen<\/h5><ul class=\"av-share-box-list noLightbox\"><li class='av-share-link av-social-link-twitter avia_social_iconfont' ><a target=\"_blank\" aria-label=\"Teilen auf X\" href='https:\/\/twitter.com\/share?text=Verteidigung%20gegen%20Malware%20mit%20EPM%3A%20Ryuk%2C%20Emotet%2C%20TrickBot&#038;url=https:\/\/www.wallix.com\/de\/?p=19749' data-av_icon='\ue932' data-av_iconfont='entypo-fontello'  title='' data-avia-related-tooltip='Teilen auf X'><span class='avia_hidden_link_text'>Teilen auf X<\/span><\/a><\/li><li class='av-share-link av-social-link-linkedin avia_social_iconfont' ><a target=\"_blank\" aria-label=\"Teilen auf LinkedIn\" href='https:\/\/linkedin.com\/shareArticle?mini=true&#038;title=Verteidigung%20gegen%20Malware%20mit%20EPM%3A%20Ryuk%2C%20Emotet%2C%20TrickBot&#038;url=https:\/\/www.wallix.com\/de\/blogpost\/privileged-access-management-de\/ryuk-verteidigung-gegen-malware-epm\/' data-av_icon='\ue8fc' data-av_iconfont='entypo-fontello'  title='' data-avia-related-tooltip='Teilen auf LinkedIn'><span class='avia_hidden_link_text'>Teilen auf LinkedIn<\/span><\/a><\/li><li class='av-share-link av-social-link-mail avia_social_iconfont' ><a  aria-label=\"Per E-Mail teilen\" href='mailto:?subject=Verteidigung%20gegen%20Malware%20mit%20EPM%3A%20Ryuk%2C%20Emotet%2C%20TrickBot&#038;body=https:\/\/www.wallix.com\/de\/blogpost\/privileged-access-management-de\/ryuk-verteidigung-gegen-malware-epm\/' data-av_icon='\ue805' data-av_iconfont='entypo-fontello'  title='' data-avia-related-tooltip='Per E-Mail teilen'><span class='avia_hidden_link_text'>Per E-Mail teilen<\/span><\/a><\/li><\/ul><\/div><\/div><br \/>\n\n<style type=\"text\/css\" data-created_by=\"avia_inline_auto\" id=\"style-css-av-24fcrz9-4ef3cfc2b3caccccd81ada12bf67ee01\">\n#top .hr.hr-invisible.av-24fcrz9-4ef3cfc2b3caccccd81ada12bf67ee01{\nheight:30px;\n}\n<\/style>\n<div  class='hr av-24fcrz9-4ef3cfc2b3caccccd81ada12bf67ee01 hr-invisible  avia-builder-el-5  el_after_av_social_share  el_before_av_heading '><span class='hr-inner '><span class=\"hr-inner-style\"><\/span><\/span><\/div><br \/>\n\n<style type=\"text\/css\" data-created_by=\"avia_inline_auto\" id=\"style-css-av-lsad4klq-a97ec5e0dbc0e3141148a820d2eca4a9\">\n#top .av-special-heading.av-lsad4klq-a97ec5e0dbc0e3141148a820d2eca4a9{\npadding-bottom:10px;\n}\nbody .av-special-heading.av-lsad4klq-a97ec5e0dbc0e3141148a820d2eca4a9 .av-special-heading-tag .heading-char{\nfont-size:25px;\n}\n.av-special-heading.av-lsad4klq-a97ec5e0dbc0e3141148a820d2eca4a9 .av-subheading{\nfont-size:15px;\n}\n<\/style>\n<div  class='av-special-heading av-lsad4klq-a97ec5e0dbc0e3141148a820d2eca4a9 av-special-heading-h3 blockquote modern-quote  avia-builder-el-6  el_after_av_hr  el_before_av_hr '><h3 class='av-special-heading-tag '  itemprop=\"headline\"  >Verwandter Inhalt<\/h3><div class=\"special-heading-border\"><div class=\"special-heading-inner-border\"><\/div><\/div><\/div><br \/>\n\n<style type=\"text\/css\" data-created_by=\"avia_inline_auto\" id=\"style-css-av-1qhxiat-88d7e1e68712672f4cecc04c17d1fab4\">\n#top .hr.hr-invisible.av-1qhxiat-88d7e1e68712672f4cecc04c17d1fab4{\nheight:30px;\n}\n<\/style>\n<div  class='hr av-1qhxiat-88d7e1e68712672f4cecc04c17d1fab4 hr-invisible  avia-builder-el-7  el_after_av_heading  el_before_av_magazine '><span class='hr-inner '><span class=\"hr-inner-style\"><\/span><\/span><\/div><br \/>\n<br \/>\n\n<style