Ransomware ist eine Art von Schadsoftware (Malware), die sich auf unterschiedliche Weise manifestieren kann und sowohl einzelne Systeme als auch Netzwerke von Unternehmen, Krankenhäusern, Flughäfen und Regierungsbehörden befallen kann.

Ransomware hat sich seit ihrem ersten aufgezeichneten Vorfall im Jahr 1989 kontinuierlich verbessert und ist immer ausgefeilter geworden. Während einfache Formate Ransomware normalerweise nicht verschlüsseln, verwenden moderne Formate kryptografische Methoden, um Dateien zu verschlüsseln, wodurch sie unzugänglich werden. Ransomware-Verschlüsselung kann auch auf Festplatten eingesetzt werden, um das Betriebssystem eines Computers vollständig zu sperren und so den Zugriff des Opfers darauf zu verhindern. Das ultimative Ziel besteht darin, das Opfer davon zu überzeugen, für die Entschlüsselung zu bezahlen, was normalerweise in digitalen Währungen verlangt wird, die schwer nachzuverfolgen sind (wie Bitcoin oder andere Kryptowährungen). Es gibt jedoch keine Garantie dafür, dass die Angreifer nach der Zahlung ihre Bedingungen erfüllen.

Ransomware hat im letzten Jahrzehnt (insbesondere im Jahr 2017) deutlich an Popularität gewonnen und ist als finanziell motivierter Cyberangriff heute die bekannteste Malware-Bedrohung weltweit – wie Europol berichtet (IOCTA 2018).


Wie wird man Opfer?

  • Phishing: Eine wiederkehrende Form des Social Engineering. Im Zusammenhang mit Ransomware sind Phishing-E-Mails eine der beliebtesten Formen der Malware-Verbreitung. Opfer werden in der Regel über manipulierte E-Mail-Anhänge oder als echt getarnte Links infiziert. Innerhalb eines Computernetzwerks kann ein einziges Opfer ausreichen, um eine ganze Organisation zu gefährden.

  • Exploit-Kits: ein Paket aus verschiedenen bösartigen Tools und vorgefertigtem Programmcode. Diese Kits sollen Probleme und Schwachstellen in Softwareanwendungen und Betriebssystemen ausnutzen, um Malware zu verbreiten (Systeme mit veralteter Software sind am unsichersten).

  • Malvertising: Angreifer nutzen Werbenetzwerke, um Ransomware zu verbreiten.


Wie schützt man sich vor Ransomware-Angriffen?

  • Sichern Sie Ihre Dateien regelmäßig auf externen Laufwerken, damit Sie sie wiederherstellen können, nachdem Sie sie als potenziell infiziert gelöscht haben.

  • Seien Sie vorsichtig mit E-Mail-Anhängen und Links. Klicken Sie nicht auf Anzeigen oder Websites unbekannter Herkunft;

  • Installieren Sie ein zuverlässiges Antivirenprogramm und aktualisieren Sie Ihre Anwendungen und Ihr Betriebssystem.

  • Aktivieren Sie die Option „Dateierweiterungen anzeigen“ in den Windows-Einstellungen, damit Sie sie einfach überprüfen können. Vermeiden Sie Dateien wie .exe, .vbs und .scr;

  • Vermeiden Sie den Besuch von Websites, die nicht durch HTTPS gesichert sind (d. h. URLs, die mit „https://“ beginnen). Beachten Sie jedoch, dass viele bösartige Websites HTTPS implementieren, um ihre Opfer zu verwirren, d. h. Das Vorhandensein eines einzigen Protokolls garantiert nicht, dass eine Website legal oder sicher ist.

  • Besuchen Sie NoMoreRansom.org, eine Website, die von Strafverfolgungs- und IT-Sicherheitsunternehmen erstellt wurde, die sich mit Ransomware-Bedrohungen befassen. Die Website bietet kostenlose Entschlüsselungstools für infizierte Benutzer sowie vorbeugende Empfehlungen.


Beispiel Ransomware

GrandCrab (2018)

Dies geschah zum ersten Mal im Januar 2018. In weniger als einem Monat wurden 50.000 Menschen Opfer der Ransomware, bevor sie von den rumänischen Behörden zusammen mit Bitdefender und Europol (mithilfe eines kostenlosen Datenwiederherstellungs-Toolkits) gestoppt wurde. GrandCrab wurde über Malvertising- und Phishing-E-Mails verbreitet und war die erste bekannte Ransomware, die ein Lösegeld in der Kryptowährung DASH forderte. Die anfängliche Erpressung lag zwischen 300 und 1.500 US-Dollar.


WannaCry (2017)

Ein globaler Cyberangriff, der innerhalb von 4 Tagen mehr als 300.000 Computer infizierte. WannaCry wurde über einen Exploit namens EternalBlue verbreitet und für Microsoft Windows-Betriebssysteme entwickelt (die meisten betroffenen Computer liefen unter Windows 7). Der Angriff wurde aufgrund von von Microsoft veröffentlichten Notfall-Patches gestoppt. US-Sicherheitsexperten sagten, Nordkorea sei an dem Angriff beteiligt gewesen, es wurden jedoch keine Beweise vorgelegt.


Böser Hase (2017)

Ransomware, die als gefälschtes Adobe Flash-Update verbreitet wurde, das von gehackten Websites heruntergeladen wurde. Die meisten infizierten Computer befanden sich in Russland und die Infektion hing von der manuellen Installation der .exe-Datei ab. Die Kosten für die Entschlüsselung betrugen damals etwa 280 US-Dollar (0,05 BTC).


Locky (2016)

Wird normalerweise per E-Mail als Zahlungsbeleg verschickt und enthält eine infizierte Datei als Anhang. Im Jahr 2016 wurde das Hollywood Presbyterian Medical Center mit Locky infiziert und musste 40 BTC (damals 17.000 US-Dollar) zahlen, um wieder Zugriff auf die Computersysteme des Krankenhauses zu erhalten.