Beitrag von Florin Gruber, November 2018

Was ist Ransomware?

Ransomware (engl. Ransom = Lösegeld) ist eine der grössten aktuellen Bedrohungen für die Daten von Privatpersonen und Unternehmen. Doch was ist Ransomware überhaupt und was ist die Motivation der Leute, die sie entwickeln? Ein Überblick.

Was ist Ransomware

Definition Ransomware

Ransomware (auch Verschlüsselungstrojaner und Erpressungstrojaner genannt) bezeichnet eine Form von Schadsoftware, welche Dateien auf befallenen Systemen verschlüsseln, um Lösegeld für die Entschlüsselung zu erpressen. Oft muss das Lösegeld in Form von digitalen Währungen wie Bitcoin an die Erpresser bezahlt werden, damit diese nicht nachverfolgt werden können.

Ransomware verbreitet sich wie ein Computervirus über das Internet und Firmennetzwerke auf möglichst viele angeschlossene Computer. Dadurch können innert wenigen Wochen Hunderttausende bis Millionen von Rechnern infiziert werden. Der Besitzer eines infizierten Computers hat danach keinen Zugriff mehr auf die Daten, die sich darauf befinden. Dafür wird ihm in einem Fenster mitgeteilt, dass seine Daten verschlüsselt worden seien und wie er vorgehen muss, um die Verschlüsselung seiner Daten wieder Rückgängig zu machen. So geschehen mit WannaCry, einer Ransomware, welche im Jahr 2017 weltweit für Aufsehen gesorgt hat, weil sie Unternehmen, Spitäler und Computer von Privatpersonen in 180 Ländern infizieren konnte (Die Lücke in Windows, welche die Infizierung ermöglichte, wurde mit von Microsoft mit einem nachgereichten Patch mittlerweile geschlossen). Mehr zu WannaCry finden Sie in diesem Artikel.

Wieso wird Ransomware verbreitet, wer profitiert davon?

Von der Verbreitung profitieren die Urheber, indem sie auf das Lösegeld von verzweifelten PC-Nutzern hoffen, die sich aus der Not heraus zur Zahlung der geforderten Summer entscheiden. Diese Summe wird oft so gewählt, dass sie für den "normalen" Nutzer zahlbar ist, und liegt meist irgendwo zwischen 20-80 USD pro infiziertem Rechner. Obwohl von allen Behörden empfohlen wird, das Lösegeld unter keinen Umständen zu bezahlen, sind immer wieder Fälle bekannt geworden, wo auch Unternehmen grosse Summen an die Erpresser bezahlt haben. Dies meist aus der Not hinaus, da sie für das Tagesgeschäft unausweichlich auf die Daten angewiesen waren (z.B: Spitäler).

Das Lösegeld wird of in Form von digitalen Währungen wie Bitcoin gefordert, damit - so der Plan der Angreifer - die Zahlung nicht nachverfolgt werden kann.

In der Abbildung ist die Meldung zu sehen, die ein Benutzer eines mit WannaCry infizierten Rechners zu sehen bekam. Auffällig sind dabei auch die 2 Timer:

  • Der erste Timer zeigt an, in wieviel Zeit der Lösegeldbetrag erhöht wird
  • Der zweite Timer zeigt an, ab wann keine Zahlung mehr möglich ist und die Daten für immer verloren sind

Sobald der Betrag bezahlt ist, werden bei vielen Ransomware die Daten effektiv entschlüsselt und die Daten können wieder verwendet werden. Doch darauf kann und darf man sich nicht verlassen, denn eine Anlaufstelle um sich zu beschweren gibt es nicht. Deswegen wird von Behörden empfohlen, die Lösegeldforderung niemals zu begleichen und stattdessen auf die Entschlüsselungssoftware eines Antivirenherstellers zu warten. Meist ist ein solches Gegenmittel nach wenigen Tagen verfügbar und wird von den grossen Antivirensoftwarehäusern kostenlos zur Verfügung gestellt.

Wie kann ich mich gegen Ransomware schützen?

Verschlüsselungstrojaner gelangen über die selben Wege auf ein System wie andere Formen von Schadsoftware. Entsprechend sind auch die Schutzmassnahmen identisch:

  • Öffnen Sie keine Anhänge in E-Mails von unbekannten Quellen
  • Öffnen Sie keine Dateien von externen Geräten, die Sie z.B. am Boden gefunden haben
  • Installieren Sie ein Antivirusprogramm und aktualisieren dieses regelmässig
  • Installieren Sie regelmässige Updates für Ihr Betriebssystem
  • Seien Sie generell Vorsichtig im Umgang mit heruntergeladenen Dateien
  • Trennen Sie Ihren PC vom Internet, sollten sich darauf besonders sensible oder wichtige Daten befinden
  • Trennen Sie externe Laufwerke mit Backupdaten von Ihrem PC, so dass ein allfälliger Befall nicht darauf übergreifen kann
  • Erstellen Sie ein Backup Ihrer Daten, am besten auch ein Offsite-Backup

Was tun bei einem Befall mit Ransomware?

  • Allgemein gilt: Bezahlen Sie nicht das Lösegeld! (Es gibt keine Garantie, dass die Daten dadurch entschlüsselt werden, und Sie motivieren die Angreifer, Sie ggf. auch zu einem späteren Zeitpunkt wieder als lukratives Ziel auszuwählen)
  • Suchen Sie im Internet nach Lösungen und Hilfsprogrammen
    • Diese werden meist innerhalb von wenigen Tagen von grossen Antivirenherstellern entwickelt und kostenlos zum Download angeboten
  • Melden Sie den Vorfall an das MELANI
  • Suchen Sie nach Betriebssystemupdates und Softwareupdates, die die Lücke schliessen, über welche die Schadsoftware eingeschleust wurde
  • Spielen Sie Ihre Daten aus einem Backup wieder her

Suchen Sie einen aktiven Schutz vor Ransomware?

Den gibt es, und zwar direkt von uns. Backup ONE Cyber Protect schützt Ihren Computer und jeden in Ihrem Firmennetzwerk aktiv vor Ransomware. Dazu reicht es, die Software zu installieren und einen Schutzplan zu konfigurieren. Sofort werden Ihre Computer fortlaufend geschützt und auf verdächtige Aktivitäten gescannt. Sobald eine verdächtige Aktivität erkannt wird, wird der entsprechende Prozess sofot gestoppt und allenfalls bereits verschlüsselte Daten aus dem letzten Backup wiederhergestellt - das alles ganz ohne Ihr Zutun.

Wie das funktioniert, erfahren Sie unter https://www.backup.ch/cyber-protect.

Das könnte Sie interessieren

Weitere Blogbeiträge

Das sind weitere Beiträge, die Sie interessieren könnten.

Zur Blogübersicht