Lösegeld, Dateien, Angriffe, Opfer
© Brain A Jackson - Shutterstock

Ransomware – Funktionsweise und Schutz vor der Erpressersoftware

Alle wichtigen Informationen zu Ransomeware
Veröffentlicht am
Zuletzt aktualisiert am

Ransomware ist Malware, die bei Betroffenen für gravierende wirtschaftliche Schäden sorgen kann. Das Bundesamt für Sicherheit in der Informationstechnik weist in einem Infoblatt darauf hin, dass Cyberangriffe durch Ransomware seit 2016 kontinuierlich zunimmt. Umso wichtiger ist es deshalb, dass sich Nutzer über die Funktionsweise und den Schutz vor dieser Erpressersoftware informieren.

Was ist Ransomware?

Ransomware: Definition

Ransomware ist Schadsoftware, die Programme und Dateien auf einem Computer oder Server verschlüsselt. Kriminelle erpressen so Unternehmen, aber auch private Nutzer. Sie verlangen Geld für die Freischaltung der verschlüsselten Daten.

Die Bezeichnung „Ransomware“ setzt sich aus dem englischen Begriff „ransom“, auf Deutsch „Lösegeld“ und „software“ zusammen. Ransomware ist somit „Lösegeldsoftware“. Auf Deutsch wird sie auch Erpressersoftware oder Erpressungstrojaner genannt. Eine andere Bezeichnung ist auch „Verschlüsselungstrojaner“.

Wie kommt es zu der Bezeichnung? Cyberkriminelle erstellen eine Software, welche alle oder wichtige Dateien auf einem fremden Computer oder Rechensystem verschlüsselt. Manche Erpressungssoftware sperrt auch den gesamten Rechner. Die Erpresser bzw. Angreifer fordern dann von ihren Opfern ein Lösegeld, damit die Dateien wieder entschlüsselt bzw. die Rechner entsperrt werden. Die Lösegeldforderung wird von den Kriminellen meist direkt auf dem Bildschirm des betroffenen Geräts angezeigt. Häufig wird eine Bezahlung in Bitcoins gefordert, damit Strafverfolgungsbehörden den Weg des Geldes nicht so einfach nachvollziehen können.

Ransomware wird über Schadprogramme auf fremde Rechner eingeschleust, z.B. über Trojaner oder Computerviren.

Ransomware: Arten und Varianten

Grundsätzlich gibt es zwei unterschiedliche Varianten von Ransomware:

  • Screenlocker: Diese Ransomware sperrt den Bildschirm bzw. die Nutzung des infizierten Rechners. Dieses Schadprogramm schiebt immer wieder den Sperrbildschirm mit der Erpresserbotschaft in den Vordergrund, ganz gleich, welches Programm der Nutzer startet. Eine Untervariante dieser Ransomware ist der sogenannte „App-Locker“. Dieses Schadprogramm verhindert den Zugriff auf Apps oder Programme auf dem Rechner bzw. dem Tablet oder Smartphone. Die Ransomware blockiert dabei den Zugriff des Rechners auf den Server der App. Wie beim klassischen Screenlocker erhält der Nutzer auch beim Applocker eine Nachricht über die geforderte Lösegeldsumme.
  • File-Encrypter: Bei dieser Variante werden einge oder gleich alle Dateien des infizierten Computers verschlüsselt. Um der Erpressung Nachdruck zu verleihen, stehlen Kriminelle private Fotos oder Dateien und drohen mit deren Veröffentlichung, wenn das verlangte Geld nicht pünktlich gezahlt wird. File-Encrypter werden meist als Verschlüsselungstrojaner, auch „Crypto-Trojaner“ genannt, umgesetzt. Manche dieser Schadprogramme verschlüsseln nur einzelne Bereiche, z.B. Fotos oder Bankdaten. Andere wiederum kodieren das gesamte Computersystem oder alle Dateien auf einem Server. Dabei greift die Ransomware gezielt das Inhaltsverzeichnis der Festplatte an.

Es gibt auch hybride Formen von Ransomware, die App- und Screenlogger sowie File-Encrypter kombiniert. Für die Betroffenen wird die Wiederherstellung aller Dateien nach dem Angriff noch schwieriger.

