Was bewahren Sie an persönlichen Daten auf Ihrem Computer? Vielleicht geheime Bürodaten, wichtige E-Mails oder sogar alte Kinderfotos? In der Regel sammeln sich im Laufe eines Computerlebens zahlreiche geschäftliche sowie persönliche, aber auf jeden Fall auch sensible Daten, die auf der Festplatte gespeichert werden. Genau diese Sachen machen Sie erpressbar. Wenn plötzlich ein Erpresserbrief oder nur noch ein Totenkopf auf Ihrem Monitor erscheint, statt des gewohnten Startbildschirms, dann haben Sie es wahrscheinlich mit Ransomware zu tun.

Grundsätzlich sind Ransomware Schadprogramme, die entweder den Computer selber sperren oder die darauf gespeicherten Daten verschlüsseln. Dadurch erpressen die Täter ihre Opfer und machen es dabei deutlich, dass die Daten oder der Bildschirm nur nach einer Zahlung des Lösegelds wieder freigegeben werden. Die Zahlung erfolgt in der Regel per Paysafecard oder Ukash.

Heutzutage werden immer mehr Internetnutzer zum Opfer von Ransomware, denn es ist recht einfach geworden, den Computer mit Ransomware zu infizieren. Dazu muss man auch nicht unbedingt Spam-Mails öffnen oder schädliche Dateien herunterladen, denn selbst wenn man alles richtig macht, setzt man sich immer noch einem Risiko aus, sich mit Ransomware zu infizieren.

Welche Bedeutung hat Ransomware?


Das Wort „Ransom“ hat seine Wurzeln im Englischen und bedeutet soviel wie „Lösegeld“ – und genau darum geht es bei diesem Schadprogramm. Aufgrund dessen wird Ransomware auch als „Erpresser-Software“ bezeichnet. Die Experten sprechen manchmal von Verschlüsselungstrojanern, da die Ransomware darauf basiert, dass die blockierten Daten unauflöslich codiert werden für den Nutzer. Dabei zeichnet sich die Funktionsweise von Ransomware bei diesen alternativen Titeln ab, da die Täter ein Schadprogramm meist als Datei beim Filesharing, als getarnter Mailanhang, über infizierte Webseiten oder per Facebooklink auf den Computer des Opfers einschleusen.

Wenn die Ransomware einmal drin ist, verschlüsselt sie umgehend bestimmte Ordner, Dateien oder auch die ganze Festplatte und stellt dann per Bildschirmanzeige dem Nutzer ein Ultimatum, wo darauf steht, dass er entweder Lösegeld bezahlen soll oder die Daten bleiben verschlüsselt und somit auch unbrauchbar. Danach soll die Bezahlung des Lösegelds per Überweisung ins Ausland stattfinden. Im Gegenzug versprechen die Täter, die gesperrten Dateien wieder freizustellen bzw. verschicken ein Passwort für die Freigabe. In den vergangenen Jahren ist die Zahl der Angriffe von Ransomware rasant gestiegen.

Die Geschichte der Ransomware


Es ist keine neue Erfindung, unschuldige Computer-Nutzer auf diese Art und Weise zu erpressen. Die AIDS Trojaner Disk, also die erste dokumentierte Ransomware wurde bereits 1989 im Umlauf über eine Diskette gebracht und verbreitet. Damals verschickte der Harvard Absolvent und Evolutionsbiologe Joseph L. Popp 20.000 infizierte Disketten, auf denen die „AIDS Information – Introductory Diskette“ stand. So schleuste er auf die Rechner der Welt-AIDS-Konferenzteilnehmer der Weltgesundheitsorganisation die Erpressersoftware.

Dabei ersetzte die Schadsoftware eine Systemkonfigurationsdatei und nach 90 Neustarts fing sie an die Festplatte zu verschlüsseln. Damit die Teilnehmer wieder an die Daten gelangen konnten, mussten Sie per Post 189 $ an die PC Cyborg, eine Firma in Panama schicken. Deswegen wurde die erste Ransomware als PC Cyborg Trojaner bezeichnet.

Varianten der Ransomware


Es gibt im Prinzip zwei verschiedene Varianten von Ransomware, und zwar File-Encrypter und Screenlocker.

