Wissen

Malware, Schadsoftware & Co.: Was ist Ransomware?

von Thorsten Schierhorn, 05.11.2021

Nichtsahnend schalten Sie Ihren Computer ein. Doch anstatt des gewohnten Startbildschirms flimmert Ihnen ein Erpresserbrief entgegen. Ohne die Zahlung eines Lösegeldes sind Ihre Dateien für immer verloren, heißt es darin. Was für ein Ärger! Wenn Sie davon betroffen sind, haben Sie es höchstwahrscheinlich mit einer bestimmten Art von Malware zu tun, der so genannten Ransomware. Was Sie über die Erpressersoftware wissen müssen und wie Sie sich davor schützen – die KlarMacher verraten es Ihnen.

Themen in diesem Artikel

Was ist Malware?

Malware ist ein Kunstwort aus „malicious“ (englisch für schädlich) und „Software“. Der zusammengesetzte Begriff steht also für schädliche Software. Welche Art von Schaden ein solches Programm auf Ihrem Computer, Handy oder Tablet anrichtet, spielt keine Rolle für die Malware-Definition. Denn Malware ist schlicht der Überbegriff für jegliche Programme, die einem Gerät Schaden zufügen.

Übrigens: Falls Sie bereits von den Begriffen Schadsoftware oder Schadprogrammen gehört haben – Malware bezeichnet genau das Gleiche. Eine Übersicht zu den gängigsten Arten von Malware und die wichtigsten Sicherheitsmaßnahmen finden Sie im Artikel „Cyberkriminalität: Wie Kriminelle vorgehen und wie Sie sich schützen“.

Wie Hacker mit Ransomware ihre Opfer erpressen | Marktcheck SWR

Klicken Sie hier, um die Inhalte von YouTube anzuzeigen.

Meine Zustimmung kann ich jederzeit unter Datenschutz widerrufen.

© SWR Marktcheck 

Was ist Ransomware?

Ransomware ist eine bestimmte Art von Malware. Wenn Ihr Computer mit Ransomware infiziert ist, blockiert diese den Zugang zum System oder verschlüsselt gespeicherte Daten. Erst nachdem Sie ein Lösegeld (englisch „ransom“) zahlen, erhalten Sie wieder Zugang – so verspricht es die Erpressersoftware.

Der Unterschied zu anderer Schadsoftware ist, dass Ransomware in direkten Kontakt mit den Nutzer*innen eines betroffenen Systems tritt. Grundsätzlich gibt es zwei Formen von Ransomware:

  1. Locker-Ransomware sperrt Ihren Computer mit einer Bildschirmsperre (auch Screenlocker genannt). Anstatt des gewohnten Startbildschirms begrüßt Sie ein Erpresserbrief, der ein Lösegeld fordert. Der Taskmanager (mit dem Sie Programme notfalls schließen können) ist nicht verfügbar und auch ein Neustart ist zwecklos. Des Weiteren gibt es Ransomware, die lediglich den Zugang zu bestimmten Apps oder Programmen unterbindet – in diesem Fall spricht man von einem App-Locker.
  2. Crypto-Ransomware sind Trojaner (Schadsoftware, die sich in unverdächtigen Programmen versteckt), die bestimmte Dateien oder Dateitypen auf Ihrer Festplatte verschlüsseln. Ganz egal, ob private Fotos oder berufliche Dokumente betroffen sind: Wenn Sie eine verschlüsselte Datei öffnen wollen, erscheint eine Warnmeldung, die eine Geldsumme verlangt. Oft beinhaltet die Nachricht einen Countdown und droht damit, die Daten zu löschen, wenn die geforderte Summe nicht bezahlt wird.

Sollte ich das Lösegeld bei einem Ransomware-Angriff bezahlen?

Sollte ich das Lösegeld bei einem Ransomware-Angriff bezahlen?

Nein. Sowohl Experten als auch Ermittlungsbehörden raten, den Forderungen der Cyberkriminellen nicht nachzugehen.

Viele Erpresser*innen haben von vornherein nicht die Absicht, ihren Teil der Abmachung einzuhalten – und gar keine Möglichkeit zur Entschlüsselung in der Ransomware eingebaut. Oder es besteht die Möglichkeit, dass die Cyberkriminellen den Zugang für kurze Zeit freischalten. Und das nur, um diesen einige Zeit später erneut zu sperren und ein noch höheres Lösegeld zu fordern. Bei der Lösegeldzahlung mit Kreditkarte können die Angreifer*innen außerdem Ihre Zahlungsdaten abgreifen und ihr Konto in einen Selbstbedienungsladen verwandeln. 

Deshalb: Verhandeln Sie nicht mit Erpresser*innen!

Außerdem gibt es Ransomware, die einen Screenlocker mit der Verschlüsselung von Dateien kombiniert, sowie Untertypen beider Ransomware-Varianten. Dazu gehört beispielsweise Scareware. Das ist eine gefälschte Virenschutz-Software, die Fehler und Probleme auf einem Computer findet, die gar nicht existieren. Die Software verlangt jedoch Geld, um die fiktiven Probleme zu beheben. 

Etwas anders funktioniert die so genannte Doxware (auch: Leaksware): Sie erpresst Ihre Opfer mit angeblich gestohlenen Dateien. Wird kein Lösegeld bezahlt, dann werden die Daten veröffentlicht, droht die Schadsoftware. 

Allgemein gilt: Insbesondere Computer mit Windows-Betriebssystem sind anfällig für Ransomware-Angriffe. Allerdings kann die erpresserische Schadsoftware auch Ihr Handy oder Tablet befallen. Das Lösegeld wird in der Regel in Form von Bitcoin oder anderen Kryptowährungen eingefordert. 

So gelangt Ransomware auf Ihr System

Im Grunde ist das Phänomen der digitalen Erpressung nichts Neues. Bereits in den 1990er-Jahren traten die ersten Ransomware-Attacken auf. Damals sperrten die Erpresserprogramme bevorzugt den Desktop einzelner PCs. Heutzutage sind die Angriffe ausgefeilter und Cyberkriminelle setzen vermehrt auf die Verschlüsselung von Dateien oder Systemen.

Und das, obwohl sich das Vorgehen der Erpresser*innen in den letzten Jahren nur wenig verändert hat: Ransomware gelangt meist über Social-Engineering-Angriffe wie etwa Phishing-E-Mails auf Ihren PC. Solche Phishing-E-Mails sehen zum Beispiel so aus, als kämen sie von Ihrer Bank. Angeblich bräuchte man Informationen von Ihnen oder müsse Ihr Konto sperren. In Wahrheit haben Kriminelle diese Mails gesendet. Meistens enthalten sie einen Link auf eine gefälschte Website. Auf dieser Fake-Seite wird die Schadsoftware dann unbemerkt im Hintergrund auf Ihren Rechner geladen.

Alternativ kann die Nachricht einen Anhang samt bösartigem Code enthalten, der die Ransomware auf Ihr System lädt. Außerdem ist es möglich, dass Sie ohne eigenes Zutun mit Ransomware zu kämpfen haben. Denn in manchen Fällen reicht es bereits, wenn ein Gerät von einem solchen Malware-Angriff betroffen ist, das in einem Netzwerk mit Ihrem verbunden ist. Dadurch sind insbesondere Unternehmen anfällig für Ransomware, die sich automatisch auf alle Computer im Firmennetzwerk ausbreitet.

Ein geöffneter Laptop zeigt ein E-Mail-Programm und eine Benachrichtigung
© istock/juststock/2018  Schadprogramme wie Ransomware gelangt meistens über Phishing-Mails auf Ihren Computer.

Wie kann ich mich vor Ransomware schützen?

Der Schutz vor Ransomware beginnt mit einem gesunden Misstrauen. Sie minimieren die Infektionsgefahr, wenn Sie keine unsicheren Websites besuchen und keine E-Mail-Anhänge unbekannter Absender öffnen. Eine gute Antivirensoftware hilft Ihnen dabei, trügerische Mails oder Anhänge bereits im Vorfeld zu identifizieren. Außerdem sollten Sie Ihre Firewall immer aktiviert lassen. 

Darüber hinaus kann spezielle Anti-Malware-Software wie RansomFree oder Malwarebytes die Sicherheit Ihres Systems verbessern. Sie hält bekannte Ransomware davon ab, Dateien zu verschlüsseln und entfernt diese stattdessen rechtzeitig vom System. Da Cyberkriminelle jedoch kontinuierlich neue Arten der Erpressersoftware entwickeln, sollten Sie die folgenden Verhaltensregeln im täglichen Umgang mit dem PC beachten:

  • Backups anlegen: Der beste Schutz vor Ransomware sind Backups in regelmäßigen Abständen, die Sie auf einer externen Festplatte oder in der Cloud ablegen. Geeignete Cloud-Dienste sind zum Beispiel Dropbox oder Google Drive. Wenn Sie Ihr System und die zugehörigen Daten jederzeit wiederherstellen können, nimmt das den Angreifer*innen die Grundlage für die Erpressung. Wichtig ist jedoch, dass Backups und Sicherungskopien getrennt von Ihrem System gespeichert werden, da diese sonst ebenfalls Opfer einer Verschlüsselung oder Sperre werden können.
  • Updates und Patches installieren: Aktualisieren Sie regelmäßig Ihr Betriebssystem. Dadurch werden bekannte Sicherheitslücken automatisch geschlossen, die sonst von Cyberkriminellen ausgenutzt werden können. Aus demselben Grund sollten Sie auch alle weiteren Programme wie Antivirensoftware, Office-Anwendungen oder den Internet-Browser immer auf dem neuesten Stand halten.
  • Browser-Schutz: Unsichere Websites zählen zu den größten Risikofaktoren für Ransomware- und Malware-Angriffe. Doch es ist nicht immer erkennbar, ob eine Seite sicher ist oder nicht. Browser wie Firefox und Google Chrome nutzen bereits den Safe-Browsing-Service, um vor gefährlichen Downloads zu warnen. Darüber hinaus können Sie einen Adblocker installieren, der – neben Werbung – auch gefährliche Domains blockiert.
  • Lesezeichen nutzen: Erstellen Sie sich Lesezeichen für alle Websites, die Sie regelmäßig besuchen. Das gilt insbesondere für vertrauliche Dienste, zum Beispiel Ihr Online Banking. So vermeiden Sie, über eine Phishing-Mail auf eine gefälschte Seite geleitet zu werden. Außerdem beugen Sie dadurch Tippfehlern beim Eingeben der Adresse vor. Denn manche Hacker*innen besorgen sich bewusst Domains mit Namen, die nur leicht von bekannten Websites abweichen. Sie spekulieren auf Vertipper und versuchen, beim Aufruf einer solchen Seite Schadsoftware zu verteilen.
  • Dateinamenerweiterungen einblenden: Wenn Sie die Standardeinstellungen von Windows verwenden, werden die Dateiendungen gängiger Dateitypen ausgeblendet. Das heißt: Wenn ein Dateiname zum Beispiel „Rechnung.pdf“ lautet, sehen Sie als Dateiname nur „Rechnung“, denn die Dateiendung pdf wird ja nicht angezeigt. So sehen Sie aber auch nicht, wenn eine Datei eigentlich vielleicht „Rechnung.pdf.exe“ heißt. Die Dateiendung exe steht aber für ein ausführbares Programm, das Ihr System mit Malware infizieren könnte. Setzen Sie deshalb das Häkchen bei Dateinamenerweiterungen im Windows-Explorer – Sie finden die Einstellungsmöglichkeit im Reiter Ansicht.
  • Gastkonto anlegen: Vor so mancher Malware schützen Sie sich, indem Sie sich nicht mit dem Admin-Account auf Ihrem Computer anmelden. Ein Admin-Account bedeutet, dass Sie Programme installieren und ins Betriebssystem eingreifen können. Sie kennen das vielleicht von Ihrem Firmenrechner, bei dem das nur die Systemadministrator*innen können. Besser: Legen Sie sich auch beim privaten Rechner ein Gastkonto an. Ein solcher Account besitzt weniger Rechte, so kann Ransomware weniger Schaden anzurichten.
Laptop mit angeschlossener externer Festplatte und der Aufschrift Backup
© gettyimages/Halfdark  Mit einem Backup können Ransomware-Angriffe keinen großen Schaden anrichten.

Ransomware entfernen: Wie gehe ich vor?

Was können Sie tun, wenn Sie – trotz aller Vorsichtsmaßnahmen – einer solchen Erpressungssoftware zum Opfer gefallen sind? Wenn Ihr Computer und Ihre wichtigen Dateien durch ein Backup gesichert sind, haben wir gute Nachrichten für Sie: In diesem Fall können Sie Ihr System einfach wiederherstellen und die Schadsoftware dadurch entfernen. Wenn Sie kein Backup erstellt haben und kein Lösegeld zahlen wollen (und dies auch nicht tun sollten), bleiben Ihnen diese zwei Möglichkeiten:

1. Die Malware entfernen

Wenn Ihr Computer von Ransomware befallen ist und Ihnen kein Backup zur Verfügung steht, können Sie versuchen, die Malware zu entfernen. Dabei gehen Sie wie folgt vor:

  1. Gerät vom Netzwerk trennen: Malware nutzt jede Chance, um sich zu vermehren. Indem Sie alle Netzwerkverbindungen kappen, verhindern Sie, dass sich die Ransomware auf andere Geräte ausbreitet.
  2. Ransomware identifizieren: Als Nächstes müssen Sie herausfinden, welchem konkreten Malware-Angriff Sie zum Opfer gefallen sind. Zu den bekanntesten Ransomware-Varianten zählen beispielsweise WannaCry oder Locky – allerdings werden ständig neue Arten der erpresserischen Schadsoftware entwickelt. Mithilfe von Websites wie Crypto Sheriff (englischsprachig) oder ID Ransomware finden Sie heraus, mit welcher Art von Ransomware Sie es zu tun haben. Dafür müssen Sie die Lösegeldforderung sowie eine von der Malware verschlüsselte Datei hochladen. Wenn das auf Ihrem Rechner wegen der Sperrung nicht klappt, wechseln Sie auf einen anderen Rechner. Dort können Sie sonst auch erst einmal nach dem Text der Lösegeldforderung googeln.
  3. Dateien entschlüsseln: Mit ein wenig Glück konnte die Ransomware identifiziert werden und es gibt bereits ein Entschlüsselungstool. In diesem Fall schlagen Ihnen die oben genannten Websites entsprechende Programme vor, die Sie direkt herunterladen können. 
  4. Ransomware endgültig entfernen: Auch wenn Ihre Daten mithilfe eines Entschlüsselungsprogramms gerettet werden konnten: Die Ransomware selbst ist dadurch noch nicht von Ihrem System gelöscht. Führen Sie deshalb einen Scan mit der neuesten Version Ihrer Antivirensoftware oder einem Malware-Cleaner durch, um die Schadsoftware zu entfernen. 

2. Ihr Gerät neu aufsetzen

Nicht alle Ransomware-Varianten sind bereits entschlüsselt und nicht jede Malware lässt sich so einfach entfernen. Im Zweifel wenden Sie sich an eine*n Expert*in, der*die Ihre Daten mit ein wenig Glück wiederherstellen kann. Alternativ können Sie Ihre Festplatte austauschen und darauf hoffen, dass die Schadsoftware in der Zukunft entschlüsselt wird. 

Andernfalls bleibt Ihnen nichts anderes übrig, als den Verlust der Daten in Kauf zu nehmen und Ihr Gerät komplett neu aufzusetzen. Wenn Sie jedoch wachsam sind und Ihren Computer durch regelmäßige Backups sichern, dann ist Ransomware nur etwas, worüber Sie ab und zu im Internet lesen.

Wie hat dir der Artikel gefallen?

0
0

Das könnte Sie auch interessieren: