4. September 2020

1 comments

Was ist Ransomware?

von Maximilian Steinert

4. September 2020

Verschlüsselungstrojaner

Wahrscheinlich hat jeder in den vergangenen Jahren das ein oder andere Mal den Begriff „Ransomware“ oder auch „Verschlüsselungstrojaner“ gehört. Oder waren Sie vielleicht schon einmal selbst betroffen? Jedenfalls ist Ransomware als eine der häufigsten Angriffsmethoden Cyberkrimineller bekannt. Doch was genau ist eigentlich Ransomware?

Was heißt Ransomware?

Der Begriff „Ransomware“ setzt sich aus den beiden Wortteilen „ransom“ und „ware“ zusammen. Während „ransom“ mit „Lösegeld“ ins Deutsche zu übersetzen ist, steht die Endung „ware“ für Programme, wie in Malware oder Software. Daraus kann man direkt ableiten wofür Ransomware steht: Für ein Programm, das Lösegeld erpressen soll. Doch wofür genau?

Hand mit Handschuh und Schlüssel andere Hand mit Geldscheinen und Laptop mit Schloss auf Bildschirm im Hintergrund als Symbol für Ransomware
Daten verschlüsselt! Sollte man das Lösegeld bezahlen?

Wie funktioniert die Erpressungssoftware?

Die Vorgehensweise von Ransomware lässt sich recht einfach zusammenfassen. Beim Befall eines Systems werden dort gespeicherte Daten verschlüsselt, sie lassen sich nicht mehr öffnen oder ausführen. Für die Entschlüsselung der Daten verlangen die Cyberkriminellen dann ein Lösegeld. In den meisten Fällen wird dies in Form von Kryptowährungen, wie zum Beispiel Bitcoin, verlangt. Die Offizielle Seite rät dazu die Lösegeldsumme nicht zu bezahlen, da sie zunächst keine Entschlüsselung garantiert. Auch zeigt jede erfolgreiche Erpressung den Erfolg des Angriffs und motiviert die Angreifer weiterzumachen. Meist macht sich die Ransomware durch einen sogenannten „Lockscreen“ bemerkbar. Dabei erscheint eine Meldung auf dem Bildschirm, die sie informiert, dass Ihre Daten verschlüsselt wurden. Dazu bekommen Sie eine Anleitung zum Entschlüsseln Ihrer Daten, also die Lösegeldforderung inklusive Bankverbindung und einer Deadline.

Die Art der verschlüsselten Daten unterscheidet sich von Fall zu Fall. Die Verschlüsselung kann sich auf einzelne Daten beziehen oder auf das gesamte befallene System.

Einige der bekanntesten Verbreitungsmechanismen von Verschlüsselungstrojanern sind das Versenden von E-Mails mit schadhaften Anhängen, Drive-by-Downloads beim Surfen auf verseuchten Internetseiten und per direktem Download infizierter Programme. Letzteres kann unwissentlich durch das Anklicken eines unbekannten Links passieren. Im Jahr 2017 kam mit der Ransomware WannaCry die Verbreitung durch ausnutzen einer Software-Schwachstelle dazu.

Welche Ziele verfolgen Ransomware-Attacken?

Das Ziel dieser Cyberattacken ist das Erpressen von Geldsummen. Dabei gibt es unterschiedliche Zielsysteme. Durch die breite Streuung der Schadsoftware gibt es meist kein konkretes Zielsystem. Daraus folgt, dass Privatpersonen ebenso betroffen sind wie Unternehmen.

Die Cyberkriminellen werden allerdings immer raffinierter im Entwickeln der Erpressungstrojaner. Im Jahr 2016 war eine Schadsoftware mit dem Namen „Locky“ im Umlauf, die sich in relativ kurzer Zeit in ganz Deutschland ausbreitete. Ein Grund dafür war, dass die E-Mails auf deutsch verfasst waren und täuschend echt aussahen. Nicht einmal einen Monat wurde ein zweiter Verschlüsselungstrojaner verschickt. Dieser war getarnt als Ratgeber des BKA inklusive eines angeblichen Analyse-Tools namens „BKA Locky Removal Kit.exe“.

Graue Zahlen auf weißem Hintergrund Schriftzug Locky in rot und Schlüssel als Symbol für Verschlüsselungstrojaner
„Locky“. Ein raffinierter Vertreter von Ransomware.

Wie kann man sich vor Ransomware schützen?

Zuverlässigen Schutz bietet zunächst die Schulung der eigenen Mitarbeiter hinsichtlich Security Awareness.

Da die Schadprogramme die Neugierde der Nutzer ausnützen, gelten im Allgemeinen die folgenden Verhaltenstipps:

  1. Öffnen Sie keine Anhänge, die nicht von einer vertrauenswürdigen Quelle stammen.
  2. Könnte ein Anhang etwas wichtiges enthalten, fragen Sie zunächst beim Absender nach
  3. Selbst Fehlermeldungen und -berichte mit Anhängen können Viren enthalten. Deshalb ist auch für Administratoren Vorsicht angebracht.
  4. Führen Sie kein Programm aus dem Internet oder auch von Freunden aus, wenn Sie nicht sicher sind, dass es vollkommen virenfrei ist.
  5. Für alle Systeme gilt: Spielen Sie Sicherheitsupdates regelmäßig ein!
  6. Benützen Sie einen Virenscanner und schalten Sie ihn nicht aus. Aktualisieren Sie den Scanner regelmäßig (stündlich) damit er zuverlässig funktioniert.
  7. Führen Sie regelmäßig Backups durch.