type=\"text\/css\" data-created_by=\"avia_inline_auto\" id=\"style-css-av-16531s5-bdd3fa6961ce8a502693cfc05319fc64\">\n#top .av-special-heading.av-16531s5-bdd3fa6961ce8a502693cfc05319fc64{\npadding-bottom:10px;\n}\nbody .av-special-heading.av-16531s5-bdd3fa6961ce8a502693cfc05319fc64 .av-special-heading-tag .heading-char{\nfont-size:25px;\n}\n.av-special-heading.av-16531s5-bdd3fa6961ce8a502693cfc05319fc64 .av-subheading{\nfont-size:15px;\n}\n<\/style>\n<div  class='av-special-heading av-16531s5-bdd3fa6961ce8a502693cfc05319fc64 av-special-heading-h3 blockquote modern-quote  avia-builder-el-9  el_after_av_magazine  el_before_av_hr '><h3 class='av-special-heading-tag '  itemprop=\"headline\"  >Verwandte Ressourcen<\/h3><div class=\"special-heading-border\"><div class=\"special-heading-inner-border\"><\/div><\/div><\/div><br \/>\n\n<style type=\"text\/css\" data-created_by=\"avia_inline_auto\" id=\"style-css-av-otlx39-c235204269d1dea03feb0e043da6f5c3\">\n#top .hr.hr-invisible.av-otlx39-c235204269d1dea03feb0e043da6f5c3{\nheight:30px;\n}\n<\/style>\n<div  class='hr av-otlx39-c235204269d1dea03feb0e043da6f5c3 hr-invisible  avia-builder-el-10  el_after_av_heading  el_before_av_magazine '><span class='hr-inner '><span class=\"hr-inner-style\"><\/span><\/span><\/div><br \/>\n<div  id=\"avia-magazine-2\"  class='av-magazine av-lsad4zjy-633f3f621bd2555df685c2762dc60ac0  avia-builder-el-11  el_after_av_hr  avia-builder-el-last   avia-builder-el-11  el_after_av_hr  avia-builder-el-last ' ><div class='av-magazine-group sort_all'><article class='av-magazine-entry av-magazine-entry-id-85543 av-magazine-format-standard av-magazine-type-post av-magazine-entry-1 av-magazine-entry-small av-magazine-no-thumb'  itemscope=\"itemscope\" itemtype=\"https:\/\/schema.org\/BlogPosting\" itemprop=\"blogPost\" ><div class=\"av-magazine-content-wrap\"><header class=\"entry-content-header\" aria-label=\"Post: WALLIX One Console \u2013 die zentrale Plattform f\u00fcr ein skalierbares PAM-Management\"><time class='av-magazine-time updated'  itemprop=\"datePublished\" datetime=\"2026-03-12T11:06:25+01:00\" >12. M\u00e4rz 2026<\/time><h3 class='av-magazine-title entry-title '  itemprop=\"headline\" ><a href='https:\/\/www.wallix.com\/de\/ressourcen\/webinars-de\/wallix-one-console-die-zentrale-plattform-fuer-ein-skalierbares-pam-management\/' title='Link zu: WALLIX One Console \u2013 die zentrale Plattform f\u00fcr ein skalierbares PAM-Management'>WALLIX One Console \u2013 die zentrale Plattform f\u00fcr ein skalierbares PAM-Management<\/a><\/h3><\/header><\/div><footer class=\"entry-footer\"><\/footer><\/article><article class='av-magazine-entry av-magazine-entry-id-65675 av-magazine-format-standard av-magazine-type-post av-magazine-entry-2 av-magazine-entry-small av-magazine-no-thumb'  itemscope=\"itemscope\" itemtype=\"https:\/\/schema.org\/BlogPosting\" itemprop=\"blogPost\" ><div class=\"av-magazine-content-wrap\"><header class=\"entry-content-header\" aria-label=\"Post: Normenreihe IEC 62443: Cybersecurity in der Industrie\"><time class='av-magazine-time updated'  itemprop=\"datePublished\" datetime=\"2024-11-15T12:44:30+01:00\" >15. November 2024<\/time><h3 class='av-magazine-title entry-title '  itemprop=\"headline\" ><a href='https:\/\/www.wallix.com\/de\/ressourcen\/webinars-de\/normenreihe-iec-62443-cybersecurity-in-der-industrie\/' title='Link zu: Normenreihe IEC 62443: Cybersecurity