Ransomware-Angriff: Wenn man zum Opfer von Erpressern wird

trauriger Mann sitzt vor dem Laptop mit dem Warnhinweis Ransomware

Jeder kennt sie – ungebetene Spam-Mails, Werbebanner und seltsam wirkende Internetseiten. Normalerweise werden Spam-Mails einfach gelöscht und Werbebanner weg geklickt, aber was passiert, wenn die E-Mail oder der Link so echt wirkt, dass man gar nicht merkt, dass sie infiziert sind?!

Aktiviert oder öffnet man solche infizierten Links oder Dateien, kann das Computersystem von Ransomware befallen werden und zu großen Problemen in Unternehmen oder auch bei Privatpersonen führen.

Was man unter Ransomware versteht und wie Sie sich und Ihre Daten vor einem Ransomware-Angriff schützen können, erfahren Sie in diesem Artikel.

trauriger Mann sitzt vor dem Laptop mit dem Warnhinweis Ransomware

Was ist überhaupt Ransom­ware?

Der Begriff Ransomware kommt aus dem Englischen und bedeutet „Lösegeld“. Wer Opfer von einem Ransomware-Angriff wird, kann plötzlich nicht mehr auf seine Computerdaten zugreifen und bekommt Lösegeldforderungen.

Bei der Ransomware handelt es sich um eine Malware, die einzelne Dateien auf Ihrem Computersystem verschlüsselt oder das gesamte System sperrt. Um erneut Zugriff auf Ihre Daten zu bekommen, werden Sie aufgefordert, Lösegeld zu bezahlen.

Zu den Opfern von Ransomware-Attacken zählen nicht nur Privatpersonen, sondern auch Unternehmen, Krankenhäuser und öffentliche Instanzen.

Wie funktioniert ein Ransom­ware-Angriff?

Bei einem Ransom­ware-Angriff verschafft sich die Malware Zugang zu Ihrem Gerät. Diesen Zugang gewähren Nutzer meistens selbst und unbemerkt.

Wenn Sie zum Beispiel eine E-Mail mit einem infizierten Anhang bekommen und diesen öffnen, bekommt die Ransomware Zugriff zu Ihrem Computer.

Nicht nur der PC kann von solchen Angriffen betroffen sein. Auch Handys, Tablets oder Smart-Home-Devices können von Malware befallen werden. Bei einem Handy verschafft sich die Malware Zugang über eine infizierte SMS. Außerdem kann die Ransom­ware über manipulierte oder bös­artige Web­sites und Werbe­anzeigen, während Downloads sowie über unsichere WLAN-Netz­werke herunter­geladen werden, ohne es zu merken.

Wenn die Ransomware in Ihrem System ist, verschlüsselt die Malware Ihre Daten oder das gesamte Gerät. Wenn nur einzelne Dateien betroffen sind, bezeichnet man das als Crypto-Ransomware. Wenn der gesamte Bildschirm gesperrt ist, handelt es sich um ein Locker-Ransomware-Virus.

Die Erpresser verschicken Lösegeldforderungen, auf die Sie auf keinen Fall eingehen sollten! Auch wenn Ihnen gedroht wird, Ihre Dateien zu löschen, wenn Sie nicht in kürzester Zeit das geforderte Geld überweisen, sollten Sie einen kühlen Kopf bewahren und Hilfe bei Experten suchen oder direkt zur Polizei gehen.

Mit fortschreitender Digitalisierung haben Cyberkriminelle leichtes Spiel, Passwörter zu hacken und Cyberangriffe zu starten. Daher werden Ransomware-Angriffe immer häufiger vorkommen. Deshalb ist es sehr wichtig, Ihre IT-Sicherheit immer auf dem neusten Stand zu halten! Wechseln Sie regelmäßig Ihre Passwörter und achten Sie auf Ihre Kontoaktivitäten.

Leuchtende Warnmeldung "System hacked"

Wie erkennt man einen Ransomware-Angriff?

Durch die ständige Entwicklung der Cyberkriminalität ist es nicht einfach, Ransomware-Angriffe direkt zu erkennen oder sich vor Cyberangriffen zu schützen.

Es gibt verschiedene Arten der Ransomware, wobei viele durch Antivirenprogramme erkannt werden. Installieren Sie deshalb unbedingt ein Virenschutzprogramm auf Ihrem Computer. Bei einem Ransomware-Angriff wird das Programm Alarm schlagen. Auch wenn Sie Dateien nicht öffnen können oder wenn Ihnen veränderte Datei-Namen auffallen, können dies Zeichen eines Ransomware-Angriffs sein.

