Skip to main content

Ransomware

Was ist Ransomware?

Der Begriff Ransomware (aus dem Englischen: ransom = Lösegeld) bezeichnet eine Form von Erpresser-Software. Rechner beinhalten eine Vielzahl von Daten, beispielsweise sensible geschäftliche E-Mails oder private Fotos. Erpresser zielen auf diese Daten ab, machen diese für den Nutzer unzugänglich und fordern ein Lösegeld für die Freigabe dieser Informationen. Experten bezeichnen diese Form von Schadsoftware auch als Verschlüsselungs-Trojaner. Dies gibt bereits Rückschluss auf die Funktionsweise, da die Daten auf eine Weise verschlüsselt werden, dass der Nutzer keinen Zugriff mehr darauf hat.

Überblick und Allgemeines

Ransomware ist darauf ausgerichtet, Nutzer zu erpressen und auf diese Weise ein Lösegeld einzufordern. Daten werden unauflöslich codiert und verhindern einen regulären Zugriff. Da einige Nutzer keine regelmäßigen Backups beziehungsweise Datensicherungen durchführen, droht der Verlust. Grundsätzlich sind zwei verschiedene Arten zu unterscheiden: Screen Locker sowie File Encrypter. Während Screen Locker den gesamten Bildschirm sperren, verschlüsseln File Encrypter Daten auf dem Rechner. Auf diese Weise werden Fotos, Textdokumente oder sensible Informationen als Geisel genommen. Erpresser spielen nun mit der Angst der Nutzer vor Datenverlust und erpressen ein Lösegeld zur Freigabe der Daten. Allgemein raten Experten von der Zahlung des Lösegelds ab, da keine Freigabe zu erwarten ist.

Geschichte und Entwicklung

Grundsätzlich existiert bereits seit Jahrzehnten Malware, die darauf ausgelegt ist, Daten als Geisel zu nehmen. Eine Art Vorläufer heutiger Ransomware ist der AIDS-Trojaner aus dem Jahr 1989. Dieser auch PC Cyborg genannte Trojaner breitete sich über die damals weit verbreiteten Floppy-Disketten aus. Auf diese Weise sollten infizierte Daten durch eine Lösegeldzahlung von 189 US-Dollar wieder freigegeben werden, die per Scheck nach Panama geschickt werden sollten. Eine eigentliche Verschlüsselung der Daten erfolgte erstmals 2006 mit Archiveus. Weitere Verbreitung fand Ransomware zusammen mit der Nutzung anonymer Online-Zahldienstleister. Entsprechende Erpressungstrojaner wurden etwa in E-Mails integriert, die beispielsweise vorgeblich von einer Strafverfolgungsbehörde stammen. Aufgrund angeblicher Copyright-Verletzungen wollten diese den Nutzer kontaktieren. Einen vorläufigen Höhepunkt erreichten Ransomware-Attacken erst im Jahr 2017. Internationale Bekanntheit erlangten die Angriffe durch Petya und WannaCry.

Symptome und Indikatoren

Bemerkbar macht sich Ransomware typischerweise entweder durch einen blockierten Bildschirm oder durch einen Erpresserbrief auf dem Rechner. Diese Symptome sind meist die ersten, die einem Anwender bewusst werden. Sie treten also erst auf, wenn der Befall bereits eingetreten ist. Allerdings haben einige Formen der Ransomware eine Art Inkubationszeit. Die Schadwirkung tritt mit einer gewissen Verzögerung ein. Das heißt in der Praxis, dass sich Anwender nicht mehr daran erinnern können, wo und wie es zur Infektion mit dem Trojaner gekommen sein kann.

Malware lässt sich auch durch Schutzsoftware wie Virenscanner erfassen. Bei einem gründlichen Scan machen sich entsprechende Schadprogramme dann bemerkbar. Mangelt es an einer guten Antiviren-Lösung, bemerken Anwender die Ransomware jedoch erst in Form ihrer Symptome. Einige Erpressungstrojaner löschen sich selbsttätig, nachdem sie ihre Schadfunktion ausgeführt haben. Aus diesem Grund ist die Identifikation der Malware eine Herausforderung.

Beispiele

Einem größeren Publikum wurde Ransomware in Form des CryptoLockers bekannt. Dieser tauchte erstmals im Jahr 2013 auf und findet sich als Anhang von Spam-E-Mails. Er basiert auf der RSA Public Key Encryption. Diese Verschlüsselungsmethode kommt zur Anwendung, um Daten auf infizierten Rechnern zu verschlüsseln. Für die Freigabe sollen Lösegelder gezahlt werden, wobei kriminelle Anwender mit CryptoLocker und seinen Varianten eine Summe von etwa 3 Millionen US-Dollar erpresst haben.

