Was ist Ransomware?

Letzte Aktualisierung: 03.04.2021 | Von
Ransomware ist eine Form von Malware, die den Zugriff auf Ihr System und auf persönliche Daten sperrt. Um den Zugriff wieder zu erhalten, wird ein Lösegeld verlangt. Die Zahlung kann per Kryptowährung, Kreditkarte oder Geschenkkarten erfolgen. Die Zahlung ist keine Garantie dafür, dass man wieder Zugriff erhält.

Arten von Ransomware

Ransomware kann viele Formen annehmen, aber sie alle haben eines gemeinsam - sie fordern ein Lösegeld für die Wiederherstellung des Systems bzw. der Dateien. Ransomware-Angriffe sind so konzipiert, dass sie die Not und Angst der Menschen ausnutzen, um die Betroffenen zur Zahlung zu bewegen.

Nachfolgend die gängigsten Ransomware-Varianten:
  • Krypto-Malware oder Verschlüsselungsprogramme sind einer der bekanntesten und schädlichsten Varianten. Bei dieser Ransomware-Art werden die Dateien und Daten innerhalb eines Systems verschlüsselt, wodurch der Inhalt ohne Entschlüsselungsschlüssel nicht mehr lesbar ist. Bei korrekter Implementierung verwendet die Ransomware eine nicht zu knackende Verschlüsselung. Die Malware loszuwerden, löst das Problem nicht.

    Wannacry Ransomware
  • Lockers sperren das komplette System, sodass der Zugriff auf Dateien und Anwendungen nicht mehr möglich ist. Ein Sperrbildschirm zeigt die Lösegeldforderung an - möglicherweise mit einem Countdown, um den Druck zu erhöhen.
  • Doxware oder Leakware droht damit, private oder sensible Unternehmensdaten online zu veröffentlichen. Viele Menschen geraten in Panik und zahlen das geforderte Lösegeld. Um so zu verhindern, dass private Daten an die Öffentlichkeit gelangen.
  • Scareware ist eine gefälschte Software, die vorgibt, einen Virus oder ein anderes Problem auf Ihrem Computer erkannt zu haben. Sie fordert Sie auf, für die Behebung des Problems zu bezahlen. Manche Arten von Scareware sperren den Computer, während andere lediglich den Bildschirm mit Popup-Warnungen überfluten, ohne dabei tatsächlich Dateien zu beschädigen. Eine bekannte Variante ist der Fake BKA Trojaner, der sich als Strafverfolgungsbehörde ausgibt und davor warnt, dass illegale Online-Aktivitäten entdeckt wurden.

Wie verbreitet sich Ransomware?

Es gibt verschiedene Wege, wie Ransomware auf Ihren Computer oder Ihr System gelangen kann. Am häufigsten geschieht dies per Spam-Nachrichten, die entweder einen bösartigen Anhang oder einen Link zu einer bösartigen oder kompromittierten Website enthalten. Sobald ein ahnungsloser Benutzer den Anhang öffnet oder auf den Link klickt, kann die Ransomware den Computer des Opfers infizieren und sich im gesamten Netzwerk verbreiten.

Ein weiterer Weg ist die Ausnutzung einer Sicherheitslücke in einem System oder Programm über ein Exploit-Kit, wie z. B. die berüchtigte WannaCry-Ransomware, die 2017 mithilfe einer Sicherheitslücke Hunderttausende Computersysteme infizierte. WannaCry nutzte eine Schwachstelle im Windows-Betriebssystem aus, die zunächst von der NSA entdeckt und dann von den Shadow Brokers öffentlich gemacht wurde. Bereits in den ersten Stunden wurden 200.000 Rechner in 150 Ländern infiziert. Der bisher größte Cyberangriff in der Geschichte des Internets.

