Was ist Ransomware: Wie lässt sie sich vermeiden und entfernen?

Ransomware (aus dem Englischen „ransom“, übersetzt „Lösegeld“), auch bekannt als Erpressungs-Trojaner, Erpresser-Software oder Verschlüsselungs-Trojaner. Es handelt sich dabei um eine Form von Schadsoftware, mit der Daten oder ganze Computersysteme für deren Nutzer gesperrt werden. Wer möchte, dass das Gerät wieder entsperrt wird, der wird von den Erpressern dazu aufgefordert, ein Lösegeld zu bezahlen. Theoretisch können alle Betriebssysteme von Ransomware betroffen sein. Besonders Unternehmen werden auf diese Weise dazu erpresst, hohe Summen an Lösegeld zu bezahlen. Meist werden die Zahlungen in Form von Bitcoins verlangt, da man diese virtuelle Währung nicht nachverfolgen kann.

Laut des letzten IT-Lageberichts des Bundesamts für Sicherheit in der Informationstechnik ist Cyber-Erpressung und Ransomware eine der größten Bedrohungen im Web.

Ransomware, auch Erpressungstrojaner genannt, verbreitet sich auf recht einfache Art und Weise. So werden etwa sogenannte Phishing-E-Mails mit Schadsoftware verseuchten Anhängen oder versteckt ausführbaren Programmen versendet. Diese können wie Rechnungsschreiben oder Mahnbriefe aussehen, um die Opfer in die Irre zu führen. Auch bestimmte Webseiten und Werbeanzeigen können kompromittierende Programme und Software enthalten.

Nachdem sich jemand die Ransomware-Software eingefangen hat, muss der Angriff nicht sofort stattfinden. Manche Schadprogramme warten auf Anweisung ihrer Entwickler oder starten unter gewissen Bedingungen oder zu bestimmten Zeitpunkten.

Wurde das Programm aber einmal gestartet und verschlüsselt es deine Daten, ist es nicht mehr aufzuhalten. Einige Ransomware fordert das Lösegeld mit aufdringlichen Hinweisfenstern ein, während andere Erpessungstrojaner ganze Festplatten und Netzwerk-Speicher verschlüsseln.

Es gibt hunderte verschiedener Arten von Ransomware. Sie kann auf verschiedene Art und Weise auf deinen PC gelangen. Zu erkennen, ob das Gerät infiziert wurde, ist meist nicht schwer. Die Verschlüsselung geht dabei automatisch vonstatten und du hast danach keinen Zugriff mehr auf deine Dateien. Häufig erscheint auch noch eine Mitteilung auf dem Bildschirm, in der du darüber informiert wirst, dass all deine Daten verschlüsselt wurden und du erst wieder Zugriff darauf erhältst, wenn du die Lösegeldzahlung getätigt hast. Ransomware zu erkennen sollte also eigentlich nicht das Problem sein.

Es ist ratsam, auch immer einen Schadsoftware-Scanner auf dem Gerät aktiv zu haben. Je nach Scanner kannst du so Dateien während des Downloads auf Viren überprüfen oder bereits heruntergeladene Dateien auf Schadsoftware scannen. So kannst du bereits proaktiv gegen einen möglichen Ransomware-Angriff tun.

Es gibt viele verschiedene Ransomware-Arten, im Folgenden zeigen wir dir die wichtigsten:

• Crypto-Ransomware. Verschlüsselungsprogramme sind eine der bekanntesten und schädlichsten Varianten. Diese Art von Ransomware verschlüsselt die Dateien und Daten in einem System und macht die Inhalte ohne den Entschlüsselungsschlüssel unzugänglich.
• Locker-Ransomware. Locker sperren dich komplett aus dem System aus, sodass du auf deine Dateien und Anwendungen nicht mehr zugreifen kannst. Ein Sperrbildschirm zeigt die Lösegeldforderung an, möglicherweise mit einem Countdown, um die Dringlichkeit zu erhöhen und die Opfer zum Handeln zu bewegen.
• RaaS (Ransomware-as-a-Service). Ransomware-as-a-Service (RaaS) ist eine Art Dienstleistung. Sie bezieht sich auf Schadsoftware, die anonym von einem Hacker gehostet wird, der sich um alle Aspekte des Angriffs kümmert, von der Verteilung der Ransomware bis zum Einzug der Zahlungen und der Wiederherstellung des Zugangs, und dafür einen Anteil an der Beute erhält.

Die Art und Weise, wie Ransomware auf den Computer gelangt, unterscheidet sich eigentlich kaum von anderer Malware. Die häufigsten Wege sind:

• über infizierte Webseiten
• über verseuchte Software-Downloads
• über E-Mail-Anhänge
• über infizierte USB-Sticks oder Speicherkarten.

Ransomware-Angriffe sind eine der größten Bedrohungen im Netz, im Folgenden zeigen wir drei der größten und bekanntesten Angriffe der letzten Jahre.

• Katastrophenfall. Cyberangriff legt den gesamten Landkreis lahm. Es gibt für alles ein erstes Mal. In diesem Fall war der Landkreis Anhalt-Bitterfeld der erste Katastrophenfall in Deutschland, der wegen eines Cyberangriffs ausgerufen wurde. Im Juli 2021 wurden nämlich die Computersysteme der Kommune durch Hacker attackiert und fast vollständig zum Erliegen gebracht. In der Folge wurden Dateien verschlüsselt und nach einer Geldzahlung sollten diese wieder freigegeben werden. Der Landkreis lehnte ab und rief den Katastrophenfall aus, um schneller agieren zu können.
• WannaCry wurde im Mai 2017 entdeckt. Es gab eine breite Infektionswelle, die PCs und Netzwerke mit der neuesten Version der WCry / WannaCry-Ransomware infizierte. In Spanien war etwa ein großes Telekommunikationsunternehmen betroffen. Bei der Telefónica, zu dem auch EPlus und O2 gehören, wurde ein interner Server infiziert. Die Lage eskalierte und Mitarbeiter wurden gebeten die Rechner sofort herunterzufahren, um die Ausbreitung der Schadsoftware zu unterbinden.
• Petya wurde in einer Dropbox-Datei versteckt, die eine Bewerbungsmappe enthalten sollte. Statt der Unterlagen fanden die Opfer aber nur den Erpressungstrojaner vor. Mit dem Öffnen der Datei wird der Schadcode heruntergeladen. Wird die Datei dann auf dem Desktop geöffnet, beginnt die Ransomware sich auszubreiten und das System zu infizieren. Petya verschlüsselt den Zugang zu Dateien. So kann der PC nicht mehr erkennen, wo die Dateien sind und ob sie überhaupt noch auf dem Rechner liegen.
• Locky verschlüsselt Dateien und sorgte Anfang 2016 in Deutschland für Furore. Zahlreiche Windows- und Apple-Computer wurden damals befallen. Auch in den USA gab es Fälle. So erbeuteten die Erpresser 15.000 Euro zweier Krankenhäuser, deren Krankenakten die Ransomware verschlüsselte. Auch deutsche Krankenhäuser waren betroffen.

Auch wenn es natürlich generell jeden treffen kann, ganz schutzlos ausgeliefert ist man der Gefahr durch Ransomware doch nicht. Wenn du folgende Tipps beherzigst, kannst du dich schon ein ganzes Stück sicherer fühlen.