Wenn Sie eine erhöhte Aktivität auf Ihrer Festplatte oder dem Hauptprozessor bemerken, kann es sein, dass Ransomware im Hintergrund arbeitet.

Das sicherste Zeichen, dass Sie Opfer eines Ransomware-Angriffs geworden sind, ist aber die Forderung nach Lösegeld. Wenn Sie eine Nachricht bekommen oder sich ein Fenster öffnet, in dem steht, dass Sie Geld bezahlen sollen, handelt es sich sicher um einen Ransomware-Angriff.

Laptop mit drohender Zahlungsaufforderung wegen Ransomware-Angriff

Was tun, wenn man Opfer eines Ransomware-Angriffs geworden ist?

Ransomware-Angriffe zählen zu den fortschrittlichen Cyberangriffen, deren Weiterentwicklung vom Bundesamt für Sicherheit in der Informationstechnik (BSI) genau beobachtet wird.

Es gibt verschiedene Arten von Ransomware, die alle darauf abzielen, Ihre Daten zu verschlüsseln und Ihnen den Zugang zum System zu verwehren.

Wenn von Ihnen Lösegeld gefordert wird, handelt es sich meistens um virtuelle Währungen wie beispielsweise Bitcoin. Die Zahlung stellt allerdings keine Garantie für die Freigabe Ihrer verschlüsselten Daten oder gesperrten Systeme dar. Daher ist von einer Zahlung unbedingt abzuraten! Wenden Sie sich bei Ransomware-Attacken an die Polizei.

Zum Schutz vor Ransomware-Attacken wird empfohlen, regelmäßig Daten im Backup zu sichern, wichtige Dateien auf externen Festplatten aufzubewahren und den Computer auf dem neusten Stand der Sicherheit zu halten. So ist die Wiederherstellung der Daten nach einem Ransomware-Angriff möglich.

Natürlich können Sie sich Unterstützung beim Experten suchen, der die Bedrohungslage richtig einschätzen und die Malware entfernen kann oder Sie versuchen selbst, die Ransomware-Attacke abzuwehren.

Wie kann man Schadsoftware vom Computer entfernen?

Es ist nicht immer einfach, Erpressungstrojaner oder andere Schadsoftware zu entfernen. Ransomware ist hartnäckig und führt schnell zu irreversiblem Schaden. Daher ist die Prävention von solchen Angriffen wichtiger als der Versuch die Malware wieder aus dem System zu bekommen. Eine gute Security Software kann Angreifer abhalten und Sie rechtzeitig über einen möglichen Angriff mit einem Schadprogramm benachrichtigen. Je früher Sie die Malware erkennen, desto größer ist die Chance, dass Sie Ihre Daten noch retten können.

Folgendes Vorgehen hilft Ihnen, das System von Schadprogrammen zu befreien:

  1. Trennen Sie die betroffenen Geräte von der Internetverbindung. Wichtig ist dabei, dass externe Festplatten, USB-Sticks und andere Geräte, die am System hängen, ebenfalls vom WLAN-Netz getrennt werden. So können Sie verhindern, dass sich die Schadsoftware ausbreitet.
  2. Starten Sie das Antivirenprogramm, um einen Virenscan durchzuführen. Wenn das Programm Schadsoftware erkennt, kann diese entfernt werden.
  3. Wenn Ihr gesamtes System Opfer von Verschlüsselungstrojaner wurde, versuchen Sie sich Zugriff auf das Virenschutzprogramm zu verschaffen. Starten Sie dazu den Rechner neu.
  4. Unterliegen alle Daten bereits der Verschlüsselung, benötigen Sie ein Entschlüsselungstool. Wenn Sie kein passendes Entschlüsselungstool haben, können Sie sich Unterstützung beim Experten suchen oder Ihre, mit einer Sicherheitskopie, gesicherten Daten später wiederherstellen.

Was kann Software gegen Ransomware leisten?

Gegen Ransomware gibt es verschiedene Lösungen in unterschiedlichen Bereichen:

Signaturbasierte Erkennung durch einen Virenscanner

Virenscanner arbeiten mit Signaturen. Signaturen erkennen im Code einer Datei die Befehlsabfolgen, die für die schädlichen Aktionen verantwortlich sind und einen typischen Fingerabdruck von verschiedenen schädlichen Programmen hinterlassen.

Kontrolle des Netzwerkverkehrs

Einige Ransomware-Typen brauchen Verbindung zu ihrem Kontrollserver um aktiv zu sein. Sobald der Kontrollserver ermittelt und ausgeschaltet wird, wird der Zugang blockiert und die Malware kann nicht mehr arbeiten.

Verhaltensbasierte Erkennung

Alle Anwendungen werden auf verdächtige Aktivitäten gescannt. Falls schädliche Aktivitäten auffallen, werden die Anwendungen gesperrt und die Schäden können minimiert werden. Viele Ransomware-Familien verbreiten sich über manipulierte Webseiten oder schädliche Werbebanner, wobei sie Sicherheitslücken nutzen und den Rechner dann beim Besuch der Website unbemerkt befallen. Die Art und Weise des Verhaltens der Webseiten werden analysiert und frühzeitig gestoppt.

Analyse des Installationsverhaltens

Ransomware hinterlässt typische Aktivität bei der Installation im System. Diese charakteristischen Vorgänge werden erkannt, obwohl häufig kein sichtbares Fenster vorhanden ist.

Persistenz

Nach einem Neustart muss die Ransomware einen Autostart-Mechanismus starten, dessen Aktivität durch Sicherheitssoftware erkannt und abgebrochen wird. Verdächtig sind beispielsweise mehrfache Einzeldatenverschlüsselungen oder unbekannte Prozesse.

Angriffe aus dem Web

Ransomware wird häufig über Webseiten und andere Internetdienste verbreitet. Auch hier gibt es Software-Lösungen, die infizierte Internetseiten, URLs und Daten erkennen und die Verbreitung der Ransomware verhindern.

Spamschutz

Es gibt Spamschutz, der mit einer OutbreakShield-Funktion schädliche E-Mails erkennt und deren Zustellung verhindert bzw. bereits versandte E-Mails aus dem Postfach entfernt. Somit werden Verbraucher davor geschützt, infizierte Anhänge oder Links zu öffnen.

futuristische Darstellung von Virenschutz mit einer Hand und einem Schutzschild

Die Tarnmethoden der Ransomware

Ein Ransomware-Angriff kann viele Facetten haben. Neben Verschlüsselungstrojanern, App-Lockern oder Screen-Lockern gibt es auch Hybrid-Formen, die Ihr Computersystem angreifen können und enormen Schaden anrichten.

Verschlüsselungstrojaner/ Krypto-Trojaner

Krypto-Trojaner verschlüsseln Dateien auf Ihrem Rechner und verlangen Geld für die Entschlüsselung. Häufig wird das Geld in Kryptowährung, wie zum Beispiel Bitcoin, gefordert. Einige Trojaner verschlüsseln nur bestimmte Dateitypen wie Bilder, Filme oder Dokumente, andere Formen verschlüsseln ganze Ordner. Zu den bekanntesten Verschlüsselungstrojanern gehören CryptoWall, CTB-Locker, TeslaCrypt oder Petya.

App-Locker

App-Locker ist eine Ransomware, die Nutzer erpresst, indem Zugänge zu Apps und verschiedenen Programmen gesperrt werden. Wenn man Glück hat, können die Fallen mit Standard-Tools gelöst werden.

Screenlocker

Screenlocker blockieren den Zugang zum Rechner. Der Sperrbildschirm lässt sich nicht entsperren bzw. schiebt sich immer wieder in den Vordergrund. Prozesse, die im Hintergrund laufen, werden häufig durch die Ransomware beendet. Dadurch verlieren Nutzer die Kontrolle über das System und können den Computer nicht mehr bedienen. Das stellt vor allem für Unternehmen ein großes Problem dar, da wichtige Prozesse zum Stillstand kommen.

Hybride

Hybride verknüpfen verschiedene Ransomware wie beispielsweise Screenlocker und Verschlüsselungstrojaner. Die Wiederherstellung der Dateien wird somit komplizierter und gelingt nicht immer.

Am Laptop arbeitender Mann

Die Entwicklung der Ransomware

Ransomware-Angriffe gehören zu den fortschrittlichen Angriffen und breiten sich halbautomatisiert aus. Durch die Vielfalt an Schadfunktionen ist die Bedrohung viel größer als früher, als die Schadfunktionen manuell eingesetzt wurden.

