Go to Top

Ransomware: Zahlen oder nicht?

Ransomware ist seit mehreren Jahren eine wachsende Bedrohung für Computernutzer. Sie zielt darauf ab, einen Computer zu infiltrieren, den Zugriff des Benutzers auf das Betriebssystem oder Dateien zu sperren und dann Lösegeld für das Entriegeln der Maschine zu erpressen. Ransomware wird ständig weiterentwickelt und es werden immer neue Wege gesucht, um Anwender und ihre Rechner zu kompromittieren. Abhängig von den verwendeten Mechanismen kann es sowohl zu Stress als auch zu ernsthaften Bedrohungen führen. Wie funktioniert eine Ransomware, wie können Sie sich dagegen schützen und was ist zu tun, wenn Ihr Rechner bereits infiziert wurde?

Das Muster ist fast immer gleich: Malware wird an Massen-Spam-E-Mails befestigt und versendet. Mit teilweise anspruchsvollen Methoden, generieren die Angreifer gefälschte Nachrichten und locken Opfer, die Anhänge zu öffnen. Einmal eine „falsche“ E-Mail geöffnet und schon installiert sich der Virus auf Ihrem Computer. Die E-Mails, die angeblich von Lieferunternehmen, Telekommunikationsfirmen oder Web-Shops kommen, versuchen, den Empfänger Glauben zu machen, dass die Anlage eine Rechnung, einen Frachtbrief oder ein anderes wichtiges Dokument enthält. Wenn der Benutzer zu vertrauensselig ist und die Anlage öffnet, wird die Malware auf dem Computer des Betroffenen aktiv. Der Computer wird blockiert und eine Anzeige mit einer Lösegeldforderung erscheint.

In dieser Phase wird das Opfer unter psychischen Druck gesetzt, indem sich die Täter oft als Behördenvertreter wie Polizei, Anti-Piraterie-Organisationen oder auch das FB ausgeben und den Betroffenen darüber informieren, dass der Computer wegen angeblicher illegaler Tätigkeiten gesperrt wurde. Um den Zugang zum Rechner wiederherzustellen soll nun der Nutzer ein Bußgeld bezahlen.

Der Druck wird noch dadurch verstärkt, dass dem Nutzer auch noch eine zeitliche Frist gesetzt wird: Der Nutzer habe nur noch 72 Stunden Zeit das Lösegeld zu zahlen, ansonsten sind alle Daten auf dem Rechner unwiederbringlich verloren. Gibt es dennoch eine Chance doch wieder die Kontrolle über den Rechner zu bekommen, ohne dabei viel Geld zu verlieren (Viele der Lösegeldforderungen beginnen von mehreren hundert bis zu mehreren tausend Euro)?

Ransomware: Nur Popanz oder eine richtige Gefahr?

Alles hängt davon ab, um welche Art von Virus es sich handelt. Ransomware arbeitet dabei auf zwei Arten: Zunächst blockiert sie den Zugriff auf das Betriebssystem, es können aber auch alle Dateien und Ordner auf dem infizierten Computer unzugänglich verschlüsselt werden. Im ersten Fall ist der Angriff irritierend und nicht weiter gefährlich; im letzteren Fall – sind Ihre Daten weg.

Wenn das Virus nur den Zugriff auf das Betriebssystem blockiert, haben Sie es mit einer Scareware-Attacke zu tun, die Sie „erschrecken“ und zur Zahlung des Lösegeldes nötigen soll. Solche Angriffe sind relativ leicht zu stoppen. Selbst wenn der Computer gesperrt wurde, können Sie eine gute Antiviren-Software verwenden, beispielsweise indem sie diese von einer Notfall-CD starten, um Ihr System zu scannen und das Virus zu deaktivieren. Erfahrene Benutzer können so versuchen, die Ransomware auf eigene Faust zu entfernen.

CryptoLocker

Wenn Sie allerdings einer “erweiterten” Ransomware begegnen, können Sie nach dem erfolgreichen Entsperren des Betriebssystems feststellen, dass alle Ihre Dateien und Ordner verschlüsselt wurden. So funktioniert beispielsweise CryptoLocker. Es handelt sich dabei um die modernste Ransomware-Variante, bei der nicht nur alle Dateien auf dem Computer verschlüsselt werden, sondern auch alle angeschlossenen Netzwerkressourcen. Also selbst wenn Sie eine automatische Datensicherungssoftware verwenden und die Sicherung während des Angriffs auf das Netzwerk aktiv ist, wird auch diese Sicherung verschlüsselt werden.

