2452772

10 Fragen und Antworten zu Ransomware

19.09.2019 | 14:02 Uhr | Arne Arnold

Ransomware sind Schadprogramme, die ihre Opfer um Lösegeld erpressen. Sie zählen aktuell zur größten Bedrohung für PC-Nutzer. Hier klären wir, wie Sie sich dagegen schützen und wie Sie in einem Schadensfall vorgehen.

Wie aus dem Nichts taucht ein Erpresserschreiben auf dem Bildschirm Ihre PCs auf: „Zahlen Sie 50 mBitcoin bis zum ..., wenn Sie Ihre Daten zurückerhalten möchten“. Wenn Sie so eine Nachricht sehen, hat wahrscheinlich eine Ransomware Ihre Daten verschlüsselt. Die Schädlinge tragen Namen wie Crypton oder Hiddentear. Wer davon betroffen ist, hat meist viele Fragen.

1. Wie funktioniert ein Angriff mit Ransomware auf Nutzerdaten?

Ransomware ist Schadcode. Sobald das Opfer den Schadcode auf seinem PC ausführt, verschlüsselt der Schädling heimlich alle Nutzerdateien auf dem PC, also Bilder, Videos, Musik und Office-Dokumente. Hat der Code das erledigt, zeigt er auf dem Bildschirm eine Meldung an, in der er auf die verschlüsselten Dateien hinweist und zudem ein Lösegeld für die Freigabe der Dateien fordert. Bezahlt werden soll meist per Bitcoin. Beträge zwischen 100 und 800 Euro sind üblich. Nach der Zahlung soll das Opfer einen Key für die Entschlüsselung seiner Daten erhalten. Wie ein solcher Angriff genau abläuft, beschreibt dieses Video  anschaulich.

2. Wie gelangt Ransomware auf meinen Rechner? 

Die meisten Viren landen auch heute noch per Mail oder Links in Mails auf dem Rechner der Opfer. Rund 50 Prozent der Viren stecken aktuell in Office-Dateien. Das trifft auch auf Ransomware zu. Natürlich gibt es Ausnahmen. Der Schädling Wannacry nutzt eine Lücke im SMB-Protokoll, genannt Eternal Blue. Andere schleichen sich über das Remote-Desktop-Protokoll ein.

3. Verschlüsselt jede Ransomware meine Daten?

Ransomware wird meist mit Erpressersoftware oder Erpresservirus übersetzt. Davon gibt es unterschiedliche Arten. Die eine verschlüsselt Ihre Dateien, die andere sperrt den Zugang zu Windows; aktuell behaupten Kriminelle per Mail, dass sie das Passwort des Opfers kennen und Videoaufnahmen von ihm besitzen würden. Sie fordern ganz ohne Schadcode ein Lösegeld für das Passwort und die Geheimhaltung der Videos.

Erpresserviren: Alles zu Schutz, Hilfe & Datenrettung

4. Gibt es Anwender, die besonders gefährdet sind?

In diesem Jahr sind Privatanwender zum Glück etwas aus der Schusslinie der Ransomware-Verbreiter gerückt. Aktuell attackieren die Kriminellen verstärkt Unternehmen und öffentliche Einrichtungen, etwa Stadtverwaltungen und Krankenhäuser. Das geforderte Lösegeld liegt bei dieser Art der Opfer weit höher. Es orientiert sich meist an der Zahlungsfähigkeit des Geschädigten beziehungsweise an dem Wert der verschlüsselten Daten. 50.000 Euro und mehr sollen keine Seltenheit sein.

Dennoch kursieren nach wie vor Ransomware-Exemplare im Internet, die die Rechner von Privatanwender befallen. Eine Entwarnung gibt es hier als noch nicht.

5. Meine Daten wurden verschlüsselt. Soll ich zahlen? 

Viele Experten raten davon ab, das Lösegeld zu bezahlen, da ungewiss ist, ob das Opfer einen Schlüssel zum Entschlüsseln seiner Daten erhält. Bei vielen der zuletzt aufgetauchten Schädlingen erfolgte tatsächlich keine Schlüsselübergabe. Außerdem ermutigt eine Zahlung die Kriminellen, weiterhin PC-Nutzer anzugreifen.

6. Mit welcher Wahrscheinlichkeit kann ich meine Daten retten?

Die Ransomware Synack verbreitet sich über den Remote-Desktop-Zugriff auf PCs.
Vergrößern Die Ransomware Synack verbreitet sich über den Remote-Desktop-Zugriff auf PCs.

Für die Datenrettung gibt es drei Möglichkeiten mit unterschiedlich guten Chancen: 

a) Sie haben ein aktuelles Backup. Dann sind Sie fein raus.

b) Sie finden ein Entschlüsselungstool (Frage 8). Wenn Sie Opfer einer schon etwas älteren Ransomware-Variante geworden sind, gibt es ein solches Rettungstool recht oft. Bei neuen Schädlingen sieht es aber eher schlecht aus.

c) Sie zahlen das Lösegeld. Hier liegen die Chancen laut Expertenschätzungen bei 50:50, dass Sie den Entschlüsselungskey für Ihre Dateien erhalten.

7. Was muss ich nach einem Angriff als Erstes tun? 

Sollte Ihr PC Opfer eines Erpresservirus geworden sein, müssen Sie zunächst den PC komplett vom Schadcode beseitigen. Anderenfalls verschlüsselt dieser Ihre geretteten Daten gleich wieder aufs Neue. Außerdem kann der Schadcode meist nicht nur Ihre Dateien verschlüsseln, sondern auch Passwörter ausspionieren oder gleich den kompletten PC kontrollieren.