Info: Seit wann gibt es eigentlich Verschlüsselungstrojaner?

Es ist keine neue Erfindung, Computernutzer mit einer Software zu erpressen. Schon 1989 war die sogenannte „AIDS-Trojaner-Disc“ im Umlauf. Dabei handelte es sich um eine Diskette, die der Biologe Joseph L. Popp an 20.000 Teilnehmer der Welt-Aids-Konferenz verschickte. Die Diskette enthielt ein Schadprogramm, das die Festplatte des betroffenen Rechners verschlüsselte.

Der Erpresser Popp forderte von seinen Opfern 189 US-Dollar für die Freischaltung der Daten. Die Summe sollten die Betroffenen an eine Firma namens „PC Cyborg“ mit Sitz in Panama überweisen. Der Unternehmensname war letztlich auch Namensgeber für die erste bekannte Ransomware: „PC Cyborg Trojaner“.

Im Jahr 2011 wurde schließlich der erste Verschlüsselungstrojaner über das Internet verbreitet. Es handelte sich dabei um TROJ_PGPCODER.A. Die Cyberkriminellen verlangten von den betroffenen Nutzern mehrere hundert US-Dollar Lösegeld, um den Rechner wieder freizuschalten.

Wie funktioniert Ransomware und wie kommt sie auf den Computer?

Ransomware ist im Gegensatz zu Computerviren oder Internetwürmern meist eine komplexere Software. Denn zunächst muss die Malware auf den Computer gelangen und dort die Dateien blockieren oder verschlüsseln. Dafür sind umfangreichere Programmierleistungen erforderlich.

Die Verbreitung von Ransomware ist im Gegensatz zur Komplexität der Programmierung einfach und gleicht der Infizierung durch Computerwürmer oder Viren. So kann die Schadsoftware z.B. durch infizierte E-Mail-Anhänge ebenso wie über manipulierte Websites auf einen Computer gelangen. Durch den Klick auf einen kompromittierten Mail-Anhang oder eine infizierte Website wird die Erpressersoftware gestartet. Sie installiert sich auf dem Rechner.

Nach der Installation ermittelt die Ransomware, wo sich die Systemfestplatte befindet und wo die zu verschlüsselnden Dateien zu finden sind. Sie generiert daraufhin einen Schlüssel und überschreibt den Master Boot Record.

Die Verschlüsselung oder die Sperrung des Bildschirms erfolgt dann nicht immer sofort. Je nach Art der Programmierung können kriminelle Hacker die Daten zu einem gewünschten Zeitpunkt verschlüsseln. Manchmal werden auch bestimmte Trigger programmiert, d.h. Bedingungen, unter welchen die Ransomware aktiv wird.

Sobald der Start erfolgt, wird das vorhandene Dateisystem von der Ransomware überschrieben und verschlüsselt. Auf dem Bildschirm des Rechners erscheint nach dem Reboot dann der Hinweis auf die Erpressung mit einer Zahlungsanweisung. Die Software ist meist so programmiert, dass der Hinweis bei jedem Mausklick oder jeder Tastatureingabe erscheint.

Manche Hacker programmieren die Ransomware so, dass immer ein Teil der verschlüsselten Daten gesperrt wird, wenn der Rechner neu gestartet wird. Andere Erpressungsmethoden sehen eine Löschung nach einer bestimmten Zeitspanne vor, in der kein Geld überwiesen wird.

Info:

Auch wenn die Programmierung von Ransomware nicht trivial ist, ist es für Hacker meist leicht, entsprechende Programme zu kaufen. Hier spielt das Darknet eine wichtige Rolle. Dort werden komplette Sets mit Erpressungssoftware zum Kauf angeboten. Für die Behörden ist eine Strafverfolgung im Darknet schwer, da die Identität der Anbieter dort nur unter hohem technischem Aufwand zu ermitteln ist.

Wie genau verdienen die Erpresser damit Geld?

Nach einer Ransomware-Attacke informieren die Erpresser auf einer eigenen Seite über die Zahlungsmodalitäten.

Üblich ist die Bezahlung in kaum nachverfolgbaren Bitcoin oder über Paysafe- bzw. Ukash-Cards. Die Cyberkriminellen versprechen auf der angezeigten Seite, dass sie den Code für den Entschlüsselung übermitteln, sobald das Geld überwiesen wurde. Allerdings sollten Verbraucher nicht automatisch damit rechnen, dass die Erpressung mit einer Zahlung endet.

Je nach Umfang und Wichtigkeit der verschlüsselten Daten verlangen die Erpresser wenige hundert bis mehrere tausend Dollar oder Euro.

Woran erkenne ich Ransomware?

Ransomware erkennen die meisten Nutzer leider erst dann, wenn der PC bereits infiziert wurde. Dann erscheint auf dem blockierten Bildschirm ein Erpresserschreiben mit dem Hinweis, dass der Rechner gesperrt bzw. Dateien verschlüsselt wurden. Viele Nutzer können dann auch nicht mehr nachvollziehen, wann ihr Rechner infiziert wurde, z.B. mit einem E-Mail-Anhang.

In manchen Fällen schlagen Antivirus-Programme Alarm, nachdem ein Virenscan durchgeführt wurde. Doch nicht alle Virenschutzprogramme erkennen Ransomware. Das gilt auch für Software, die keine aktuellen Virendefinitionen nutzt. Erschwert wird die Erkennung von Ransomware durch Virenschutz, weil sich die Erpressersoftware häufig automatisch löscht, nachdem die schädliche Funktion ausgeführt wurde.  

So können Sie sich vor Ransomware schützen

Wie andere Malware nutzt auch Ransomware Sicherheitslücken von Betriebssystemen, Apps und Software sowie unzureichenden Schutz durch Virenscanner, um sich auf einem Rechner oder Smartphone zu installieren. Mit diesen Maßnahmen können Sie Ransomware vorbeugen.

Erzeugen Sie Backups von Ihren Daten:

Cyberkriminelle drohen mit Ransomware damit, Ihre Dateien zu löschen. Deshalb ist es eine wirksame Maßnahme, alle wichtigen Dateien regelmäßig abzuspeichern. Nutzen Sie dafür am besten ein Offline-Speichermedium wie externe Festplatten. Trennen Sie diese Festplatte nach dem Speichern immer vom Rechner. So stellen Sie sicher, dass kein Hacker darauf zugreifen kann. Empfehlenswert ist es außerdem immer, ein Systembackup zu erstellen. Hat ein Hacker Ihr Betriebssystem und alle Dateien darauf gelöscht, können Sie es mit dem Backup leicht wiederherstellen. Führen Sie Backups regelmäßig durch.

Verwenden Sie ein Virenschutzprogramm mit Schutz vor Ransomware:

Durch die Verwendung eines Virenschutzprogramms reduzieren Sie die Gefahr, Opfer einer Erpressungssoftware zu werden. Installieren Sie immer alle notwendigen Updates und Aktualisierungen der Virendefinitionen. 

Aktualisieren Sie Ihr Betriebssystem immer bei neuen Updates:

Updates für Betriebssysteme sind wichtig für die Sicherheit Ihres PCs, denn durch die Updates werden meist auch Sicherheitslücken geschlossen.

Aktualisieren Sie Ihre Software:

Ob Browser oder Office-Programme, nur aktualisierte Software bietet eine ausreichende Grundsicherheit. Aktuelle Programme verhindern z.B., dass Ransomware über bekannte Sicherheitslücken eindringen kann.

Browser-Plugins:

Viele Virenschutzprogramme bieten Browser-Plugins, die schädliche Skripte erkennen und den Aufruf von infizierten Websites verhindern.

E-Mail-Scanner:

Aktivieren Sie den E-Mail-Scanner Ihrer Virenschutzsoftware. Diese Programme verhindern, dass Sie infizierte Datei-Anhänge öffnen. Der Virenschutz kann Ransomware direkt in Quarantäne stellen und löschen.

Verwenden Sie ein Gastkonto zum Login:Wenn Sie sich immer als Admin in Ihren PC einloggen, können Kriminelle über Ransomware alle sensiblen Bereiche Ihres Rechners noch einfacher erreichen. Nutzen Sie Ihren PC jedoch als Gast mit eingeschränkten Rechten, können Kriminelle nicht so tief in Ihr Computersystem vordringen und sind in ihren Möglichkeiten beschränkt.

