Schutz vor Ransomware Wie ihr Ransomware zuverlässig erkennt

Wir alle lesen und hören mittlerweile fast täglich von Cyberkriminalität, Computerviren und Malware-Angriffen. Für viele Menschen ist Ransomware nur ein weiteres Wort aus einer anderen Welt, das beängstigend klingt und schwer einzuordnen ist. Dabei kann es für jeden Menschen überaus hilfreich sein, über die Gefahr durch Ransomware genau Bescheid zu wissen. Was Ransomware eigentlich bedeutet, wie ein Ransomware-Angriff funktioniert, und wie er sich äußert; diesen und weiteren Fragen widmen wir uns ausführlich in diesem Beitrag.

Was ist Ransomware?

Eine Form von Viren, die als Ransomware bekannt ist, verschlüsselt Daten und möglicherweise ganze Computersysteme, bevor sie eine Lösegeldzahlung für die Freigabe der Daten verlangt. Computersysteme oder Dateien, die mit Ransomware infiziert wurden, sind durch die Verschlüsselung für die Opfer unbrauchbar. Angriffe mit Ransomware können sich sowohl auf private als auch auf geschäftliche Dateien auswirken.

Nach einem Ransomware-Angriff treten Hacker*innen oder Cyberkriminelle mit ihren Forderungen an die Opfer heran. Sie versprechen, die Rechner freizuschalten oder die Dateien zu entschlüsseln, wenn sie ein Lösegeld zahlen, das in der Regel in Bitcoin oder einer anderen Kryptowährung gezahlt wird.

Seit Mitte der 2000er Jahre ist das Bewusstsein für die wachsende Bedrohung durch Ransomware gestiegen, aber Ransomware-Angriffe sind schon seit Jahren ein Problem für die Gesellschaft, Unternehmen und Regierungen.

Um die Daten wieder zu entschlüsseln, verlangen die Hacker*innen Lösegeld, oft in Form von Bitcoin. © Shutterstock, posteriori
Um die Daten wieder zu entschlüsseln, verlangen die Hacker*innen Lösegeld, oft in Form von Bitcoin. © Shutterstock, posteriori

Wie hat sich Ransomware über die Jahre verändert?

Dr. Joseph Popp, ein Evolutionsbiologe mit einem Harvard-Abschluss, führte 1989 den ersten aufgezeichneten Ransomware-Angriff durch, der später unter den Namen AIDS-Trojaner bzw. PC Cyborg bekannt wurde. Dr. Popp schickte seinen Opfern Disketten mit seinem Virus, die den Anschein erweckten, es handele sich hier um eine AIDS-Aufklärungsinitiative. Sobald der AIDS-Trojaner aktivert wurde, verschlüsselte er die Dateien auf den Computern der Opfer und verlangte 189 Dollar Lösegeld, um sie wieder zu entschlüsseln.

Heutzutage sind Ransomware-Programme, die Open-Source sind, für Angreifer*innen leicht verfügbar. Erfolgreiche Angriffe können für die Erpresser*innen sehr lukrativ sein und ihnen Millionen von Dollars einbringen und Menschen, Unternehmen oder Regierungen dazu zwingen, das von ihnen verursachte Chaos zu beseitigen. Diese verlockenden Beträge haben zu einem starken Anstieg der Ransomware-Angriffe geführt. Die Covid-19-Pandemie hat eine weitere Welle der Cyberkriminellen hervorgebracht, da in dieser Zeit die Digitalisierung in den Unternehmen einen Riesenschritt in Richtung virtueller Arbeitsplatz gemacht hat.

Durch die Covid-19-Pandemie gab es eine neue Welle von Ransomware-Angriffen. © Shutterstock, Gorodenkoff
Durch die Covid-19-Pandemie gab es eine neue Welle von Ransomware-Angriffen. © Shutterstock, Gorodenkoff

Ist Ransomware ein Virus?

Ransomware ist zwar eine Art der Schadsoftware, aber kein Virus. Viele Menschen bezeichnen alle Arten von Malware als Viren. Ein Computervirus ist nur eine Art von Malware, und jede Art von Malware hat ihre eigenen einzigartigen Eigenschaften. Trojaner, Würmer und Viren können alle als Mittel zur Verbreitung von Ransomware betrachtet werden. Ein Virus kann Ransomware verbreiten, aber während Viren Daten infizieren und sich selbst replizieren, verschlüsselt Ransomware Daten zur Lösegeldforderung.

