Was ist Ransomware?

Als Ransomware wird eine Grup­pe von Schad­soft­wa­re bezeich­net, die Da­ten auf Ih­rem PC ver­schlüs­selt. An­schlie­ßend ver­langt der Ver­ur­sa­cher Geld, meist in Form von Bit­coins, um die be­trof­fe­nen Da­tei­en wie­der zu ent­schlüs­seln. In Fach­krei­sen ha­ben sich auch die Be­grif­fe Er­­pres­­sungs­­-, Kryp­to­- oder Ver­schlüs­se­lungs­tro­ja­ner für die­se Un­ter­grup­pe von Vi­ren sprach­lich durch­ge­setzt.

Wie gelangt die Software auf Ihren PC?

Die Software kann über E-Mails, Down­loads, Web­sei­ten­be­such oder un­si­che­re Re­mo­te Desk­top­­ver­bin­dun­gen und Fern­war­tun­gen in das Sy­stem ge­lan­gen. Denk­bar sind auch ge­nutz­te Si­­cher­heits­lücken des Be­triebs­sy­stems und der in­stal­lier­ten Soft­wa­re, die sich Hacker für die Um­set­zung der Ransomware zu Nut­ze ma­chen.

Ransomware

Wichtig: Meist setzt der ein­ge­logg­te Be­nut­zer die Soft­wa­re selbst in Gang, in­dem er zum Bei­­spiel E-Mails oder An­hän­ge un­kri­tisch öff­net und da­mit einen für den ah­nungs­lo­sen An­wen­der nicht sicht­ba­ren aus­führ­ba­ren Co­de ge­neh­migt. Die Tech­ni­ken da­zu sind sehr aus­ge­feilt. Sie sind je­doch nicht The­ma des Auf­sat­zes. Die er­folg­rei­che Um­set­zung ge­lingt je­doch meist nur, weil vor al­lem mensch­li­che Neu­gier­de und Schwä­chen mehr da­zu bei­tra­gen als den mei­sten An­wen­­dern be­wusst ist. Das fol­gen­de Bei­spiel ver­deut­licht das Wirk­prin­zip.

Wie schaffen Sie erste Abhilfe?

Bei E-Mails:

Falls Sie eine un­ge­recht­fer­tig­te Rech­nung oder so­gar Mah­nung per E-Mail zu­ge­stellt be­kom­men, ist der er­ste Ge­dan­ke, den Irr­tum auf­zu­klä­ren und der Sa­che nach­zu­ge­hen. Al­so öff­nen Sie die E-Mail und even­tuel­le An­hän­ge, um sich zu in­for­mie­ren. Oder Sie er­hal­ten eine Bewer­bung, ob­wohl Sie gar kei­ne Stel­le aus­ge­schrie­ben ha­ben. Oft wer­den die­se E-Mails ge­öff­net und aus In­ter­es­se und Neu­gier­de „in­spi­ziert“.

Dieses Verhalten ist fatal!

Kon­trol­lie­ren Sie E-Mails im Vor­schau­fen­ster auf sprach­li­che Auf­fäl­lig­kei­ten, Stim­mig­keit von In­for­ma­tio­nen und vor al­len Din­gen, über wel­che E-Mail­adres­se das Schrei­ben ver­sen­det wor­den ist. Ist sie wirk­lich von der Do­main des Un­ter­neh­­mens (z.B. @fir­ma.de) oder An­sprech­part­ners ver­sen­det wor­den? Oft fin­den Sie in der Zu­stell­­adres­­se eine Li­ste von Em­pfän­gern, ein deut­li­cher Hin­weis auf Mas­sen­mails. Sol­che E-Mails kön­­nen Sie un­zwei­fel­­haft lö­schen!

Bei Webseiten:

Auch Porno­sei­ten oder frag­wür­di­ge Down­load­por­ta­le von Kauf­soft- und Free­wa­re stel­len ein er­heb­li­ches Si­cher­heits­ri­si­ko dar. Ihr Be­such wird meist aus Scham ver­schwie­gen. Die Por­ta­le von ko­sten­frei­en Down­load­an­ge­bo­ten sind je­doch äußerst ef­fek­tiv bei der Ver­brei­tung von Vi­ren, auch von Ransomware. Die Fol­ge­ko­sten sol­cher Ak­tio­nen sind meist we­sent­lich hö­her als der Kauf einer Soft­wa­re ver­ur­sacht hät­te, näm­lich die für die Neu­ein­rich­tung Ih­res Sy­stems oder für die gar nicht zu em­pfeh­len­de Zah­lung des Ent­schlüs­se­lungs­ho­no­rars mit durch­schnitt­li­chen Ko­sten in Hö­he von 2500 US-Dol­lar. Denn auch wenn Sie eine Zah­lung ge­lei­stet ha­ben, heißt das näm­lich nicht, das Sie den Ent­schlüs­se­lungs­co­de auch be­kom­men wer­den. Un­be­zahl­bar ist hin­ge­gen der Ver­lust von Da­ten!

Schließlich kön­nen so­gar Web­sei­ten von se­riö­sen An­bie­tern ge­hackt wor­den sein. In Un­­wis­sen­­heit des Be­trei­bers sor­gen des­sen Web­sei­ten so für un­ge­woll­te Ver­brei­tung. Gro­ße Web­ho­­ster set­­zen die­sem Trei­ben je­doch einen Rie­gel vor und sper­ren be­trof­fe­ne In­ter­net­sei­ten oder der Sei­ten­be­trei­ber selbst setzt Si­cher­heits­soft­wa­re ein. Auch gro­ße Such­an­bie­ter war­nen vor un­­si­che­ren Sei­ten.

Dennoch je­der Web­sei­ten­be­such un­ter­liegt einem ge­wis­sen Rest­ri­si­ko in der Sa­che. Auch Er­geb­nis­se von Such­ma­schi­nen kön­nen Sie auf un­se­riö­se Sei­ten lei­ten, falls Sie Warn­hin­wei­se miss­ach­ten oder die­se feh­len soll­ten. Mei­den Sie – aus recht­­li­chen und Da­ten­schutz­grün­­den – mög­lichst Web­­sei­­ten aus Nicht-EU Staa­ten.

Bei Fernwartungssoftware:

Der Einsatz von Fern­war­tungs­soft­wa­re setzt sich auch im Pri­vat­be­reich im­mer mehr durch. Da­­bei wird mei­stens ein PC für den In­ter­net­zu­gang rund um die Uhr be­trie­ben, um auf die Res­sour­cen je­der­zeit aus der Fer­ne über das In­ter­net zu­grei­fen zu kön­nen. Wie man den si­che­ren Zu­griff auf die­sen PC um­setzt, be­schreibt der Ar­ti­kel Si­che­re Re­mo­te Desk­top Ver­bin­dun­gen.

BIOS
APM Einstellung zum automatischen Booten des PCs

Da­rü­ber hin­aus soll­ten Sie den Zu­griff auf die­sen PC je­doch auch zeit­lich be­schrän­ken. Ge­ra­de un­se­re „Freun­de“ der Ransomware grei­fen ger­ne in den frü­hen Mor­gen­stun­den PCs an (2:00h bis 5:00h Orts­zeit). Es em­pfiehlt sich, den PC täg­lich über das BIOS des Rech­ners mor­gens ein­zu­schal­ten. Abends kann er über Soft­wa­re her­un­ter­ge­fah­ren wer­den.

Das BIOS des PCs ru­fen Sie un­mit­tel­bar nach Ein­schal­ten des PCs durch Drücken der Entf- oder F2-Ta­ste. Manch­mal wer­den auch an­de­re Ta­sten­kom­bi­na­tio­nen (ESC, F8) da­zu be­nutzt. Su­chen Sie in den Me­nüs Ein­stell­wer­te für das auto­ma­ti­sche Star­ten (meist un­ter APM Con­fi­gu­ra­tion). Ge­ge­be­nen­falls kön­nen Sie noch das auto­ma­ti­sche Star­ten nach Strom­aus­fall ak­ti­vie­ren (Po­wer Loss). Ver­stel­len Sie sonst bit­te kei­ne an­­de­­ren Wer­te! Even­tuell fährt an­son­sten Ihr PC nicht mehr hoch.

Das Her­un­ter­­fah­­ren er­­le­digt der Be­fehl shutdown -s -t:30. Die­sen Be­fehl kön­nen Sie über die Auf­ga­ben­­ver­­­wal­­tung von Win­dows auto­ma­ti­sie­ren. Bei der ein­ge­stell­ten Zeit fährt der PC dann nach 30 Se­kun­den Vor­warn­zeit her­­un­ter. Ein aus­ge­schal­te­ter PC bie­tet kei­nen An­griffs­punkt für Hacker. Nö­ti­­gen­­falls schal­ten Sie ihn ma­nu­ell ein und aus. Wir ge­­hen al­ler­dings bei un­se­rem Vor­­schlag der Auto­­­ma­­ti­­sie­­rung der Start- und Aus­schalt­­vor­­gän­­ge da­von aus, dass Sie nicht un­ter Schlaf­­lo­­sig­­keit lei­den.

Aufgabenverwaltung
Aufgabenverwaltung: Automatisches zeitgesteuertes Herunterfahren unter Trigger einstellen

Einsatz spezieller Antivirensoftware

Wir em­pfeh­len den Ein­satz von Malwarebytes. Der Vi­ren- und Schad­soft­wa­re­scan­ner über­wacht ihr Ge­rät und die ab­lau­fen­den Pro­zes­se sehr wirk­sam. Er ver­hin­dert die Um­set­­zung von Ransomware und an­de­rer Schäd­lin­ge zu­ver­läs­sig und blockiert ent­spre­chen­de Ak­tio­nen.

Ein Schad­soft­wa­re­scan­ner ist je­doch kein All­heil­mit­tel. Er kann Sie nur gut un­ter­stüt­zen im Kampf ge­gen Vi­ren- und Hacker­an­grif­fe.

Was hilft beim Befall von Ransomware?

Kurz gesagt: Un­mit­tel­bar nichts mehr.

Moderne Ransomware ver­schlüs­selt so wirk­sam, dass Sie selbst zur Ent­­schlüs­­se­­lung Mo­na­te bräuch­ten, viel­leicht Jah­re. Der ein­zig wirk­sa­me Schutz be­steht da­rin, re­gel­mä­ßig Back­ups durch­zu­füh­ren, zu­min­dest Ih­rer Da­ten. Im Be­­darfs­fall kön­nen Sie die­se wie­der­­her­­stel­­len.

Die di­ver­sen im In­ter­net ver­öf­fent­lich­ten Ent­­schlüs­­se­­lungs­pro­­gram­­me grei­fen nicht und kön­nen den Ent­schlüs­se­lungs­co­de mo­der­ner Ransomware nicht knac­ken.

Em­pfeh­lungs­wert ist auch die Back­up­soft­wa­re Arcronis True Image. Sie kann nicht nur Da­ten, son­dern auch die kom­plet­te Ein­rich­tung Ih­res Sy­stems ef­fi­zient si­chern. Im Fal­le der Fäl­le kön­nen Sie di­rekt die kom­plet­ten Ein­rich­tungs­wer­te Ih­res PCs wie­der­her­stel­len, selbst auf an­de­rer Hard­wa­re und zu je­dem Si­che­rungs­zeit­punkt. Ak­tuel­le Arconis-Ver­sio­nen bie­ten zu­dem eine Schutz­vor­rich­tung ge­gen Ma­ni­pu­­la­tio­nen an den Back­­up-Da­tei­en (Arcronis Active Protection).

Backups soll­ten am be­sten auf eine ex­ter­ne Fest­plat­te ab­ge­spei­chert wer­den. Die­se soll­te nur wäh­rend des Back­ups am Sy­stem an­ge­schlos­sen sein. So hat Ransomware kei­ne Chan­ce, auch Back­up-Da­tei­en zu ver­schlüs­seln!

Mulmiges Gefühl?

Ja, im ersten Augen­blick ist je­der nach der Lek­tü­re et­was ver­un­si­chert. Und zum Teil ist das auch gut so. Denn Sie ha­ben dann auch die Ge­fah­ren­punk­te gut er­fasst und ver­drän­gen sie nicht ein­fach.

Die erste Erkenntnis: Re­gel­mä­ßig Back­ups durch­füh­ren. Die­se sind ein „Uni­ver­sal­heil­mit­tel“– ge­gen Vi­ren­be­fall und Hard­wa­re­aus­fall.

Die zweite Erkenntnis: Mit et­was Rou­ti­ne mei­stern Sie auch die be­schrie­be­nen Ge­fah­ren­punk­te und set­zen die re­la­tiv ein­fach zu er­ler­nen­den Stra­te­gien zur Ge­fah­ren­ab­wehr beim Sur­fen und Mai­len äußerst er­folg­reich ein.

Die dritte Erkenntnis: Mit Hil­fe eines gu­ten Vi­ren­scan­ners und Ih­rem wach­sen­den Stra­te­gie­wis­sen bauen Sie eine fast un­über­wind­li­che Hür­de für Hacker auf!

Artikel als PDF-Version

Ergänzender Artikel zum Thema auf Heise Online.