Ransomware ist die erfolgreichste Virengattung der Welt. Das liegt daran, dass Ransomware-Angriffe eine der ältesten kriminellen Techniken der Weltgeschichte einsetzen, die entsprechend gut erprobt ist. Die Rede ist von Erpressung: Ransomware macht Daten durch Verschlüsselung unzugänglich, für den Algorithmus zur Entschlüsselung verlangen die Kriminellen ein Lösegeld.
Richteten sich die ersten Ransomware-Angriffe etwa ab 2012 noch vorwiegend gegen die Rechner von Privatpersonen, erkannten die Kriminellen in den folgenden Jahren, dass sich mit der Erpressung von Unternehmen erheblich mehr Geld verdienen ließ. Einige Lösegeldforderungen haben seither Summen von mehreren Millionen Euro erreicht.
Lesetipp: Warum sind PC-Viren so oft erfolgreich?
Um den Druck auf nicht zahlungswillige Firmen zu verstärken, kopieren die Kriminellen oft zusätzlich die vorgefundenen Daten auf eigene Server, bevor sie sie bei den betroffenen Unternehmen verschlüsseln. Zeigt sich ein Opfer dann nicht zahlungswillig, drohen sie mit einer Veröffentlichung der gekaperten Unternehmensdaten.
Die auf diese Weise zustande kommenden Schadenssummen sind enorm. Die aktuellen Zahlen beziehen sich auf das Jahr 2021. In diesem Jahr haben Ransomware-Angriffe in Deutschland laut den Erhebungen der Firma Forge Rock, die im Bereich Identitätsmanagement tätig ist, Schäden von 24,3 Milliarden Euro verursacht – 2019 waren es noch 5,3 Milliarden. Andere Untersuchungen kommen zu ähnlichen Ergebnissen.
Wie Sie sich vor Ransomware-Angriffen schützen können
Mit „Überwachter Ordnerzugriff“ enthält Windows eine Funktion, die speziell vor Angriffen durch Ransomware- Eindringlingen schützen soll.
IDG
Backup, Backup, Backup: So lauten die Top 3 der wirkungsvollsten Maßnahmen zum Vorbeugen eines Datenverlusts bei einer Ransomware-Attacke. Kopieren Sie alle Ihre wichtigen Daten auf ein externes Medium wie einen USB-Stick oder eine USB-Festplatte und trennen Sie die Verbindung dann wieder. Kopieren Sie zusätzlich einmal am Tag alle Dokumente, an denen Sie aktuell arbeiten, auf ein Sicherungsmedium, das Sie danach ebenfalls wieder entfernen. Sie können diese Arbeit natürlich auch einem Backup-Programm überlassen.
Sollten Sie dann Opfer eines Ransomware-Angriffs werden, so hält sich der Schaden in Grenzen. Zwar müssen Sie unbedingt Ihren PC komplett neu aufsetzen, die Festplatte/SSD formatieren und Windows sowie alle Anwendungen neu installieren. Doch die Zahlung eines Lösegelds entfällt, und Sie erleiden keinen Datenverlust.
Siehe auch: Ist mein PC gehackt? So erkennen Sie Angriffe
Eine Alternative zu Datensicherungen und Backup-Programmen ist die Synchronisation der wichtigsten Dateien mit einem Clouddienst. Allerdings sollten Sie auch diese Verbindung nicht ständig offenhalten, sondern sie nach der Datenübertragung wieder schließen. Schützen Sie den Zugang außerdem mit einem Passwort oder am besten mit einer Zwei-Faktor-Authentisierung.
Die Erpressermeldung der Ransomware Wannacry. Typisch ist, dass er den Anwender unter Zeitdruck setzt und eine Bezahlung mit Bitcoin fordert.
IDG
Viele Antivirentools besitzen zudem eine spezielle Anti-Ransomware-Funktion, die Manipulationen an definierten Dateien und Ordnern verhindert. Beim Windows Defender heißt diese Funktion „Überwachter Ordnerzugriff“. Sie führt eine Liste mit Ordnern, die ständig überwacht werden. In der Voreinstellung sind das Ihre persönlichen Verzeichnisse unter C:\Benutzer[Benutzername] sowie die öffentlichen Ordner „Musik“, „Bilder“ und „Dokumente“. Diese Liste lässt sich beliebig um weitere Ordner ergänzen:
Klicken Sie doppelt auf das Defender-Icon in der Taskleistenecke, scrollen Sie nach unten, und folgen Sie dem Link „Ransomware-Schutz verwalten“. Im folgenden Fenster stellen Sie den Schalter unter „Überwachter Ordnerzugriff“ auf „Ein“ und klicken anschließend auf „Geschützte Ordner“.
Über den Button „Geschützten Ordner hinzufügen“ können Sie nun beliebige Verzeichnisse in den Schutz aufnehmen. Die Schutzfunktion des Defender ist zwar nützlich, führt aber in der Praxis zu häufigen Meldungen, dass ein Programm nicht auf die Daten in den genannten Ordnern zugreifen konnte. Viele Anwender stellen den Ransomware-Schutz daher bald wieder aus. An regelmäßigen Datensicherungen führt in jedem Fall kein Weg vorbei.
Was Sie nach einem Ransomware-Angriff machen sollten
RansomDie Lösegeldforderung für die Ransomware Locky gibt es sogar in einer deutschsprachigen Version. Die Kriminellen wollen, dass ihr Opfer über das Tor-Netzwerk mit ihnen Kontakt aufnimmt.
IDG
Falls eine Malware Ihre Daten verschlüsselt hat, sollten Sie als erste Maßnahme eine weitere Ausbreitung des Virus verhindern und das Gerät von Netzwerk zu trennen. Ziehen Sie daher den Netzwerkstecker ab beziehungsweise deaktivieren Sie Ihr WLAN.
Normalerweise erhalten Sie bereits während der laufenden Verschlüsselung eine Nachricht der Erpresser mit Zahlungsanweisungen und einer Anleitung, wie Sie die geforderte Summe etwa in Bitcoin oder einer anderen Kryptowährung überweisen. Oftmals setzen die Kriminellen ihre Opfer auch unter Zeitdruck und fordern eine Zahlung innerhalb der nächsten Stunden.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt auf seiner Website, den Lösegeldforderungen der Erpresser nicht nachzukommen, da eine Entschlüsselung nicht garantiert sei.
IDG
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt für solche Fälle, generell kein Lösegeld zu bezahlen. Denn es sei nicht sichergestellt, dass die Erpresser anschließend tatsächlich einen Schlüssel zum Wiederherstellen der Daten liefern.
Im vergangenen Dezember wurde zudem der Fall der Ransomware Cryptonite bekannt, die so schlampig programmiert ist, dass sie überhaupt nicht in der Lage ist, die Verschlüsselung wieder aufzuheben. Stattdessen löscht sie die Daten einfach. Häufig verschwindet das Geld daher einfach, ohne dass sich die Kriminellen wieder melden.
Außerdem geben Sie sich als zahlungsbereites Opfer zu erkennen. Es ist nicht ungewöhnlich, dass Ihre Adresse im Untergrund weitergegeben wird und Sie Ziel von weiteren Angriffen werden. Anstatt das Lösegeld zu bezahlen, sollten Sie Anzeige erstatten. Zuständig sind jeweils die lokalen Polizeidienststellen.
Nun können Sie beginnen zu versuchen, den Schaden zu beheben. Falls Sie ein aktuelles Backup Ihrer Daten besitzen – prima! Machen Sie Ihren Computer platt, formatieren Sie sämtliche angeschlossenen Datenträger, und installieren Sie Windows und die Anwendungen neu.
Achtung: Die Säuberung der Datenträger mit einem Antivirentool ist nicht ausreichend. Die Gefahr ist zu groß, dass die Software nicht alle Spuren der Ransomware entdeckt.
In Onedrive gibt es einen Versionsverlauf, der die verschiedenen Versionen von Office-Dokumenten automatisch speichert.
IDG
Wenn Sie Ihre Daten ständig mit einem Cloudspeicher synchronisieren, hat die Ransomware vermutlich auch die Daten auf dem Server verschlüsselt. Für diesen Fall hat beispielsweise Microsoft für seinen Clouddienst Onedrive eine Versionsverwaltung eingebaut: Loggen Sie sich über Ihren Browser bei Onedrive ein und klicken Sie ein verschlüsseltes File mit der rechten Maustaste an.
Nach einem Klick auf „Versionsverlauf“ zeigt Ihnen der Clouddienst die verfügbaren Versionen der Datei. Gehen Sie mit der Maus auf eine Variante, die vor dem Ransomware-Angriff entstanden ist, und klicken Sie auf die drei Punkte. Anschließend können Sie auswählen zwischen „Datei öffnen“ und „Wiederherstellen“. Der Versionsverlauf steht allen Benutzern von Windows 10 und 11 mit einem Microsoft-365-Abo zur Verfügung.
Falls die Ransomware wertvolle Dateien wie etwa eine Kontaktdatenbank oder Geschäftsunterlagen verschlüsselt hat, empfiehlt es sich, einen professionellen Datenrettungsdienst zu kontaktieren. Über eine Suche im Internet finden Sie eine ganze Reihe von Firmen, die eine Entschlüsselung oder Wiederherstellung versprechen. Sie suchen etwa nach den Spuren von temporären Dateien, die von Programmen wie Word und Excel beim Bearbeiten von Dokumenten angelegt und von Ransomware in der Regel nicht verschlüsselt werden. Umfangreiche Dateien wie etwa Datenbanken werden von der Malware oft nicht komplett verschlüsselt, stattdessen beschränkt sie sich auf den Anfang der Files. Auch in solchen Fällen können die Spezialisten die Daten oft rekonstruieren.
NAS-Geräte hingegen arbeiten meist mit einem Linux-Dateisystem, bei dem die Verschlüsselung auf andere Weise funktioniert als in Windows. Ransomware verschlüsselt die Daten daher nicht, sondern löscht sie einfach und überschreibt sie mit Zufallszahlen. Auch in solchen Fällen können Experten die Files häufig wiederherstellen.
Mit Hilfe von Experten ist es oft möglich, verschlüsselte Dateien wiederherzustellen. Über eine Internetsuche finden Sie schnell eine ganze Reihe von Firmen, die Ihnen weiterhelfen können.
IDG
Insbesondere bei neueren Ransomware-Varianten liefert manchmal auch eine Suche im Internet Hinweise auf Entschlüsselungswerkzeuge. Falls Sie dennoch keine Möglichkeit finden, Ihre Daten wieder lesbar zu machen, sollten Sie sie nicht löschen, sondern auf ein externes Laufwerk kopieren und aufheben. Denn teilweise taucht nach einigen Wochen oder Monaten dann doch noch ein Tool auf, das die Verschlüsselung knacken kann.
Tools und Informationen zu Ransomware aus dem Internet
Die Initiative Bleib-virenfrei hat eine Liste mit 851 Ransomware-Varianten ins Internet gestellt. Sie nennt auch, falls vorhanden, verfügbare Entschlüsselungsprogramme.
IDG
Die Initiative Bleib-virenfrei hat auf ihrer Website eine Liste mit bekannten Ransomware-Varianten zusammengestellt, die zuletzt 851 Einträge umfasste. Hier können Sie anhand des Dateinamens der Lösegeldforderung und der Endung der verschlüsselten Files die Malware auf Ihrem PC identifizieren und nachsehen, ob ein Entschlüsselungstool verfügbar ist. Falls ja, stellt die Tabelle auch gleich einen Download-Link bereit.
Ähnlich arbeitet der Dienst ID Ransomware. Auf seiner Website können Sie die Datei mit der Lösegeldforderung und eine verschlüsselte Datei hochladen sowie optional die von den Erpressern angegebene Kontaktadresse angeben, um die Ransomware zu identifizieren. Laut eigenen Angaben erkennt der Dienst 1102 Varianten und sagt Ihnen, um welche es sich handelt. Außerdem bietet er, falls vorhanden, ein Entschlüsselungstool zum Download an.
Die Website No More Ransom kennt Hunderte Erpresserviren, hilft bei der Identifizierung und bietet, falls verfügbar, Entschlüsselungstools inklusive Anleitung direkt zum Download an.
IDG
Am bekanntesten jedoch dürfte die Website No more ransom sein. Sie entstand aus einer gemeinsamen Initiative der National High Tech Crime Unit der niederländischen Polizei mit dem europäischem Cybercrime Center von Europol in Den Haag sowie den beiden Security-Unternehmen Kaspersky und McAfee. Hier finden Sie umfangreiche Informationen zu Ransomware, ein Tool zur Identifizierung der Malware-Variante sowie Links und Download-Möglichkeiten für Entschlüsselungswerkzeuge.
Beim Antivirenhersteller Kaspersky gibt es ebenfalls ein Tool für die Erkennung von Ransomware-Varianten. Außerdem stehen dort mehrere Entschlüsselungsprogramme inklusive Anleitungen zum Download bereit. Ähnliche Angebote kommen von Avast, AVG und Bitdefender. Die größte Sammlung von Entschlüsselungsprogrammen besitzt jedoch Bleeping Computer, eine Website, die sich mit Sicherheitstechnik befasst.
Auf BleepingComputer finden Sie die größte Sammlung von Entschlüsselungsprogrammen.
IDG
Die gefährlichsten Ransomware-Viren der Welt
Die Geburtsstunde der Ransomware als Massenphänomen begann im Oktober 2013 mit Cryptolocker. Es war die erste Schadsoftware, die ein Lösegeld in Form von Bitcoins verlangte. Cryptolocker verbreitete sich als Anhang von Phishing-Mails und benutzte einen 2048 Bit langen RSA-Schlüssel, um die Daten auf den Rechnern unlesbar zu machen. Zeitweise waren mehr als 500.000 Computer weltweit mit dem Virus infiziert.
Die ursprüngliche Version von Cryptolocker konnte in einer gemeinsamen Aktion von FBI, Interpol, Security-Unternehmen und Forschungsstellen geknackt werden, und es entstand ein Entschlüsselungs-Tool. Die kriminelle Szene entwickelte jedoch mehrere leicht abgewandelte Nachfolger, für die bis heute keine Entschlüsselung verfügbar ist.
Im Mai 2017 infizierte die Ransomware Wannacry innerhalb eines Tages 230.000 Computer in mehr als 150 Ländern. Sie nutzte eine Sicherheitslücke in Microsofts Netzwerkprotokoll SMBv1 aus, um in die Rechner einzudringen. Sie war also nicht auf eine Benutzeraktion wie etwa das Öffnen eines E-Mail-Anhangs angewiesen, um sich zu verbreiten.
Es stellte sich heraus, dass der amerikanische Geheimdienst NSA die Sicherheitslücke bereits seit fünf Jahren kannte und aktiv ausgenutzt hatte, ohne Microsoft darüber zu informieren. Vermutlich waren diese Informationen nach außen gelangt. Nachdem Microsoft SMBv1 gepatcht hatte, nahmen die Schadensmeldungen ab. Für Wannacry sind zwei Entschlüsselungsprogramme verfügbar.
Cryptolocker war die Ransomware, die Bitcoins als Zahlung verlangte.
IDG
Petya erschien im Jahr 2016 in Form einer Phishing-Mail in den Posteingängen der Anwender. Im Anhang brachte die Nachricht angeblich ein Bewerbungsschreiben mit, das aber tatsächlich einen Link zu einem Schadprogramm enthielt. Die Software verschlüsselt die Master File Table, also das Inhaltsverzeichnis der Festplatte, so dass die Dateien nicht mehr lokalisierbar sind. Außerdem verschlüsselt sie das erste Kilobyte einiger Dateien. Petya erschien in vier Varianten, von denen lediglich die ersten beiden geknackt werden konnten. 2017 tauchte der Nachfolger NotPetya auf, der vor allem in der Ukraine und in Deutschland zahlreiche Systeme infizierte. Auch für diese Variante existiert keine Entschlüsselung.
Ryuk gilt als die Ransomware, deren Entwickler mit 12,5 Millionen US-Dollar die bislang höchste Lösegeldforderung aller Zeiten stellten. Die über Phishing-Mails vertriebene Schadsoftware war vor allem in den Jahren 2018 und 2019 aktiv und brachte den kriminellen Hackern vermutlich rund 150 Millionen US-Dollar Lösegeld ein.
Die Höhe der Summe ist darauf zurückzuführen, dass Ryuk gezielt gegen große, finanziell starke Unternehmen eingesetzt wurde und wird. Die Malware verschlüsselt Daten mit dem als unknackbar geltenden AES-256-Algorithmus und verwendet anschließend einen RSA-4096-Algorithmus, um die Schlüssel zu kodieren.
REvil wurde vor allem durch sein Ransomware Ransomware-as-a-Service-Modell bekannt.
IDG
Die Ransomware Revil, auch bekannt als Sodinokibi, ist das Produkt einer russischen Hacker-Gruppe, die ihre Software nach einem Ransomware-as-a-Service-Modell anbietet. Revil wurde seit 2018 bei mehreren Attacken eingesetzt, am bekanntesten wurde die Infektion der Fernwartungssoftware VSA von der Firma Kaseya. Sie verteilte die Ransomware zusammen mit Softwareupdates, wodurch die Systeme einer großen Anzahl von Unternehmen betroffen waren.