Die meisten Ransomware-Programme verbreiten sich über Trojaner, d. h. sie verstecken sich in Dateien oder Links, die scheinbar sicher sind, die ihr aber dennoch öffnen müsst. Wenn sich Ransomware als Schadprogramm manifestiert, verbreitet sie sich entweder automatisch oder durch die Benutzer*innen.

Viren können Ransomware auf euren Geräten verbreiten, sind aber selbst keine Viren, sondern Malware. © Shutterstock, nuclear_lily
Viren können Ransomware auf euren Geräten verbreiten, sind aber selbst keine Viren, sondern Malware. © Shutterstock, nuclear_lily

Wie gelangt Ransomware auf den Computer?

Einige Ransomware-Varianten können unbemerkt auf euer System zugreifen und die Kontrolle über eure Inhalte übernehmen. Andere Ransomware-Angriffe verwenden ältere Techniken zur Vireninfektion. Im Folgenden wird beschrieben, wie die verschiedenen Arten von Ransomware funktionieren:

  • Exploit-Kits:
    Um Schwachstellen in Geräten, Netzwerken oder Anwendungen auszunutzen, erstellen Angreifer*innen Exploit-Kits. Alle mit dem Netzwerk verbundenen Geräte mit veralteter Software können von dieser Art von Ransomware infiziert werden. Um Angriffe auf eure Hardware und Dateien zu verhindern, solltet ihr eure Systeme und Anwendungen auf dem neuesten Stand halten.
  • Phishing:
    Bei Phishing-Angriffen geben sich Online-Kriminelle als vertrauenswürdige Personen oder Unternehmen aus und senden euch eine E-Mail mit einem scheinbar vertrauenswürdigen Anhang oder Link. Bei dieser Art von Social-Engineering-Angriffen werden häufig falsche Bestellformulare, Quittungen oder Rechnungen verwendet. Erkennt ihr einen Phishingversuch, öffnet die Mail nicht, meldet sie und kennzeichnet sie als Spam.
  • Malvertising:
    Indem sie ihren Virus in gefälschte Internet-Werbung einbinden, können Angreifer*innen ihre Malware verbreiten. Diese Strategie wird als Malvertising bezeichnet. Malvertising ist ein Problem, das selbst die zuverlässigsten Websites befallen kann. Bei bestimmten Malvertising-Anzeigen wird die Ransomware ohne einen Klick heruntergeladen, während sie bei anderen erst nach einem Klick installiert wird.
  • Drive-by-Downloads:
    Angreifer*innen können Websites mit Malware so einrichten, dass diese beim Aufruf der Seite heimlich und automatisch auf eurem Gerät heruntergeladen wird. Ihr seid durch diese Technik stärker gefährdet, wenn ihr veraltete Browser und Anwendungen verwendet.
Ohne ausreichende Cybersecurity kann Ransomware eure Geräte auf verschiedene Arten infizieren. © Shutterstock, SEVENNINE_79
Ohne ausreichende Cybersecurity kann Ransomware eure Geräte auf verschiedene Arten infizieren. © Shutterstock, SEVENNINE_79

Wie funktioniert ein Ransomware-Angriff?

Sobald die Ransomware auf eurem Gerät installiert ist, ist jeglicher Zugriff eingeschränkt. Ein Ransomware-Angriff sperrt in der Regel euer gesamtes Gerät oder verschlüsselt eure Dateien. Der Entschlüsselungscode wird dann im Austausch gegen eine Lösegeldzahlung zur Verfügung gestellt, wie in der dann angezeigten Lösegeldnachricht angegeben.

Die beiden Phasen einer Ransomware-Infektion sind wie folgt:

  1. Die Ransomware verschlüsselt eure Dateien: Die durch Ransomware verschlüsselten Dateien oder Dateistrukturen sind dadurch unbrauchbar. Sie verwendet häufig Datenverschlüsselungstechniken, die einen eindeutigen Entschlüsselungscode erfordern, um geknackt werden zu können, wofür die Ransomware-Angreifer eine Gebühr verlangen.
  2. Nach der Verschlüsselung wird ein Lösegeldschreiben auf eurem Bildschirm angezeigt. Darin wird angegeben, wie viel Geld ihr zahlen müsst und bis wann. Wenn ihr bis dahin nicht zahlt, kann sich der Preis erhöhen, die Daten können aber auch gelöscht oder dauerhaft verschlüsselt werden.

