Was ist eine Ransomware?

Ransomware

Wenn bösartige Malware auf einen Computer gelangt, die Dateien der Opfer verschlüsselt und diese nur wieder entsperrt, wenn sie dafür zahlen – dann wird Ransomware zu einem ernsten Problem. Oft haben die Benutzer ihre Dateien nicht gesichert und es besteht keine Möglichkeit, die Daten wiederherzustellen.

Was ist Ransomware?

Ransomware ist eine Art Malware, die den Zugriff von Benutzern auf ein Computersystem verhindert oder einschränkt, indem entweder der Bildschirm des Systems oder die Dateien der Benutzer gesperrt werden, sofern kein Lösegeld gezahlt wird. Moderne Varianten, auch als Krypto-Ransomware bezeichnet, verschlüsseln bestimmte Dateitypen auf infizierten Systemen und zwingen Benutzer, das Lösegeld mithilfe bestimmter Online-Zahlungsmethoden zu zahlen. Nach erfolgter Zahlung wird (meistens) ein Entschlüsselungsschlüssel gesendet. Manchmal wird Ransomware auch als “Scareware” bezeichnet, weil die Software versucht Benutzer zu erschrecken oder einschüchtern.

Die Lösegeldpreise variieren abhängig von der Ransomware Variante und dem Preis oder den Wechselkursen der digitalen Währungen. Aufgrund der vorhandenen Anonymität, die Bezahlungen in Kryptowährungen bieten, geben Ransomware Betreiber üblicherweise Lösegeldzahlungen in Bitcoins an. In neueren Varianten werden auch alternative Zahlungsoptionen wie iTunes- und Amazon-Geschenkkarten aufgeführt. Es sollte jedoch beachtet werden, dass das Bezahlen des Lösegelds nicht garantiert, dass Benutzer den Entschlüsselungsschlüssel oder das Entsperrungswerkzeug erhalten. Diese sind aber unbedingt erforderlich, um wieder Zugriff auf das infizierte System oder die bereitgestellten Dateien zu erhalten.

Die ersten Fälle von Infektionen mit Ransomware traten 2005 in Russland auf. Bei dieser noch recht einfachen Variante wurden wichtige Systemdateien durch kennwortgeschützte ZIP-Dateien überschrieben. Gegen Zahlung von 300 US-Dollar wurde die Verschlüsselung zurückgenommen. Bis 2012 hatte sich Ransomware auch in Europa und Nordamerika verbreitet. 2013 tauchten die ersten “CryptoLocker” auf, die das ganze System sperrten, wenn das Lösegeld nicht gezahlt wurde. Ab 2014 wurde in Ransomware ein weiteres Element integriert: der Diebstahl von Kryptowährungen.

Wie Ransomware funktioniert

Es gibt eine Reihe von Vektoren, die Ransomware für den Zugriff auf ein Computersystem verwenden kann. Eines der häufigsten Übermittlungssysteme ist das Phishing. Das sind meistens Spam-Anhänge, die in einer E-Mail zum Opfer kommen und sich als Datei tarnen, der man vertrauen kann. Sobald sie heruntergeladen und geöffnet wurden, können sie den Computer des Opfers übernehmen. Das ist besonders einfach, wenn sie über integrierte Social Engineering-Tools bzw. -Praktiken verfügen, die den Benutzer dazu verleiten, administrativen Zugriff zuzulassen. Einige andere, aggressivere Formen von Ransomware, wie NotPetya, nutzen Sicherheitslücken, um Computer zu infizieren, ohne dass der Benutzer davon etwas mitbekommt.

Nach der Übernahme des Computers kann die Malware verschiedene Aktionen ausführen. Die häufigste Maßnahme ist jedoch die Verschlüsselung einiger oder aller Dateien des Benutzers. Ohne einen mathematischen Schlüssel, der nur dem Angreifer bekannt ist, lassen sich die Dateien nicht wieder entschlüsseln. Dem Benutzer wird eine Meldung angezeigt, in der erklärt wird, dass seine Dateien nun nicht mehr zugänglich sind und nur entschlüsselt werden, wenn das Opfer eine nicht nachverfolgbare Bitcoin-Zahlung an den Angreifer sendet. Die Forderungen reichen von einigen Hundert bis hin zu Tausenden US-Dollar, die an Internetkriminelle in Bitcoin oder einer anderen Kryptowährung zu zahlen sind.
In einigen Formen von Malware könnte der Angreifer behaupten, eine Strafverfolgungsbehörde zu sein , die den Computer des Opfers aufgrund von Pornografie oder Raubkopien herunterfährt und die Zahlung einer “Geldstrafe” verlangt, um die Wahrscheinlichkeit zu verringern das die Opfer den Angriff den Behörden melden. Für eine schnelle Bezahlung werden oft sogar Rabatte angeboten.

Wie kann ich meinen Computer vor Ransomware schützen?

Es gibt eine Reihe von Abwehrmaßnahmen, um Ransomware-Infektionen zu verhindern. Wenn Du die folgenden Ratschläge befolgst, verbesserst Du deine Abwehrmaßnahmen vor allen Arten von Angriffen:

  • Halte dein Betriebssystem auf dem neuesten Stand, um sicherzustellen, dass Du weniger Sicherheitslücken hast.
  • Installiere keine unbekannte Software oder gebe ihr keine Administratorrechte, es sei denn, Du weißt genau, was diese Software tut.
  • Installiere eine Antivirensoftware, die bösartige Programme erkennt und Whitelisting-Software, wodurch nicht autorisierte Anwendungen erst gar nicht ausgeführt werden.
  • Und natürlich solltest Du deine Dateien regelmäßig und automatisch sichern. Das stoppt einen Malware-Angriff nicht, kann aber den durch einen Angriff verursachten Schaden erheblich verringern.

Wie kann ich eine Infektion mit Ransomware entfernen?

Es gibt ein paar Möglichkeiten, den Computer im abgesicherten Modus hochzufahren und mit einem Anti-Malware-Programm die Ransomware zu entfernen. Benutzer kommen dadurch die Kontrolle über ihren Computer zurück. Aber die verschlüsselten Dateien sind dadurch nie wieder zu entschlüsseln und gelten als verloren. Da hilft auch die Zahlung des Lösegelds oft nicht mehr.

Fazit

Die meisten Strafverfolgungsbehörden fordern dazu auf, keine Ransomware-Angreifer zu bezahlen, da dies weitere Hacker angeregt, mehr Ransomware zu erstellen. Viele Unternehmen und Privatpersonen, die von Malware betroffen sind, führen eine Kosten-Nutzen-Analyse durch. Hierbei wird die Höhe des Lösegelds gegen den Wert der verschlüsselten Daten abgewogen. Obwohl die meisten Betroffenen angeben niemals Lösegeld zu bezahlen, sieht das in der Praxis wohl eher anders aus.

Rückmeldungen