– File-Encrypter verschlüssen auf dem befallenen Computer bestimmte Daten und nehmen dabei Textdateien, wichtige Ordner und Kinderfotos als Geisel.
– Screenlocker sperren wiederum den Computerbildschirm.

Wie merkt man einen Angriff von Ransomware?
Im Regelfall ist der Erpresserbrief oder der blockierte Bildschirm, der sich nicht schließen lässt, das erste Zeichen, was der Nutzer vom Angriff mitbekommt. Einige der Ransomware-Arten haben eine Inkubationszeit, was bedeutet, dass sie erst Schaden zufügen, wenn sich der Nutzer nicht mehr erinnern kann, wo und wann er sich einen Erpressungstrojaner eingefangen hat.

Ransomware kann von einem Virenscanner entdeckt werden und dabei als positives Scan Ergebnis angezeigt werden. Wer aber keine Antiviruslösung auf den Computer installiert hat, der merkt das Schadprogramm jedoch leider erst dann, wenn es schon zu spät ist. Viele Erpressungstrojaner löschen sich wieder selbst nach dem Ausführen der schädlichen Funktion. Deshalb ist es eine echte Herausforderung für Security-Programme, das Ransomware zu erkennen. Das erste Zeichen, das der Nutzer von der Ransomware mitbekommt, ist eine Zahlungsaufforderung in einem Hinweisfenster, das sich überhaupt nicht schließen lässt.

Ein sehr bekanntes Beispiel dafür ist Locky, der seit Anfang Februar 2016 vor allem in Deutschland zahlreiche Apple- und Windows-Rechner befallen hat. Die Locky-Fälle wurden auch in den USA bekannt, wobei die Täter von zwei US-amerikanischen Krankenhäusern über 15.000 € erbeuteten, indem sie die Krankendaten verschlüsselt haben mit der Ransomware. Laut Medienberichten waren auch deutsche Krankenhäuser von Erpressertrojanern betroffen.

Wie und wo kann man sich Ransomware einfangen?


Die Verbreitungswege von Ransomware unterscheiden sich kaum von den Verbreitungswegen anderer Malware. Oft gelangt die Ransomware über eine manipulierte Internetseite, zu der ein Link aus einer Nachricht oder einer Spam-Mail auf den Rechner über ein soziales Netzwerk führt. Die Täter verschicken manchmal auch E-Mails, die einen vermeintlichen Lieferschein oder eine Mahnung enthalten, aber in der angehängten Datei verbirgt sich in Wirklichkeit gar nichts Wichtiges, sondern nur der Schadcode.

Ein Beispiel dazu ist Petya. Es verbreitet sich, indem der ahnungslose Nutzer eine Dropbox-Datei öffnet. Petya wurde in einigen Fällen in einer Datei versteckt, die eine Bewerbungsmappe enthalten sollte, aber statt der Bewerbungsunterlagen befindet sich dort die Erpressersoftware. Der Nutzer lädt sich auf diesem Weg den Schadcode herunter. Wenn er anschließend diese Datei auf dem Computer anklickt, wird die Datei ausgeführt und Petya startet die Ausbreitung im System. Da kommt man zum Schluss, dass Petya auf die ungewollte Benutzerhilfe angewiesen ist. Petya ist anders als Locky, da keine Dateien verschlüsselt werden, sondern nur der Zugang zu den Dateien. Auf diese Weise weiß der PC nicht mehr, wo sich die Dateien befinden und ob sie noch auf der Festplatte sind.

Was geschieht, wenn Ransomware auf den PC gelangt?


Ein einfacher Klick auf einen Link zu einer Dropbox-Datei oder zu einer Webseite aktiviert den Download. Somit gelangte zum Beispiel im Frühjahr 2016 der Verschlüsselungstrojaner Petya auf zahlreiche Rechner. Durch diesen Ransomware wird ein Neustart des Computers erzwungen und dann wird das normalerweise genutzte Startprogramm, die MBR (Master Boot Record) gegen ein schädliches Ladeprogramm ausgetauscht. Danach wird der Computer von Petya zum Neustart gezwungen und täuscht dadurch dem Benutzer vor, dass die Dateisystemstruktur nur überprüft wird.