Auf meinem Rechner ist Ransomware – was tun?

Wenn Ihr Rechner von Ransomware betroffen ist, sollten Sie trotz Meldung auf dem Bildschirm erst einmal Ruhe bewahren.

  1. Suchen Sie im Web, ob es bereits ähnliche Attacken wie Ihre gab. Viele Erpresser nennen mit der Lösegeldforderung auch die Art Ihres Trojaners. Häufig lassen die Erpresser die Browserfunktion noch zu. Denn schließlich soll das Lösegeld meist online und über das Tor-Netzwerk bezahlt werden. Wenn Sie die Art der Infektion kennen, finden sich meist auch passende Lösungen im Netz, wie Sie die Ransomware wieder loswerden. Eine mögliche Anlaufstelle ist „ID Ransomware“. Dort finden Sie Lösungen, wie Sie Verschlüsselungen durch bekannte Ransomware aufheben können.

  2. Alarmieren Sie die Polizei, wenn bereits Daten gestohlen oder gelöscht wurden.

  3. Wenn Sie ein Backup Ihrer Daten besitzen, können Sie versuchen, die Ransomware mit einem Virenscanner oder einem Online-Virenscanner zu beseitigen. Nach dem Entfernen sollten Sie Ihr Betriebssystem neu aufsetzen. Anschließend können Sie die Daten vom Backup wieder auf Ihren Rechner aufspielen.

Ransomware entfernen: So gehen Sie vor

Die einzige Möglichkeit, um Ransomware zu entfernen, ist der Scan mit einem aktuellen Virenschutz. Deshalb sollten Sie Ihren PC immer mit einem leistungsstarken Virenschutzprogramm betreiben.

Starten Sie damit einen Virenscan. Wenn die Ransomware nach dem Start bereits gelöscht wurde, erkennen viele Scanner die Schadsoftware nicht mehr. Hier kann dann nur noch eine Neuinstallation des Betriebssystems weiterhelfen.

Bekannte Ransomware

In den letzten Jahren gab es unterschiedliche Erpressersoftware, die Verbraucher und Unternehmen weltweit geschädigt hat.

  • Petya: Diese Malware hat PCs zu einem Neustart geführt und Dateien auf den betroffenen Rechnern für den Computer unkenntlich gemacht. Petya hat somit keine Dateien verschlüsselt, sondern den Zugang zu ihnen verhindert. Auf dem Lockscreen haben die Hacker hinter Petya dann die Lösegeldforderung platziert. Seit dem ersten Auftauchen 2016 wurde Petya aber entschlüsselt. Somit kann mit der Ursprungsdatei heute kaum mehr Schaden angerichtet werden.
  • Locky: Ebenfalls 2016 hat sich die Ransomware Locy verbreitet. Sie nutzte überwiegend E-Mail-Anhänge. Opfer waren vor allem Gesundheitseinrichtungen. In Los Angeles hat ein Krankenhaus 17.000 US-Dollar gezahlt, um wieder an die Patientendaten zu gelangen. Ende 2016 sind die Angriffe nahezu wieder verschwunden.
  • Wannacry: Im Jahr 2017 verbreitete sich die Ransomware Wannacry weltweit rasant. Sie nutzte eine Sicherheitslücke im Windows-Betriebssystem, vor allem in Windows 7. Nachdem Windows seine Nutzer mit Patches versorgte, wurde die Sicherheitslücke geschlossen. Eine kritische Rolle bei Wannacry hatte der amerikanische Geheimdienst NSA. Er kannte die Sicherheitslücke bereits lange bevor diese von Hackern zu kriminellen Zwecken genutzt wurde. Betroffen von Wannacry waren nicht nur Privatpersonen, sondern Unternehmen weltweit, darunter die Deutsche Bahn, die Autohersteller Nissan und Renault, chinesische Banken sowie Ministerien von Ländern auf der ganzen Welt.

Fazit: Ransomware ist gefährlich – mit Vorbeugung und Schutz aber zu verhindern

Ransomware kann großen Schaden und vor allem Verunsicherung bei Nutzern anrichten. Wer jedoch mit Backups und aktuellen Programmen sowie aktuellem Virenschutz vorbeugt, kann die Gefahr einer Infektion mit Erpressersoftware verringern.