Jeder Versuch, eure verschlüsselten Dateien zu öffnen, während sich Ransomware auf eurem Gerät befindet, wird wahrscheinlich zu einer Fehlermeldung führen, die euch mitteilt, dass eure Dateien beschädigt oder ungültig sind oder nicht gefunden werden können. Und nicht nur Windows-Benutzer*innen müssen sich Sorgen machen. Sowohl Macs mit dem Ventura-Betriebssystem als auch mobile Geräte sind anfällig für Ransomware.

Durch einen Ransomware-Angriff werden Daten verschlüsselt und für euch unbrauchbar gemacht. © Shutterstock, TippaPatt
Durch einen Ransomware-Angriff werden Daten verschlüsselt und für euch unbrauchbar gemacht. © Shutterstock, TippaPatt

Kann Ransomware auch Smartphones befallen?

Angriffe mit Ransomware auf Mobiltelefone werden immer häufiger. Die Studie des Forschungsinstituts Check Point mit Daten aus der ersten Jahreshälfte 2019 zeigte einen fünfzigprozentigen Anstieg der Cyberangriffe auf Smartphones und Tablets im Vergleich zum Vorjahr. Android-Nutzer*innen erhielten 2019 eine Warnung vor einem neuen Stamm, der die Geräte per SMS infiziert.

Die Malware gelangt häufig über inoffizielle Download-Seiten auf Android-Smartphones. Es gab jedoch Fälle, in denen die Ransomware erfolgreich in scheinbar vertrauenswürdigen Google-Play-Store-Apps getarnt wurde.

Apple-Geräte mit Ventura-Betriebssystem sind zwar weniger anfällig für Malware-Angriffe, doch aufgrund ihrer ständig wachsenden Nutzerbasis schenken die Malware-Hersteller ihnen immer größere Aufmerksamkeit.

Auch ungeschützte Smartphones können von Ransomware befallen werden. © Shutterstock, Tero Vesalainen
Auch ungeschützte Smartphones können von Ransomware befallen werden. © Shutterstock, Tero Vesalainen

Woran erkennt man einen Ransomware-Befall?

Eine Infektion eures Computers oder mobilen Endgeräts kann verschiedene mehr oder weniger sichtbare Auswirkungen haben. Hier findet ihr einige Möglichkeiten, woran ihr einen Ransomware-Angriff feststellen könnt:

  • Eine frühe Ransomware-Infektion kann erkannt werden, wenn das Endgerät über einen Antiviren-Scanner verfügt, vorausgesetzt, der Scanner wurde nicht umgangen.
  • Überprüft die Dateierweiterung: Die Standarderweiterung einer Bilddatei ist zum Beispiel „.jpg“. Sie kann mit Ransomware infiziert worden sein, wenn diese Erweiterung anfängt, zufällige Zeichen anzuzeigen.
  • Haben Dateien andere Namen als die, die ihr ihnen zugewiesen habt? Wenn Malware Daten verschlüsselt, ändert sie häufig den Dateinamen. Dies kann also möglicherweise ein Hinweis sein.
  • Erhöhte Festplatten- und CPU-Aktivität: Wenn die Festplatte oder der Hauptprozessor eine erhöhte Aktivität aufweisen, arbeitet die Ransomware möglicherweise im Hintergrund.
  • Verdächtige Netzwerkkommunikation kann auftreten, wenn Software mit einem Cyberkriminellen oder dem Server der Angreifer*innen interagiert, je nach Situation.
  • Dateien, die nicht mehr geöffnet werden können, sind ein spätes Symptom für Ransomware-Aktivitäten.
Einen Ransomware-Angriff frühzeitig zu erkennen kann euch viel Geld sparen© Shutterstock, Zephyr_p
Einen Ransomware-Angriff frühzeitig zu erkennen, kann euch viel Geld sparen© Shutterstock, Zephyr_p

Sollte man der Lösegeldforderung nachkommen?

Die Zahlung von Lösegeld wird von Expert*innen für Cyberkriminalität, der Polizei und dem BSI nicht empfohlen. Bei der Geiselnahme von Daten sollte nicht verhandelt werden, so wie es auch bei Geiselnahmen im wirklichen Leben nicht angebracht ist. Zudem gibt es keine Garantie dafür, dass die Erpresser*innen das Material wirklich wie versprochen entschlüsseln werden. Außerdem würde die Auszahlung zu dieser Art von Kriminalität ermutigen, was niemals akzeptabel ist. Diese Art von Cyberkriminalität solltet ihr aber immer zu Anzeige bringen und Experten hinzuziehen. Gerade kleine und mittelständische Unternehmen geraten leicht ins Fadenkreuz.

Solltet ihr das Lösegeld bezahlen wollen, empfiehlt es sich, die Ransomware nicht vom Computer zu entfernen. Je nach Art der Ransomware oder der Entschlüsselungsstrategie der Cyberkriminellen kann die Ransomware nämlich das einzige Mittel sein, mit dem ein Entschlüsselungscode verwendet werden kann. Der teuer gekaufte Entschlüsselungsschlüssel würde nutzlos werden, wenn die Software zu früh entfernt wird. Habt ihr tatsächlich einen Entschlüsselungsschlüssel erhalten und dieser funktioniert, solltet ihr die Ransomware im Anschluss so schnell wie möglich entfernen.

Für das Lösegeld werden eure Daten wieder verschlüsselt - sofern die Erpresser*innen sich daran halten. © Shutterstock, vchal
Für das Lösegeld werden eure Daten wieder verschlüsselt – sofern die Erpresser*innen sich daran halten. © Shutterstock, vchal

Wie kann man sich vor Ransomware schützen?

Die beste Verteidigung gegen Ransomware ist es, zu verhindern, dass sie jemals Zugang zu eurer Hard- und Software erhalten. Wenn ihr ein vertrauenswürdiges Programm zum Schutz vor Ransomware verwendet und euch online verantwortungsvoll verhaltet, wird es für Cyberkriminelle schwieriger, euch zu Opfern zu machen. Hier sind einige Empfehlungen, wie ihr euch vor Ransomware schützen können:

  • Aktualisiert eure Software. Wenn ihr immer die neuesten Updates für euer Betriebssystem und eure Anwendungen installiert, könnt ihr Sicherheitslücken schließen und Hacker*innen von Ransomware-Angriffen abhalten.
  • Erstellt regelmäßig Backups. Die Fähigkeit von Ransomware, den Zugriff auf wichtige Dateien zu verhindern, ist eine ihrer größten Stärken. Ihr werden niemals ein Lösegeld zahlen müssen, wenn ihr aktuelle Sicherungskopien eurer gesamten Dateien haben. Führt regelmäßig Backups eures Computersystems und eurer Dateien durch. Cloud-Dienste und physische Speichermedien sind beides gute Optionen, also nutzt beides, wenn ihr könnt. Wenn euer Gerät nicht über einen Zeitplan für automatische Sicherungen verfügt, richtet einen solchen ein.
  • Ein Rechenzentrum wie von Smart Data Center stellt euch virtuelle Arbeitsplätze zur Verfügung, die über doppelt gesicherte Server verfügen.
  • Verwendet einen starken Werbeblocker in eurem Browser, um euch vor Drive-by-Downloads und Malvertising zu schützen – zwei Möglichkeiten, wie Ransomware euren Computer infizieren kann.
  • Seid vorsichtig bei seltsamen Links, die ihr über E-Mails oder andere Nachrichtendienste erhaltet. Auch wenn die Verbindung von einem Freund stammt, könnte sie kompromittiert worden sein. Beachtet die Warnhinweise auf gefährliche Websites und haltet euch von ihnen fern.
  • Verwendet Antiviren-Software. Ransomware stellt nur dann eine Bedrohung dar, wenn sie tatsächlich zu euch gelangen kann. Schützt euch mit einer starken Cybersicherheits-App, damit Viren und Malware gestoppt werden, bevor sie euch schaden können. Bösartige Links, verdächtige Downloads und riskante Websites werden damit blockiert.
Ohne einen guten Schutz und vorsichtiges Handeln lauft ihr Gefahr, Opfer eines Ransomwareangriffs zu werden. © Shutterstock, Zephyr_p
Ohne einen guten Schutz und vorsichtiges Handeln lauft ihr Gefahr, Opfer eines Ransomwareangriffs zu werden. © Shutterstock, Zephyr_p

Einige Beispiele für gefährliche Ransomware

Windows-Computer sind für gewöhnlich das Hauptziel von Ransomware-Angriffen. Aber auch Macs, iOS- und Android-Geräte sind davon betroffen. Die gängigsten Ransomware-Stämme, die Diebe im Laufe der Jahre eingesetzt haben, werden in den folgenden Abschnitten erläutert:

WannaCry

Die Ransomware-Variante WannaCry zeigt, wie weitreichend ein PC-basierter Malware-Angriff sein kann. Über hundert Millionen Nutzer*innen wurden im Mai 2017 von WannaCry angegriffen, dass sich weltweit ausbreitete und hunderte Millionen Dollar Schaden verursachte.