WannaCry

Nachdem CryptoLocker den Weg für weitere Ransomware-Varianten geebnet hatte, kam es im Mai 2017 zum Aufkommen der bisher bedeutsamsten Attacke. Unter dem Namen WannaCry verbreitete sich eine Ransomware, die eine existenzielle Bedrohung für viele Betroffene darstellt. Nachdem WannaCry Mitte Mai 2017 in Umlauf gebracht wurde, waren bereits innerhalb von vier Tagen mehr als 250.000 Systeme betroffen. Diese Attacke war international und betraf innerhalb dieser wenigen Tage bereits 116 Länder. Auch qualitativ bedeutete WannaCry eine neue Dimension der Bedrohung, da es Hackern gelang, wirkmächtige gestohlene Hacking-Werkzeuge der NSA einzusetzen.

Das Tool EternalBlue nutzt Schwachstellen im Microsoft Windows-SMB-Protokoll aus. Zwar hat der Konzern schon einige Monate zuvor ein Sicherheits-Update veröffentlicht, doch hatten zu diesem Zeitpunkt nur wenige Unternehmen dieses installiert. Dies ebnete den Weg für die Ausbreitung der WannaCry-Ransomware über mehrere Endgeräte und vollständige Netzwerke.

Petya und NotPetya

Bereits 2016 tauchte die Ransomware Petya erstmals auf. In einer bestimmten Variante verbreitet sie sich seit Ende Juni 2017. Petya nutzt dabei die gleiche Sicherheitslücke wie bereits WannaCry. Aus diesem Grund sind zahlreiche Netzwerke und Geräte, darunter auch Computer von Regierungseinrichtungen und Krankenhäusern betroffen. Ein auffälliger Schwerpunkt liegt bei Petya auf der Ukraine und auf Russland. Beobachter gehen davon aus, dass es den Hackern nicht um Lösegeld, sondern die gezielte Vernichtung von Daten ging.

SimpleLocker

Mit der Ransomware SimpleLocker zielen Hacker bewusst auf mobile Betriebssysteme. Insbesondere mobile Endgeräte mit Android sind betroffen. Dies ist vor dem Hintergrund der Tatsache zu verstehen, dass immer mehr sensible Informationen und Daten auf mobilen Endgeräten vorhanden sind. Auch wichtige Unternehmensdaten finden ihren Weg auf Android-Geräte. Mobile Daten werden ohne direkten Kontakt zu den Cyber-Angreifern verschlüsselt. Eine Erkennung des Trojaners durch Security-Software ist schwierig. Bei SimpleLocker handelt es sich um eine vergleichsweise geringe Anzahl betroffener, von denen etwa 75 Prozent aus den USA stammen. Die Infektion erfolgt meist über Downloads aus dubiosen inoffiziellen App-Stores.

Abwehr- und Schutzmaßnahmen

In vielen Fällen liegt das Einfallstor für Malware beim Anwender selbst. Der Faktor Mensch ist angreifbar und empfänglich für verschiedene vermeidbare Attacken. Oft beginnen Ransomware-Angriffe etwa mit Phishing-Mails. Eine Infektion hängt entsprechend oft mit Unvorsicht des Anwenders zusammen. Im Zusammenhang mit einem Bewusstsein für die Bedrohungslage sprechen Experten auch von Ransom-Awareness.

Regelmäßige Backups

Die wichtigste vorbeugende Maßnahme gegenüber Ransomware liegt in regelmäßigen Backups. Wenn Gewissheit darüber herrscht, dass wichtige Daten gesichert sind, erscheinen Erpressungen weniger bedrohlich. Wichtig ist es hierbei, die Backups außerhalb des betreffenden Systems durchzuführen. Hierfür eignen sich etwa externe Festplatten, die nach der Sicherung vom Rechner und vom Internet getrennt werden. Selbst im Falle einer Ransomware-Attacke können Nutzer wichtige Inhalte wieder herstellen.

Updates

Das eingesetzte Betriebssystem ist regelmäßig zu aktualisieren. Eventuelle Sicherheitslücken werden vom Betreiber in regelmäßigen Abständen geschlossen. Gleiches gilt für jedwede eingesetzte Software sowie für den Webbrowser. Für den Browser empfehlen sich Erweiterungen und Plug-ins, die den Schutz erhöhen. Hierzu gehören etwa Skript-Blocker. Eine Maßnahme gegen die bereits erfolgte Infektion sind sogenannte Ransomware Cleaner. Diese Softwarelösungen unterstützen Nutzer dabei, gesperrte Bildschirme wieder nutzbar zu machen und die zugrunde liegende Malware zu entfernen.

Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG