Ransomware

Ransomware sind Schadprogramme, mit deren Hilfe ein Eindringling eine Zugriffs- oder Nutzungsverhinderung der Daten sowie des gesamten Computersystems erwirkt. Dabei werden private Daten auf einem fremden Computer verschlüsselt, oder der Zugriff auf sie wird verhindert, um für die Entschlüsselung oder Freigabe ein „Lösegeld“ zu fordern. Ihre Bezeichnung setzt sich zusammen aus ransom, dem englischen Wort für Lösegeld, und ware, entsprechend dem für verschiedene Arten von Computerprogrammen üblichen Benennungsschema (Software, Malware etc.). Im zweiten Quartal 2012 gab es laut Kindsight Security etwa 123.000 neue Varianten.^[1]

Historie

Die Idee geht auf das Jahr 1989 zurück, als der Schädling AIDS TROJAN DISK mit Hilfe einer infizierten Diskette Daten verschlüsselte. Der Autor dieses Schädlings konnte überführt werden und wurde zu einer Haftstrafe verurteilt. Einer der ersten Angreifer, der Ransomware zur Verbreitung über das Internet einsetzte, ist der Trojaner TROJ_PGPCODER.A, für dessen Entschlüsselung mehrere hundert US-Dollar gefordert wurden.

Im polizeilichen Kriminalitätsbericht des Landes Sachsen-Anhalt von 2011 wird ein Fall beispielhaft erwähnt. Ein Täter hat 831 Computer in diesem Bundesland mit einer Erpressungssoftware infiziert.^[2]

Inzwischen sind kostenpflichtige sowie kostenfreie Baukastensysteme, sogenannte Crimeware-Kits, in Untergrundforen aufgetaucht, mit deren Hilfe Ransomware erstellt werden kann.^[3]

Vorgehen der Schädlinge

Ransomware kann auf den gleichen Wegen wie ein Computervirus auf einen Computer gelangen. Zu diesen Wegen zählen präparierte E-Mail-Anhänge, wie beispielsweise trojanische Pferde, die mittels Computerwürmern versendet werden, die Ausnutzung von Sicherheitslücken in Webbrowsern oder das Fehlen einer Firewall.

So werden etwa E-Mails versandt, die vorgeben, eine im Anhang befindliche ZIP-Datei enthalte eine Rechnung oder einen Lieferschein über bestellte Ware.^[3] Alternativ wird in kruden Formulierungen ("Es ist die ungesetzliche Tätigkeit enthüllt!") behauptet, das Bundeskriminalamt, die Bundespolizei, die GEMA oder Microsoft habe illegale Aktivitäten auf dem Computer festgestellt und diesen daraufhin gesperrt.^[4]

Ein befallener Windows-Computer kann auf unterschiedliche Weise blockiert werden. Einfachere und harmlosere Erpressungsversuche äußern sich nur in einem Hinweisfenster, das bei jedem regulären Systemstart erscheint und nicht geschlossen werden kann. Auch der Taskmanager wird blockiert. Unerfahrene PC-Benutzer wissen nicht, wie sie diese Blockade beenden können. Es scheint nur den Ausweg zu geben, das Lösegeld zu zahlen, indem eine Paysafecard oder Ukash-Karte gekauft wird. Der Betrag wird dabei dem Erpresser gutgeschrieben, indem man die Gutscheinnummer des Bezahlsystems am befallenen PC eingibt, wodurch sie dem Täter elektronisch mitgeteilt wird. Der Betrag kann dann von ihm ausgegeben werden.

Besonders bösartige Varianten der Ransomware haben ein größeres Schadpotenzial: Zumeist werden Briefe, Rechnungen und andere mit Office-Anwendungen erstellte Dokumente, die sich in Windows-Systemen in der Regel im Ordner „Eigene Dateien“ befinden, verschlüsselt.^[4] Grundsätzlich kommen als Ziel alle Dateien in Frage, die für den Besitzer des Computers sehr wichtig und unwiederbringlich sind, wozu u. a. auch E-Mails, Datenbanken, Archive und Fotos zählen können.^[4] Diese Dateien werden nun so verschlüsselt, dass der Benutzer keinen Zugriff auf ihre Inhalte mehr hat. Im Gegensatz zu Spyware werden hier also keine großen Datenmengen verschoben. Üblicherweise löscht sich Ransomware nach der Verschlüsselung der Dateien selber, um die Analyse des Schädlings zu erschweren.

Um wieder Zugriff auf die von der Ransomware verschlüsselten Daten zu erhalten, wird der geschädigte Benutzer von dem Eindringling aufgefordert, eine E-Mail an eine bestimmte E-Mail-Adresse zu senden, eine Webseite aufzurufen oder eine Formularmaske auszufüllen. In allen Fällen wird eine Software zur Entschlüsselung bzw. die Zusendung des benötigten Passworts versprochen, wofür zuvor eine Bezahlung erfolgen muss. Häufig drohen die Kriminellen, dass bei einer Kontaktaufnahme mit der Polizei sämtliche Daten vernichtet würden. Um dem Opfer die Möglichkeit zu nehmen, sich Hilfe zum Thema Informationssicherheit aus dem Internet zu holen, kann die Hosts-Datei manipuliert worden sein, so dass der Zugang zu solchen Webseiten maßgeblich eingeschränkt wird.

In einigen Fällen ist die Möglichkeit der Entschlüsselung der verschlüsselten Dateien von Seiten des Angreifers gar nicht vorgesehen, so dass diese Dateien unwiderruflich verloren sind, sofern keine Sicherheitskopie der verschlüsselten Dateien existiert.^[4]

Ein – aus Sicht des Angreifers – entscheidender Nachteil von Ransomware ist der Kontakt zum Opfer zur Lösegeldforderung und -bezahlung. Diese können per Internet erfolgen, beispielsweise über Online-Bezahldienste wie PayPal, Ukash oder Bitcoin.^[5] Gleichwohl dürfte es staatlichen Ermittlungsbehörden leichtfallen, das Empfängerkonto zu sperren und den Kontoinhaber zu ermitteln.

Ratschläge für Betroffene

Obwohl einer Umfrage zufolge rund ein Viertel der Opfer ein Lösegeld zahlen würde, rät das Bundesamt für Sicherheit in der Informationstechnik (BSI) in solchen Fällen, nicht auf die Forderungen einzugehen.^[6] Selbst nach Bezahlung des Lösegelds sei nicht sicher, ob die Daten tatsächlich wieder entschlüsselt würden. Da zudem die Zahlungsbereitschaft des Opfers identifiziert würde, sind weitere Forderungen nicht auszuschließen. Bei einer Zahlung mittels Kreditkarte würden dem Täter darüber hinaus weitere private Informationen zugänglich.

Schutz- und Gegenmaßnahmen

Wichtige Daten sollten in regelmäßigen Abständen auf externe Datenträger, wie beispielsweise CD-ROMs oder DVDs, gesichert werden, zu denen Ransomware keinen Zugriff erlangen kann. Eine solche Datensicherung schützt zugleich vor anderen Ursachen für Datenverluste wie beispielsweise Head-Crashs als Ausfallursache von Festplatten. Zwar können auch diese Vorkehrungsmaßnahmen keinen Schutz gegen eine Blockierung des Computersystems durch Ransomware bieten, ermöglichen es dem Betroffenen aber zumindest, die zuvor gesicherten Daten nach einer Neuinstallation des Systems wiederherzustellen.

Der Schädling TROJ_PGPCODER.A nutzt eine sehr einfache Verschlüsselung, die auch ohne Programm des Erpressers rückgängig gemacht werden kann.^[7] Nachfolgeversionen nutzen zum Teil deutlich stärkere Verschlüsselungsverfahren wie RSA, die derzeit und in absehbarer Zeit nicht zu knacken sind. Daher ist es ratsam, vorbeugende Maßnahmen zur Abwehr von Ransomware zu treffen. Hierzu zählen der Betrieb einer stets aktuell zu haltenden Anti-Viren-Software, Vermeiden der Anmeldung und Arbeit mit Administrator-Rechten sowie die laufende Aktualisierung des verwendeten Betriebssystems und Webbrowsers. Zudem sollte E-Mail-Anhängen von unbekannten Absendern ein gesundes Misstrauen entgegengebracht werden, und diese sollten ungeöffnet gelöscht werden.