in der Industrie'>Normenreihe IEC 62443: Cybersecurity in der Industrie<\/a><\/h3><\/header><\/div><footer class=\"entry-footer\"><\/footer><\/article><article class='av-magazine-entry av-magazine-entry-id-65648 av-magazine-format-standard av-magazine-type-post av-magazine-entry-3 av-magazine-entry-small av-magazine-no-thumb'  itemscope=\"itemscope\" itemtype=\"https:\/\/schema.org\/BlogPosting\" itemprop=\"blogPost\" ><div class=\"av-magazine-content-wrap\"><header class=\"entry-content-header\" aria-label=\"Post: PAM im Gesundheitswesen: Der Schl\u00fcssel zur Cybersicherheit\"><time class='av-magazine-time updated'  itemprop=\"datePublished\" datetime=\"2024-11-15T12:10:45+01:00\" >15. November 2024<\/time><h3 class='av-magazine-title entry-title '  itemprop=\"headline\" ><a href='https:\/\/www.wallix.com\/de\/ressourcen\/webinars-de\/privileged-access-management-im-fokus-der-cyberabwehr-2\/' title='Link zu: PAM im Gesundheitswesen: Der Schl\u00fcssel zur Cybersicherheit'>PAM im Gesundheitswesen: Der Schl\u00fcssel zur Cybersicherheit<\/a><\/h3><\/header><\/div><footer class=\"entry-footer\"><\/footer><\/article><article class='av-magazine-entry av-magazine-entry-id-65599 av-magazine-format-standard av-magazine-type-post av-magazine-entry-4 av-magazine-entry-small av-magazine-no-thumb'  itemscope=\"itemscope\" itemtype=\"https:\/\/schema.org\/BlogPosting\" itemprop=\"blogPost\" ><div class=\"av-magazine-content-wrap\"><header class=\"entry-content-header\" aria-label=\"Post: Privileged Access Management im Fokus der Cyberabwehr\"><time class='av-magazine-time updated'  itemprop=\"datePublished\" datetime=\"2024-11-15T10:22:57+01:00\" >15. November 2024<\/time><h3 class='av-magazine-title entry-title '  itemprop=\"headline\" ><a href='https:\/\/www.wallix.com\/de\/ressourcen\/webinars-de\/privileged-access-management-im-fokus-der-cyberabwehr\/' title='Link zu: Privileged Access Management im Fokus der Cyberabwehr'>Privileged Access Management im Fokus der Cyberabwehr<\/a><\/h3><\/header><\/div><footer class=\"entry-footer\"><\/footer><\/article><\/div><\/div><\/p><\/div><\/div><!--close column table wrapper. Autoclose: 1 --><\/p>\n","protected":false},"excerpt":{"rendered":"","protected":false},"author":3,"featured_media":14272,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"content-type":"","inline_featured_image":false,"footnotes":""},"categories":[1789],"tags":[],"class_list":["post-19749","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-privileged-access-management-de"],"acf":[],"yoast_head":"<!-- This site is optimized with the Yoast SEO plugin v27.5 - https:\/\/yoast.com\/product\/yoast-seo-wordpress\/ -->\n<title>Verteidigung gegen Malware mit EPM: Ryuk, Emotet, TrickBot<\/title>\n<meta name=\"description\" content=\"Stoppen Sie Ryuk und andere Ransomware, Malware und Kryptoviren mit WALLIX BestSafe Endpoint Privilege Management.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/www.wallix.com\/de\/blogpost\/privileged-access-management-de\/ryuk-verteidigung-gegen-malware-epm\/\" \/>\n<meta property=\"og:locale\" content=\"de_DE\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Verteidigung gegen Malware mit EPM: Ryuk, Emotet, TrickBot\" \/>\n<meta property=\"og:description\" content=\"Stoppen Sie Ryuk und andere Ransomware, Malware und Kryptoviren mit WALLIX BestSafe Endpoint Privilege Management.