Hacker integrieren die Malware in einen E-Mail-Anhang oder Link und durch das Öffnen verbreitet sich das Virus in Ihrem System. Die Behörden verfolgen die Entwicklung von Ransomware-Angriffen und bieten betroffenen Organisationen Unterstützung im Ernstfall. Im Laufe der Jahre gab es viele verschiedene Ransomware-Angriffe durch unterschiedliche Arten von Ransomware.

Emotet – Die E-Mail als Eingangstür

Emotet ist ein Schadprogramm, das häufig in Spam-E-Mails zu finden ist. Es ist in der Lage Kontaktbeziehungen aus E-Mail-Postfächern auszulesen und automatisiert sehr authentische Spam-Mails zu verschicken. Durch die schnelle Verbreitung resultieren hohe Erfolgsquoten bei der Infizierung von Unternehmensnetzwerken. Es kann zu hohen Schäden in der Wirtschaft und Verwaltung führen.

Der Angreifer passt sich stetig dem neusten Cybersecurity-Plan an und entwickelt neue Tools um Sicherheitslücken zu finden und die Verschlüsselung der Daten vorzunehmen.

Nach einer Beobachtungsperiode werden gezielt Unternehmen erfasst, die angegriffen werden sollen. Die Angreifer passen ihre Lösegeldforderungen der betroffenen Organisation an. Wenn die Opfer nicht zahlen, wird gedroht, sensible Daten zu veröffentlichen oder zu verkaufen.

Ein trojanisches Pferd aus Holz aufgestellt auf der Tastatur des Laptops

REvil – Wenn der Schutz der Unternehmen schwindet

Vor einiger Zeit wurde das amerikanisches IT-Unternehmen „Kaseya“ von Cyberkriminellen angegriffen, die über die Malware mehrere hundert Unternehmen gleichzeitig erreichten. Die Hacker nutzten eine Schwachstelle aus, um die Kunden von „Kaseya“ mit einem Trojaner zu infizieren. Es kam zur Verschlüsselung der Daten und hohen Lösegeldforderungen.

Das Problem entstand durch einen Domino-Effekt, da zu den Kunden des IT-Dienstleisters zahlreiche weitere IT-Unternehmen in der ganzen Welt gehörten, die ebenfalls ein großes Kunden-Netzwerk haben. Verschieden Nutzer auf der ganzen Welt, nicht nur in Deutschland, spürten die Auswirkungen.


WannaCry – Wenn der Windows-Rechner schwarz bleibt

Eine der größten Ransomware-Angriffswellen gab es im Mai 2017. In drei Tagen verschlüsselte das Programm „WannaCry“ die Daten auf mehr als 200.000 Windows-Rechnern in 150 Ländern.

Der Wurm verbreitet sich durch eine Sicherheitslücke im Betriebssystem selbstständig auf dem Windows-Rechner und schädigt es.

Microsoft hatte einige Wochen vor dem Angriff bereits einen Software-Patch erstellt, der durch ein Sicherheitsupdate auf das Gerät gespielt werden konnte. Durch das rechtzeitige Sicherheitsupdate kann man also viele Probleme verhindern!

Tipps: So schützen Sie sich vor Erpressung

Sie können verschiedene Maßnahmen ergreifen, um Ihr Unternehmensnetzwerk oder auch private Geräte vor Ransomware-Attacken zu schützen.

Erhöhen Sie die Internetsicherheit:

Jedes unsichere Netzwerk stellt eine Schwachstelle für Hacker dar und ist ein beliebtes Ziel für Cyberangriffe. Sie können das Risiko minimieren, indem Sie leistungsfähige Programme für die Internetsicherheit installieren, die die Gefahr einer Ransomware-Attacke rechtzeitig erkennen und Sie informieren.

Verringern der Angriffsfläche durch regelmäßige Backups:

Erstellen Sie regelmäßig Sicherheitskopien von wichtigen Daten außerhalb vom Computer. Mit externen Festplatten können Sie zum Beispiel das Risiko vom Datenverlust verringern, da die gespeicherten Dateien auch nach einem Ransomware-Angriff wiederhergestellt werden können.

Regelmäßige Updates:

Halten Sie Ihre Software und das Betriebssystem auf dem neusten Stand. Regelmäßige Updates verbessern den Datenschutz, die Internetsicherheit und schützen Ihr Gerät vor Ransomware.