Bei den im Zeitraum 2011 bis Februar 2012 weit verbreiteten Schadprogrammen wird lediglich der Zugriff auf die Daten verhindert, es findet jedoch keine Verschlüsselung statt. Handelsübliche Antivirusprogramme können einige dieser Schädlinge problemlos entfernen. Dabei sind kostenlose Programme, beispielsweise MBAM oder Avira ausreichend, so dass kein finanzieller Schaden entstehen muss.

Einzelnachweise

↑ pc-gesund.de: Der PC Gesund Malware Report 2012: Zusammenfassung: Ransomware – die Malware-Innovation
↑ Ministerium für Inneres und Sport Sachsen-Anhalt Polizeiliche Kriminalstatistik 2011, Pressemitteilung Nr.: 015/2012, 27. Februar 2012
↑ ^3,0 ^3,1 PC-Welt Pocket: Erpresserviren aus dem Baukasten, 7/2012, S. 22
↑ ^4,0 ^4,1 ^4,2 ^4,3 PC-Welt Pocket: Die Erpresserviren kommen, Arne Arnold, Moritz Jäger, 7/2012, S. 24
↑ Heise: Bot erpresst Facebook-Nutzer, 19. Januar 2011
↑ Gulli.com, Umfrage zu Ransomware: Rund ein Viertel würde Lösegeld zahlen, 17. Juli 2010
↑ Virusbeschreibung bei F-Secure, 12. August 2008

Weblinks

eco Verband der deutschen Internetwirtschaft e. V.: Hier finden Sie eine Übersicht sowie Anleitungen aller bekannten Versionen der BKA-, GEMA- und Bundespolizei-Trojaner. 23. August 2010, abgerufen am 9. September 2011 (bka-trojaner und gema-trojaner Sammlung).

Dr. Web Deutschland GmbH: Doctor Web-Virenreport März: Trojan.Encoder erpresst Lösegelder für Dateien. www.pressebox.de, 12. April 2010, abgerufen am 9. September 2011 (Pressemeldung der Doctor Web Deutschland GmbH).
computerwoche.de: Hacker kidnappen Daten. 25. Mai 2005, abgerufen am 22. Juli 2006.
Bundesamt für Sicherheit in der Informationstechnik: Beschreibung: Trojan.Gpcoder, Aktivitäten und Wiederherstellung. 22. Mai 2005, archiviert vom Original am 16. Februar 2008; abgerufen am 3. Januar 2013.
Security-Insider.de, Stephan Augsten: Wie Ransomware entwickelt und verbreitet wird. 2. November 2015, abgerufen am 3. November 2015.

Dieser Artikel basiert ursprünglich auf dem Artikel Ransomware aus der freien Enzyklopädie Wikipedia und steht unter der Doppellizenz GNU-Lizenz für freie Dokumentation und Creative Commons CC-BY-SA 3.0 Unported. In der Wikipedia ist eine Liste der ursprünglichen Wikipedia-Autoren verfügbar.

[1] -gesund.de: Der PC Gesund Malware Report 2012: Zusammenfassung: Ransomware – die Malware-Innovation

[2] Ministerium für Inneres und Sport Sachsen-Anhalt Polizeiliche Kriminalstatistik 2011, Pressemitteilung Nr.: 015/2012, 27. Februar 2012

[pc_welt_2012-7_s22-3] 3,0 ^3,1 PC-Welt Pocket: Erpresserviren aus dem Baukasten, 7/2012, S. 22

[pc_welt_2012-7_s24-4] 4,0 ^4,1 ^4,2 ^4,3 PC-Welt Pocket: Die Erpresserviren kommen, Arne Arnold, Moritz Jäger, 7/2012, S. 24

[5] Heise: Bot erpresst Facebook-Nutzer, 19. Januar 2011

[6] Gulli.com, Umfrage zu Ransomware: Rund ein Viertel würde Lösegeld zahlen, 17. Juli 2010

[7] Virusbeschreibung bei F-Secure, 12. August 2008

[1]

[2]

[3]

[4]

[5]

[6]

[7]