Was ist Ransomware und wie kann man sich vor einem Angriff schützen?

Heutzutage nehmen Kriminelle nicht nur Menschen, sondern auch Daten und Geräte in Geiselhaft, um Lösegeld zu erpressen – und zwar mit sogenannter Ransomware. Wie genau diese Erpresser-Software funktioniert, wie man Ransomware erkennen und entfernen kann und was Sie tun können, wenn Sie betroffen sind, erfahren Sie hier. Zudem haben wir einige Tipps, mit welchen Maßnahmen Sie vorsorgen und wie Sie sich besser vor Ransomware schützen können, zum Beispiel mithilfe einer Cyber-Sicherheitslösung wie Avira Free Security. 

 

Wie funktioniert Ransomware?  

Bei Ransomware (von englisch ransom für „Lösegeld“), auch Erpresser-Trojaner genannt, handelt es sich um eine Art von Malware, genauer gesagt, um eine spezielle Form von Trojaner. Sie verhindert den Zugriff auf Dateien oder sogar den gesamten Computer, bis von dem Betroffenen ein Lösegeld gezahlt wird. Dabei verschlüsselt Ransomware bestimmte oder alle Dateien oder sperrt den Bildschirm und somit den Zugang zum System. Die Opfer von Ransomware werden darüber informiert, dass sie einen bestimmten Geldbetrag – häufig in Kryptowährungen – zahlen müssen, um wieder auf ihren Computer bzw. ihre Dateien zugreifen zu können.  

In der Regel drohen die Cyber-Kriminellen damit, nach Ablauf einer Frist die Dateien dauerhaft zu löschen und/oder online zu veröffentlichen. Doch selbst die Zahlung des Lösegelds ist leider keine Garantie dafür, dass die Geschädigten den Schlüssel zur Entsperrung bzw. Entschlüsselung erhalten. Denn Ehrlichkeit hat unter Dieben nicht unbedingt höchste Priorität…   

Ransomware ist eine der größten Cyber-Bedrohungen überhaupt und richtet jedes Jahr Schäden in Milliardenhöhe an. Ransomware entwickelt sich permanent weiter und regelmäßig tauchen neue Arten, Familien, Varianten und Stämme mit eigenen Signaturen und Funktionen auf. Dabei werden die Angriffe auch immer ausgefeilter und komplexer und mittlerweile gibt es sogar Mehrfach-Erpressungen. Zudem bieten Cyber-Kriminelle mit Ransomware-as-a-Service (RaaS) vermehrt entsprechende Dienstleistungen im Darknet an. So können auch Kriminelle ohne technische Kenntnisse Ransomware-Angriffe ausführen lassen.  

Der erste dokumentierte Fall von Ransomware war der AIDS-Trojaner von 1989. Der Evolutionsbiologe Joseph L. Popp verschickte per Post 20.000 Disketten mit der Aufschrift „AIDS Information – Introductory Diskettes“ an Teilnehmer der internationalen AIDS-Konferenz der WHO. Sie waren mit einem Trojaner infiziert, der die Dateien auf dem Computer verschlüsselte. Um die Dateien entschlüsseln zu können und wieder Zugang zu erhalten, sollten die Betroffenen 189 Dollar an ein Postfach in Panama schicken. Dr. Popp wurde gefasst, jedoch für verhandlungsunfähig erklärt, nachdem er damit begann, mit einem Pappkarton auf dem Kopf herumzulaufen.  

Heutzutage wird Ransomware zwar nicht mehr per Diskette, sondern vor allem online verbreitet. Allerdings kann Ransomware auch auf USB-Sticks versteckt werden und weiterhin per Post zu den potenziellen Opfern gelangen. 

Besonders betroffene Branchen und Ransomware-Beispiele 

Ransomware kann prinzipiell gegen jede Privatperson, jede Organisation und jedes Unternehmen eingesetzt werden. Dabei stehen nicht nur große, sondern auch kleine und mittelständische Unternehmen im Visier, da diese häufig vergleichsweise schlechter geschützt sind. Zu den häufigsten Zielen gehören: Regierungsbehörden auf nationaler und kommunaler Ebene, das Bildungs-, Finanz- und Gesundheitswesen, IT & Technologie, Fertigung & Industrie, der Einzelhandel und Dienstleistungen. 

Vertrauliche und sensible Daten sind für Ransomware-Angreifer besonders lukrativ, weil die Betroffenen sie unbedingt zurückerhalten wollen. Daher sind unter anderem Krankenversicherungen, Krankenhäuser und Gesundheitsministerien ein beliebtes Ziel. Bei dem Angriff auf den nationalen irischen Gesundheitsdienst im Jahr 2021 legte die kriminelle Bande Wizard Spider alle Services lahm und forderte Berichten zufolge 20 Millionen US-Dollar für die Wiederherstellung. Die Folge war ein Quasi-Ausfall der Netzwerke, und in einigen Gebieten fielen bis zu 80 % der medizinischen Termine aus.    

2021 kompromittierte die Ransomware-Bande REvil das Netzwerk des taiwanesischen PC-Herstellers Acer und stellte eine der höchsten Lösegeldforderungen aller Zeiten: Es wurden 50 Millionen US-Dollar verlangt. Ob das Unternehmen den Betrag gezahlt hat, ist allerdings nicht bekannt.  

Mit Costa Rica war 2022 zum ersten Mal ein Land gezwungen, als Reaktion auf einen groß angelegten kombinierten Ransomware-Angriff auf fast 30 staatliche Institutionen den nationalen Notstand auszurufen. Die Ransomware-Gruppe Conti forderte 10 Millionen US-Dollar (später wurde der Betrag auf 20 Millionen erhöht). Der Vorfall hatte insbesondere Auswirkungen auf den Außenhandel, Lohnzahlungen und Ermittlungen der Staatseinnahmen und -ausgaben. Die Regierung zahlte nicht und so landeten die gestohlenen Daten größtenteils im Darknet. 

Welche Ransomware-Arten gibt es?  

Jede Ransomware verhält sich etwas anders, aber im Großen und Ganzen kann sie in zwei Kategorien unterteilt werden:  

  1. Locker-Ransomware: nicht verschlüsselnde, sondern bildschirmsperrende Ransomware
  2. Krypto-Ransomware: verschlüsselnde Ransomware

Mittlerweile werden auch hybride Ransomware-Angriffe durchgeführt, die beide Arten kombinieren oder zusätzliche Malware und Hacking-Methoden hinzufügen. Dabei kann es sich zum Beispiel um Backdoor-Funktionen zur Fernsteuerung des infizierten Geräts oder um Leakware zur Exfiltration von Daten handeln. 

Während bei einem Ransomware-Angriff der Zugriff auf das System bzw. die Daten nach einer Lösegeldzahlung wiederhergestellt werden kann (zumindest theoretisch), ist das bei den sogenannten Whipern, auch destruktive Malware genannt, nicht der Fall. Diese zielen nur darauf ab, Daten zu vernichten und lassen sich anfangs nicht immer von Ransomware unterscheiden. So war es zum Beispiel bei NotPetya, die der Ransomware-Variante Petya ähnelte (daher der Name), und eine Lösegeldforderung stellte, aber eine zufällig generierte Bitcoin-Adresse anzeigte und somit eine Zahlung gar nicht möglich war.  

Locker-Ransomware 

Locker-Ransomware wird auch Desktopblocker (oder kurz Blocker) genannt und sperrt das infizierte System, indem sie den Zugriff auf das Betriebssystem oder bestimmte Funktionen des Systems einschränkt oder deaktiviert. 

Dafür ändert die Locker-Ransomware die Einstellungen des Betriebssystems oder startet eine spezielle Anwendung, die ein Fenster mit der Lösegeldforderung über den gesamten Desktop legt. Das überlagernde Fenster ist oft so konzipiert, dass es nicht einfach geschlossen oder umgangen werden kann, sodass der Benutzer keine Möglichkeit hat, auf Programme oder Bedienelemente wie die Taskleiste und das Startmenü zuzugreifen.  

MBR Ransomware  

Bei dieser eher seltenen Variante, die auch als Bootlocker-Ransomware bezeichnet wird, sperrt die Ransomware ebenfalls den Zugriff auf das System, jedoch indem sie den Master Boot Record (MBR) überschreibt, manipuliert oder verschlüsselt, also den Teil der Festplatte, welcher das Hochfahren des Betriebssystems ermöglicht. Die Lösegeldforderung erscheint beim Startvorgang des Computers, bevor das Betriebssystem geladen wird.  

Die Ransomware-Variante RedBoot tat jedoch nicht nur das, sondern verschlüsselte zudem auch noch alle Dateien. MBR Ransomware kann also auch in Verbindung mit anderen Ransomware-Techniken eingesetzt werden, was zu vielschichtigen Angriffen führt, die schwieriger zu beheben sind. 

Krypto-Ransomware 

Diese verschlüsselnde Ransomware, auch Krypto-Trojaner, Cryptolocker oder Verschlüsselungstrojaner genannt, ist im Allgemeinen die gängigere der beiden übergeordneten Ransomware-Arten. Hier kommen fortschrittliche Verschlüsselungsalgorithmen zum Blockieren von Dateien oder ganzen Ordnerstrukturen und Laufwerken zum Einsatz. Betroffene finden in der Regel eine Textdatei mit Anweisungen für die Zahlung im Ordner der Dateien, auf die sie keinen Zugriff mehr haben. 

Während ältere Ransomware-Stämme nur bestimmte Dateien wie Systemdateien oder persönliche Dateien verschlüsselten, kann fortschrittlichere Ransomware nicht nur den MBR manipulieren, sondern zusätzlich noch das Master File Table (MFT), die Dateisystemtabelle der Festplatte, verschlüsseln. So können sie den Zugriff auf alle Dateien und das Betriebssystem sperren, wie es beispielsweise die Petya-Ransomware getan hat. 

Mehrfach-Erpressungen durch Leakware & Co. 

Bei der einfachen Erpressung, auch Single Extortion genannt, werden die Dateien „nur“ verschlüsselt, wohingegen sie bei der doppelten Erpressung, der Double Extortion, auch noch kopiert und gestohlen werden. In diesem Fall wird zusätzlich damit gedroht, die erbeuteten Daten zu veröffentlichen. Dabei kann es sich um sensible Daten von Unternehmen oder intime Dateien von Privatpersonen handeln. Diese Ransomware-Art wird auch als Leakware oder Doxware bezeichnet. Während sie in ihrer früheren Form Daten nur stehlen, jedoch nicht verschlüsseln konnte, kann sie heutzutage oft beides.  

Die dreifache Erpressung (Triple Extortion) setzt noch einen drauf bzw. einen dritten Hebel an und droht des Weiteren damit, mit den gestohlenen Daten die betreffenden Kunden, Geschäftspartner oder Patienten zu erpressen. Oder die Erpresser kontaktieren diese direkt und drohen mit Veröffentlichung der Daten. Je nach Inhalt der erbeuteten Daten können sich noch weitere Handlungsoptionen ergeben (Multiple Extortion oder Mehrfacherpressungen).  

Als vierter Vektor (Quadruple Extortion oder vierfache Erpressung) kann beispielsweise ein DDoS-Angriff ausgeführt werden, um die Erreichbarkeit der Webseiten zu unterbinden und somit den Druck weiter zu erhöhen.  

Mobile Ransomware 

Auch Android-Geräte wie Smartphones und Tablets können mit Ransomware infiziert werden, zum Beispiel über Drive-by-Downloads, gefälschte Updates, Phishing-Angriffe, schädliche Game Plugins oder infizierte Apps. In der Regel handelt es sich hierbei um bildschirmsperrende Locker-Ransomware, da die Daten eines Smartphones bei einer Verschlüsselung relativ leicht wiederhergestellt werden können, zum Beispiel über Cloud-Backups. Die Ransomware-Variante DoubleLocker änderte allerdings die Geräte-PIN auf den betroffenen Smartphones und verschlüsselte zusätzlich alle Daten. 

iPhone-Nutzer haben hingegen Glück: Es gibt derzeit keine iOS-Ransomware. Allerdings können Cyber-Kriminelle so tun also ob und mithilfe von Scareware einen Ransomware-Angriff vortäuschen, ohne dabei tatsächlich den Zugriff auf die Daten oder Dateien Gerät zu sperren. 

Wie laufen Ransomware-Angriffe ab? 

Ein Ransomware-Angriff kann in verschiedene Phasen unterteilt werden, die je nach Ransomware-Variante und Angriffsmethode variieren können. Zudem kann Ransomware auch verzögert aktiv werden und sich über Wochen oder Monate nach der Infektion im Schlafmodus befinden, zum Beispiel um zu einem bestimmten Zeitpunkt zuzuschlagen oder für einen koordinierten Angriff eingesetzt zu werden. 

Ransomware-Angriffe können zusätzliche oder weniger Schritte enthalten oder in einer veränderten Reihenfolge erfolgen, aber prinzipiell laufen sie folgendermaßen ab:  

Infektion/Infiltration: Die erste Phase, auch „Erstzugriff“ genannt, besteht darin, in das Zielsystem einzudringen. Dies kann über unterschiedliche Wege erfolgen, wie wir Ihnen im nächsten Abschnitt näher erläutern werden. 

  1. Einnistung und Ausführung: Nach dem Eindringen führt die Ransomware ihre bösartigen Aktionen auf dem infizierten System aus. Dies beinhaltet oft das Herunterladen und Ausführen von schädlichem Code, der darauf abzielt, Dateien zu verschlüsseln oder das System zu beeinträchtigen. 
  2. Ausbreitung: Die Ransomware versucht sich auszubreiten und weitere Systeme im Netzwerk zu infizieren, was auch als laterale Bewegung oder Lateralausbreitung bezeichnet wird. Dazu können auch Geräte wie USB-Sticks und externe Festplatten sowie Netzlaufwerke und Cloud-Speicherdiensten gehören, die ihren Online-Speicher mit lokalen Ordnern synchronisieren. 
  3. Verschlüsselung & Exfiltration: Die Ransomware sucht nun nach wertvollen Daten bzw. bestimmten Dateitypen, wie Dokumenten, Bildern oder Datenbanken, und verschlüsselt sie mit einem starken Verschlüsselungsalgorithmus. Dadurch werden die Dateien für den Benutzer unlesbar und unbrauchbar gemacht. Vor der Verschlüsselung kann es auch zu einer Exfiltration von Daten kommen, d.h., dass diese kopiert und exportiert werden, um den Betreffenden doppelt zu erpressen, wie oben beschrieben.  
  4. Lösegeldforderung: Nachdem die Dateien verschlüsselt wurden bzw. das Gerät gesperrt wurde, wird dem Opfer eine Lösegeldforderung präsentiert. Dies kann durch eine Nachricht auf dem Bildschirm des infizierten Systems geschehen oder durch eine Textdatei, die den Opfern Anweisungen zur Zahlung eines Lösegelds gibt. Oft wird eine Frist gesetzt, innerhalb der das Lösegeld gezahlt werden muss, um die Dateien zurückzuerhalten.
  5. Zahlung und Entschlüsselung (optional): Wenn das Opfer bereit ist, auf die Forderung einzugehen, erhält es nach der Lösegeldzahlung manchmal (aber nicht immer!) eine Software oder einen Schlüssel (auch Key genannt) in Form eines Codes. Mithilfe dieser Software oder dieses Schlüssels können die Dateien entschlüsselt bzw. das System entsperrt werden.  

Wie befällt Ransomware einen Computer oder ein System? 

Auch wenn es sich bei Ransomware um kein Virus handelt, kann sie auf den gleichen Wegen wie Viren und andere Malware-Arten auf Ihren Computer gelangen. Und auch die Schutzmaßnahmen, die Sie ergreifen können, sind weitestgehend die gleichen. Weiter unten in diesem Artikel erfahren Sie ausführlich, wie Sie sich vor Ransomware-Angriffen schützen können. 

Folgende Infektionsmethoden sind besonders verbreitet: 

Wie können Sie sich vor Ransomware schützen? 

Zum Glück können Sie sich mit einigen Vorsichtsmaßnahmen vor Ransomware schützen und mithilfe eines Virenschutzes die beliebtesten Einfallstore besser abschirmen. Er hilft Ihnen auch bei der Erkennung und Entfernung von Ransomware. 

Mit diesen Tipps sind Sie Cyber-Erpressern immer einen Schritt voraus:  

  1. Sichern Sie Ihre Daten regelmäßig
    Wenn es um den Schutz vor Ransomware geht, sind regelmäßige Backups Ihres Systems das A und O. Denn wenn Ihre Daten gesichert sind, können Angreifer Sie nicht mehr erpressen ‒ ganz einfach. Nutzen Sie dafür am besten eine externe Festplatte und das integrierte Windows Backup-Tool bzw. Time Machine für Mac und/oder einen Cloud-Speicherdienst wie Windows OneDrive oder Apples iCloud. Achten Sie darauf, dass Ihr Speichermedium standardmäßig vom Netzwerk getrennt ist, da sich eine Ransomware-Infektion über das gesamte Netzwerk verbreiten kann.  
  1. Aktualisieren Sie regelmäßig Ihr Betriebssystem und Ihre Programme
    Da Ransomware-Infektionen auch über Sicherheitslücken in Betriebssystemen und Programmen erfolgen können, sollten Sie diese regelmäßig aktualisieren. Denn Updates erhalten häufig sogenannte Patches, die diese Schwachstellen beheben. Ein Software-Updater kann Ihnen dabei helfen und die Suche nach neuen Updates aus sicherer Quelle abnehmen. So können Sie dafür sorgen, dass nur „saubere“ Updates auf Ihren PC gelangen.  
  1. Verwenden Sie eine Virenschutzlösung
    Neben einer Firewall bietet ein leistungsstarker Virenschutz gleich auf mehreren Ebenen einen besseren Schutz vor Ransomware-Angriffen. Besonders wenn Ihre Cyber-Sicherheitslösung über folgende Funktionen verfügt, wie sie zum Beispiel in Avira Free Security bzw. Avira Prime enthalten sind. 
  1. Schützen Sie auch Ihre Mobilgeräte vor Ransomware
    Mit Avira Antivirus Security können Sie auch Ihre Android-Geräte besser vor Malware wie Ransomware schützen und viele weitere kostenlose Funktionen nutzen. Dazu gehört neben einem Virenschutz unter anderem ein VPN, mit dem Sie Ihren Datenverkehr in ungesicherten öffentlichen WLANs verschlüsseln und sicherer surfen können.
    Avira Mobile Security für iOS
    enthält ebenfalls ein VPN sowie weitere nützliche Features. Die Pro-Version der beiden Apps bietet zusätzlich einen Webschutz, mit dem Sie sich besser vor schädlichen Webseiten und Phishing-Angriffen schützen können. 
  1. Seien Sie stets auf der Hut

Wie sollte man auf einen Ransomware-Angriff reagieren? 

Wenn Sie Opfer eines Ransomware-Angriffs geworden sind und kein Backup Ihres Computers haben, heißt es erst einmal Ruhe zu bewahren und nicht übereilt zu handeln. 

Das sollten Sie nun tun: 

Wie kann man Ransomware erkennen und entfernen? 

Leider kann man Ransomware in der Regel nicht erkennen, bis sie zugeschlagen hat. Daher lässt sie sich auch nicht so einfach entfernen. In diesem Fall können Sie leider nur wie oben beschrieben vorgehen.  

Ein guter Virenschutz hilft Ihnen jedoch proaktiv und kann nicht nur Ransomware, sondern auch andere Schadsoftware frühzeitig erkennen und schädliche Aktionen verhindern. Der Echtzeitschutz von Avira überwacht beispielsweise das System kontinuierlich im Hintergrund. Erkennt er eine verdächtige Datei oder Aktivität, blockiert er automatisch deren Zugriff oder Ausführung. Zudem empfehlen sich regelmäßige System-Scans, um Ransomware rechtzeitig erkennen und entfernen zu können 

Die All-in-One-Schutzlösung Avira Free Security enthält darüber hinaus noch einen Software-Updater, mit dem Sie Sicherheitslücken schließen können, sowie einen Browserschutz, mit dem Sie Ihre Online-Aktivitäten besser schützen können. So können Sie sich auf gleich mehreren Ebenen besser gegen Ransomware-Angriffe absichern. 

 

Dieser Artikel ist auch verfügbar in: EnglischFranzösischItalienisch

Die mobile Version verlassen