1. Regelmäßige Backups machen. Dies ist etwas, was jedem PC-Nutzer immer wieder gepredigt wird und dennoch tun es noch viel zu wenige. Dabei ist dies die einfachste und sicherste Methode, um dich vor Datenverlust zu schützen. Also lege regelmäßig ein Backup an. So sind zumindest deine Daten im Falle eines Ransomware-Angriffs nicht verloren. Achte allerdings darauf, dass das Speichermedium, auf dem du das Backup anlegst, nicht ständig an deinem Computer angeschlossen ist, denn sonst ist es unter Umständen ebenfalls mit der Schadsoftware infiziert.
2. Immer auf dem neuesten Stand bleiben. Alles, was auf deinem PC installiert ist, von Software bis zum Betriebssystem, muss regelmäßig aktualisiert werden, damit Sicherheitslücken behoben werden können. Nimm dir also die Zeit und installiere Updates so schnell wie möglich, denn ansonsten wirst du zu einem leichten Ziel für Ransomware.
3. E-Mails immer genau überprüfen. Falls du eine E-Mail von deinem Mobilfunkanbieter erhältst, in der du dazu aufgefordert wirst, deine Kundendaten erneut einzugeben, solltest du das auf jeden Fall in Frage stellen. Meist sollst du zu diesem Zweck auf einen Link klicken oder einen Anhang öffnen. Hier besteht ein großes Risiko, Opfer eines Phishing-Angriffs zu werden. Denn auch wenn die Seiten, auf die du dann weitergeleitet wirst, täuschend echt aussehen, handelt es sich dabei um gefälschte Webseiten, die deine Daten ausspionieren und deinen PC auch noch mit schadhafter Software, wie zum Beispiel Ransomware, infizieren können.
4. Unsichere Webseiten meiden. Wenn du unsichere Webseiten besuchst, besteht immer das Risiko, dass du dir Malware oder Scareware auf deinen PC holst. Aber woher weiß man eigentlich, ob eine Webseite sicher ist? Einige Browser oder spezielle Erweiterungen warnen dich, wenn du im Begriff bist, eine potentiell gefährliche Seite aufzurufen. Im Zweifelsfall gilt aber, wenn du dir unsicher bist, ob es sich um eine seriöse Webseite handelt, lieber von einem Besuch abzusehen.
5. Lesezeichen erstellen. Für manche Webseiten, die du häufig besuchst und auf denen du sensible Daten eingeben musst, ist es am sichersten, ein Lesezeichen zu erstellen. Damit kannst du dir dann sicher sein, dass du zur richtigen Seite gelangst. Im Gegenzug solltest du es lieber vermeiden, Links aus E-Mails zu folgen. Zudem nutzen viele Hacker auch Domains, die denen von häufig besuchten, seriösen Webseiten sehr ähnlich sind. Schau also immer genau hin.
6. Anti-Ransomware-Programme installieren. Zusätzlich zu den oben genannten Tipps solltest du auch eine spezielle Anti-Malware-Software installieren, die dich vor Ransomware schützen kann. Allerdings bedeutet eine solche Schutz-Software nicht, dass du deswegen auf einen verantwortungsbewussten und aufmerksamen Umgang mit dem Internet verzichten solltest. Einen Ransomware-Schutz hat Windows 10 und 11 jetzt ebenfalls. Mit der Funktion „Überwachter Ordnerzugriff“ kannst du deine Daten schützen und dafür sorgen, dass Ransomware blockiert wird.
7. Ein virtuelles privates Netzwerk nutzen. Ein VPN kann Ransomware nicht verhindern, aber es kann dich weniger anfällig für Angriffe machen. Ein VPN verbirgt deine IP-Adresse und verschlüsselt deinen Datenverkehr sowie deine Daten, wodurch es für Ransomware-Entwickler schwieriger wird, dich anzugreifen. Allerdings musst du dennoch wachsam bleiben, um dich vor Ransomware-Bedrohungen wie Phishing-E-Mails zu schützen. In diesen Fällen installiert Ransomware unbemerkt Malware auf deinem Gerät, die in der Regel in bösartigen E-Mail-Links und -Anhängen versteckt ist. Da Ransomware erfordert, dass du auf diese Links oder Anhänge klickst, kann ein VPN dies nicht verhindern. NordVPN blockiert mit der integrierten Bedrohungsschutzfunktion aber unter anderem schädliche Webseiten und kann so verhindern, dass du überhaupt auf solche Seiten gelangst, die Ransomware enthalten – sie schützt vor Schadsoftware im Allgemeinen.

Mehr Sicherheit, mehr Privatsphäre und mehr Internetfreiheit. Hol dir jetzt das branchenführende VPN.

Falls du trotz aller Sicherheitsvorkehrungen dennoch Opfer eines Ransomware-Angriffs geworden sein, solltest du Folgendes tun:

• Trenne deine Netzwerkverbindung und schalte deinen Computer aus.
• Fahre den PC wieder hoch und sichere die Inhalte, die sich auf deiner Festplatte befinden, auf einem externen Datenträger.
• Für den Fall, dass das komplette System blockiert ist, kannst du zuerst ein Unlock-Tool nutzen, das dir helfen kann, wieder Zugriff auf deinen Rechner zu bekommen.
• Wenn du wieder Zugriff hast, kannst du zunächst einen Virenscanner ausprobieren, um die Schadsoftware zu entfernen.
• Im Idealfall hast du vor dem Angriff ein Backup erstellt, dann kannst du dieses einfach wieder einspielen, sobald dein Gerät bereinigt ist. Ansonsten solltest du deine Dateien vor der Bereinigung noch auf eine externe Festplatte übertragen.
• Wenn du die Sicherung gemacht habt, kannst du dann mit der Wiederherstellung des Systems beginnen.
• Ist es dir gelungen, die Malware durch das Tool zu entfernen, kannst du alle deine Daten wiederherstellen.

Die oben genannten Schritte funktionieren allerdings nicht immer bei Ransomware-Angriffen. Falls du damit nicht weiterkommst oder du dir unsicher bist, dann solltest du dir in jedem Fall Hilfe von einem Experten holen. Dieser weiß über alle wichtigen Schritte Bescheid und kann dich fachkundig beraten.

Solltest du mit dem Gedanken spielen, auf die Lösegeldforderung einzugehen, solltest du dir vor Augen halten, dass die Zahlung keine Garantie dafür ist, dass die Kriminellen dein System auch wirklich wieder entsperren. Vom BSI (Bundesamt für Sicherheit in der Informationssicherheit) wird zum Beispiel empfohlen, dass man als Betroffener die Cyber-Straftat melden sollte – am besten bei den zuständigen Behörden.