Dies ähnelt einem Systemabsturz, jedoch überprüft Petya nicht die Funktionstüchtigkeit des Systems, sondern macht die Daten auf den Computer für den Benutzer lediglich unzulänglich. Die Daten werden dann nicht mehr vom Computer erkannt, wobei der PC auch nicht feststellen kann, ob die Daten überhaupt noch da sind. Die sogenannte Bildschirmsperre mit der Erpresserforderung erscheint nach einem erneut erzwungenen Neustart. Ab diesem Zeitpunkt wird es bei vielen Arten von Ransomware schwierig, die Daten ohne Bezahlung zu entschlüsseln. Mittlerweile wurde Petya entschlüsselt, so dass keiner mehr Lösegeld zahlen muss, um an die eigenen Daten wieder zu gelangen.

Die Funktionsweise von Ransomware


Erpresserprogramme sperrten früher vor allem den Desktop einzelner Computer. Solche eher kleine Angriffe mit Bildschirmsperre sind mittlerweile recht selten geworden. Deutlich häufiger kommen heutzutage echte Verschlüsselungsprogramme vor. Dabei werden die Inhalte der Festplatte so verschlüsselt, dass der User keinen Zugriff mehr darauf hat. Meistens taucht im Sperrbildschirm eine Adresse auf, eine Formularmaske oder eine Webseite, die die Zahlungsmethoden und die Forderungen erklären und wo die Erpresser versprechen, dass sie nach Zahlungseingang die Daten wieder entschlüsseln.

Allerdings gibt es einige Täter, die damit drohen die Daten für immer zu verschlüsseln, wenn das Opfer in Kontakt mit der Polizei tritt. Inzwischen gibt es sogar auch Ransomware, die jede neue Stunde verschlüsselte Dateien löscht, wenn keine Zahlung in der angegebenen Zeit erfolgt ist. Zudem vernichtet die Ransomware beim Systemneustart auf einmal viele Dateien, damit der Nutzer nicht durch abschalten des Computers die Bedrohung aussitzen kann.

Gab es Änderungen bei der Bedrohungslage seither?


Im Jahr 2005 war TROJ_PGPCODER.A. der erste über das Internet verbreitete Verschlüsselungstrojaner. Die Erpresser forderten für seine Entschlüsselung mehrere hundert USD. Sicherheitsexperten verzeichnen seit 2011 einen rasanten Anstieg von Attacken durch Ransomware. Selbst das Bundesamt für Sicherheit in der Informationstechnik warnt, dass sich die Bedrohungslage deutlich verschärft hat. Virenscanner stoßen vor allem in Deutschland seit Anfang 2016 vermerkt auf die Schadsoftware.

Wie verdienen die Erpresser Geld durch Ransomware?

Der Anstieg der Attacken durch Ransomware lässt sich darauf zurückführen, dass man Ransomware mittlerweile recht einfach herstellen kann. Im sogenannten Darknet gibt es Crimeware-Kits, mit denen man nach dem Baukastenprinzip Schadprogramme zusammenstellen kann. Das Programmieren (lassen) von Ransomware ist also relativ kostengünstig und recht einfach.

Während die Erpresser in die Erstellung nur wenig Geld investieren, können Sie jedoch sehr viel herausholen. Die Täter informieren die jeweiligen Opfer über die Zahlungsmodalitäten über den Sperrbildschirm. Die Cyberkriminellen lassen sich per Ukash- oder Paysafecards bezahlen oder auch mit der Onlinewährung Bitcoin. In vielen Fällen beträgt das Lösegeld um die 400 €, jedoch werden für die Entschlüsselung manchmal auch mehrere 1000 € fällig. Die Höhe des Lösegelds ist von der Wichtigkeit der Datei abhängig, wie etwa bei der Krankenhäusererpressung mit Locky. Sobald das Opfer die Zahlung getätigt hat, wird sie dem Erpresser gutgeschrieben. Im Gegenzug gibt er idealerweise die Daten wieder frei.

Gibt es eine Möglichkeit sich zu schützen?


Es gibt natürlich Möglichkeiten sich vor Ransomware zu schützen, darunter:

  • Regelmäßige Backups, die wiederum auf einem getrennten Speichermedium aufbewahrt werden, sind der beste Schutz vor Ransomware. Wenn Sie auf einer externen Festplatte ein Backup durchführen, trennen Sie nach der Sicherung diese Festplatte ab und sorgen Sie auch dafür, dass dieses benutzte Speichermedium vor allem offline genutzt wird. Sie stellen mit regelmäßigen Backups sicher, dass Sie das System einfach wiederherstellen können und keine Daten verlieren im Falle einer tatsächlichen Infektion durch Ransomware. Beachten Sie dabei, dass es ein sicheres Medium ist, wie zum Beispiel eine CD, die auch nicht infiziert werden kann.
  • Sie können Sicherheitslücken schließen, indem Sie regelmäßig Ihr Betriebssystem aktualisieren. Das Gleiche gilt auch für den benutzten Browser und auch jede andere Software, die installiert ist auf dem System.
  • Zudem ist eine solide Antivirussoftware unerlässlich. Diese Antivirussoftware sollte Schutzmechanismen wie Überwachung des Verhaltens sowie andere proaktive Technologien beinhalten. Ein Browserschutz ist auf jeden Fall sinnvoll, denn er schützt Sie vor dem versehentlichen Herunterladen von Schaddateien und vor gefährlichen Skripten.
  • Trügerische und gefälschte E-Mails können in Ihrem Posteingang von einer speziellen Sicherheitssoftware sichergestellt werden. Dadurch vermeidet man, dass solche Mails in die Irre führen. Zusätzlich stellt eine Antivirensoftware Schädlinge wie zum Beispiel Trojaner fest und macht sie letztendlich dingfest.
  • Mittlerweile gibt es gegen Bildschirmsperren Softwarelösungen, die Ihnen dabei helfen, die Bildschirmsperre und die Ransomware zu entfernen.
  • Sie können eine Infektion auch vorbeugen, indem Sie sich auf dem eigenen Computer nicht achtlos mit dem eigenen Admin-Account anmelden, sondern sich als Standardnutzeroberfläche ein Gastkonto einrichten. Dieser Account hat im Prinzip weniger Rechte und deshalb kann hier die Ransomware nicht tief ins System vordringen und kann idealerweise keinen Schaden anrichten.

Halten die Täter wirklich ihr Versprechen und entschlüsseln die Dateien nach der Bezahlung?


Beim Kontakt mit Kriminellen ist immer Skepsis und Vorsicht geboten und deswegen raten wir Ihnen generell dazu, kein Lösegeld zu zahlen, denn viele der Erpresser haben vom Anfang an kein Interesse an Fairplay und planen deswegen auch keine Möglichkeit zur Entschlüsselung. Den Kriminellen geht es einzig und allein nur um das Geld. Wer kein Backup oder keine Sicherheitskopie gemacht hat, verliert im Regelfall seine Dateien, nachdem sein Computer mit Ransomware infiziert wurde. Deswegen sollten Sie nicht mit Erpressern verhandeln.

Selbst das Bundesamt für Sicherheit in der Informationstechnik rät dazu, den Geldforderungen nicht nachzugehen, denn auf Fairness sollte niemand hoffen. Wer aber mit Kreditkarte bezahlt, macht einen Selbstbedienungsladen aus dem eigenen Konto, denn der Erpresser kann plötzlich für die Herausgabe der Daten mehr Geld fordern oder zu einem späteren Zeitpunkt über eine Hintertür ins System nochmals die Daten verschlüsseln. Der Erpresser fordert dann wiederum Lösegeld, selbst wenn es zunächst so scheint, als würde er sein Versprechen halten und die Dateien freigeben. In mehrfacher Hinsicht geht man mit einer Zahlung ein Risiko ein.

Was sollte beachtet werden, wenn man sich entschließt zu zahlen?


Wenn Sie trotz aller Warnungen das verlangte Lösegeld zahlen wollen, sollten Sie vom Computer vorher keine Komponenten der Ransomware entfernen. Unter Umständen sind diese nämlich das Schloss, in das man den Schlüssel stecken muss. Diesen Schlüssel erhält man eventuell nach der Zahlung. Der Entschlüsselungscode kann ohne Schloss unbrauchbar werden und die Daten bleiben somit unwiderruflich verschlüsselt. Unter Umständen sind die Komponenten vor allem in dem Fall wichtig, dass den Ermittlungsbehörden gegen die Cyber-Kriminellen ein Schlag gelingt. Danach stellen häufig die Ermittlungsbehörden sogenannte Decrypter zur Verfügung, die Opfern helfen, Ihre Daten wiederherzustellen, ohne zahlen zu müssen. Deshalb sind die enthaltenen Informationen in den Komponenten dabei nötig, um den Schlüssel für die Wiederherstellung zu generieren.