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/www.wallix.com\/de\/blogpost\/privileged-access-management-de\/ryuk-verteidigung-gegen-malware-epm\/\" \/>\n<meta property=\"og:site_name\" content=\"WALLIX\" \/>\n<meta property=\"article:published_time\" content=\"2021-03-16T18:41:36+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2025-12-15T12:36:28+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/www.wallix.com\/wp-content\/uploads\/2021\/03\/what-is-ryuk-ransomware-bestsafe-wallix-scaled.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"2560\" \/>\n\t<meta property=\"og:image:height\" content=\"1707\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"WALLIX\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:creator\" content=\"@wallixcom\" \/>\n<meta name=\"twitter:site\" content=\"@wallixcom\" \/>\n<meta name=\"twitter:label1\" content=\"Verfasst von\" \/>\n\t<meta name=\"twitter:data1\" content=\"WALLIX\" \/>\n\t<meta name=\"twitter:label2\" content=\"Gesch\u00e4tzte Lesezeit\" \/>\n\t<meta name=\"twitter:data2\" content=\"10\u00a0Minuten\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\\\/\\\/schema.org\",\"@graph\":[{\"@type\":\"Article\",\"@id\":\"https:\\\/\\\/www.wallix.com\\\/de\\\/blogpost\\\/privileged-access-management-de\\\/ryuk-verteidigung-gegen-malware-epm\\\/#article\",\"isPartOf\":{\"@id\":\"https:\\\/\\\/www.wallix.com\\\/de\\\/blogpost\\\/privileged-access-management-de\\\/ryuk-verteidigung-gegen-malware-epm\\\/\"},\"author\":{\"name\":\"WALLIX\",\"@id\":\"https:\\\/\\\/www.wallix.com\\\/de\\\/#\\\/schema\\\/person\\\/8b1daa830716a62cdf5631aa0e211abd\"},\"headline\":\"Verteidigung gegen Malware mit EPM: Ryuk, Emotet, TrickBot\",\"datePublished\":\"2021-03-16T18:41:36+00:00\",\"dateModified\":\"2025-12-15T12:36:28+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\\\/\\\/www.wallix.com\\\/de\\\/blogpost\\\/privileged-access-management-de\\\/ryuk-verteidigung-gegen-malware-epm\\\/\"},\"wordCount\":3780,\"publisher\":{\"@id\":\"https:\\\/\\\/www.wallix.com\\\/de\\\/#organization\"},\"image\":{\"@id\":\"https:\\\/\\\/www.wallix.com\\\/de\\\/blogpost\\\/privileged-access-management-de\\\/ryuk-verteidigung-gegen-malware-epm\\\/#primaryimage\"},\"thumbnailUrl\":\"https:\\\/\\\/www.wallix.com\\\/wp-content\\\/uploads\\\/2021\\\/03\\\/what-is-ryuk-ransomware-bestsafe-wallix-scaled.jpg\",\"articleSection\":[\"PRIVILEGED ACCESS MANAGEMENT\"],\"inLanguage\":\"de\"},{\"@type\":\"WebPage\",\"@id\":\"https:\\\/\\\/www.wallix.com\\\/de\\\/blogpost\\\/privileged-access-management-de\\\/ryuk-verteidigung-gegen-malware-epm\\\/\",\"url\":\"https:\\\/\\\/www.wallix.com\\\/de\\\/blogpost\\\/privileged-access-management-de\\\/ryuk-verteidigung-gegen-malware-epm\\\/\",\"name\":\"Verteidigung gegen Malware mit EPM: Ryuk, Emotet, TrickBot\",\"isPartOf\":{\"@id\":\"https:\\\/\\\/www.wallix.com\\\/de\\\/#website\"},\"primaryImageOfPage\":{\"@id\":\"https:\\\/\\\/www.wallix.com\\\/de\\\/blogpost\\\/privileged-access-management-de\\\/ryuk-verteidigung-gegen-malware-epm\\\/#primaryimage\"},\"image\":{\"@id\":\"https:\\\/\\\/www.wallix.com\\\/de\\\/blogpost\\\/privileged-access-management-de\\\/ryuk-verteidigung-gegen-malware-epm\\\/#primaryimage\"},\"thumbnailUrl\":\"https:\\\/\\\/www.wallix.com\\\/wp-content\\\/uploads\\\/2021\\\/03\\\/what-is-ryuk-ransomware-bestsafe-wallix-scaled.jpg\",\"datePublished\":\"2021-03-16T18:41:36+00:00\",\"dateModified\":\"2025-12-15T12:36:28+00:00\",\"description\":\"Stoppen Sie Ryuk und andere Ransomware, Malware und Kryptoviren mit WALLIX BestSafe Endpoint Privilege Management.