Für das Entfernen des Schädlings bietet sich eine bootfähige Antiviren-DVD oder ein bootfähiger USB-Stick an. Empfehlenswert ist etwa das Tool Kaspersky Rescue Disk , das es sowohl für DVD als auch für den USB-Stick gibt. In vielen Fällen kann das Tool auch einen gesperrten PC entsperren. In der Regel bleibt Ihr PC aber erst mal einsatzbereit. Schließlich wollen die Erpresser ja, dass Sie damit das Lösegeld in Bitcoins überweisen können. Ausnahmen wie bei Petya & Co. bestätigen die Regel.

BSI warnt: Derzeit häufen sich gezielte Angriffe mit Erpressersoftware

8. Wo erhalte ich in einem Schadensfall Hilfe?

Die Website No More Ransom ist die beste Anlaufstelle für Opfer von Erpresser-Viren.
Vergrößern Die Website No More Ransom ist die beste Anlaufstelle für Opfer von Erpresser-Viren.

Viele Hersteller von Antivirenprogrammen haben gegen einzelne Ransomware-Versionen Entschlüsselungsprogramme entwickelt. Diese sind aber meist nicht in der Antivirensoftware integriert, sondern müssen einzeln heruntergeladen werden.

Die beste Anlaufstelle für Opfer von Verschlüsselungstrojanern lautet www.nomoreransom.org . Die Site wird von Behörden und dem Antivirenhersteller McAfee betrieben. Sie ist deutschsprachig und leicht zu bedienen: Sie müssen zur Probe eine verschlüsselte Datei hochladen sowie Angaben zum Erpresserschreiben machen. Die Site prüft dann, ob es ein Entschlüsselungsprogramm für Ihre Daten kennt. Falls ja, bietet sie Ihnen das passende Tool inklusive englischsprachigem How-to-Guide an.

9. Warum funktioniert mein Entschlüsselungstool nicht?

Fast jedes Entschlüsselungstool ist auf einen Schädling spezialisiert. Es arbeitet mit einem Generalschlüssel oder einer ganzen Reihe von Schlüsseln, die genau die Opferdateien dieses einen Schädlings retten können. Allerdings entdecken die Antivirenspezialisten manchmal nur einen Teil der nötigen Schlüssel. Fehlt der für Ihre Dateien nötige Generalschlüssel, versagt das Tool.

10. Was hilft am besten gegen Ransomware-Angriffe? 

Die beste Versicherung gegen einen Datenverlust durch Ransomware heißt Datensicherung. Erstellen Sie ein Backup Ihrer Daten. Falls Sie noch keines haben, machen Sie am besten jetzt sofort eine Kopie. Geeignet für die Datensicherung sind externe Datenträger (DVDs oder USB-Festplatten). Diese sollten nur für die Dauer des Backups mit dem PC verbunden sein. So kann die Ransomware das Backup nicht ebenfalls verschlüsseln. Experten empfehlen zum Schutz vor sonstigen Unglücken sogar eine Lagerung des Backups außer Haus.

Die Themen in Tech-up Weekly #165:

► Huawei in Not: Keine Google-Lizenz für Mate 30 Series: www.pcwelt.de/news/Huawei-in-Not-Mate-30-erhaelt-wohl-keine-Google-Lizenz-10655864.html

► AMD zahlt Entschädigung an CPU-Käufer: www.pcwelt.de/news/Irrefuehrende-Werbung-AMD-zahlt-35-US-Dollar-Schadensersatz-pro-FX-CPU-10656082.html

► Windows 7 erhält DirectX 12: www.pcwelt.de/news/Windows-7-erhaelt-DirectX-12-Unterstuetzung-10654566.html

Quick-News:

► World of Warcraft Classic ist gestartet: www.pcwelt.de/news/World-of-Warcraft-Classic-ist-gestartet-10654715.html

► SpaceX testet erfolgreich Starhopper: www.pcwelt.de/news/Kleiner-Schritt-Richtung-Mars-SpaceX-testet-erfolgreich-Starhopper-10655528.html

► Android 10 angekündigt - Ende der süßen Tradition
www.pcwelt.de/news/Android-10-angekuendigt-Ende-der-suessen-Tradition-10652201.html

► PewDiePie hat 100 Mio. Abonnenten
www.pcwelt.de/international/PewDiePie-hat-ueber-100-Millionen-Abonnenten-10654141.html

► Microsoft-Event am 2. Oktober - neue Surface-Geräte
www.pcwelt.de/news/Microsoft-Event-am-2.-Oktober-neue-Surface-Geraete-10655244.html

► Blutspendedienst nutzt Facebook-Analyse-Pixel: www.pcwelt.de/news/Blutspendedienst-entfernt-Facebook-Analyse-Pixel-10655388.html

Kommentar der Woche:

► PC-WELT “Doppelklick” von Juni 2011 “USB 3.0 nachrüsten - so nutzen Sie den schnellen Anschluss”: www.youtube.com/watch?v=1yVuZkz_cKc

Fail der Woche:

► Sportbund-Gutachten: E-Sport ist kein Sport: www.pcwelt.de/news/Sportbund-Gutachten-E-Sport-ist-kein-Sport-10654608.html

► Zum PC-WELT T-Shirt-Shop:
www.pcwelt.de/fan

2452772