GandCrab

Ebenso wie sein Vorläufer Cerber nutzte GandCrab im Jahr 2018 ein Ransomware-as-a-Service (RaaS)-Modell, das es Cyberkriminellen ermöglichte, die Software gegen eine Beteiligung an den „Einnahmen“ zu mieten. Insgesamt sind über 1,5 Millionen Computer auf diese Weise infiziert worden. Glücklicherweise stellt GandCrab keine Bedrohung mehr dar, da der Entschlüsselungsschlüssel seit 2019 durch die US-Regierung und Cybersicherheitsforscher online frei zugänglich ist.

Petya

Der Petya-Stamm nutzt die Screenlocker-Technik, um euren Computer zu sperren, indem er die Hauptdateitabelle auf eurer Festplatte verschlüsselt. Er tauchte zum ersten Mal 2016 auf und dann 2017 erneut in einer erweiterten Version.

Popcorn Time

Angreifer*innen mit Ransomware wollen meistens so viele Geräte wie möglich infizieren, um ihren Gewinn zu maximieren. Der Popcorn-Time-Stamm fordert euch auf, die Malware an zwei weitere Personen zu verbreiten. Wenn diese beiden Personen das Lösegeld bezahlen, erhaltet ihr wieder Zugriff auf eure Dateien, ohne selbst dafür bezahlen zu müssen.

BlackByte

Die BlackByte Ransomware wurde erst vor kurzem von Cybersicherheitsforscher*innen entdeckt. Die Software versucht, die Computer zu infizieren, bevor sie eine undurchdringliche Verschlüsselungsmethode anwendet, um die darin gespeicherten Inhalte zu sperren.

Die Hacker*innen versuchen dann, von ihren Opfern Geld im Austausch für einen bestimmten Entschlüsselungsschlüssel und das Softwareprogramm zu verlangen, mit dem die Daten wiederhergestellt werden können. Die BlackByte-Ransomware ändert auch die ursprünglichen Namen der gesperrten Dateien, indem sie die Erweiterung „.blackbyte“ hinzufügen. Dieses Markenzeichen funktioniert zusätzlich als Drohung.

Gut abgesichert mit Smart Data Center

Trotz guter Sicherheitsvorkehrungen ist eine Ransomware-Attacke nie vollkommen auszuschließen. Smart Data Center unterstützt euch in allen Belangen der Datensicherheit und der Cybersecurity. Durch unseren außergewöhnlichen neuen Back-up-Service sowie unsere Gefährdungsbeurteilung für IT- und Cybersicherheit ist euer Unternehmen bestmöglich auf Hacker- und Ransomware-Angriffe vorbereitet. Wenn ihr mehr zum Thema Cybersecurity oder Nachhaltigkeit im Technikbereich erfahren wollt, besucht unser Magazin. Folgt uns auch gerne auf LinkedIn um keine Neuigkeiten zu verpassen.

Beitragsbild: © Shutterstock, Andrey_Popov

Weitere Themen aus diesem Artikel

Aktuelle Beiträge

DDOS-Angriff auf BaFin und Lok Leipzig Hackerangriffe aktuell: September 2023

Im September 2023 wurden erneut Unternehmen aus verschiedenen Branchen Opfer von Cyberangriffen, die auf Sicherheitslücken zurückzuführen waren. Diese Angriffe haben zugenommen und sie werden aus vielfältigen Motiven durchgeführt.

Nachhaltigkeit der KMUs Gothaer Studie 2023: Nachhaltigkeit in Unternehmen

Das Thema Nachhaltigkeit gewinnt immer mehr an Bedeutung. Sowohl in privaten Haushalten als auch in Unternehmen. Doch wie stehen KMUs eigentlich dazu, ihre Unternehmensphilosophie anzupassen und Nachhaltigkeit einen größeren Raum zu geben? Die Gothaer Studie kam zu interessanten Ergebnissen, die wir euch in diesem Beitrag zusammengefasst haben.

Cyberangriffe Deutschland Cyberangriffe aktuell: August 2023

Unternehmen aus verschiedenen Branchen waren im August 2023 erneut Ziel von Cyberangriffen, die auf Sicherheitslücken zurückzuführen waren. Die Zahl der Hackerangriffe nimmt ständig zu, und sie werden aus den unterschiedlichsten Gründen durchgeführt.