\",\"inLanguage\":\"de\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\\\/\\\/www.wallix.com\\\/de\\\/blogpost\\\/privileged-access-management-de\\\/ryuk-verteidigung-gegen-malware-epm\\\/\"]}]},{\"@type\":\"ImageObject\",\"inLanguage\":\"de\",\"@id\":\"https:\\\/\\\/www.wallix.com\\\/de\\\/blogpost\\\/privileged-access-management-de\\\/ryuk-verteidigung-gegen-malware-epm\\\/#primaryimage\",\"url\":\"https:\\\/\\\/www.wallix.com\\\/wp-content\\\/uploads\\\/2021\\\/03\\\/what-is-ryuk-ransomware-bestsafe-wallix-scaled.jpg\",\"contentUrl\":\"https:\\\/\\\/www.wallix.com\\\/wp-content\\\/uploads\\\/2021\\\/03\\\/what-is-ryuk-ransomware-bestsafe-wallix-scaled.jpg\",\"width\":2560,\"height\":1707,\"caption\":\"Illustration describing Ryuk ransomware, used in Wallix\u2019s content to explain how this malicious software encrypts files after gaining privileged access. The image reinforces the importance of strong privileged account management and threat prevention.\"},{\"@type\":\"WebSite\",\"@id\":\"https:\\\/\\\/www.wallix.com\\\/de\\\/#website\",\"url\":\"https:\\\/\\\/www.wallix.com\\\/de\\\/\",\"name\":\"WALLIX\",\"description\":\"CYBERSECURITY SIMPLIFIED\",\"publisher\":{\"@id\":\"https:\\\/\\\/www.wallix.com\\\/de\\\/#organization\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\\\/\\\/www.wallix.com\\\/de\\\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"de\"},{\"@type\":\"Organization\",\"@id\":\"https:\\\/\\\/www.wallix.com\\\/de\\\/#organization\",\"name\":\"WALLIX\",\"url\":\"https:\\\/\\\/www.wallix.com\\\/de\\\/\",\"logo\":{\"@type\":\"ImageObject\",\"inLanguage\":\"de\",\"@id\":\"https:\\\/\\\/www.wallix.com\\\/de\\\/#\\\/schema\\\/logo\\\/image\\\/\",\"url\":\"https:\\\/\\\/www.wallix.com\\\/wp-content\\\/uploads\\\/2024\\\/03\\\/LOGO_WALLIX_2024_blackorange.png\",\"contentUrl\":\"https:\\\/\\\/www.wallix.com\\\/wp-content\\\/uploads\\\/2024\\\/03\\\/LOGO_WALLIX_2024_blackorange.png\",\"width\":3108,\"height\":827,\"caption\":\"WALLIX\"},\"image\":{\"@id\":\"https:\\\/\\\/www.wallix.com\\\/de\\\/#\\\/schema\\\/logo\\\/image\\\/\"},\"sameAs\":[\"https:\\\/\\\/x.com\\\/wallixcom\",\"https:\\\/\\\/www.linkedin.com\\\/company\\\/wallix\\\/\",\"https:\\\/\\\/www.youtube.com\\\/wallix\"]},{\"@type\":\"Person\",\"@id\":\"https:\\\/\\\/www.wallix.com\\\/de\\\/#\\\/schema\\\/person\\\/8b1daa830716a62cdf5631aa0e211abd\",\"name\":\"WALLIX\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"de\",\"@id\":\"https:\\\/\\\/secure.gravatar.com\\\/avatar\\\/8bf1123a19c4364709de2f7c8c881ed5f2bb750cac73f782f39aea052e526546?s=96&d=mm&r=g\",\"url\":\"https:\\\/\\\/secure.gravatar.com\\\/avatar\\\/8bf1123a19c4364709de2f7c8c881ed5f2bb750cac73f782f39aea052e526546?s=96&d=mm&r=g\",\"contentUrl\":\"https:\\\/\\\/secure.gravatar.com\\\/avatar\\\/8bf1123a19c4364709de2f7c8c881ed5f2bb750cac73f782f39aea052e526546?s=96&d=mm&r=g\",\"caption\":\"WALLIX\"},\"url\":\"https:\\\/\\\/www.wallix.com\\\/de\\\/author\\\/alex\\\/\"}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"Verteidigung gegen Malware mit EPM: Ryuk, Emotet, TrickBot","description":"Stoppen Sie Ryuk und andere Ransomware, Malware und Kryptoviren mit WALLIX BestSafe Endpoint Privilege Management.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/www.wallix.com\/de\/blogpost\/privileged-access-management-de\/ryuk-verteidigung-gegen-malware-epm\/","og_locale":"de_DE","og_type":"article","og_title":"Verteidigung gegen Malware mit EPM: Ryuk, Emotet, TrickBot","og_description":"Stoppen Sie Ryuk und andere Ransomware, Malware und Kryptoviren mit WALLIX BestSafe Endpoint Privilege Management.","og_url":"https:\/\/www.wallix.com\/de\/blogpost\/privileged-access-management-de\/ryuk-verteidigung-gegen-malware-epm\/","og_site_name":"WALLIX","article_published_time":"2021-03-16T18:41:36+00:00","article_modified_time":"2025-12-15T12:36:28+00:00","og_image":[{"width":2560,"height":1707,"url":"https:\/\/www.wallix.com\/wp-content\/uploads\/2021\/03\/what-is-ryuk-ransomware-bestsafe-wallix-scaled.jpg","type":"image\/jpeg"}],"author":"WALLIX","twitter_card":"summary_large_image","twitter_creator":"@wallixcom","twitter_site":"@wallixcom","twitter_misc":{"Verfasst von":"WALLIX","Gesch\u00e4tzte Lesezeit":"10\u00a0Minuten"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/www.wallix.com\/de\/blogpost\/privileged-access-management-de\/ryuk-verteidigung-gegen-malware-epm\/#article","isPartOf":{"@id":"https:\/\/www.wallix.com\/de\/blogpost\/privileged-access-management-de\/ryuk-verteidigung-gegen-malware-epm\/"},"author":{"name":"WALLIX","@id":"https:\/\/www.wallix.com\/de\/#\/schema\/person\/8b1daa830716a62cdf5631aa0e211abd"},"headline":"Verteidigung gegen Malware mit EPM: Ryuk, Emotet, TrickBot","datePublished":"2021-03-16T18:41:36+00:00","dateModified":"2025-12-15T12:36:28+00:00","mainEntityOfPage":{"@id":"https:\/\/www.wallix.com\/de\/blogpost\/privileged-access-management-de\/ryuk-verteidigung-gegen-malware-epm\/"},"wordCount":3780,"publisher":{"@id":"https:\/\/www.wallix.com\/de\/#organization"},"image":{"@id":"https:\/\/www.wallix.com\/de\/blogpost\/privileged-access-management-de\/ryuk-verteidigung-gegen-malware-epm\/#primaryimage"},"thumbnailUrl":"https:\/\/www.wallix.com\/wp-content\/uploads\/2021\/03\/what-is-ryuk-ransomware-bestsafe-wallix-scaled.jpg","articleSection":["PRIVILEGED ACCESS MANAGEMENT"],"inLanguage":"de"},{"@type":"WebPage","@id":"https:\/\/www.wallix.com\/de\/blogpost\/privileged-access-management-de\/ryuk-verteidigung-gegen-malware-epm\/","url":"https:\/\/www.wallix.com\/de\/blogpost\/privileged-access-management-de\/ryuk-verteidigung-gegen-malware-epm\/","name":"Verteidigung gegen Malware mit EPM: Ryuk, Emotet, TrickBot","isPartOf":{"@id":"https:\/\/www.wallix.com\/de\/#website"},"primaryImageOfPage":{"@id":"https:\/\/www.wallix.com\/de\/blogpost\/privileged-access-management-de\/ryuk-verteidigung-gegen-malware-epm\/#primaryimage"},"image":{"@id":"https:\/\/www.wallix.com\/de\/blogpost\/privileged-access-management-de\/ryuk-verteidigung-gegen-malware-epm\/#primaryimage"},"thumbnailUrl":"https:\/\/www.wallix.com\/wp-content\/uploads\/2021\/03\/what-is-ryuk-ransomware-bestsafe-wallix-scaled.jpg","datePublished":"2021-03-16T18:41:36+00:00","dateModified":"2025-12-15T12:36:28+00:00","description":"Stoppen Sie Ryuk und andere Ransomware, Malware und Kryptoviren mit WALLIX BestSafe Endpoint Privilege