Was haben Sie denn so auf Ihrem Computer? Wichtige E-Mails, geheime Dateien aus dem Büro oder sogar alte Fotos von Ihren Kindern? Im Laufe eines Computer-Lebens sammeln sich zahlreiche persönliche, vielleicht auch geschäftliche, aber auf jeden Fall sensible Daten auf der Festplatte. Und genau das macht Sie erpressbar. Wenn statt Ihres gewohnten Startbildschirms plötzlich nur noch ein Totenkopf oder ein Erpresserbrief auf Ihrem Monitor erscheint, haben Sie es höchstwahrscheinlich mit Ransomware zu tun.

Was heißt Ransomware?

Das Wort „ransom“ kommt aus dem Englischen und bedeutet auf Deutsch „Lösegeld“. Genau darum geht es bei der Ransomware. Deshalb wird sie auch als Erpressersoftware bezeichnet. Manchmal sprechen Experten auch von Verschlüsselungstrojanern, da die Erpressung darauf basiert, dass die Daten für den Nutzer unauflöslich codiert werden. Was sich bei diesen alternativen Titeln abzeichnet, ist die Funktionsweise von Ransomware: Sie schleicht sich ins System und der User stellt mit Schrecken fest, dass sein Computer gesperrt ist.

Ransomware sind Schadprogramme, die den Computer sperren oder darauf befindliche Daten verschlüsseln. Die Täter erpressen ihre Opfer, indem sie deutlich machen, dass der Bildschirm oder die Daten nur nach einer Lösegeldzahlung wieder freigegeben werden. Im Folgenden erklären wir Ihnen, wie Cybererpresser mit der Angst der Menschen spielen und sich so auf deren Kosten bereichern.

Wie macht sich Ransomware bemerkbar?

In der Regel ist der blockierte Bildschirm oder der Erpresserbrief, der sich nicht mehr schließen lässt, das erste, was der Nutzer von der Ransomware mitbekommt. Einige Ransomware-Varianten haben eine Inkubationszeit. Das heißt, dass die schädliche Wirkung erst eintritt, wenn sich der User nicht mehr daran erinnern kann, wann und wo er sich eventuell einen Erpressungstrojaner eingefangen haben könnte.

Ein Schadprogramm kann auch von einem Virenscanner erfasst werden und sich als positives Scan-Ergebnis bemerkbar machen. Wer keine Antiviren-Software installiert hat, bemerkt Ransomware jedoch leider erst, wenn es bereits zu spät ist. Da sich viele Erpressungstrojaner nach dem Ausführen ihrer schädlichen Funktion selbst wieder löschen, ist es für Security-Software eine echte Herausforderung, den Schädling zu erkennen. Das erste, was der Computer-Besitzer dann von der Ransomware mitbekommt, ist ein Hinweisfenster mit einer Zahlungsaufforderung, das sich nicht mehr schließen lässt.

Wie kann ich mir womöglich Ransomware eingefangen haben?

Ihre Verbreitungswege unterscheiden sich dabei kaum von denen anderer Malware: Oft gelangt sie über eine manipulierte Website, zu der ein Link aus einer Spam-Mail oder einer Nachricht über ein soziales Netzwerk führt, auf den Rechner. Manchmal verschicken die Täter auch E-Mails, die eine vermeintliche Mahnung oder einen Lieferschein enthalten. In Wirklichkeit verbirgt sich in der angehängten Datei jedoch keine wichtige Information, sondern der Schadcode.

Wie funktioniert Ransomware?

Früher sperrten Erpresserprogramme vor allem den Desktop einzelner PCs. Mittlerweile sind solche eher kleinen Angriffe mit Screenlockern recht selten geworden. Heute kommen Verschlüsselungsprogramme deutlich häufiger vor als solche Screenlocker. Die Inhalte der Festplatte werden dabei so verschlüsselt, dass der Nutzer nicht mehr darauf zugreifen kann.

Im Sperrbildschirm taucht meistens eine Adresse auf, eine Webseite oder eine Formularmaske, die die Forderungen und die Zahlungsmethoden erklären. Die Erpresser versprechen dort, dass sie nach Eingang der Zahlung die Daten wieder entschlüsseln. Einige Täter drohen damit, die Daten für immer verschwinden zu lassen, wenn das Opfer mit der Polizei spricht. Es gibt inzwischen sogar Ransomware, die für jede Stunde, in der noch keine Zahlung erfolgt ist, verschlüsselte Dateien löscht. Damit der Nutzer die Bedrohung nicht durch Abschalten des PCs aussitzen kann, vernichtet die Software beim Neustart des Systems gleich viele Dateien auf einmal.

Wie entferne ich Ransomware?

Sollten Sie trotz aller Vorsicht Opfer einer Attacke geworden sein, hilft oft nur noch eines: die schädliche Software vom Computer löschen. Der zuverlässigste und zugleich gründlichste Weg, Ransomware loszuwerden ist es, das System auf den Werkszustand zurückzusetzen. Bevor Sie diesen Weg wählen, sollten Sie sich bewusstmachen, dass danach alle auf dem Computer befindlichen Dateien unwiderruflich verloren sind. Alternativ können Sie, sofern Sie regelmäßig ein Systembackup erstellt haben, Ihr System auf den Zustand zu einem früheren Zeitpunkt vor der Infektion zurücksetzen. So können Sie Ihren Rechner von dem Schädling befreien.

Verschlüsselungstrojaner

Ein Verschlüsselungstrojaner oder Crypto-Trojaner verschlüsselt Dateien auf dem Rechner und verlangt Lösegeld für die Entschlüsselung. Einige Trojaner-Familien verschlüsseln nur bestimmte Dateitypen wie Bilder, Dokumente oder Filme. Andere verschlüsseln alle Dateitypen und verschonen nur wenige Ordner. Populäre Familien sind CryptoLocker (nicht mehr aktiv), CryptoWall, CTB-Locker, Locky, TeslaCrypt und TorrentLocker. Eine recht neue Form ist Petya. Anstelle einzelner Dateien verschlüsselt er die Master File Table (das Inhaltsverzeichnis) der Festplatte. Danach sind die Dateien auf der Festplatte nicht mehr auffindbar.

App-Locker

Dieser Ransomware-Typ erpresst die Nutzer damit, dass er den Zugang zu Apps und Programmen unterbindet. So wird z.B. der Browser oder der Zugang zur Verwaltung des Netzwerkspeichers (NAS) blockiert. In einigen Fällen können sie mit Standard-Tools ausgehebelt werden. Es gibt nur wenige Schädlingsfamilien dieser Art, ein Beispiel ist Synolocker. Der Name lehnt sich daran an, dass der Schädling Produkte von Synology – einem Hersteller für NAS-Lösungen – im Visier hat.

Screenlocker

Ein Screenlocker blockiert den Zugang zum Rechner, indem er einen Sperrbildschirm anzeigt, der sich ständig in den Vordergrund schiebt und evtl. auch andere Prozesse beendet. Dadurch lässt sich der Rechner nicht mehr bedienen. Die bekannteste Familie aus diesem Bereich ist Reveton, auch BKA-Trojaner, GEZ-Trojaner oder FBI-Trojaner genannt.

Hybride

Es gibt auch Ransomware, die Screenlocker und Verschlüsselung kombinieren. Das macht die Wiederherstellung der Daten noch aufwendiger. Auch hier gibt es nur wenige Familien, z.B. Chimera.

Quelle: https://www.gdata.at/ratgeber/was-ist-eigentlich-ransomware