Was haben Sie denn so auf Ihrem Computer? Wichtige E-Mails, geheime Dateien aus dem Büro oder sogar alte Fotos von Ihren Kindern? Im Laufe eines Computer-Lebens sammeln sich zahlreiche persönliche, vielleicht auch geschäftliche, aber auf jeden Fall sensible Daten auf der Festplatte. Und genau das macht Sie erpressbar. Wenn statt Ihres gewohnten Startbildschirms plötzlich nur noch ein Totenkopf oder ein Erpresserbrief auf Ihrem Monitor erscheint, haben Sie es höchstwahrscheinlich mit Ransomware zu tun.
Das Wort „ransom“ kommt aus dem Englischen und bedeutet auf Deutsch „Lösegeld“. Genau darum geht es bei der Ransomware. Deshalb wird sie auch als Erpressersoftware bezeichnet. Manchmal sprechen Experten auch von Verschlüsselungstrojanern, da die Erpressung darauf basiert, dass die Daten für den Nutzer unauflöslich codiert werden. Was sich bei diesen alternativen Titeln abzeichnet, ist die Funktionsweise von Ransomware: Sie schleicht sich ins System und der User stellt mit Schrecken fest, dass sein Computer gesperrt ist.
Ransomware sind Schadprogramme, die den Computer sperren oder darauf befindliche Daten verschlüsseln. Die Täter erpressen ihre Opfer, indem sie deutlich machen, dass der Bildschirm oder die Daten nur nach einer Lösegeldzahlung wieder freigegeben werden. Im Folgenden erklären wir Ihnen, wie Cybererpresser mit der Angst der Menschen spielen und sich so auf deren Kosten bereichern.
In der Regel ist der blockierte Bildschirm oder der Erpresserbrief, der sich nicht mehr schließen lässt, das erste, was der Nutzer von der Ransomware mitbekommt. Einige Ransomware-Varianten haben eine Inkubationszeit. Das heißt, dass die schädliche Wirkung erst eintritt, wenn sich der User nicht mehr daran erinnern kann, wann und wo er sich eventuell einen Erpressungstrojaner eingefangen haben könnte.
Ein Schadprogramm kann auch von einem Virenscanner erfasst werden und sich als positives Scan-Ergebnis bemerkbar machen. Wer keine Antiviren-Software installiert hat, bemerkt Ransomware jedoch leider erst, wenn es bereits zu spät ist. Da sich viele Erpressungstrojaner nach dem Ausführen ihrer schädlichen Funktion selbst wieder löschen, ist es für Security-Software eine echte Herausforderung, den Schädling zu erkennen. Das erste, was der Computer-Besitzer dann von der Ransomware mitbekommt, ist ein Hinweisfenster mit einer Zahlungsaufforderung, das sich nicht mehr schließen lässt.
...der Nutzer weltweit haben noch NIE ein Backup gemacht.
Quelle: World Backup Day
...der Befragten haben Angst vor dem Verlust von Fotos und Videos.
Quelle: Umfrage Acronis
...der Befragten nutzen eine externe Festplatte zur Datensicherung.
Quelle: Umfrage Kroll Ontrack
Ihre Verbreitungswege unterscheiden sich dabei kaum von denen anderer Malware: Oft gelangt sie über eine manipulierte Website, zu der ein Link aus einer Spam-Mail oder einer Nachricht über ein soziales Netzwerk führt, auf den Rechner. Manchmal verschicken die Täter auch E-Mails, die eine vermeintliche Mahnung oder einen Lieferschein enthalten. In Wirklichkeit verbirgt sich in der angehängten Datei jedoch keine wichtige Information, sondern der Schadcode.
PC-Nutzer auf diese Weise zu erpressen ist keine neue Erfindung. Die erste dokumentierte Ransomware, die AIDS Trojaner Disk, wurde bereits 1989 in Umlauf gebracht und damals noch über eine Diskette verbreitet. Der Evolutionsbiologe und Harvard Absolvent Joseph L. Popp verschickte damals 20.000 infizierte Disketten mit der Beschriftung „AIDS Information – Introductory Diskette. So schleuste er die Erpressersoftware auf die Rechner der Teilnehmer der Welt-AIDS-Konferenz der Weltgesundheitsorganisation.
Die Schadsoftware ersetzte eine System-Konfigurationsdatei und fing nach neunzig Neustarts an, die Festplatte zu verschlüsseln. Um wieder an die Daten zu gelangen, sollten die Opfer 189 US-Dollar per Post an die Firma PC Cyborg in Panama schicken. Deshalb wurde die erste Ransomware auch als PC Cyborg Trojaner bekannt.
Der Klick auf einen Link zu einer Website oder zu einer Dropbox aktiviert den Download eines Installers – so gelangte beispielsweise der Verschlüsselungstrojaner Petya im Frühjahr 2016 auf zahlreiche Rechner. Petya erzwingt einen Neustart des Computers und tauscht dann das normalerweise genutzte Startprogramm, die Master Boot Record (MBR), gegen ein schädliches Ladeprogramm aus.
Danach zwingt Petya den Computer zu einem Neustart und täuscht dem User vor, dass die Datei-System-Struktur überprüft wird, wie es etwa nach einem Systemabsturz der Fall ist. Doch tatsächlich überprüft Petya nicht etwa das System auf seine Funktionstüchtigkeit: Petya verschlüsselt die Daten selbst nicht, sondern macht sie lediglich für den User unzugänglich. Der Computer kann die Dateien dann nicht mehr erkennen und kann auch nicht feststellen, ob sie überhaupt noch da sind.
Nach einem erneuten erzwungenen Neustart erscheint der sogenannte Lockscreen mit den Forderungen der Erpresser. Bei vielen Arten von Ransomware wird es ab diesem Zeitpunkt schwierig, die Dateien kostenlos zu entschlüsseln. Petya dagegen wurde mittlerweile entschlüsselt, so dass niemand mehr Lösegeldzahlung zahlen muss, um seine Daten wiederzubekommen.
Früher sperrten Erpresserprogramme vor allem den Desktop einzelner PCs. Mittlerweile sind solche eher kleinen Angriffe mit Screenlockern recht selten geworden. Heute kommen Verschlüsselungsprogramme deutlich häufiger vor als solche Screenlocker. Die Inhalte der Festplatte werden dabei so verschlüsselt, dass der Nutzer nicht mehr darauf zugreifen kann.
Im Sperrbildschirm taucht meistens eine Adresse auf, eine Webseite oder eine Formularmaske, die die Forderungen und die Zahlungsmethoden erklären. Die Erpresser versprechen dort, dass sie nach Eingang der Zahlung die Daten wieder entschlüsseln. Einige Täter drohen damit, die Daten für immer verschwinden zu lassen, wenn das Opfer mit der Polizei spricht. Es gibt inzwischen sogar Ransomware, die für jede Stunde, in der noch keine Zahlung erfolgt ist, verschlüsselte Dateien löscht. Damit der Nutzer die Bedrohung nicht durch Abschalten des PCs aussitzen kann, vernichtet die Software beim Neustart des Systems gleich viele Dateien auf einmal.
Der erste über das Netz verbreitete Verschlüsslungstrojaner war TROJ_PGPCODER.A. Für seine Entschlüsselung forderten die Erpresser mehrere hundert Dollar. Das war 2005. Seit 2011 verzeichnen Sicherheitsexperten einen rasanten Anstieg von Ransomware-Attacken. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt: "Seit Mitte September 2015 hat sich die Bedrohungslage durch Ransomware deutlich verschärft". Vor allem in Deutschland stoßen Virenscanner seit Anfang 2016 vermehrt auf Ransomware, erklärt das BSI. Gegenüber Oktober 2015 fanden Sicherheitslösungen im Februar 2016 mehr als 10-mal so häufig Ransomware in Deutschland. Dieser Trend sei auch weltweit zu erkennen.
Der Anstieg der in den Umlauf gebrachten Ransomware-Dateien lässt sich auch darauf zurückführen, dass sie sich mittlerweile recht einfach herstellen lassen: Im Darknet gibt es sogenannte Crimeware-Kits, mit denen sich Schadprogramme nach dem Baukastenprinzip zusammenstellen lassen. Das Programmieren oder Programmieren-Lassen von Ransomware ist also recht einfach und kostengünstig. Während die Kriminellen wenig Geld in die Erstellung hineinstecken, können Sie bestenfalls sehr viel herausholen: Über den Sperrbildschirm informieren die Täter die Opfer über die Zahlungsmodalitäten.
Bezahlen lassen sich die Cyberkriminellen per Paysafe- oder Ukash-Cards oder mit der Online-Währung Bitcoin. Das Lösegeld beträgt in vielen Fällen um die 400 Euro. Manchmal werden für die Entschlüsselung aber auch mehrere tausend Euro fällig: Je nachdem, wie wichtig die Daten sind, wie etwa bei der Erpressung der Krankenhäuser mit Locky. Wenn das Opfer diese Zahlung vorgenommen hat, wird sie dem Täter gutgeschrieben. Idealerweise gibt er im Gegenzug die Daten wieder frei.
Beim Umgang mit Kriminellen ist immer Vorsicht und Skepsis geboten. Deshalb ist der generelle Rat: Zahlen Sie kein Lösegeld. Viele der Kriminellen haben von vornherein kein Interesse an Fairplay – und gar keine Möglichkeit zur Entschlüsselung geplant. Ihnen geht es allein um das Geld. Wer keine Sicherheitskopie oder ein Backup gemacht hat, verliert also in der Regel seine Dateien, nachdem sein Rechner mit Ransomware infiziert wurde. Verhandeln Sie nicht mit Erpressern.
Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät, den Forderungen nicht nachzugehen. Auf Fairness brauche niemand zu hoffen. Und wer mit Kreditkarte zahlt, macht aus einem Konto einen Selbstbedienungsladen. Ein Erpresser kann plötzlich mehr Geld für die Herausgabe der Daten fordern oder über eine „Hintertür“ im System zu einem späteren Zeitpunkt nochmals die Daten verschlüsseln. Er fordert dann wiederum Geld – selbst wenn er zunächst sein Versprechen zu halten scheint und die Daten freigibt. Mit einer Zahlung geht man also in mehrfacher Hinsicht ein Risiko ein.
Wenn Sie entgegen aller Warnungen das Lösegeld zahlen wollen, sollten sie vorher keine Komponenten der Ransomware vom PC entfernen. Diese sind nämlich unter Umständen das Schloss, in den Sie den Schlüssel, den Sie nach der Zahlung eventuell erhalten, stecken müssen. Ohne Schloss kann der Entschlüsselungscode unbrauchbar werden und Ihre Dateien bleiben unwiderruflich verschlüsselt. Außerdem sind die Komponenten unter Umständen auch in dem Fall wichtig, dass Ermittlungsbehörden ein Schlag gegen die Cyber-Kriminellen gelingt – dann gibt es häufig sogenannte Decrypter, die Betroffenen helfen, ihre Daten ohne die Zahlung wiederherzustellen. Die in den Komponenten enthaltenen Informationen sind dabei nötig, um den Wiederherstellungsschlüssel zu generieren.
Falls Sie tatsächlich einen Schlüssel erhalten haben und damit Ihre Dateien entschlüsseln konnten, sollten Sie danach umgehend die Ransomware von Ihrem Rechner löschen. Machen Sie sich jedoch immer bewusst, dass die Kriminellen sich Ihnen gegenüber nicht verpflichtet fühlen und Sie gegebenenfalls Geld und Daten verlieren. Zudem halten Sie so die kriminelle Maschinerie aufrecht. Denn wenn niemand zahlt, lohnt sich für die Kriminellen irgendwann der Aufwand nicht mehr. Deshalb sei an dieser Stelle nochmals betont: Entscheiden Sie sich bewusst gegen eine Lösegeldzahlung.
Sollten Sie trotz aller Vorsicht Opfer einer Attacke geworden sein, hilft oft nur noch eines: die schädliche Software vom Computer löschen. Der zuverlässigste und zugleich gründlichste Weg, Ransomware loszuwerden ist es, das System auf den Werkszustand zurückzusetzen. Bevor Sie diesen Weg wählen, sollten Sie sich bewusstmachen, dass danach alle auf dem Computer befindlichen Dateien unwiderruflich verloren sind. Alternativ können Sie, sofern Sie regelmäßig ein Systembackup erstellt haben, Ihr System auf den Zustand zu einem früheren Zeitpunkt vor der Infektion zurücksetzen. So können Sie Ihren Rechner von dem Schädling befreien.
Verschlüsselungstrojaner
Ein Verschlüsselungstrojaner oder Crypto-Trojaner verschlüsselt Dateien auf dem Rechner und verlangt Lösegeld für die Entschlüsselung. Einige Trojaner-Familien verschlüsseln nur bestimmte Dateitypen wie Bilder, Dokumente oder Filme. Andere verschlüsseln alle Dateitypen und verschonen nur wenige Ordner. Populäre Familien sind CryptoLocker (nicht mehr aktiv), CryptoWall, CTB-Locker, Locky, TeslaCrypt und TorrentLocker. Eine recht neue Form ist Petya. Anstelle einzelner Dateien verschlüsselt er die Master File Table (das Inhaltsverzeichnis) der Festplatte. Danach sind die Dateien auf der Festplatte nicht mehr auffindbar.
App-Locker
Dieser Ransomware-Typ erpresst die Nutzer damit, dass er den Zugang zu Apps und Programmen unterbindet. So wird z.B. der Browser oder der Zugang zur Verwaltung des Netzwerkspeichers (NAS) blockiert. In einigen Fällen können sie mit Standard-Tools ausgehebelt werden. Es gibt nur wenige Schädlingsfamilien dieser Art, ein Beispiel ist Synolocker. Der Name lehnt sich daran an, dass der Schädling Produkte von Synology – einem Hersteller für NAS-Lösungen – im Visier hat.
Screenlocker
Ein Screenlocker blockiert den Zugang zum Rechner, indem er einen Sperrbildschirm anzeigt, der sich ständig in den Vordergrund schiebt und evtl. auch andere Prozesse beendet. Dadurch lässt sich der Rechner nicht mehr bedienen. Die bekannteste Familie aus diesem Bereich ist Reveton, auch BKA-Trojaner, GEZ-Trojaner oder FBI-Trojaner genannt.
Hybride
Es gibt auch Ransomware, die Screenlocker und Verschlüsselung kombinieren. Das macht die Wiederherstellung der Daten noch aufwendiger. Auch hier gibt es nur wenige Familien, z.B. Chimera.