Was ist ein Ransomware-Angriff?

Was ist eigentlich Ransomware?

Seit wann gibt es Ransomware denn schon?

PC-Nutzer auf diese Weise zu erpressen ist keine neue Erfindung. Die erste dokumentierte Ransomware, die AIDS Trojaner Disk, wurde bereits 1989 in Umlauf gebracht und damals noch über eine Diskette verbreitet. Der Evolutionsbiologe und Harvard Absolvent Joseph L. Popp verschickte damals 20.000 infizierte Disketten mit der Beschriftung „AIDS Information – Introductory Diskette. So schleuste er die Erpressersoftware auf die Rechner der Teilnehmer der Welt-AIDS-Konferenz der Weltgesundheitsorganisation.

Die Schadsoftware ersetzte eine System-Konfigurationsdatei und fing nach neunzig Neustarts an, die Festplatte zu verschlüsseln. Um wieder an die Daten zu gelangen, sollten die Opfer 189 US-Dollar per Post an die Firma PC Cyborg in Panama schicken. Deshalb wurde die erste Ransomware auch als PC Cyborg Trojaner bekannt.

Was passiert genau, wenn Ransomware auf dem Computer ist?

Der Klick auf einen Link zu einer Website oder zu einer Dropbox aktiviert den Download eines Installers – so gelangte beispielsweise der Verschlüsselungstrojaner Petya im Frühjahr 2016 auf zahlreiche Rechner. Petya erzwingt einen Neustart des Computers und tauscht dann das normalerweise genutzte Startprogramm, die Master Boot Record (MBR), gegen ein schädliches Ladeprogramm aus.

Danach zwingt Petya den Computer zu einem Neustart und täuscht dem User vor, dass die Datei-System-Struktur überprüft wird, wie es etwa nach einem Systemabsturz der Fall ist. Doch tatsächlich überprüft Petya nicht etwa das System auf seine Funktionstüchtigkeit: Petya verschlüsselt die Daten selbst nicht, sondern macht sie lediglich für den User unzugänglich. Der Computer kann die Dateien dann nicht mehr erkennen und kann auch nicht feststellen, ob sie überhaupt noch da sind.

Nach einem erneuten erzwungenen Neustart erscheint der sogenannte Lockscreen mit den Forderungen der Erpresser. Bei vielen Arten von Ransomware wird es ab diesem Zeitpunkt schwierig, die Dateien kostenlos zu entschlüsseln. Petya dagegen wurde mittlerweile entschlüsselt, so dass niemand mehr Lösegeldzahlung zahlen muss, um seine Daten wiederzubekommen.

Was ist Ransomware? Malware und Verschlüsselungstrojaner erklärt

Die meisten Betriebssysteme haben mittlerweile gut funktionierende Viren- und Malware-Scanner von Haus aus integriert. Die Wahrscheinlichkeit, eine schädliche Datei direkt während des Downloads zu erkennen und von der Ausführung abzuhalten, erhöht sich, je aktueller Ihr Betriebssystem ist. Ransomware-Trojaner nutzen häufig bekannte Schwachstellen in Betriebssystemen, die durch den Herausgeber des Betriebssystems durch Aktualisierungen geschlossen werden. Mit der Aktivierung regelmäßiger Updates und dem Erwerb der neuesten Version eines Betriebssystems können Sie einen Teil der Ransomware bereits relativ sicher abwehren. Erwähnenswert ist, das Geräte die linux-basierte Betriebssysteme oder macOS nutzen seltener zum Ziel von Ransomware-Angriffen werden. Grund hierfür ist die deutlich geringere Nutzerzahl dieser Betriebssysteme im Vergleich zu Windows. Angreifer erachten es oft nicht für lukrativ genug hierfür eigene Schadsoftware zu entwickeln.

Erwähnenswert ist, dass Geräte, die linux-basierte Betriebssysteme oder macOS nutzen, seltener zum Ziel von Ransomware-Angriffen werden. Grund hierfür ist die deutlich geringere Nutzerzahl dieser Betriebssysteme im Vergleich zu Windows. Angreifer erachten es oft nicht für lukrativ genug hierfür eigene Schadsoftware zu entwickeln.

Was ist ein Ransomware-Angriff?

Was ist Ransom­ware?

Das englische Wort Ransom steht für Löse­geld und beschreibt die Absicht dieser Malware treffend: Ransom­ware sind verschiedene Computer­viren, die einzelne Dateien auf Ihrem Rechner verschlüsseln oder sogleich das gesamte Gerät sperren. Um erneut Zugriff auf Ihre Dateien zu erhalten, werden Sie zu einer Löse­geld­zahlung aufgefordert. Betroffen von solchen Angriffen sind nicht nur Unter­nehmen, sondern auch Privat­personen.

So funktioniert ein Ransom­ware-Angriff

Bei einem Ransom­ware-Angriff verschafft sich die Malware Zugang zu Ihrem Gerät. Das kann über verschiedene Wege geschehen: Klicken Sie bei­spiels­weise auf einen als legitim getarnten, aber mit Malware infizierten E‑Mail-Anhang, ein sogenannter Phishing-Angriff, so kann sich Malware auf Ihrem Gerät ausbreiten. Bei einem Smishing-Angriff geschieht dies per SMS. Zudem kann die Ransom­ware über manipulierte oder bös­artige Web­sites und Werbe­anzeigen sowie unsichere WLAN-Netz­werke herunter­geladen werden. Auch ungewollte Add-ons bei Down­loads können Ransom­ware beinhalten. Dies geschieht oft völlig unbemerkt.

Einmal auf Ihrem Gerät, verschlüsselt die Ransom­ware einzelne Dateien oder das gesamte Gerät. Sofern nur einzelne Dateien betroffen sind, wird dies als Crypto-Ransom­ware bezeichnet. Sie können weiterhin auf andere Teile Ihres Geräts zugreifen. Wenn jedoch Ihr gesamter Bild­schirm gesperrt wird, sind Sie Opfer eines Locker-Ransom­ware-Virus geworden.

Im Anschluss erhalten Sie einen Erpresser­brief per E‑Mail oder eine Nach­richt mit der Löse­geld­forderung. Auf Dringlichkeit pochend werden Sie davor gewarnt, dass Ihre Daten für immer gelöscht werden, sofern das Geld nicht inner­halb eines gewissen Zeit­raums gezahlt wird.

Übrigens sind hiervon nicht nur Computer betroffen, auch Mobil­telefone und Tablets fallen Ransom­ware-Attacken immer häufiger zum Opfer. Dies wird durch die steigende Vernetzung mehrerer Geräte vereinfacht.

So erkennen Sie Ransom­ware

Möchten Sie wissen, ob Sie Opfer eines Ransom­ware-Angriffs geworden sind? Dann sollten Sie Folgendes über­prüfen:

Das Anti­viren-Programm schlägt an

Verfügt Ihr Computer oder Mobil­telefon über einen Viren­scanner, dann kann dieser eine Infizierung mit Ransom­ware früh­zeitig erkennen und Alarm schlagen.

Veränderte Datei-Namen

Heißen Ihre Dateien plötzlich anders oder tragen sie andere Endungen als üblich? Wurde bei­spiels­weise das .pdf durch unbekannte Zeichen ersetzt? Dann könnte eine Ransom­ware-Attacke vorliegen, da die Malware oftmals bei der Verschlüsselung von Dateien deren Namen ändert.

Dateien können nicht geöffnet werden

Wenn Sie manche Dateien plötzlich nicht mehr öffnen können, könnte es daran liegen, dass sie mittels Ransom­ware verschlüsselt wurden.

Höhere CPU-Auslastung als üblich

Weist Ihr Haupt­prozessor oder Ihre Fest­platte eine erhöhte Aktivität auf? Das könnte daran liegen, dass Ransom­ware im Hinter­grund arbeitet.

Löse­geld­forderung

Spätestens wenn Sie eine Nach­richt bekommen oder sich ein Fenster mit einer Löse­geld­forderung auf Ihrem Gerät öffnet, haben Sie Gewissheit: Sie sind einem Ransom­ware-Angriff zum Opfer gefallen. Was bedeutet das für Ihre Dateien und welche Möglich­keiten haben Sie?

Opfer einer Ransom­ware-Attacke — was tun?

Wurden Sie Opfer eines Ransom­ware-Angriffs? Je nach Art der Ransom­ware und je nachdem wie fort­geschritten die Infektion bereits ist, haben Sie mehrere Möglich­keiten.

Entfernen der Malware

Ransom­ware zu entfernen, kann schwierig und manchmal sogar unmöglich sein, wenn sie erst einmal auf Ihren Rechner gelangt. Daher ist die Vorbeugung eines Angriffs mit einer guten und vertrauens­würdigen Viren­schutz­soft­ware extrem wichtig. Generell gilt: Je früher Sie die Malware entdecken, desto besser. Dies erhöht Ihre Chancen einer Bekämpfung des Virus ungemein, bevor es zu einer Löse­geld­forderung kommt.

Um die Malware zu entfernen, probieren Sie Folgendes:

Trennen Sie Ihre betroffenen Geräte — auch externe Fest­platten — von der Internet­verbindung; sowohl vom WLAN als auch physisch vom Kabel.

Starten Sie Ihr Anti-Virus-Programm, um einen Viren­scan durch­zuführen. Sofern schad­hafte Dateien gefunden werden, können diese in Quarantäne verschoben oder gelöscht werden.

Wurde Ihr ganzes Gerät gesperrt und Sie können sich nicht einloggen? Dann starten Sie den Rechner im abgesicherten Modus, um Zugang zum Anti-Virus­programm zu erhalten.

Wenn Ihre Dateien bereits verschlüsselt wurden, benötigen Sie ein Entschlüsselungs­tool. Hilfe­foren wie Bleeping Computer bieten hilf­reiche Informationen zur Beseitigung verschiedener Arten von Ransom­ware.

Wenn Sie kein passendes Entschlüsselungs­tool für die Ransom­ware gefunden haben, stellen Sie Ihre Dateien mittels einer Ihrer Sicherheits­kopien, die noch nicht von der Ransom­ware befallen war, wieder her.

Löse­geld zahlen, ja oder nein?

Generell empfehlen wir Ihnen, das Löse­geld nicht zu zahlen. Sie haben keine Garantie, dass Sie den Entschlüsselungs­code von den Kriminellen erhalten und somit erneut Zugriff auf Ihre Dateien erhalten. Zudem sind die Kriminellen durch Löse­geld­zahlungen motiviert, weitere Angriffe zu starten.

Zurücksetzen des Geräts

Schlagen keine der Maß­nahmen an? Dann führt oftmals kein Weg daran vorbei, den Computer oder das Mobil­telefon auf die Werks­einstellungen zurück­zusetzen. Vor dem Angriff angefertigte Sicherheits­kopien helfen dabei, den Schaden zu begrenzen.

5 Tipps, um Ransom­ware vorzubeugen

Tracey is the Contributing Editor for Foodies100, Tots100, Hibs100 and Trips100. She also blogs at PackThePJs. Tracey writes mainly about family travel; from days out to road trips with her pet dogs, to cruises and long-haul tropical destinations. Her family consists of her husband Huw, a medical writer, Millie-Mae (14), Toby (12) and Izzy and Jack the spaniels