Ransomware

Ransomware sind Schadprogramme, die den Computer sperren oder darauf befindliche Daten verschlüsseln. Die Täter erpressen ihre Opfer, indem sie deutlich machen, dass der Bildschirm oder die Daten nur nach einer Lösegeldzahlung wieder freigegeben werden.
Was heißt Ransomware?

Das Wort „ransom“ kommt aus dem Englischen und bedeutet auf Deutsch „Lösegeld“. Genau darum geht es bei der Ransomware. Deshalb wird sie auch als Erpressersoftware bezeichnet. Manchmal sprechen Experten auch von Verschlüsselungstrojanern, da die Erpressung darauf basiert, dass die Daten für den Nutzer unauflöslich codiert werden. Was sich bei diesen alternativen Titeln abzeichnet, ist die Funktionsweise von Ransomware: Sie schleicht sich ins System und der User stellt mit Schrecken fest, dass sein Computer gesperrt ist.

Im Prinzip gibt es zwei verschiedene Arten von Ransomware: Screenlocker und File-Encrypter.

Screenlocker sperren den Bildschirm.

File-Encrypter verschlüsseln die Daten auf dem Computer und nehmen Kinderfotos, Text-Dateien und wichtige Ordner als Geisel.


Wie macht sich Ransomware bemerkbar?

In der Regel ist der blockierte Bildschirm oder der Erpresserbrief, der sich nicht mehr schließen lässt, das erste, was der Nutzer von der Ransomware mitbekommt. Einige Ransomware-Varianten haben eine Inkubationszeit. Das heißt, dass die schädliche Wirkung erst eintritt, wenn sich der User nicht mehr daran erinnern kann, wann und wo er sich eventuell einen Erpressungstrojaner eingefangen haben könnte.

Ein Schadprogramm kann auch von einem Virenscanner erfasst werden und sich als positives Scan-Ergebnis bemerkbar machen. Wer keine Antiviren-Lösung installiert hat, bemerkt Ransomware jedoch leider erst, wenn es bereits zu spät ist. Da sich viele Erpressungstrojaner nach dem Ausführen ihrer schädlichen Funktion selbst wieder löschen, ist es für Security-Software eine echte Herausforderung, den Schädling zu erkennen. Das erste, was der Computer-Besitzer dann von der Ransomware mitbekommt, ist ein Hinweisfenster mit einer Zahlungsaufforderung, das sich nicht mehr schließen lässt.

Wie kann ich mir womöglich Ransomware eingefangen haben?

Ihre Verbreitungswege unterscheiden sich dabei kaum von denen anderer Malware: Oft gelangt sie über eine manipulierte Website, zu der ein Link aus einer Spam-Mail oder einer Nachricht über ein soziales Netzwerk führt, auf den Rechner. Manchmal verschicken die Täter auch E-Mails, die eine vermeintliche Mahnung oder einen Lieferschein enthalten. In Wirklichkeit verbirgt sich in der angehängten Datei jedoch keine wichtige Information, sondern der Schadcode.
Was passiert genau, wenn Ransomware auf dem Computer ist?

Der Klick auf einen Link zu einer Website oder zu einer Dropbox aktiviert den Download eines Installers – so gelangte beispielsweise der Verschlüsselungstrojaner Petya im Frühjahr 2016 auf zahlreiche Rechner. Petya erzwingt einen Neustart des Computers und tauscht dann das normalerweise genutzte Startprogramm, die Master Boot Record (MBR), gegen ein schädliches Ladeprogramm aus.

DDanach zwingt Petya den Computer zu einem Neustart und täuscht dem User vor, dass die Datei-System-Struktur überprüft wird, wie es etwa nach einem Systemabsturz der Fall ist. Doch tatsächlich überprüft Petya nicht etwa das System auf seine Funktionstüchtigkeit: Petya verschlüsselt die Daten selbst nicht, sondern macht sie lediglich für den User unzugänglich. Der Computer kann die Dateien dann nicht mehr erkennen und kann auch nicht feststellen, ob sie überhaupt noch da sind.

Nach einem erneuten erzwungenen Neustart erscheint der sogenannte Lockscreen mit den Forderungen der Erpresser. Bei vielen Arten von Ransomware wird es ab diesem Zeitpunkt schwierig, die Dateien kostenlos zu entschlüsseln. Petya dagegen wurde mittlerweile entschlüsselt, so dass niemand mehr Lösegeldzahlung zahlen muss, um seine Daten wiederzubekommen.
Wie funktioniert Ransomware?

Früher sperrten Erpresserprogramme vor allem den Desktop einzelner PCs. Mittlerweile sind solche eher kleinen Angriffe mit Screenlockern recht selten geworden. Heute kommen Verschlüsselungsprogramme deutlich häufiger vor als solche Screenlocker. Die Inhalte der Festplatte werden dabei so verschlüsselt, dass der Nutzer nicht mehr darauf zugreifen kann.

Im Sperrbildschirm taucht meistens eine Adresse auf, eine Webseite oder eine Formularmaske, die die Forderungen und die Zahlungsmethoden erklären. Die Erpresser versprechen dort, dass sie nach Eingang der Zahlung die Daten wieder entschlüsseln. Einige Täter drohen damit, die Daten für immer verschwinden zu lassen, wenn das Opfer mit der Polizei spricht. Es gibt inzwischen sogar Ransomware, die für jede Stunde, in der noch keine Zahlung erfolgt ist, verschlüsselte Dateien löscht. Damit der Nutzer die Bedrohung nicht durch Abschalten des PCs aussitzen kann, vernichtet die Software beim Neustart des Systems gleich viele Dateien auf einmal.
Wie genau verdienen die Erpresser damit Geld?

Der Anstieg der in den Umlauf gebrachten Ransomware-Dateien lässt sich auch darauf zurückführen, dass sie sich mittlerweile recht einfach herstellen lassen: Im Darknet gibt es sogenannte Crimeware-Kits, mit denen sich Schadprogramme nach dem Baukastenprinzip zusammenstellen lassen. Das Programmieren oder Programmieren-Lassen von Ransomware ist also recht einfach und kostengünstig. Während die Kriminellen wenig Geld in die Erstellung hineinstecken, können Sie bestenfalls sehr viel herausholen: Über den Sperrbildschirm informieren die Täter die Opfer über die Zahlungsmodalitäten.

Bezahlen lassen sich die Cyberkriminellen per Paysafe- oder Ukash-Cards oder mit der Online-Währung Bitcoin. Das Lösegeld beträgt in vielen Fällen um die 400 Euro. Manchmal werden für die Entschlüsselung aber auch mehrere tausend Euro fällig: Je nachdem, wie wichtig die Daten sind, wie etwa bei der Erpressung der Krankenhäuser mit Locky. Wenn das Opfer diese Zahlung vorgenommen hat, wird sie dem Täter gutgeschrieben. Idealerweise gibt er im Gegenzug die Daten wieder frei.

Hotline: 0152 - 07170632