Vorsicht vor Ransomware
Meist infizieren die Opfer sich über das Öffnen von E-Mail Anhängen oder per Klick auf einen gefälschten Link. Im Hintergrund installiert sich das Schadprogramm und verschlüsselt Ihre Dateien. Anschließend erhalten Sie eine Nachricht per Bildschirmanzeige mit der Aufforderung, einen bestimmten Betrag, in Währung oder Kryptowährung, zu zahlen. Erst nach Eingang der Zahlung erhalten Sie (angeblich) wieder Zugriff auf Ihre Daten. In manchen Fällen wird behauptet, der Rechner sei vom BKA oder der Bundespolizei gesperrt worden, in anderen Fällen wurde angeblich eine illegale Windows-Kopie entdeckt.
Natürlich hat keine der erwähnten Organisationen oder Behörden mit der Sperre zu tun – ebenso wenig können Sie sicher sein, dass Sie nach der Zahlung wieder Zugriff auf Ihre Daten haben.
Was ist Bitdefender Ransomware-Bereinigung und was kann es tun?
Die Bitdefender-Funktion Ransomware-Bereinigung blockiert Ransomware-Angriffe und stellt den Inhalt Ihrer verschlüsselten Dateien automatisch wieder her, ohne dass Sie das Lösegeld bezahlen müssen. Ransomware ist bösartige Software, die darauf abzielt, Dateien zu verschlüsseln und Lösegeld für sie zu verlangen. Benutzer müssen an die Hacker zahlen, um wieder Zugriff auf Dateien wie Bilder, Videos oder wichtige Dokumente zu erhalten. Aus diesem Grund enthält Bitdefender eine brandneue Schutzebene gegen diese Art von Malware: Ransomware-Bereinigung.
Was ist Bitdefender Ransomware-Bereinigung?
Die Ransomware-Bereinigung von Bitdefender sichert Ihre Dateien wie Dokumente, Bilder, Videos oder Musik, um sicherzustellen, dass sie im Falle einer Ransomware-Verschlüsselung nicht beschädigt werden oder verloren gehen.
Jedes Mal, wenn ein Ransomware-Angriff erkannt wird, blockiert Bitdefender alle Prozesse, die an dem Angriff beteiligt sind, und startet den Sanierungsprozess, wobei der Benutzer auch benachrichtigt wird. Auf diese Weise können Sie den Inhalt Ihrer gesamten Dateien wiederherstellen, ohne das geforderte Lösegeld bezahlen zu müssen.
Aktivieren und Deaktivieren der Ransomware-Bereinigung
Wie empfehlen, die Ransomware-Bereinigung zum Schutz Ihrer Dateien vor Ransomware aktiviert zu lassen.
So können Sie die Ransomware-Bereinigung aktivieren oder deaktivieren:
1. Klicken Sie im Navigationsmenü der Bitdefender-Benutzeroberfläche auf Schutz.
2. Aktivieren oder deaktivieren Sie im Bereich RANSOMWARE-BEREINIGUNG den entsprechenden Schalter.
Die automatische Wiederherstellung stellt Ihre Dateien im Falle der Verschlüsselung durch Ransomware automatisch wieder her. So können Sie die automatische Wiederherstellung aktivieren oder deaktivieren:
1. Klicken Sie im Navigationsmenü der Bitdefender-Benutzeroberfläche auf Schutz.
2. Klicken Sie im Bereich RANSOMWARE-BEREINIGUNG auf Verwalten.
3. Aktivieren oder deaktivieren Sie im Fenster Einstellungen den Schalter Automatische Wiederherstellung.
Anzeigen von automatisch wiederhergestellten Dateien
Wurde die Option Automatisches Wiederherstellen aktiviert, stellt Bitdefender automatisch Dateien wieder her, die durch Ransomware verschlüsselt wurden.
So können Sie Ihr Gerät ganz unbeschwert genießen, ohne sich Sorgen um die Sicherheit Ihrer Dateien machen zu müssen. So können Sie automatisch wiederhergestellte Dateien anzeigen:
1. Klicken Sie im Navigationsmenü der Bitdefender-Benutzeroberfläche auf Benachrichtigungen.
2. Wechseln Sie zum Reiter Alle und wählen Sie die Benachrichtigung zu dem neuesten erkannten Ransomware-Verhalten aus. Klicken Sie danach auf Wiederhergestellte Dateien.
