Ransomware, Erpressertrojaner und Verschlüsselungssoftware sind mittlerweile bekannte Begriffe. Doch was tut die Schadsoftware auf dem Rechner? Woher kommen die schädlichen Programme? Und was ist zu tun, wenn eine Lösegeldforderung eintrudelt?
Wir erklären Ihnen, worum es bei all diesen Begriffen geht, welche Besonderheiten es gibt, und wie Sie eventuelle Schadsoftware wieder loswerden.
Unser Beitrag über Erpressertrojaner im Überblick:
Was ist Ransomware?
Was ist das überhaupt genau – Ransomware? Zunächst einmal gibt es unterschiedliche Begriffe, die alle dasselbe meinen. Ob Ransomware, Erpressertrojaner, Kryptotrojaner oder Verschlüsselungssoftware – bei all diesen Begriffen handelt es sich um Schadprogramme, auch Malware genannt. Diese Programme können auf unterschiedliche Weise auf die Festplatte Ihres Computers, auf Ihr Notebook, das Tablet oder Ihr Smartphone gelangen. Auch Firmennetzwerke können betroffen sein.
Und Malware hat nur ein Ziel: Die Kriminellen, die hinter den Schadprogrammen stehen, wollen sich auf Kosten unachtsamer oder unvorsichtiger Computernutzer bereichern. Nach der Infizierung des Rechners verhindern die Schadprogramme, dass der Besitzer auf seinen Computer und die Daten zugreifen kann. Private oder geschäftliche Daten wurden von den kriminellen Hintermännern derart verschlüsselt, dass der Zugriff unmöglich wird. Für die Entschlüsselung oder Freigabe fordern Kriminelle häufig ein Lösegeld.
Lösegeld – darum geht es den meisten Kriminellen, wenn sie Erpressertrojaner programmieren. Bild: Pexels/@tima-miroshnichenko
Erpressertrojaner fordern Lösegeld
Stellen Sie sich vor, Sie haben Ransomware auf Ihrem (Firmen)Rechner. Die Folge: Sie verlieren alle persönlichen Fotos, Nachrichten, Videos und Daten, die auf Ihrer Festplatte gespeichert sind, bzw. alle Daten, die für den Betrieb Ihrer Firma unerlässlich sind.
Wie viel sind Ihnen Ihre Daten wert? Wie viel wären Sie bereit, zu bezahlen, um all das zurück zu bekommen? Genau mit dieser Frage beschäftigen sich auch die Entwickler von Erpressertrojanern und verlangen entsprechend hohe Summen.
Über den neuesten Erpressertrojaner namens Ransom Cartel haben wir im Blog berichtet – er hat vor allem Firmen im Visier und kommt als Service daher, als sogenannte Ransomware-as-a-Service. Proaktiven Schutz gegen gefährliche Ransomware bietet ein Anti-Ransomware-System.
Geschichte der Ransomware?
Seit wann gibt es Ransomware? Ihren Anfang nahm die Schadsoftware im Jahr 1989. Damals verschlüsselte der Schädling AIDS, auch bekannt als Aids Info Disk, mit Hilfe einer infizierten Diskette die Daten auf Rechnern. Die Diskette war an etwa 7000 Leser der Zeitschrift „PC Business World“ und 3000 Teilnehmer einer WHO-Aids-Konferenz geschickt worden. Auf den Computern verschlüsselte der Schädling alle Dateinamen. Nur gegen Zahlung einer Gebühr wurde die Entschlüsselung angeboten. Der Autor dieses Schädlings wurde überführt und zu einer Haftstrafe verurteilt.
Einer der ersten Erpressertrojaner, der zur Verbreitung über das Internet verschickt wurde, war der Trojaner TROJ_PGPCODER.A. Seine Entwickler forderten mehrere hundert US-Dollar für die Entschlüsselung.
Heute sind Millionen Rechner weltweit betroffen, und ein Ende der Welle ist – unter anderem wegen des großen Erfolgs bei der Erpressung – nicht in Sicht. Im Gegenteil: Die Erpresser werden immer geschickter darin, Erpressertrojaner auf fremde Rechner zu schicken und vor allem Firmen sind schlecht auf Cyberangriffe und Cybercrime-as-a-Service vorbereitet.
Für Schadsoftware gibt es verschiedene Wege, um fremde Rechner zu kapern. Bild: stock.adobe.com/©madedee
Wie gelangt Ransomware auf den Rechner?
Doch wie gelangt die moderne Ransomware, die nicht mittels Disketten verschickt wird, auf die Rechner der Opfer? Üblicherweise verbreiten die Kriminellen ihre Schadsoftware über Anhänge in E-Mails, über infizierte Webseiten, aber auch über Datendienste wie Dropbox und Clouds, sodass Nutzer, aber auch Kriminelle mit allen internetfähigen Geräten von überall auf ihre Daten zugreifen können.
Besonders beliebt sind schädliche Anhänge, die im Namen seriöser Firmen oder von Bundesämtern versendet werden. Aber auch angebliche Anwaltskanzleien erscheinen oft als Absender solcher E-Mails. Dabei spielt immer sowohl die Angst als auch die Neugier der Empfänger eine entscheidende Rolle. Häufig werden die potenziellen Opfer auf die Anhänge geleitet, indem die Kriminellen in den E-Mails schreiben, dass Rechnungen nicht beglichen wurden und nun ein Verfahren droht.
Ebenso gern werden Links zu verseuchten Webseiten verbreitet. Beim Besuch einer solchen Internet-Seite mit dem Webbrowser startet das Herunterladen des Schadprogramms automatisch, ohne dass Sie etwas davon bemerken. Dieses Verfahren wird Drive-By-Download genannt. Eine weitere Möglichkeit, sich Erpressertrojaner einzufangen, ist der Weg über Sicherheitslücken im Betriebssystem. Deshalb ist es wichtig, dass Sie alle verfügbaren Updates ausführen, denn nur so werden bekannte Schwachstellen regelmäßig geschlossen.
Was tun Erpressertrojaner?
Doch was genau tun die Erpressertrojaner auf dem Rechner? Worin liegt ihre Gefahr? Die Antwort ist ganz einfach: Erpressertrojaner sperren den gesamten Computer oder verschlüsseln einzelne Dateien. Und zwar auf unterschiedlichem Weg:
- Blockade des Systems: Einfachere und harmlosere Erpressungsversuche äußern sich in einem kleinen Fenster, das bei jedem Systemstart erscheint und nicht geschlossen werden kann. Zusätzlich wird der Taskmanager blockiert. Im Taskmanager können Sie sich anzeigen lassen, welche Programme aktuell laufen. Wer nicht weiß, wie die Blockade aufzuheben ist, für den gibt es scheinbar nur einen Ausweg: die Zahlung des Lösegeldes.
- Verschlüsselung von Dokumenten: Bösartige Varianten der Ransomware haben ein größeres Schadenspotenzial: Sie verschlüsseln private Dokumente, E-Mails, Fotos und ganze Ordner. Ziel sind dabei immer die Daten, die dem Opfer besonders wichtig und unwiederbringlich sind. Das Opfer hat auf diese Dateien dann keinen Zugriff mehr. Dann beginnt die Erpressung: Das Opfer wird aufgefordert, eine E-Mail an eine bestimmte E-Mail-Adresse zu senden, eine Webseite aufzurufen oder eine Formularmaske auszufüllen. Die Kriminellen versprechen im Gegenzug ein Passwort zur Entschlüsselung der Daten, sobald das Lösegeld bezahlt wurde und drohen häufig gleichzeitig, dass bei Kontaktaufnahme zur Polizei sämtliche Daten gelöscht würden. Möglich ist auch, dass der Erpressertrojaner die Hosts-Dateien manipulieren, sodass Sie keine Möglichkeit haben, sich im Internet Hilfe zu holen. Außerdem kann es sein, dass die Erpresser die Entschlüsselung der Dateien gar nicht vorgesehen haben und die Daten also unwiderruflich verloren sind.
Bevor Sie verzweifeln und Lösegeld zahlen, wenden Sie sich am besten an Ihren PC-SPEZIALIST in Ihrer Nähe. Er weiß mit Sicherheit eine Lösung und kann Ihnen schnell und zuverlässig helfen, die Schadsoftware wieder loszuwerden.
WannaCry gehört zu den berühmt-berüchtigten Erpressertrojanern. Er hat es in kürzester Zeit geschafft, zig Tausende Computerrechner lahmzulegen. Bild: stock.adobe.com/©zephyr_p
Berühmt-berüchtigte Erpressertrojaner
Immer wieder schaffen es Erpressertrojaner in die Medien, weil sie besonders hartnäckig sind oder eine besonders fiese Art der Verbreitung haben. Auch wir berichten im Blog immer wieder über neue Trojaner.
Dazu zählte unter anderem Locky aus dem Jahr 2016, der immer noch – mittlerweile als .7z-Datei – aktiv ist. An ihm ist besonders tückisch, dass er sich über Netzwerkfreigaben verbreitet und Daten in der Cloud angreift. Innerhalb weniger Stunden waren im Februar 2016 über 17.000 Rechner befallen. Und die Cyberkriminellen schlafen natürlich nicht: Sie variieren ihre Vorgehensweise. So verschickten sie zunächst E-Mail-Anhänge in Form von Excel-, .pdf- oder Word-Dateien, um kurze Zeit später als zip-Datei unterwegs zu sein. Infos über Dateiendungen und ob es sich um gefährliche Dateiendungen handelt, erhalten Sie im Blog.
Ebenso fies war die Verschlüsselungssoftware Goldeneye. Die Hintermänner versteckten ihren Trojaner in einer augenscheinlichen Bewerbung und hatten in erster Linie Firmen-Computer im Visier. WannaCry schaffte es innerhalb kürzester Zeit, 200.000 Computersysteme lahmzulegen. Und Popcorn Time hat seinen Opfern die Wahl gelassen, ob sie das Lösegeld zahlen wollen oder lieber zwei weitere Nutzer infizieren möchten. Eine gemeine Wahlmöglichkeit für Betroffene.
Daten verschlüsselt – und nun?
Hat der Erpressertrojaner den Computer erfolgreich infiziert und die Daten verschlüsselt? Dann hat die Ransomware also ihr Ziel erreicht! In Folge stellen die Kriminellen eine Lösegeldforderung.
Sie sieht oftmals folgendermaßen aus: Es erscheint ein Sperrbildschirm, oftmals mit einem Totenkopf, häufig aber auch nur mit den Anweisungen, wie die Bezahlung des Lösegelds vonstatten gehen soll. Dabei gibt es unterschiedliche Möglichkeiten.
Möglicherweise fordern die Kriminellen anstelle von Bargeld Gutscheinkarten wie iTunes oder Paysafe-Karten. Die Opfer müssen dem Erpresser die Gutscheinnummern des Bezahlsystems elektronisch mitteilen. Alternativ verlangen die Kriminellen die Bezahlung in Form von Bitcoins. Die Internetwährung unterliegt allerdings einem starken Kurswechsel. Ende Januar 2017 kostete 1 Bitcoin 875 Euro, im Januar 2023 liegt der Kurs für einen Bitcoin bei sagenhaften 15.658,16 Euro.
Ob Gutscheinkarten, Bargeld oder Kryptowährungen – Experten raten ab, Lösegeldforderungen zu bezahlen. Bild: Pexels/@worldspectrum
Lösegeldforderung – was tun?
Auch wenn es angesichts von gesperrten Daten und Totenkopf-Bildern auf dem Monitor schwerfällt, sich daran zu halten, ist es sinnvoll den Empfehlungen der Experten zu vertrauen. Und Fachleute raten davon ab, gefordertes Lösegeld zu bezahlen. Denn selbst nach der Bezahlung ist nicht gewährleistet, dass die Kriminellen die Daten tatsächlich wieder entschlüsseln.
Letztlich versuchen die Gauner möglichst viel Geld zu erpressen. Gehen Sie auf eine Forderung ein, kann es gut sein, dass die nächste nicht lange auf sich warten lässt, da die Kriminellen die Zahlungsbereitschaft erkennen. Werden Sie zur Zahlung per Kreditkarte aufgefordert, bekommen die Erpresser zusätzlich wichtige private Informationen.
Stattdessen sollten Opfer immer Anzeige bei der Polizei erstatten (das geht mittlerweile auch online). Zudem sollten Sie Ihren Computer vom Netzwerk und Internet trennen, damit sich der Trojaner nicht weiter verbreiten kann. Anschließend können Sie die Festplatte löschen und danach das Betriebssystem neu installieren. Haben Sie eine aktuelle Sicherung Ihrer Daten, können Sie diese wieder aufspielen. Brauchen Sie hierbei Hilfe, kommen Sie unbedingt zu PC-SPEZIALIST. Wir helfen Ihnen mit der Betriebssysteminstallation.
Schutz vor Erpressertrojanern
In Bezug auf Schadprogramme aller Art ist es auf jeden Fall angebracht, sich vorher zu schützen. Vorbeugende Maßnahmen gegen Erpressertrojaner sind:
- Eine regelmäßige Sicherung der persönlichen Daten auf externen Speichern, auf die Ransomware keinen Zugriff hat. Zwar schützt eine Sicherung nicht vor dem Verschlüsselung, aber nach einer Neuinstallation des Computers können Sie Ihre Daten wieder aufspielen. Beachten Sie hierbei die Backup-Strategie. Gern unterstützt PC-SPEZIALIST Sie beim Erstellen eines Backups.
- Auf dem Rechner muss eine Antivirus-Software vorhanden sein, die regelmäßig aktualisiert wird.
- Auch Ihren Webbrowser wie Chrome oder Firefox sowie das Betriebssystem sollten Sie regelmäßig aktualisieren und die Updates der Hersteller beachten.
- Ihren Webbrowser können Sie mit Werbeblockern schützen, um zu verhindern, dass Sie sich einen Trojaner über verseuchte Anzeigen und Werbung einfangen.
- Besondere Vorsicht gilt immer bei E-Mail-Anhängen. Sowohl aus bekannter als auch aus unbekannter Quelle, denn E-Mail-Adressen können gefälscht werden.
Sollten Sie bereits Opfer eines Erpressertrojaners geworden sein oder wissen Sie nicht, wie Sie eine Datensicherung erstellen, kommen Sie unbedingt zu einem PC-SPEZIALIST in Ihrer Nähe. Wir unterstützen Sie gern mit einem unserer zahlreichen IT-Services.
_______________________________________________
Andere Stimmen zum Thema: finanzen.net
Schreiben Sie einen Kommentar