Nach der Infektion des Systems kann Ransomware entweder den Zugriff auf die Festplatte blockieren oder Dateien auf dem Computer verschlüsseln. Zwar kann die Malware entfernt und der vorherige Zustand des Systems wiederhergestellt werden, aber die Dateien bleiben verschlüsselt. Sie wurden sozusagen unlesbar gemacht, und eine Entschlüsselung ist ohne den Schlüssel des Angreifers nicht möglich.

In den vergangenen Jahren haben Cyberkriminelle erkannt, dass Unternehmen und Organisationen viel profitabler sind als private Anwender. Folglich haben sie es auch auf größere Ziele abgesehen: Polizeidienststellen, Stadtverwaltungen, Universitäten und sogar Kliniken.

Ablauf eines Ransomware-Angriffs

Der Ablauf unterscheidet sich zwar von Ransomware zu Ransomware, aber üblicherweise lässt sich der Ablauf in vier Phasen einteilen:
  1. Das Opfer erhält eine E-Mail mit einem schädlichen Link oder einer mit Malware infizierten Datei. Alternativ kann die Infizierung von einer bösartigen Website ausgehen, die ein Exploit enthält und eine Schwachstelle auf dem Computer des Opfers ausnutzt.
  2. Wenn das Opfer auf den Link klickt oder den Anhang herunterlädt und öffnet, wird ein sogenannter Payload auf dem Computer installiert. Dieser infiziert das System mit Malware.
  3. Anschließend verschlüsselt die Malware alle Dateien, einschließlich der in Cloud-Konten (Google Drive, Dropbox) gespeicherten Daten, die mit dem Computer synchronisiert wurden. Zusätzlich kann die Malware auch Daten auf anderen Computersystemen verschlüsseln, die mit dem Netzwerk verbunden sind.
  4. Auf dem Bildschirm erscheint eine Warnmeldung mit Anweisungen, wie der Entschlüsselungsschlüssel bezahlt werden kann. Das Ganze geschieht innerhalb weniger Sekunden. Die Opfer sind meist völlig sprachlos und schauen fassungslos auf die Lösegeldforderung.

Ablauf und Funktionsweise eines Ransomware Angriffs

Bekannte Beispiele für Ransomware

  • WannaCry

    WannaCry

    WannaCry ist eine weit verbreitete Ransomware. Die Ransomware hat 2017 über 100.000 Organisationen in mehr als 150 Ländern getroffen. Sie befiel Windows-Rechner über eine Microsoft-Schwachstelle, die als EternalBlue bekannt ist.

  • TorrentLocker

    TorrentLocker

    Die Ransomware wird per Spam-E-Mail-Kampagnen verbreitet. TorrentLocker verwendet zur Verschlüsselung den AES-Algorithmus. Die Malware sammelt E-Mail-Adressen aus dem Adressbuch des Opfers, um sich weiter zu verbreiten.

  • CryptoLocker

    CryptoLocker

    Das ursprüngliche CryptoLocker-Botnetz (zur Verbreitung) wurde im Mai 2014 stillgelegt, die Hacker hinter dem Botnetz verdienten knapp 3 Millionen US-Dollar. Die Ransomware wird weithin verbreitet. Das Wort "CryptoLocker" ist zum Synonym für Ransomware geworden.

  • CTB-Locker

    CTB-Locker

    Ein Hacker-Affiliate-Programm. Die Kriminellen, die hinter CTB-Locker stehen, outsourcen den Infektionsprozess gegen einen Gewinnanteil.

  • Cerber

    Cerber

    Cerber infizert mit ausgeklügelten Phishing-Kampagnen regelmäßig Millionen von Computern. Als Zahlungsportal fungiert eine verschlüsselte Tor-Seite.