3. Eine Liste mit allen wiederhergestellten Dateien wird angezeigt. Hier können Sie auch einsehen, an welchem Speicherort die Dateien wiederhergestellt worden sind.
Manuelles Wiederherstellen von verschlüsselten Dateien
Gehen Sie folgendermaßen vor, um durch Ransomware verschlüsselte Dateien manuell wiederherzustellen:
1. Klicken Sie im Navigationsmenü der Bitdefender-Benutzeroberfläche auf Benachrichtigungen.
2. Wechseln Sie zum Reiter Alle und wählen Sie die Benachrichtigung zu dem neuesten erkannten Ransomware-Verhalten aus. Klicken Sie danach auf Verschlüsselte Dateien.
3. Eine Liste mit allen verschlüsselten Dateien wird angezeigt.
Klicken Sie zum Fortfahren auf Dateien wiederherstellen.
4. Sollte der Wiederherstellungsprozess vollständig oder teilweise fehlschlagen, müssen Sie den Speicherort auswählen, an dem die entschlüsselten Dateien gespeichert werden sollen. Klicken Sie auf Wiederherstellungsort und wählen Sie einen Speicherort auf Ihrem PC aus.
5. Ein Bestätigungsfenster wird angezeigt. Klicken Sie zum Abschluss des Wiederherstellungsprozesses auf Beenden.
Sie können vertrauenswürdige Anwendungen ausschließen, so dass sie nicht blockiert werden, wenn sie verdächtige Aktionen durchführen, indem Sie die Schritte aus diesem Artikel - So fügen Sie bei Ransomware-Bereinigung die Ausnahmen hinzu.
Was ist Ransomware? Funktion, Verbreitung, Arten
Wie funktioniert Ransomware, wie verbreitet sie sich und welche Arten gibt es? Hier finden Sie die Antworten.
Am 05. Juli 2021 wurde die Landkreisverwaltung Anhalt-Bitterfeld Opfer eines Ransomware-Angriffs. Die Täter erbeuteten und verschlüsselten Daten und forderten Lösegeld. Trotz des Einsatzes zahlreicher Spezialisten dauerte es über ein halbes Jahr, bis die IT-Systeme der Behörde vollständig wiederhergestellt waren. Diese Attacke zeigt: Nicht nur Konzerne oder internationale Organisationen sind potenzielle Ziele für Hacker. Cyberangriffe mit Ransomware können jeden treffen. Mittelstand Heute möchte Ihnen deshalb einen Überblick zum Thema an die Hand geben.
Inhalt (per Klick auf die Links gelangen Sie direkt zum jeweiligen Kapitel):
Definition: Was bedeutet Ransomware? Ransomware, auch Erpressungstrojaner, Kryptotrojaner, oder Verschlüsselungstrojaner genannt, ist eine Unterart von Malware (Schadsoftware). Bei einem Ransomware-Angriff verschlüsseln Hacker Daten auf einem System und fordern für ihre Entschlüsselung Lösegeld. Um Entdeckung durch Ermittlungsbehörden zu erschweren, fordern die Hacker das Lösegeld normalerweise in Form von Kryptowährungen. Diese sind nicht verfolgbar und ermöglichen anonyme Transfers. Ransomware hält den Computer oder das System quasi als Geisel.
So werden Computer und Systeme mit Ransomware infiziert
Ransomware gelangt, wie die meiste Schadsoftware, häufig über Spam Mails in ein System. Klickt ein Nutzer in einer Mail auf einen vermeintlichen Link zu einer Website, Dropbox oder einem Download, aktiviert er damit die Ransomware. Da die Arbeitsgeräte in Firmen über ein Netzwerk verbunden sind und meist auch Serverzugriff haben, kann sich die Schadsoftware über die Grenzen des infizierten Geräts ausbreiten.
Hacker verschaffen sich auch über gestohlene Anmeldeinformationen direkt Zugriff zu Systemen. Sie können Mitarbeiter beispielsweise mit Social-Engineering-Methoden dazu bringen, Passwörter und Logins preiszugeben. Zudem sind verifizierte Zugangsdaten im Darknet auf Handelsplattformen erhältlich. Manchmal nutzen die Angreifer Sicherheitslücken in Programmen oder Infrastrukturen, um in das Netzwerk einzudringen. Dort führen die Cyberkriminellen die Ransomware direkt auf PCs oder Servern aus.
Diese Arten von Ransomware gibt es
Bei Ransomware lassen sich zwei Unterkategorien unterscheiden:
Screen-Locker
und File-Encrypter.
Beim Screen-Locker werden keine Daten verschlüsselt, sondern der Desktop gesperrt. Dem Nutzer wird ein Sperrbildschirm mit einer Lösegeldforderung und Zahlungsinformationen angezeigt. Die Malware löscht oder verschlüsselt die Daten auf dem Computer nicht. Sie sind lediglich nicht mehr einsehbar, bis sie durch den Angreifer freigegeben werden. Ein Neustart des Systems ist meist keine Lösung, denn die Schadsoftware verändert häufig auch die Boot-Einstellungen.
Bei der File-Encryption werden Daten auf einem Gerät oder einem Server verschlüsselt, sodass sie für Programme und Nutzer nicht mehr lesbar sind. Dadurch werden viele Prozesse im Unternehmen faktisch unbrauchbar. Um ihrer Lösegeldforderung Nachdruck zu verleihen, veröffentlichen die Angreifer manchmal Teile der erbeuteten Daten online, um zu beweisen, dass sie sie wirklich besitzen. Um das Opfer unter Druck zu setzen, löschen einige Ransomware-Varianten nach festgelegten Intervallen automatisch gewisse Datenmengen. Auf eine ähnliche Funktion zielt das Löschen von Datenpaketen durch Ransomware bei jedem Neustart ab.
Die Daten selbst zu entschlüsseln, oder von Experten entschlüsseln zu lassen, ist schwierig. Hacker erstellen stetig neue Ransomware-Varianten. Selbst wenn die Entschlüsselung einer dieser Varianten bekannt ist: Wird sie überarbeitet, ist dieses Wissen meist hinfällig. Deswegen sollten Unternehmen vorbeugende Maßnahmen treffen und Reaktions- sowie Recovery-Pläne aufstellen, bevor sie Opfer einer Ransomware-Attacke werden. Mehr dazu lesen Sie in Kürze auf Mittelstand Heute.
3 Modi Operandi: So gehen Hacker bei Ransomware vor Double Extortion: Der Standard-Modus Operandi (Datenverschlüsselung und -veröffentlichung). Triple Extortion: Zusätzlich zur Datenverschlüsselung und -veröffentlichung erfolgen DDoS-Attacken beim Opfer. Second-Stage-Extortion: Auch Kunden der eigentlichen Opfer werden damit erpresst, dass ihre Daten veröffentlicht werden, sollte keine Zahlung erfolgen. Quelle: BKA, Cybercrime Bundeslagebild 2021
Ransomware-as-a-Service und Human-operated Ransomware
Ransomware wird stets weiterentwickelt. Ransomware-as-a-Service (RaaS) und Human-operated Ransomware sind zwei aktuelle Entwicklungen. Da RaaS als Dienstleistung erworben werden kann, ist technische Expertise zweitrangig, um einen Angriff durchzuführen. Somit kann jeder, der bereit ist dafür zu zahlen, Ransomware nutzen. Bei der Human-operated Ransomware läuft nicht mehr nur ein automatisiertes Programm ab, sondern ein Hacker agiert persönlich. Er verschafft sich Zugang zum System, kundschaftet es aus und kann ganz individuell bestimmte Teile des Systems angreifen.
5 Beispiele für groß angelegte Ransomware-Angriffe
Die Zahl der Ransomware-Angriffe nimmt zu. Der Ransomware-Report 2022, für den der Cybersecurity-Spezialist Hornetsecurity über 2.000 IT-Führungskräfte befragt hat , ergab, dass bereits 24 Prozent der Unternehmen Opfer eines Ransomware-Angriffs waren. Im Vergleich zu 2021 stieg diese Zahl damit um drei Prozentpunkte.
