Go to Top

“Locky”, CryptoLocker und andere Ransomware. Was Sie wissen sollten.

Ransomware? Was ist das? Eine Ransomware ist eine feindliche IT-Software, die Daten eines Individuums, eines Unternehmens oder einer Organisation „als Geisel nimmt“. Diese wird dann die Daten des infizierten Computers berechnen und blockieren. Um wieder an seine Daten zu kommen, muss das Opfer ein Lösegeld bezahlen.

Die erste bekannt gewordene Ransomware der Geschichte erschien im Jahr 1989. Sie hieß Cyborg Trojan PC. Allerdings erschienen modernere Versionen im Jahr 2010, zunächst in Russland, dann entwickelten sich weitere in anderen Ländern wie Australien, Deutschland oder den Vereinigten Staaten. Heute, mit der weltweiten Verbreitung des Internets, ist die ganze Welt von Ransomware betroffen.

Die bekanntesten Ransomware sind CryptoLocker, Cryptowall , Reveton oder zuletzt Locky. Aber es gibt eine enorme Menge an Ransomware, die Abarten der Bekanntesten sind. Aus diesem Grund muss man sich einige Fragen stellen: Wie funktionieren diese Ransomware eigentlich? Wie schaffen sie es in die Computersysteme einzudringen? Was sind die Profite der Erpresser? Wie kann man sich vor ihnen schützen?

Ransomware – Eine „Gebrauchsanweisung“

Das Verfahren der Verteilung, das bei einer Ransomware verwendet wird, ist die E-Mail. Durch ihren Einsatz in allen Unternehmen der Welt, ist die professionelle E-Mail ein interessantes Ziel. Die infizierte E-Mail enthält einen Link oder eine Anlage (ein Dokument im .doc, .zip oder andere Formate). Die Wirkungsweise des Virus ist die gleiche wie die eines “Trojaners”. Im Fall der Ransomware Petya enthält eine E-Mail beispielsweise einen Link zu einem Lebenslauf, der sich in einer Dropbox befindet. Einmal auf die Dropbox geklickt, stellte sich heraus, dass die Datei eine ausführbare .exe-Datei war. Sobald diese gestartet wurde, stürzte der Computer ab und die Dateien wurden verschlüsselt. Im Falle von Locky, wurd die Datei als eine dringende Rechnung oder eine Einberufung zu einem Gerichtstermin getarnt und in einer ordentlich formulierten Art und Weise vorgelegt. Es ist dann für den Anwender schwierig nicht versucht zu sein, auf die Datei zu klicken.

Weiter entwickelte Ransomware-Arten wie SamSam zielen direkt auf anfällige Server. Tatsächlich konnte  SamSam insbesondere in das Netzwerk mehrerer Krankenhäuser eindringen, da die Hacker die Anfälligkeit auf nicht aktualisierten Servern testeten. Bei Erfolg konnte der Hacker dann auf das Netzwerk und die Schlüsseldaten des Systems zugreifen, es steuern und verschlüsseln. SamSam ist dabei nicht nachweisbar und kann maximalen Schaden verursachen.

Sobald eine infizierte Datei ausgeführt wurde, wurde die interne Festplatte sowie alle angeschlossenen Geräte (USB-Sticks, externe Festplatten) und alle gemeinsam genutzten Netze verschlüsselt. Um sie zu entsperren, muss der Benutzer einen Schlüssel verwenden. Nur der Hacker besitzt diesen Schlüssel. Dieser Schlüssel wird im Austausch für eine variable Geldsumme angeboten,

Ein heißes Thema, das niemanden ausspart

Die Anzahl der Ransomware-Versionen sowie der Verseuchung steigen immer mehr an. Diese Art von Schadsoftware schont niemanden. So wurden nicht nur Privatleute infiziert, sondern auch Ministerien, Bundesbehörden, Unternehmen sowie Krankenhäuser. Das kann durch verschiedene Faktoren erklärt werden.

Zunächst einmal ist es für eine Antivirus – oder jede andere Software zur Erkennung von Schadsoftware – sehr schwierig, diese Art von Malware zu blockieren. Tatsächlich reagieren die Erkennungs-Technologien generell zu spät auf Viren, die sich sehr schnell entwickeln. Sie haben auch den Vorteil, dass sie sich sehr schnell bei einer Vielzahl von potentiellen Opfern verbreiten. Die Opfer werden leicht zum Öffnen der angehängten Datei durch den eingängigen Titel der Spam-Mail verleitet.

Ransomware kann außerdem äußerst profitabel sein. So kann das Lösegeld für eine Privatperson zwischen 100 und einigen Tausend Euro liegen, bei größeren Organisationen wie Unternehmen oder Krankenhäusern (ein beliebtes Ziel dieser Art von Malware) kann das Lösegeld bei den prominentesten Opfern dann von mehreren tausend Euro bis hin zu einer Million Euro reichen. All dies geschieht dank der Bitcoins, die eine Rückverfolgbarkeit vermeiden können und anonyme Transaktionen ermöglichen.

Schließlich bieten den Hackern auch der Mangel an Wissen und laxe Schutzmaßnahmen potenzieller Opfer große Vorteile. Wenn Krankenhäuser vorrangige Ziele sind, sind sie es besonders durch ihren Mangel an IT-Sicherheit und den Wert der Daten, die in ihrem System zu bekommen sind.

Wie man sich von Ransomware schützt

Der erste Schutz gegen diese Art von Angriffen ist man einfach selbst! Wenn die feindliche Datei in Ihren empfangenen E-Mails ist, insbesondere in Anlagen, reicht es einfach, diese nicht zu öffnen, um nicht infiziert werden. Wenn Sie noch kein Kunde eines Unternehmens sind, warum sollten Sie dann eine Rechnung dieser Firma erhalten? Warum sollten Sie ein Geschenk von einem Wettbewerb erhalten, an dem Sie gar nicht teilgenommen haben? So gibt es also  viele “Anreize”, die von den Hackern verwendet werden, die Sie selbst vermeiden können.

Die zweite Methode besteht in der Sicherung Ihrer Dateien – aber auf einer sehr regelmäßigen Basis. Tatsächlich ist der beste Weg, um Ihre beruflichen und privaten Dateien zu behalten, eine Sicherung auf einem USB-Stick, auf einer Festplatte oder auf einem Server zu machen. Auch wenn der Hacker die Verschlüsselung Ihrer Daten hinbekommen hat, werden Sie immer noch Zugriff auf Ihre Daten haben. Es ist auch wichtig, sich nicht dauerhaft mit Ihren externen Festplatten und Servern zu verbinden. Auf diese Weise kann nur Ihr Computer betroffen sein und nicht die gesamte IT-Umgebung.

Schließlich liegt die dritte und letzte Methode im Update Ihrer Antivirus-Lösung. Es ist ein wichtiges Instrument für den Schutz Ihres Computers. Allerdings ist es notwendig, vorsichtig zu sein, weil ein Virus schnell mutiert und selbst wenn Ihre Antivirussoftware früheren Versionen einer Ransomware entgegen wirken kann, gibt es oft eine Verzögerung bei den Erkennungstechnologien im Vergleich zu den neuen Mutationen.

Um einen Angriff zu antizipieren, sollten Sie das Bewusstsein der Mitarbeiter eines Unternehmens erhöhen, was auch immer ihr Anteil an der Verantwortung für ein IT-System sein mag. Jeder angeschlossene Mitarbeiter an das Netzwerk des Unternehmens kann durch eine Ransomware betroffen werden. Sie sollten sich auch permanent über die aktuellen Ransomware-Technologien informieren. Es gibt nichts Besseres, als über eine aktuelle Ransomware-Welle informiert zu sein, um Ihre Wachsamkeit zu steigern und die „Geiselhaft“ Ihrer wertvollen Daten zu vermeiden.