Vorsicht bei E-Mails mit Anhängen und unbekannten Dateien:

Seien Sie misstrauisch, wenn Sie E-Mails mit unbekannten Links oder anderen Anhängen bekommen. Durch das Öffnen oder Aktivieren von diesen Anhängen bekommen Cyberkriminelle Zugang zu Ihrem System und die Ransomware breitet sich im Computer aus.

Deaktivierung von Sicherheitslücken:

Sie können über die Plug-in-Einstellungen Sicherheitslücken im Webbrowser schließen und somit die Angriffsfläche für Ransomware-Angriffe verringern.

FAQ: Häufige Fragen zum Ransomware-Angriff

Entschlüsseln die Hacker meine Dateien wirklich, wenn ich das Lösegeld zahle?

Kriminellen sollte man grundsätzlich nicht trauen! Daher wird auch eindeutig die Empfehlung ausgesprochen, der Forderung nach Lösegeld nicht nachzukommen, sondern Anzeige bei der Polizei zu erstatten und sich fachliche Hilfe bei der Reinigung des Computers zu holen.

Selbst wenn Sie bereit wären, mit Bitcoin oder anderer Kryptowährung zu bezahlen, heißt es noch lange nicht, dass der Erpresser vor hat, Ihnen die verschlüsselten und gestohlenen Daten zurück zu geben. Fairness hat an dieser Stelle keinen Platz und ist auch nicht das Ziel von Erpressern! Vor allem bei Zahlungen mit Kreditkarte können Sie noch größeren Schaden anrichten. Oftmals verlieren Opfer nicht nur ihre Daten, sondern werden auch mit leerem Konto zurückgelassen.

Was muss man beachten, wenn man das Lösegeld bezahlen will?

Wenn Sie entgegen aller Warnungen das Lösegeld zahlen wollen, sollten sie vorher keine Komponenten der Ransomware vom PC entfernen. Die Ransomware kann nämlich als Schloss dienen, in das Sie den Schlüssel für das Lösen der Verschlüsselung stecken müssen. Wenn Sie Glück haben, bekommen Sie vom Erpresser einen Schlüssel, zum Beispiel einen Code, den Sie eingeben müssen, um Ihre Dateien wieder freizuschalten. Ohne Schloss ist der Entschlüsselungscode unbrauchbar und Ihre Dateien bleiben unwiderruflich verschlüsselt.

Löschen Sie nach der Entschlüsselung die Ransomware von Ihrem Computer, aber behalten Sie im Hinterkopf, dass die Hacker sich zu einem späteren Zeitpunkt erneut Zugang zu Ihrem PC verschaffen können. Dann beginnt das Ganze von vorne! Deshalb wird auch an dieser Stelle nochmal drauf hingewiesen von Lösegeldzahlungen abzusehen!

Was ist der Unterschied zwischen Ransomware und Malware?

Malware ist ein Überbegriff für verschiedene Schadsoftware. Viren, Trojaner, Würmer und Ransomware gehören also alle zur Malware.

Ransomware benötigt eine Aktivierung und verbreitet sich dann in Ihrem System. Dabei werden einzelne Dateien oder das gesamte System verschlüsselt. Die Erpresser fordern Lösegeld, um Ihre Dateien wieder freizugeben.

Ist Ransomware ein Virus?

Nein! Beide gehören zur Malware, die Angriffe auf das System unterscheiden sich aber. Während Viren Daten infizieren, kann Ransomware Ihre Dateien auf dem Rechner verschlüsseln.

Was ist ein Kryptotrojaner?

Kryptotrojaner gehören zur Gruppe der Ransomware. Der Trojaner infiziert Dateien, mit dem Ziel, Lösegeld vom Opfer zu bekommen. Ransomware-Angriffe durch Kryptotrojaner können somit schwere finanzielle Folgen für Unternehmen haben, da sich die Malware über das Netzwerk im gesamten System ausbreitet. Nicht selten verlieren Unternehmen dadurch so viel Geld, dass sie Insolvenz anmelden müssen.

Ransomware – im Kampf gegen Cyberkriminelle und Datenklau

Was sind Ransomware-Angriffe und wie wehrt man sich dagegen? Wie kann ich Malware auf meinem Computer verhindern? Wir beraten Sie gerne!