Malware, Schadsoftware & Co.: Was ist Ransomware?
Sollte ich das Lösegeld bei einem Ransomware-Angriff bezahlen?
Sollte ich das Lösegeld bei einem Ransomware-Angriff bezahlen?
Nein. Sowohl Experten als auch Ermittlungsbehörden raten, den Forderungen der Cyberkriminellen nicht nachzugehen.
Viele Erpresser*innen haben von vornherein nicht die Absicht, ihren Teil der Abmachung einzuhalten – und gar keine Möglichkeit zur Entschlüsselung in der Ransomware eingebaut. Oder es besteht die Möglichkeit, dass die Cyberkriminellen den Zugang für kurze Zeit freischalten. Und das nur, um diesen einige Zeit später erneut zu sperren und ein noch höheres Lösegeld zu fordern. Bei der Lösegeldzahlung mit Kreditkarte können die Angreifer*innen außerdem Ihre Zahlungsdaten abgreifen und ihr Konto in einen Selbstbedienungsladen verwandeln.
Deshalb: Verhandeln Sie nicht mit Erpresser*innen!
Außerdem gibt es Ransomware, die einen Screenlocker mit der Verschlüsselung von Dateien kombiniert, sowie Untertypen beider Ransomware-Varianten. Dazu gehört beispielsweise Scareware. Das ist eine gefälschte Virenschutz-Software, die Fehler und Probleme auf einem Computer findet, die gar nicht existieren. Die Software verlangt jedoch Geld, um die fiktiven Probleme zu beheben.
Etwas anders funktioniert die so genannte Doxware (auch: Leaksware): Sie erpresst Ihre Opfer mit angeblich gestohlenen Dateien. Wird kein Lösegeld bezahlt, dann werden die Daten veröffentlicht, droht die Schadsoftware.
Allgemein gilt: Insbesondere Computer mit Windows-Betriebssystem sind anfällig für Ransomware-Angriffe. Allerdings kann die erpresserische Schadsoftware auch Ihr Handy oder Tablet befallen. Das Lösegeld wird in der Regel in Form von Bitcoin oder anderen Kryptowährungen eingefordert.
So gelangt Ransomware auf Ihr System
Im Grunde ist das Phänomen der digitalen Erpressung nichts Neues. Bereits in den 1990er-Jahren traten die ersten Ransomware-Attacken auf. Damals sperrten die Erpresserprogramme bevorzugt den Desktop einzelner PCs. Heutzutage sind die Angriffe ausgefeilter und Cyberkriminelle setzen vermehrt auf die Verschlüsselung von Dateien oder Systemen.
Und das, obwohl sich das Vorgehen der Erpresser*innen in den letzten Jahren nur wenig verändert hat: Ransomware gelangt meist über Social-Engineering-Angriffe wie etwa Phishing-E-Mails auf Ihren PC. Solche Phishing-E-Mails sehen zum Beispiel so aus, als kämen sie von Ihrer Bank. Angeblich bräuchte man Informationen von Ihnen oder müsse Ihr Konto sperren. In Wahrheit haben Kriminelle diese Mails gesendet. Meistens enthalten sie einen Link auf eine gefälschte Website. Auf dieser Fake-Seite wird die Schadsoftware dann unbemerkt im Hintergrund auf Ihren Rechner geladen.
Alternativ kann die Nachricht einen Anhang samt bösartigem Code enthalten, der die Ransomware auf Ihr System lädt. Außerdem ist es möglich, dass Sie ohne eigenes Zutun mit Ransomware zu kämpfen haben. Denn in manchen Fällen reicht es bereits, wenn ein Gerät von einem solchen Malware-Angriff betroffen ist, das in einem Netzwerk mit Ihrem verbunden ist. Dadurch sind insbesondere Unternehmen anfällig für Ransomware, die sich automatisch auf alle Computer im Firmennetzwerk ausbreitet.
Wie kann ich mich vor Ransomware schützen?
Der Schutz vor Ransomware beginnt mit einem gesunden Misstrauen. Sie minimieren die Infektionsgefahr, wenn Sie keine unsicheren Websites besuchen und keine E-Mail-Anhänge unbekannter Absender öffnen. Eine gute Antivirensoftware hilft Ihnen dabei, trügerische Mails oder Anhänge bereits im Vorfeld zu identifizieren. Außerdem sollten Sie Ihre Firewall immer aktiviert lassen.
Darüber hinaus kann spezielle Anti-Malware-Software wie RansomFree oder Malwarebytes die Sicherheit Ihres Systems verbessern. Sie hält bekannte Ransomware davon ab, Dateien zu verschlüsseln und entfernt diese stattdessen rechtzeitig vom System. Da Cyberkriminelle jedoch kontinuierlich neue Arten der Erpressersoftware entwickeln, sollten Sie die folgenden Verhaltensregeln im täglichen Umgang mit dem PC beachten:
- Backups anlegen: Der beste Schutz vor Ransomware sind Backups in regelmäßigen Abständen, die Sie auf einer externen Festplatte oder in der Cloud ablegen. Geeignete Cloud-Dienste sind zum Beispiel Dropbox oder Google Drive. Wenn Sie Ihr System und die zugehörigen Daten jederzeit wiederherstellen können, nimmt das den Angreifer*innen die Grundlage für die Erpressung. Wichtig ist jedoch, dass Backups und Sicherungskopien getrennt von Ihrem System gespeichert werden, da diese sonst ebenfalls Opfer einer Verschlüsselung oder Sperre werden können.
- Updates und Patches installieren: Aktualisieren Sie regelmäßig Ihr Betriebssystem. Dadurch werden bekannte Sicherheitslücken automatisch geschlossen, die sonst von Cyberkriminellen ausgenutzt werden können. Aus demselben Grund sollten Sie auch alle weiteren Programme wie Antivirensoftware, Office-Anwendungen oder den Internet-Browser immer auf dem neuesten Stand halten.
- Browser-Schutz: Unsichere Websites zählen zu den größten Risikofaktoren für Ransomware- und Malware-Angriffe. Doch es ist nicht immer erkennbar, ob eine Seite sicher ist oder nicht. Browser wie Firefox und Google Chrome nutzen bereits den Safe-Browsing-Service, um vor gefährlichen Downloads zu warnen. Darüber hinaus können Sie einen Adblocker installieren, der – neben Werbung – auch gefährliche Domains blockiert.
- Lesezeichen nutzen: Erstellen Sie sich Lesezeichen für alle Websites, die Sie regelmäßig besuchen. Das gilt insbesondere für vertrauliche Dienste, zum Beispiel Ihr Online Banking. So vermeiden Sie, über eine Phishing-Mail auf eine gefälschte Seite geleitet zu werden. Außerdem beugen Sie dadurch Tippfehlern beim Eingeben der Adresse vor. Denn manche Hacker*innen besorgen sich bewusst Domains mit Namen, die nur leicht von bekannten Websites abweichen. Sie spekulieren auf Vertipper und versuchen, beim Aufruf einer solchen Seite Schadsoftware zu verteilen.
- Dateinamenerweiterungen einblenden: Wenn Sie die Standardeinstellungen von Windows verwenden, werden die Dateiendungen gängiger Dateitypen ausgeblendet. Das heißt: Wenn ein Dateiname zum Beispiel „Rechnung.pdf“ lautet, sehen Sie als Dateiname nur „Rechnung“, denn die Dateiendung pdf wird ja nicht angezeigt. So sehen Sie aber auch nicht, wenn eine Datei eigentlich vielleicht „Rechnung.pdf.exe“ heißt. Die Dateiendung exe steht aber für ein ausführbares Programm, das Ihr System mit Malware infizieren könnte. Setzen Sie deshalb das Häkchen bei Dateinamenerweiterungen im Windows-Explorer – Sie finden die Einstellungsmöglichkeit im Reiter Ansicht.
- Gastkonto anlegen: Vor so mancher Malware schützen Sie sich, indem Sie sich nicht mit dem Admin-Account auf Ihrem Computer anmelden. Ein Admin-Account bedeutet, dass Sie Programme installieren und ins Betriebssystem eingreifen können. Sie kennen das vielleicht von Ihrem Firmenrechner, bei dem das nur die Systemadministrator*innen können. Besser: Legen Sie sich auch beim privaten Rechner ein Gastkonto an. Ein solcher Account besitzt weniger Rechte, so kann Ransomware weniger Schaden anzurichten.
Ransomware entfernen: Wie gehe ich vor?
Was können Sie tun, wenn Sie – trotz aller Vorsichtsmaßnahmen – einer solchen Erpressungssoftware zum Opfer gefallen sind? Wenn Ihr Computer und Ihre wichtigen Dateien durch ein Backup gesichert sind, haben wir gute Nachrichten für Sie: In diesem Fall können Sie Ihr System einfach wiederherstellen und die Schadsoftware dadurch entfernen. Wenn Sie kein Backup erstellt haben und kein Lösegeld zahlen wollen (und dies auch nicht tun sollten), bleiben Ihnen diese zwei Möglichkeiten:
1. Die Malware entfernen
Wenn Ihr Computer von Ransomware befallen ist und Ihnen kein Backup zur Verfügung steht, können Sie versuchen, die Malware zu entfernen. Dabei gehen Sie wie folgt vor:
- Gerät vom Netzwerk trennen: Malware nutzt jede Chance, um sich zu vermehren. Indem Sie alle Netzwerkverbindungen kappen, verhindern Sie, dass sich die Ransomware auf andere Geräte ausbreitet.
- Ransomware identifizieren: Als Nächstes müssen Sie herausfinden, welchem konkreten Malware-Angriff Sie zum Opfer gefallen sind. Zu den bekanntesten Ransomware-Varianten zählen beispielsweise WannaCry oder Locky – allerdings werden ständig neue Arten der erpresserischen Schadsoftware entwickelt. Mithilfe von Websites wie Crypto Sheriff (englischsprachig) oder ID Ransomware finden Sie heraus, mit welcher Art von Ransomware Sie es zu tun haben. Dafür müssen Sie die Lösegeldforderung sowie eine von der Malware verschlüsselte Datei hochladen. Wenn das auf Ihrem Rechner wegen der Sperrung nicht klappt, wechseln Sie auf einen anderen Rechner. Dort können Sie sonst auch erst einmal nach dem Text der Lösegeldforderung googeln.
- Dateien entschlüsseln: Mit ein wenig Glück konnte die Ransomware identifiziert werden und es gibt bereits ein Entschlüsselungstool. In diesem Fall schlagen Ihnen die oben genannten Websites entsprechende Programme vor, die Sie direkt herunterladen können.
- Ransomware endgültig entfernen: Auch wenn Ihre Daten mithilfe eines Entschlüsselungsprogramms gerettet werden konnten: Die Ransomware selbst ist dadurch noch nicht von Ihrem System gelöscht. Führen Sie deshalb einen Scan mit der neuesten Version Ihrer Antivirensoftware oder einem Malware-Cleaner durch, um die Schadsoftware zu entfernen.
2. Ihr Gerät neu aufsetzen
Nicht alle Ransomware-Varianten sind bereits entschlüsselt und nicht jede Malware lässt sich so einfach entfernen. Im Zweifel wenden Sie sich an eine*n Expert*in, der*die Ihre Daten mit ein wenig Glück wiederherstellen kann. Alternativ können Sie Ihre Festplatte austauschen und darauf hoffen, dass die Schadsoftware in der Zukunft entschlüsselt wird.
Andernfalls bleibt Ihnen nichts anderes übrig, als den Verlust der Daten in Kauf zu nehmen und Ihr Gerät komplett neu aufzusetzen. Wenn Sie jedoch wachsam sind und Ihren Computer durch regelmäßige Backups sichern, dann ist Ransomware nur etwas, worüber Sie ab und zu im Internet lesen.