Management.","inLanguage":"de","potentialAction":[{"@type":"ReadAction","target":["https:\/\/www.wallix.com\/de\/blogpost\/privileged-access-management-de\/ryuk-verteidigung-gegen-malware-epm\/"]}]},{"@type":"ImageObject","inLanguage":"de","@id":"https:\/\/www.wallix.com\/de\/blogpost\/privileged-access-management-de\/ryuk-verteidigung-gegen-malware-epm\/#primaryimage","url":"https:\/\/www.wallix.com\/wp-content\/uploads\/2021\/03\/what-is-ryuk-ransomware-bestsafe-wallix-scaled.jpg","contentUrl":"https:\/\/www.wallix.com\/wp-content\/uploads\/2021\/03\/what-is-ryuk-ransomware-bestsafe-wallix-scaled.jpg","width":2560,"height":1707,"caption":"Illustration describing Ryuk ransomware, used in Wallix\u2019s content to explain how this malicious software encrypts files after gaining privileged access. The image reinforces the importance of strong privileged account management and threat prevention."},{"@type":"WebSite","@id":"https:\/\/www.wallix.com\/de\/#website","url":"https:\/\/www.wallix.com\/de\/","name":"WALLIX","description":"CYBERSECURITY SIMPLIFIED","publisher":{"@id":"https:\/\/www.wallix.com\/de\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/www.wallix.com\/de\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"de"},{"@type":"Organization","@id":"https:\/\/www.wallix.com\/de\/#organization","name":"WALLIX","url":"https:\/\/www.wallix.com\/de\/","logo":{"@type":"ImageObject","inLanguage":"de","@id":"https:\/\/www.wallix.com\/de\/#\/schema\/logo\/image\/","url":"https:\/\/www.wallix.com\/wp-content\/uploads\/2024\/03\/LOGO_WALLIX_2024_blackorange.png","contentUrl":"https:\/\/www.wallix.com\/wp-content\/uploads\/2024\/03\/LOGO_WALLIX_2024_blackorange.png","width":3108,"height":827,"caption":"WALLIX"},"image":{"@id":"https:\/\/www.wallix.com\/de\/#\/schema\/logo\/image\/"},"sameAs":["https:\/\/x.com\/wallixcom","https:\/\/www.linkedin.com\/company\/wallix\/","https:\/\/www.youtube.com\/wallix"]},{"@type":"Person","@id":"https:\/\/www.wallix.com\/de\/#\/schema\/person\/8b1daa830716a62cdf5631aa0e211abd","name":"WALLIX","image":{"@type":"ImageObject","inLanguage":"de","@id":"https:\/\/secure.gravatar.com\/avatar\/8bf1123a19c4364709de2f7c8c881ed5f2bb750cac73f782f39aea052e526546?s=96&d=mm&r=g","url":"https:\/\/secure.gravatar.com\/avatar\/8bf1123a19c4364709de2f7c8c881ed5f2bb750cac73f782f39aea052e526546?s=96&d=mm&r=g","contentUrl":"https:\/\/secure.gravatar.com\/avatar\/8bf1123a19c4364709de2f7c8c881ed5f2bb750cac73f782f39aea052e526546?s=96&d=mm&r=g","caption":"WALLIX"},"url":"https:\/\/www.wallix.com\/de\/author\/alex\/"}]}},"_links":{"self":[{"href":"https:\/\/www.wallix.com\/de\/wp-json\/wp\/v2\/posts\/19749","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.wallix.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.wallix.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.wallix.com\/de\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/www.wallix.com\/de\/wp-json\/wp\/v2\/comments?post=19749"}],"version-history":[{"count":16,"href":"https:\/\/www.wallix.com\/de\/wp-json\/wp\/v2\/posts\/19749\/revisions"}],"predecessor-version":[{"id":81772,"href":"https:\/\/www.wallix.com\/de\/wp-json\/wp\/v2\/posts\/19749\/revisions\/81772"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.wallix.com\/de\/wp-json\/wp\/v2\/media\/14272"}],"wp:attachment":[{"href":"https:\/\/www.wallix.com\/de\/wp-json\/wp\/v2\/media?parent=19749"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.wallix.com\/de\/wp-json\/wp\/v2\/categories?post=19749"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.wallix.com\/de\/wp-json\/wp\/v2\/tags?post=19749"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}