Was Sie bei einem Ransomware-Angriff tun sollten

  1. Anzeichen erkennen: Ein klarer Hinweis darauf, dass Ihr System mit Ransomware infiziert wurde, ist eine Meldung mit Lösegeldanweisungen. Aber auch Fehlermeldungen beim Versuch, bestimmte Dateien zu öffnen, können auf eine Ransomware-Infektion hinweisen.
  2. Schnelle Maßnahmen ergreifen: Trennen Sie das infizierte Gerät umgehend vom Netzwerk. Ransomware kann sich automatisiert in einem Netzwerk verbreiten. Sie sind also möglicherweise nicht das einzige Opfer, informieren Sie andere darüber.
  3. Ransomware identifizieren: Sobald Ransomware in Ihr System eingedrungen ist, können Sie in der Regel nicht viel tun. Außer das Lösegeld zu zahlen (nicht empfohlen) oder Ihr System über ein Backup wiederherzustellen. In den seltensten Fällen können Benutzer die Daten jedoch ohne Zahlung des Lösegeldes wiederherstellen: Einige Sicherheitsfirmen haben Entschlüsselungs-Tools entwickelt. Eine Zusammenstellung kostenfreier Entschlüsselungs-Tools, inklusive Informationen zur Ransomware-Identifizierung haben wir hier online gestellt.

    Wichtig: Die Zahlung des Lösegelds ist keine Garantie dafür, dass die Cyberkriminellen Ihnen den Entschlüsselungsschlüssel zur Verfügung stellen. Oftmals bleiben die Dateien trotzdem verschlüsselt.
  4. Anzeige erstatten: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) fordert die Opfer von Ransomware dringend auf, Anzeige zu erstatten[1].

Schutzmaßnahmen gegen Ransomware

Sie sollten das Risiko eines Ransomware-Angriffs unbedingt ernst nehmen und einige Schutzmaßnahmen ergreifen:
  • Am besten beugen Sie einem Ransomware-Angriff vor, indem Sie Ihr Betriebssystem regelmäßig auf den neuesten Stand bringen. Die Hersteller von Betriebsystemen stellen regelmäßig Updates und Patches bereit, sobald neue Bedrohungen auftauchen. Zu oft kommt es zu Systemausfällen, weil Patches nicht installiert wurden. Wenn es Updates gibt, die älter als ein Jahr sind und nicht installiert werden, dann steigt das Risiko für Angriffe deutlich. Systeme, die regelmäßig aktualisiert werden, bieten eine niedrigere Angriffsfläche.
  • Halten Sie auch alle anderen Programme (Browser, E-Mail-Programm usw.) auf dem neuesten Stand.
  • Verwenden Sie für die alltäglichen Aufgaben kein Administratorkonto. Verwenden Sie ein Gastkonto mit eingeschränkten Rechten.
  • Aktivieren Sie die integrierte Firewall Ihres Betriebssystems.
  • Sichern Sie Ihre Daten regelmäßig auf einem externen Gerät. Damit Sie schnell reagieren können, falls es zu Sicherheitsproblemen kommt.
  • Vorsicht vor Phishing-E-Mails. Klicken Sie niemals auf unbekannte Links oder Anhänge. Sobald der Link oder Anhang angeklickt wird, kann der bösartige Code ausgeführt werden, und der Computer wird mit Ransomware infiziert. Wichtig: Phishing-E-Mails werden so konzipiert, dass sie den Anschein erwecken, von einer seriösen Firma zu stammen. Auch können Phishing-E-Mails den Anschein erwecken, von einem Freund oder Arbeitskollegen zu stammen.
  • Egal, ob es sich um PCs, Macs, Laptops, Smartphones oder Tablets handelt: Installieren Sie eine Antivirensoftware, die ein automatisches Update-Modul und einen Echtzeit-Scanner enthält.
  • Benutzen Sie einen Ad-Blocker, um die Bedrohung durch potenziell bösartige Werbung zu minimieren.
  • Lassen Sie in Office-Programmen keine Makros zu.
  • Halten Sie sich von illegalen Download-Seiten fern. Solche Seiten sind Brutstätten für unzählige Malware-Arten.

Einzelnachweise

  1. heise.de: BSI rät Opfern von Ransomware, Anzeige zu erstatten