Sollten Sie tatsächlich einen Schlüssel erhalten und haben damit die Dateien entschlüsselt, dann sollten Sie von Ihrem Computer so schnell es geht umgehend die Ransomware löschen. Sie sollten sich dabei immer bewusst sein, dass sich die Kriminellen Ihnen gegenüber überhaupt nicht verpflichtet fühlen und Sie somit gegebenenfalls Daten und Geld verlieren können. Außerdem halten Sie die kriminelle Maschinerie auf diese Weise aufrecht. Wenn aber niemand zahlt, lohnt sich der Aufwand für die Kriminellen irgendwann nicht mehr. Deshalb betonen wir an dieser Stelle nochmals, dass Sie sich bewusst gegen eine Zahlung des geforderten Lösegelds entscheiden sollen.

Wie reinigt man den Computer von Ransomware?


Die schlechte Nachricht zuerst: Nicht jeder durch Ransomware infizierte Computer lässt sich so einfach reinigen. Die Wiederherstellung des Computers ist zudem oftmals mit einem Datenverlust verbunden. Deshalb sollten gerade Laien im Ernstfall fachkundigen Rat einholen, bevor sie sich an die Computerreparatur machen. Allerdings gibt es einige Möglichkeiten den Ransomware infizierten Computer zu reinigen, darunter:

  • Systemwiederherstellung – Beim Hochfahren des Computers drückt man kurz auf die F8 Taste vor dem Erscheinen des Windows Logos. Dann startet man Windows im abgesicherten Modus und wenn sich Windows erfolgreich hochfahren konnte, erreicht man die Systemwiederherstellung über Start / Programme / Zubehör / Systemprogramme. Dort wählt man einen Wiederherstellungspunkt aus, der vor dem Datum der Infizierung durch Ransomware liegt. Diese Art der Wiederherstellung wird meist leider keinen Erfolg bringen, da sich Windows nicht erfolgreich hochfahren kann.
  • Rettungs-CD – Eine eigene Rettungs-CD hat der deutsche Schutzprogrammhersteller Avira unter dem Namen DE-Cleaner Rettungssystem entwickelt, die außerdem kostenlos verfügbar ist. Auch der Antivirenspezialist Kaspersky stellt die Kaspersky Rescue-CD kostenlos zum Herunterladen bereit, jedoch funktioniert die CD nicht bei allen Varianten der Ransomware.
  • Live-CD – Über eine Live-CD kann man den Computer ebenfalls starten. Mit dem kostenlosen Knoppix gelingt das hervorragend, da sich damit zumindest alle persönlichen Daten auf einen USB-Stick oder auf eine externe Festplatte sichern lassen, wenn der Computer mal komplett neu aufgesetzt werden muss.

Fazit – Ransomware


Viele Varianten der Ransomware benutzen als Einstiegspunkt Phishingmails, jedoch lernen immer mehr Benutzer betrügerische und gefälschte E-Mails von normalen zu unterscheiden. Deswegen werden Phishingmails immer überzeugender und raffinierter erstellt. An dieser Stelle hilft eine Internet Security-Software oder interne E-Mail Gateways, um durch Ransomware infizierte E-Mails von Anfang an zu entdecken. Die Verbreitung von Ransomware wird erhalten bleiben, solange es auch rentabel ist. Das bedeutet, solange die Opfer den Forderungen von Lösegeld nachkommen und es tatsächlich bezahlen, finanzieren sie somit direkt die Plage unter dem Namen Ransomware.

Vorsichtsmaßnahmen wie der Einsatz von Internet Security Softwares oder die Erstellung von Backups verhindern die Verteilung und vor allem Weiterentwicklung von Ransomware. Wenn den Cyber-Kriminellen kein Lösegeld gezahlt wird, lohnt sich dann der Vertrieb von Ransomware nicht mehr. Das ist auf jeden Fall der Hauptgrund, um nicht auf die Forderung des Lösegelds einzugehen.