Hier eine Liste mit fünf der bekanntesten Ransomware-Angriffe – und -Gruppierungen der letzten zehn Jahre:
Conti
Conti ist seit 2020 eine der aktivsten Ransomware-Gruppierungen. Die Gruppe zeichnet sich vor allem durch ihr aggressives und effektives Vorgehen aus. Innerhalb von nur vier Monaten veröffentlichte sie auf ihrer dezidierten Leak-Seite (DLS) Daten von 530 Unternehmen. Cyberermittler stellten fest, dass Conti im Schnitt 14 Stunden pro Tag an sieben Tagen in der Woche aktiv ist. Die Mitglieder sind über verschiedene Zeitzonen verteilt.
Cryptolocker
Die Cryptolocker-Attacke startete am 5. September 2013 und hielt bis Mai 2014 an. Verbreitet wurde die Malware meistens über einen E-Mail-Anhang. Die Hacker hinter der Attacke forderten Lösegeld nicht nur in Bitcoin, sondern auch in Dollar und Euro. Diese Zahlungen konnten über Prepaid-Services entrichtet werden. Einige Opfer gaben an, den digitalen Schlüssel zum Entschlüsseln ihrer Daten trotz Begleichung des Lösegelds nie erhalten zu haben. Im Juni 2014 gelang es einem Team von Security-Experten eine Datenbank mit den digitalen Schlüsseln der Cryptolocker-Hacker sicherzustellen. Opfer der Malware hatten dadurch die Möglichkeit, sich ihre Daten kostenlos entschlüsseln zu lassen.
Maze
Malware der Variante Maze wurde erstmals im Mai 2019 entdeckt. Die Maze-Hacker veröffentlichten viele der gestohlenen Dokumente auf ihrer Website. Um ihre Lösegeldforderungen zu untermauern, drohten sie damit, sensible Daten von Unternehmen zu teilen, um den Aktienkurs des Opfers zu manipulieren. Die Gruppierung kündigte ebenfalls an, gestohlene Daten zu nutzen, um Kunden der angegriffenen Firmen zu attackieren. Ende 2020 gab Maze bekannt, sich auflösen zu wollen. Selbst wenn diese Aussage zutrifft, bedeutet das nicht das Ende der Aktivitäten der Maze-Hacker. Die Gruppe Grandcrab löste sich ebenfalls auf, nur um dann als Revil in anderer Form wieder aktiv zu werden.
Revil
Die Gruppierung Revil trat erstmals im Jahr 2019 in Erscheinung. Sie bot Ransomware-as-a-Service an. Das heißt, man konnte über die Vereinigung Angriffe als Dienstleistung kaufen. Bekanntheit erlangte Revil, als ihnen im März 2021 ein Angriff auf den Chiphersteller Asus zugeordnet wurde. Dabei verlangten die Erpresser laut Medienberichten 50 Millionen Dollar Lösegeld. Im Juli 2021 soll die Vereinigung einen Angriff auf den US-amerikanischen IT-Dienstleister Kaseya verübt haben. Die Lösegeldforderung belief sich auf 70 Millionen Dollar. Laut einer russischen Nachrichtenagentur wurde Revil im Januar 2022 durch den russischen Inlandsgeheimdienst FSB und die russische Polizei zerschlagen.
Wanna Cry
Wanna Cry war einer der, wenn nicht sogar der verheerendste Ransomware-Angriff der letzten zehn Jahre. Über 200.000 Computer in 150 Ländern wurden an einem Tag infiziert. Wanna Cry nutzt eine Schwachstelle im Server-Message-Block-Netzprotokoll von Windows. Microsoft hatte zwar im März 2017, etwa zwei Monate vor dem Angriff einen Patch für diese Schwachstelle veröffentlicht: Viele Nutzer hatten dieses Update jedoch noch nicht installiert. Der wirtschaftliche Schaden von Wanna Cry lag laut Expertenschätzungen bei bis zu 4 Milliarden Dollar. Der britische Cyber-Security-Forscher Marcus Hutchinson entdeckte einige Stunden nach Beginn des Angriffs einen Notausschalter im Code der Ransomware. Damit konnte der Angriff eingedämmt werden, bevor er sein volles Potenzial entfaltet hatte.
Quelle Aufmacherbild: