Ransomware-Angriffe und wie Du damit umgehst

Ransomware ist derzeit ein viel diskutiertes Thema. Deswegen ist es überraschend, wie wenige Leute wissen, was das ist und wie man damit umgeht, solltest Du Opfer sein.

Wir geben Dir einen Überblick zum Thema Ransomware und wie Du Dich schützen kannst, wenn der Fall der Fälle eintritt.

Was ist Ransomware?

Ransomware ist eine spezielle Malware, mit der Geld aus den Opfern erpresst wird. Es ist tatsächlich ein Lösegeld involviert. Die meisten Programme sind so entwickelt, dass sie leise im Hintergrund Deine Daten verschlüsseln. Sobald die Verschlüsselung fertig ist, informieren Dich die Erpresser, dass Du entweder zahlen kannst, oder Deine Daten für immer verloren sind.

Kein Security-System ist unfehlbar. Malware will in diesem Spiel immer einen Schritt voraus sein. Wirst Du Opfer von einem solchen Angriff, findest Du die nachfolgenden Tipps nützlich:

Schritt 1: Minimieren den Schaden

Isoliere das betroffene System sofort. Das gilt vor allen Dingen dann, wenn es mit Deinem Netzwerk verbunden ist. Auf diese Weise verhinderst Du, dass sich andere Systeme infizieren.

Bist Du ein IT-Administrator und Deine Server sind infiziert, entferne alle Ethernet-oder Netzwerk-Kabel vom System.

Versuche nicht, die Dateien auf eine externe Festplatte zu kopieren. Du glaubst vielleicht, das Kopieren der noch nicht verschlüsselten Dateien, ist eine gute Idee. Allerdings kannst Du auf diese Weise auch helfen, die Malware weiter zu verteilen. Verbindest Du eine Festplatte oder einen USB-Stick mit dem infizierten Computer, kopiert sich die Malware möglicherweise auf dieses Gerät.

Steckst Du nun die Festplatte oder den USB-Stick an einen anderen Computer, infiziert sich dieser unter Umständen auch. Im schlimmsten Fall infizierst Du die eigenen Systeme abermals, nachdem sie gereinigt wurden. Deswegen ist es am besten, den betroffenen Computer in Quarantäne zu stellen.

Schritt 2: Identifiziere die Art der Ransomware

Es gibt verschiedene Arten an Ransomware. Einige sind gefährlicher und schwieriger zu bekämpfen als andere. Du kannst verschiedene Strategien verwenden, um den Schadcode loszuwerden. Es kommt immer auf die Art des Angriffs an. Die häufigsten Formen lassen sich wie folgt kategorisieren:

  1. Scareware / gefälschte Antiviren-Software
    Scareware ist auch als gefälschte Antiviren-Software oder Fake Antivirus bekannt. Bei dieser Art von Malware werden Benutzer ausgetrickst. Sie sollen glauben, dass mit ihrem System etwas nicht stimmt.
    Anwender sollen eine zusätzliche Software kaufen, um den Computer zu säubern. Mit dem Gerät ist aber alles in Ordnung und der Kauf der Software kann zu einer weiteren oder echten Infizierung führen.
    In den meisten Fällen bekommt der Anwender ein Popup-Fenster mit einer Warnung zu Gesicht. Es sei ein Virus gefunden worden, das System ist langsam oder mit der Registry stimmt irgendetwas nicht. Möglicherweise ist es auch ein Köder mit einem Link zu einer Website, die Malware enthält. Nachfolgend findest Du ein Beispiel:
    Scareware ist wahrscheinlich die einfachste Art an Malware, mit der Du fertig werden kannst. Schließe einfach Deinen Browser und das Popup-Fenster verschwindet ebenfalls. Bekommst Du die Warnungen über das Betriebssystem, musst Du die dafür schuldige Anwendung identifizieren und entfernen. Besteht das Problem weiterhin, solltest Du Dein System mit einem Antiviren- oder Anti-Malware-Programm scannen.
  2. Screen Lock Ransomware (gesperrter Bildschirm)
    Diese Art an Ransomware sperrt Deinen Computer solange, bis Du das Lösegeld gezahlt hast. In den meisten Fällen füllt die Warnung den kompletten Bildschirm aus. Möglicherweise ist die Lösegeldforderung auch als Nachricht vom FBI getarnt, dass Du wegen illegaler Downloads eine Strafe zahlen musst. In anderen Fällen ist es ein pornografisches Hintergrundbild, das nicht geändert werden kann. Dadurch soll der Benutzer das Lösegeld aus Scham zahlen. Viele fortschrittliche Programme beobachten den Benutzer erst mehrere Tage und zeigen dann eine maßgeschneiderte Nachricht an. Sie wirkt damit echter und bedrohlicher. Hier ist ein Beispiel:Ist Dein Computer mit so einer Malware infiziert, kannst Du versuchen, das Programm oder den Schuldigen zu identifizieren. Verwende die Tastenkombination STRG + ALT + Entf und öffne den Task-Manager. Darüber lässt sich das Programm schließen.
    Selbst wenn Du das schuldige Programm gelöscht hast, solltest Du trotzdem einen kompletten Antiviren-Scan durchführen und alle Spuren entfernen. Funktionieren die Lösungen nicht, musst Du Windows vielleicht neu installieren oder zu einem Zeitpunkt springen, an dem noch alles reibungslos funktioniert hat.
  3. Ransomware, die Dateien verschlüsselt
    In der letzten und gefährlichsten Kategorie findest Du Programme, die alle Dateien verschlüsseln und sie solange unbrauchbar machen, bist Du das Lösegeld an die Erpresser zahlst. Normalerweise schleichen sie sich in das System der Opfer ein und verschlüsseln die Dateien heimlich im Hintergrund.
    Sobald die Verschlüsselung abgeschlossen ist, verlangen die Erpresser Geld, damit sich die Dateien wieder entschlüsseln lassen. Heutzutage werden Kryptowährungen wie Bitcoin als Zahlungsmethoden eingesetzt. Das nachfolgende Bild haben Opfer von Wannacry gesehen:
    Du solltest auch verstehen, wie eine solche Verschlüsselung funktioniert. Nur so verstehst Du, wie Du Deine Dateien wieder entschlüsseln kannst.
    Die meisten Programme verwenden eine Kombination aus symmetrischer und asymmetrischer Verschlüsselung (hier findest Du weitere Informationen zu den verschiedenen Verschlüsselungen). Symmetrische Verschlüsselung ist nützlich, weil der Angreifer die Dateien schneller verschlüsseln kann als bei asymmetrischer. Asymmetrische Verschlüsselung bedeutet aber, dass der Angreifer lediglich einen privaten Schlüssel schützen muss. Ansonsten müsster er für alle Opfer symmetrische Schlüssel vorhalten.

Command und Control Server (C&C) werden in der Regel für die Kommunikation mit dem Programm benutzt. Ransomware, die Dateien verschlüsselt, benutzt für einen Angriff asymmetrische und symmetrische Verschlüsselung. Das funktioniert so:

  • Beim Angreifer wird ein Schlüsselpaar (private / public) generiert. Dafür wird einer der zahlreichen asymmetrischen Verschlüsselungsalgorithmen verwendet, wie zum Beispiel RSA-256.
  • Private Schlüssel liegen beim Angreifer und die öffentlichen sind in dem Ransomware-Programm implementiert.
  • Nun wird ein neues System mit der Ransomware infiziert. Die Informationen werden zusammen mit der einzigartigen System-ID oder Opfer-ID an den C&C-Server geschickt.
  • Mithilfe eines symmetrischen Verschlüsselungsalgorithmus (zum Beispiel AES) generiert der Server einen symmetrischen Schlüssel für das spezielle System und schickt ihn zurück. Der symmetrische Schlüssel wird dann mithilfe des privaten verschlüsselt.
  • Die Ransomware Malware verwendet den integrierten öffentlichen Schlüssel, um den symmetrischen zu entschlüsseln. Danach fängt der Schadcode an, alle Dateien zu verschlüsseln.

Nun weißt Du, wie Ransomware funktioniert. Werfen wir nun einen Blick darauf, was Du bei einer Infizierung machen kannst.

Schritt 3: Entscheide Dich für eine Strategie

Wir haben bereits über Methoden gesprochen, wie sich die beiden erste Kategorien an Ransomware relativ einfach in den Griff bekommen lassen.

Programme, die Dateien verschlüsseln, sind etwas problematischer. Zunächst einmal musst Du die Art an Malware identifizieren. Informationen darüber gibt es vielleicht nicht viele. Das gilt vor allen Dingen für sehr neue Varianten, die fast täglich auftauchen. In den meisten Fällen kannst Du den Typ aber mit ein bisschen Recherche identifizieren.

Versuche, Screenshots von der Erpresser-Notiz zu machen und suche dann mit dem Bild nach der Ransomware. Du kannst auch nach den Textauszügen suchen und auf diese Weise Recherche betreiben.

Ob Du das Lösegeld zahlst oder nicht, musst Du selbst entscheiden. Die Empfehlung lautet, das Lösegeld nicht zu bezahlen, weil Du die Cyberkriminellen damit nur weiter ermutigst. Auf der anderen Seite könnten Deine Daten aber auch zu wichtig oder sensibel sein und Du kannst es Dir nicht leisten, sie zu verlieren. Im Endeffekt musst Du die Entscheidung selbst treffen. Du solltest aber auch keine Fall zahlen, wenn es nicht unbedingt nötig ist.

Außerdem musst Du zur Kenntnis nehmen, dass es keine Garantien gibt. Selbst wenn Du bezahlst, heißt das noch nicht, dass Du wieder an Deine Daten kommst.

Schritt 4: Ergreife Maßnahmen

Hast Du die Ransomware identifiziert, die Deinen Computer infiziert hat, dann suche im Web nach Möglichkeiten, sie zu entfernen. Auch Malware Code ist nicht immer fehlerfrei. Der Entwickler hat vielleicht vergessen, den Schlüssel zu löschen, der wiederum bei der Entschlüsselung helfen kann.

Ist die Ransomware selbst bekannt genug und es gibt Schlupflöcher, dann solltest Du Anleitungen und dergleichen finden, wie sich der Schadcode entfernen lässt. Eine gute Anlaufstelle ist nomoreransom.org.

Weil viele Ransomware-Programm die Originaldatei nach der Verschlüsselung einer Kopie löschen, kannst Du Dateien vielleicht mit einem Spezialprogramm (Data Recovery) wiederherstellen. Löscht Du eine Datei, wird sie nicht sofort physisch von der Festplatte entfernt. Sie ist aber zum Überschreiben freigegeben. Es ist nicht selten der Fall, dass sich wichtige Dateien mit einer kostenlosen Wiederherstellungs-Software retten lassen.

Funktioniert das alles nicht, musst Du eine Entscheidung treffen. Entweder Du zahlst das Lösegeld oder verlierst Deine Daten. Selbst wenn Du bezahlst, ist aber nicht garantiert, dass Du Deine Daten wieder bekommst. Du musst in diesem Fall tatsächlich darauf vertrauen, dass die Cyberkriminellen den Schlüssel herausrücken.

Du kannst auch versuchen, mit den Angreifern zu verhandeln. Das ist dann möglich, wenn es im Erpresserbrief eine E-Mail-Adresse gibt. Das funktioniert öfter als Du glaubst.

Entscheidest Du Dich, das Lösegeld nicht zu zahlen, musst Du den PC reinigen. Dadurch verlierst Du Deine Daten aber komplett und für immer. Hast Du ein Backup, das sich auf einer externen Festplatte befindet, verbinde sie auf KEINEN FALL mit dem PC, bevor er nicht komplett formatiert ist.

Du wirst die Ransomware am besten los, indem Du den Computer komplett formatierst und neu installierst. Ist Dir der Schritt zu drastisch, dann stelle sicher, dass die Ransomware den Boot-Sektor nicht infiziert hat. Zu diesem Thema findest Du viele Informationen im Internet.

Aktualisiere im Anschluss Deine Antiviren-Software und scanne das System komplett. Es ist auch empfehlenswert, das Antiviren-Programm um ein Anti-Malware-Programm zu ergänzen. Auf diese Weise sollte sich die Ransomware endgültig entfernen lassen.

Schritt 5: Nachbesprechung

Nachdem Du die Ransomware nun losgeworden bist, finde heraus, wie die Malware auf Dein System gekommen ist. Ein weiser Spruch lautet, dass „vorbeugen besser als heilen ist“. Das gilt natürlich auch für Online-Security. Eine Verteidigung ist nur so gut wie der Anwender und die Schutzmaßnahmen auf dem System. Ist die Verteidigung gut, hat es die Malware wesentlich schwerer.

Sei auf der Hut und behalte nachfolgende Punkte im Hinterkopf:

  1. Deine Antiviren-Software muss immer auf dem neuesten Stand sein
  2. Überprüfe stets die URL der Website, die Du besuchst.
  3. Führe keine Programme auf Deinem System aus, denen Du nicht traust. Dinge wie Cracks, Seriennummern, Patches und so weiter sind oftmals Quellen für Malware.
  4. Nicht vertrauenswürdigen Seiten solltest Du auf keinen Fall erlauben, dass Sie Inhalte in Deinem Browser ausführen dürfen.
  5. Stelle sicher, dass Dein Betriebssystem auf dem aktuellen Stand ist. Malware verbreitet sich oft durch nicht geschlossene Sicherheitslücken im Betriebssystem. Damit ist natürlich auch Ransomware gemeint. Vielleicht kann ein Hacker über eine Schwachstelle in Windows RDP beliebige Software auf Deinem System einspielen, wenn der Computer mit dem Internet verbunden ist. Auf diese Weise bekommt er Zugriff auf Deinen Rechner und kann den Schadcode, die Malware oder die Ransomware ausführen.
War dies hilfreich? Teil Sie es mit anderen!