Lesedauer ca. 4 Minuten

Spätestens seit der Erpresser-Trojaner „Locky“ im Februar 2016 mit bis zu 5000 Infektionen pro Stunde die Öffentlichkeit aufschreckte, ist der Begriff „Ransomware“ in aller Munde. Inzwischen sind nicht nur PCs sondern auch Macs betroffen. Die Zahl der Angriffe nimmt stetig zu. Doch wie kann man sich schützen?

Allein im vergangenen Jahr entdeckte der Sicherheits-Software-Hersteller Symantec rund 430 Millionen neue Malware-Varianten. Darunter fallen unter anderem Trojaner, Würmer, Adware und Spyware. Insbesondere in einem Bereich verzeichnet der Internet Security Threat Report (ISTR) dabei signifikante Steigerungen: bei der Ransomware. Gegenüber 2014 nahm die Zahl der Erpresser-Trojaner laut Symantec um 35 Prozent zu.

Die Idee mithilfe eines Trojaners Lösegeld zu erpressen ist nicht neu. Bereits im Jahr 1989 gab es erste Versuche dieser Art, allerdings wurden damals noch Daten auf Disketten verschlüsselt und die Malware konnte sich bei weitem nicht so schnell verbreiten. Inzwischen gibt es in den Foren des Deep Web jedoch nicht nur Hacker, die Ransomware gegen Geld programmieren, sondern sogar Malware-Baukästen, mit denen selbst Laien recht einfach ihren eigenen Erpresser-Trojaner erstellen können. Bei Erfolg fließt ein zuvor definierter Anteil des „Lösegeldes“ an den Entwickler.

Sperren, Verschlüsseln oder Löschen – so arbeitet Ransomware

Inzwischen gibt es unterschiedliche Varianten des Erpresser-Trojaners, allen gemein ist aber, dass es immer darum geht, von dem Besitzer des infizierten Computers Geld einzufordern – analog zu einer echten Entführung.

In der „harmlosesten“ Ausführung blockiert der Erpresser-Trojaner den Systemstart. Der Benutzer bekommt beim Hochfahren des Rechners eine Meldung angezeigt und wird aufgefordert, einen bestimmten Betrag an den Erpresser zu überweisen, damit dieser den PC wieder freigibt. Bezahlt wird entweder über die Kryptowährung Bitcoin oder andere anonyme Bezahlsysteme.

Weitaus mehr Schaden richtet Ransomware an, die die Daten auf der Festplatte des Betroffenen verschlüsselt. Das prominenteste Beispiel hierfür ist das Programm „Locky“, das im Februar 2016 mit bis zu 5000 Infektionen pro Stunde von sich Reden machte. In Deutschland wurde unter anderem das Fraunhofer Institut Opfer dieses Erpresser-Trojaners.

Da „Locky“ nur Nutzer- und keine Systemdaten verschlüsselt, braucht das Programm keine weitreichenden Rechte auf dem Computer. Das macht es der Schad-Software deutlich einfacher, zuzuschlagen. Dabei werden Dokumente, Bilder, Videos und andere für den Nutzer wichtige persönliche Dateien verschlüsselt, sprich in eine Art Tresor gepackt. Zwar bleiben die Daten in der Theorie auf der Festplatte erhalten, aber ohne den passenden Schlüssel, den nur der Angreifer kennt, sind sie für den ursprünglichen Besitzer praktisch wertlos, da er nicht mehr auf sie zugreifen kann.

Oft bleibt nur die Lösegeldzahlung

Betroffenen rät das Bundesamt für Sicherheit in der Informationstechnik (BSI) davon ab, das Lösegeld zu bezahlen, da sich nicht mit Sicherheit sagen lässt, ob der Angreifer nach der „Lösegeldübergabe“ die Dateien auch wirklich entschlüsselt. Anders in den USA: dort empfiehlt das FBI die geforderte Summe zu bezahlen, da es meistens keinen anderen Weg gibt, um überhaupt wieder an die Dateien zu kommen. Wer nicht bezahlt, muss entweder bereit dazu sein, seine Daten abzuschreiben, oder darauf hoffen, dass es irgendwann einem Entwickler gelingt, ein Tool zu entwickeln, mit dem sich alles wieder entschlüsseln lässt. Gerade bei wichtigen Firmendaten ist das eine eher unbefriedigende Lösung.

Es kann aber noch schlimmer kommen. Erst kürzlich ist mit „Jigsaw“ eine neue Ransomware aufgetaucht, die die Daten auf dem Rechner anfangs zwar auch nur verschlüsselt, dann aber nach 24 Stunden damit beginnt, die Dateien zu löschen, wenn kein Lösegeld bezahlt wird. Danach erhöht sich stündlich sowohl die Anzahl der gelöschten Dateien als auch der geforderte Betrag. Nach 72 Stunden sind alle Daten gelöscht.

So gelangt Ransomware auf den Computer

Bleibt die Frage, wie man sich überhaupt einen Erpresser-Trojaner wie „Locky“ auf die Festplatte holt. In vielen Fällen lautet die Antwort: aus Unachtsamkeit.

Recht beliebt sind beispielsweise E-Mail-Anhänge, in denen sich der Trojaner als harmloses PDF- oder Word-Dokument tarnt. Obwohl die Angreifer immer cleverer agieren (so tarnte sich „Locky“ unter anderem als E-Mail vom BKA), lassen sich solche Fake-E-Mails im Regelfall aber leicht erkennen – beispielsweise an Rechtschreibfehlern. Zudem sollte man grundsätzlich nie einen Anhang öffnen, wenn man den Absender der E-Mail nicht zuordnen kann. Misstrauen ist auch angebracht, wenn man in der E-Mail aufgefordert wird einen Link anzuklicken. Im Zweifelsfall gilt: einfach kurz beim Absender (beliebt sind Amazon, PayPal und die Telekom) anrufen und nachhaken, ob die E-Mail ein Fake ist oder nicht.

Man kann sich einen Trojaner aber auch beim Surfen im Internet einfangen. Insbesondere auf dubiosen Seiten, wo sich die Malware in den Werbebannern versteckt, ist Vorsicht geboten. Hier reicht oft schon ein versehentlicher Klick auf eine Anzeige aus, um ein Pop-up zu öffnen, das im Hintergrund unbemerkt den Download der Schad-Software startet.

Backups, Backups, Backups

Da sich die Malware inzwischen rasend schnell fortentwickelt und die Hacker ständig neue Sicherheitslücken entdecken, bieten regelmäßige Software-Updates und Anti-Viren-Software nur noch einen eingeschränkten Schutz. Gerade die Erpresser-Trojaner sind oft so programmiert, dass sie sich vor Anti-Viren-Programmen verstecken können.

Aus diesem Grund gilt: den besten Schutz vor Ransomware bieten regelmäßige Backups. Die tägliche Datensicherung auf einer externen Festplatte oder einem NAS ist Pflicht. Im Idealfall legt man ein weiteres Backup in der Cloud an. Besonders wichtige Daten können zudem auf einem physischen Datenträger wie einem USB-Stick oder einer DVD gesichert werden. Auf diese Weise haben Erpresser keine Chance.

Verwandte ArtikelMehr vom Autor