Ransomware: wenn Software den Computer als Geisel nimmt
Worum es sich bei Ransomware grundlegend handelt, macht die Übersetzung deutlich: Das Wort „ransom“ steht im Englischen für Lösegeld. Der zweite Wortteil lehnt sich an die übliche Bezeichnung für Computerprogramme an. Bei Ransomware handelt es sich also um Erpressungs-Software. Häufig fallen in diesem Zusammenhang auch die Begriff Krypto- oder Verschlüsselungstrojaner.
Einmal auf dem Rechner installiert, erhalten Angreifer durch das Schadprogramm die Kontrolle über das gesamte Computersystem: Die Software schränkt den Zugriff des eigentlichen primären Computernutzers ein oder sperrt ihn sogar komplett aus. Dateien liegen mitunter nur noch in verschlüsselter Form vor. Für die Wiederfreigabe oder Entschlüsselung verlangt die Erpresser-Software ein Lösegeld.
Verbreitet wird Ransomware ebenso wie herkömmliche Trojaner und Viren: Über verseuchte Werbebanner im Internet, über Social Engineering oder über Schwachstellen und Sicherheitslücken in Browsern, Betriebssystemen und anderer Software.
So funktioniert Ransomware
Ransomware ist kein neues Phänomen, auch wenn die Schadsoftware durch medienwirksame Attacken wie die des WannaCry-Programms im Jahr 2017 wieder in den Fokus der Öffentlichkeit gelangte. Als erste dokumentierte Ransomware gilt die sogenannte AIDS Trojaner Disk aus dem Jahr 1989. Damals erfolgte die Verbreitung noch per Diskette: Der Evolutionsbiologe und Harvard-Absolvent Joseph L. Popp verschickte 20.000 verseuchte und als AIDS-Information getarnte Datenträger an die Teilnehmer der Welt-AIDS-Konferenz. Nach einer vorgegebenen Anzahl an Neustarts fing das Programm an, die Festplatten der infizierten Rechner zu verschlüsseln. Der Trick: Der Virus täuschte eine abgelaufene Lizenz vor und forderte die Nutzer auf, für 189 US-Dollar einen neuen Lizenzschlüssel bei einer Scheinfirma in Panama zu erwerben. Als Erpressung war die Aktion auf den ersten Blick nicht zu erkennen.
Deutlich mehr verlangten 2005 die Programmierer von TROJ_PGPCODER.A: Mehrere Hundert US-Dollar sollten Betroffene bezahlen, um wieder auf ihre Dateien zugreifen zu können. Der Trojaner gilt als eine der ersten über das Internet verbreiteten Ransomwares.
Seitdem ist die Bedrohungslage im Internet massiv angestiegen. Alleine von Oktober 2015 bis Februar 2016 verzehnfachte sich die Erkennungsrate von Ransomware durch Virenscanner und andere Sicherheitslösungen. Es haben sich zwei verschiedene Varianten etabliert:
- Screenlocker, die den Bildschirm des PCs sperren und nur durch die Eingabe eines dem Nutzer unbekannten Codes oder Passworts wieder freigeben. Dieser Sperrbildschirm schiebt sich dauerhaft in den Vordergrund und macht eine reguläre Nutzung des Computers unmöglich.
- File-Encrypter, die wichtige Dateien auf der Festplatte verschlüsseln und als Geisel halten, bis der Nutzer das Lösegeld zahlt. In der Regel trifft die Verschlüsselung nur bestimmte Dateitypen wie Dokumente, Bilder oder Videos. Die vergleichsweise neue Familie der Petya-Verschlüsselungstrojaner widmet sich hingegen der Master File Table, also dem Inhaltsverzeichnis der Festplatte. Die Dateien werden dadurch quasi unsichtbar.
Screenlocker waren aufgrund ihrer Einfachheit früher weit verbreitet, mittlerweile kommen File-Encrypter häufiger vor. Sie lassen sich schwieriger vom Computer entfernen und sind für die Angreifer variabler. Manchmal droht die Schadsoftware etwa damit, in regelmäßigen Abständen Dateien unwiderruflich zu löschen, bis die Lösegeldzahlung erfolgt ist. Das erhöht den Druck auf die Betroffenen.
Weitere nicht ganz so weit verbreitete Ransomware-Varianten sind App-Locker, die sich den Zugang zu bestimmten Applikationen und Programmen unterbinden, und Hybride als Kombination der zuvor genannten Fassungen.
So schützt man sich gegen Ransomware
Zur Abwehr von Ransomware ist die richtige Vorsorge wichtig. Dabei spielen Backups eine signifikante Rolle: Regelmäßige Datensicherungen minimieren den Schaden, den eine plötzliche Verschlüsselung durch unbefugte Dritte anrichtet. Betroffene Nutzer mit Backup haben trotz Ransomware-Infektion weiter Zugriff auf ihre Daten und werden die Erpressersoftware durch eine saubere Neuinstallation wieder los. Wichtig ist hier, die Sicherung auf einem externen und vom PC getrennt gelagerten Medium wie einer USB-Festplatte oder einer DVD anzulegen. Auch Cloud-Backups sind eine Möglichkeit.
Für bereits betroffene Rechner gibt es sogenannte Ransomware-Cleaner, die die Erpressungs-Software beseitigen.
Bestenfalls wehrt der Nutzer die Ransomware ab, bevor sie überhaupt Schaden anrichtet. Eine erste sinnvolle Maßnahme ist es, das Betriebssystem, die verwendeten Web-Browser und E-Mail-Programme sowie alle weiteren Anwendungen stets auf dem neuesten Stand zu halten. So wird sichergestellt, dass alle bekannten Sicherheitslücken und Hintertüren geschlossen sind. Das Risiko einer Ransomware-Infektion sinkt außerdem, wenn das Tagesgeschäft am Computer über ein Gastkonto als Standardnutzeroberfläche abgewickelt wird. Dieser Account hat weniger Rechte als der Admin-Zugang. Das hindert Schadsoftware generell daran, tief in die kritischen Bereiche des Systems einzudringen.
Eine weitere Vorsorge besteht darin, gegen Social-Engineering-Angriffe wie Phishing gewappnet zu sein. Und zu guter Letzt gibt es Sicherheitslösungen, die als Komplettpaket alle Geräte vom Smartphone bis zum PC vor bekannten Ransomware-Bedrohungen schützen. Teilweise werden sogar Day-Zero-Varianten blockiert. Dabei handelt es sich um völlig neue Ransomware-Varianten, die aufgrund ihrer Verhaltensweisen oder Programmstrukturen erkannt werden.