Nachdem Sie einen infizierten Anhang geöffnet haben und CryptoLocker auf Ihrem Computer installiert ist, lädt er einen privaten Schlüssel von einem von den Angreifern kontrollierten Server herunter. Dann verschlüsselt er Ihre Dateien mit einem 2048-Bit-RSA-Algorithmus. Als nächstes erhalten Sie eine Meldung, dass Sie noch 72 Stunden haben, um das Lösegeld zu zahlen. Nach Ablauf der Frist wird das Programm automatisch deinstalliert – zusammen mit dem öffentlichen Schlüssel, wodurch die Dateien dann auch nicht mehr zu entschlüsseln sind.

Das Gleiche passiert, wenn Sie das Programm selbst oder mit einer Antiviren-Software versuchen zu deinstallieren: Der öffentliche Schlüssel wird hierbei ebenfalls entfernt werden, sodass Sie nur noch unbrauchbare Dateien haben, die, vorerst, NICHT ENTSCHLÜSSELT WERDEN KÖNNEN (vielleicht ist dies künftig einmal möglich mit Hilfe eines Quantencomputers, an dem seit Jahren gearbeitet wird, aber bisher ohne Erfolg).

Lassen Sie es mich noch einmal deutlich sagen: Mit den heutigen technischen Mitteln kann eine 2048-Bit-RSA Verschlüsselung nicht geknackt werden.

Soll ich das Lösegeld also doch zahlen?

Leider haben wir keine gute Nachricht für Sie: Auch wenn Sie bereit sind das Lösegeld zu bezahlen, ist das noch keine Garantie, dass Sie den Schlüssel, um Ihre Dateien zu entschlüsseln, auch wirklich erhalten. Selbst wenn die Angreifer so anständig sind Ihnen den Schlüssel, nachdem das Lösegeld gezahlt worden ist, zuzusenden, kann es trotzdem sein, dass der „Piraten“-Server, auf dem die Ent- und Verschlüsselungssoftware läuft, nicht mehr online oder aktiv ist. Das kann aufgrund technischer Probleme vorkommen, aber auch wenn der Fahndungsdruck durch die Sicherheitsexperten oder die Polizei zu groß geworden ist, sodass das System geschlossen haben und eine Entschlüsselung nicht so wie vorgesehen funktioniert. Das bedeutet, dass Sie dann nicht nur eine Menge Geld verloren haben, sondern auch noch weiterhin nicht auf die verschlüsselten Dateien zugreifen können und diese damit ebenfalls für immer verloren sind.

Wie kann ich mich schützen?

  • Öffnen Sie keine E-Mails, geschweige denn Anhänge von unbekannten, nicht bestätigten oder verdächtigen Quellen; der gesunde Menschenverstand ist hier der effektivste Schutz gegen einen solchen Virus;
  • Schützen Sie Ihren Computersmit zuverlässiger Software, die auch regelmäßig aktualisiert wird; neue Generationenund Varianten von Ransomware sind weiterhin imWeb aktiv, deshalb sollten Sie immer Ihre Antivirus-Datenbank-Signaturen stets up-to-date halten;
  • Halten Sie immer eine Sicherungskopie Ihrer wichtigsten Dateien vor und speichern Sie diese zusätzlich auch möglichst offline (auf einer CD, Memory Stick oder einer externen Festplatte);
  • Speichern Sie Ihre Daten, wenn möglich (d.h.wenn keine Gründe aufgrund der sensiblen Informationen dagegen sprechen), in der Cloud z.B. bei DropBox, Google Drive etc.

 Ich bin angegriffen worden. Was jetzt?

Wenn Sie ein Opfer eines Ransomware- Angriffs geworden sind, treffen Sie keine voreiligen Entscheidungen. Finden Sie heraus mit welcher Art von Bedrohung Sie es tun haben und ob Sie den Zugriff auf Ihre Dateien mit öffentlich verfügbaren Tools wiedererlangen können. Glücklicherweise verwenden ältere Versionen von Ransomware bei der Verschlüsselung weniger hoch entwickelte Algorithmen und einige von den neueren Varianten haben dazu noch Verschlüsselungsfehler, bei welchen es manchmal doch noch möglich ist sie zu knacken. Im Zweifel ziehen Sie am besten einen Experten hinzu!

Und denken Sie daran: Es gibt keine Verhandlungen mit Terroristen! Durch die Zahlung von Lösegeld helfen Sie dabei eine weitere Generation von Malware zu finanzieren und machen gleichzeitig ihre Entwicklung und den Vertrieb für die Verbrecher profitabel! Und letztlich gibt es keine Garantie dafür, dass die Angreifer Ihnen den privaten Schlüssel zuschicken. Ganz im Gegenteil: Es kann sogar sein, dass Sie noch anfälliger für weitere Angriffe werden.

Bildquelle: Siegfried Fries /pixelio.de