Aktuelle Ransomware-Varianten ohne Entschlüsselung
Die Firma Malwarebytes veröffentlicht regelmäßig Listen mit den jeweils aktivsten Ransomware-Varianten. Im März 2023 sah die Reihenfolge weltweit folgendermaßen aus:
Die kriminelle Gruppe hinter der Ransomware CL0P unterhält im Dark Web seine Site, wo sie vertrauliche Daten von Unternehmen veröffentlicht, die der Lösegeldforderung nicht nachgekommen sind.
IDG
Clop: Auf Platz 1 steht CL0P oder Clop, die Malware ist aus der älteren Ransomware Crypto Mix hervorgegangen. Sobald sie in ein System eingedrungen ist, verwendet sie einen RSA-Schlüssel, um die Dateien unlesbar zu machen, und hängt als Dateiendung .clop an. Die Lösegeldforderung steht in einer Datei namens !_ READ_ME.RTF. Das Besondere an CL0P ist, dass sie versucht, den Windows Defender zu deaktivieren und Microsoft Security Essentials zu deinstallieren. Außerdem ist mittlerweile auch eine Linux-Variante der Ransomware aufgetaucht. Lockbit: Dahinter folgen Lockbit und Black Basta. Zusammen waren diese beiden Schadprogramme im März für 54 Prozent der in Deutschland registrierten Ransomware-Attacken verantwortlich.
Lockbit verwendet die Dateiendungen .abcd oder .lockbit für verschlüsselte Files und schickt die Lösegeldforderung in einer Datei mit der Bezeichnung Read-My-Files.txt Die Malware kann sich selbst über ein Netzwerk verbreiten und wird von den Angreifern gezielt gegen Firmen eingesetzt. Hinter Lockbit steht die gleichnamige russische Hackergruppe, die die Software kriminellen Gruppen als Ransomware-as-a-Service anbietet. Im April 2023 wurde erstmals auch eine Mac-OS-Variante von Lockbit registriert.
Black Basta: Genau wie bei Lockbit handelt es sich bei Black Basta um eine Hackergruppe, die ihre Ransomware als Service vertreibt und an den Gewinnen partizipiert. Die Angriffe mit Black Basta zielen ausschließlich auf Unternehmen. Weigert sich die Firma zu zahlen, werden gestohlene Dokumente auf einer Website von Black Basta veröffentlicht. Die Ransomware ist in C++ geschrieben und kann daher sowohl Windows- wie auch Linux-Rechner infizieren. Erkennbar ist sie an der Dateiendung .basta und der Lösegeldforderung, die als Desktop-Hintergrund eingeblendet wird und auf eine readme.txt verweist.
Blackcat: Auch Blackcat von der Hackergruppe ALPHV, auf Platz 4 der aktivsten Ransomwares, ist als Ransomware-as-a-Service erhältlich. Sie lässt sich gleichermaßen gegen Windows- wie auch Linux-Systeme einsetzen. Die Dateiendung der verschlüsselten Files kann je nach Angreifer variieren, in der Originalversion ist es eine zufällig erzeugte Kombination aus sieben Ziffern und Kleinbuchstaben. Blackcat blendet einen Desktop-Hintergrund ein, der auf die Datei mit der Lösegeldforderung verweist. Auch dieser Dateiname ist unterschiedlich, Beispiele sind GET IT BACK- [Dateiendung]-FILES.txt oder RECOVER-${Dateiendung}-FILES.txt.
Royal: Die Nummer 5 schließlich ist eine noch verhältnismäßig neue Ransomware mit Namen Royal. Sie hat es vor allem auf Unternehmen abgesehen und trat bislang in erster Linie in den USA und in Brasilien auf. Die verschlüsselten Dateien tragen die Endung .royal, die Lösegeldforderung steht in einer README.TXT.
Autor: Arne Arnold, Redakteur, PC-WELT Print
Arne Arnold ist seit über 30 Jahren in der IT-Branche tätig. Die meiste Zeit davon als Redakteur bei der PC-WELT mit dem Schwerpunkt IT-Sicherheit. Er testet Antivirensoftware, gibt Tipps, wie man Windows sicherer macht und ist immer auf der Suche nach den besten Sicherheitstools für Windows. Aktuell beschäftigt er sich mit neuen KI-Tools und der Frage, was sie für unsere Zukunft bedeuten.