Wie infizieren sich Computer mit Ransomware? ...

Ransomware verbreitet sich in der Regel über E-Mail-Anhänge. Die Mails sind professionell designed und verfasst – und liefern plausible Gründe, weshalb man den E-Mail-Anhang öffnen sollte. Selbst die Schweizer Behörden oder bekannte Unternehmen wie die Swisscom, die Post oder Coop wurden schon als angebliche Absender solcher Mails missbraucht. Einmal infiziert, verschlüsselt Ransomware Dateien auf dem Computer des Opfers sowie auf allfällig verbundenen Netzlaufwerken. Die verschlüsselten Dateien werden dadurch für das Opfer unbrauchbar. Erst wenn eine Art Lösegeld, in der Regel in Form von Bitcoins, an die Angreifer bezahlt wird, werden die Daten freigegeben. Eine Garantie dafür gibt es allerdings nicht. Was für Private mühsam ist, ist für KMU, die immer häufiger Ziele solcher Attacken werden, noch schlimmer. Oftmals werden unternehmenskritische Daten wie beispielsweise Verträge sowie Kunden- und Buchhaltungsdaten verschlüsselt und so unbrauchbar. Diese Art der Attacken nehmen immer mehr zu, auch wenn Pascal Lamia, Leiter von Melani, auf Nachfrage Ransomware-Angriffe nicht quantifizieren konnte. Die Schweiz sei dank ihrer guten und modernen Vernetzung für Angreifer jedoch ein lohnendes Ziel.

Ein Beispiel: Im Jahr 2015 wurde Melani unter anderem auf die Verschlüsselungs-Malware TeslaCrypt aufmerksam, die noch bis Mitte Mai 2016 aktiv war. Seit Dezember letzten Jahres breitete sich die Schadsoftware, die Daten verschlüsselt und anschliessend ein Lösegeld fordert, rasch in der Schweiz aus. Die neue Variante verbreitete sich hauptsächlich über infizierte E-Mail-Anhänge (ein Anhang des Typs .zip, der eine Datei des Typs .js beinhaltet). Einmal installiert, verschlüsselte TeslaCrypt Dateien, die sich auf dem Computer befinden. Dem Opfer wurde anschliessend eine Meldung präsentiert, in der die Kriminellen eine Geldforderung stellten. Im Gegenzug sollte das Opfer den Schlüssel erhalten, mit dem die Dateien wiederhergestellt werden können. Verschiedene Antivirenprodukte reagierten zwar auf diese Schadsoftware. Dann war es aber meistens zu spät, weil die auf dem Computer vorhandenen Dateien bereits verschlüsselt waren. In diesem Fall war deshalb nicht die Entfernung der Schadsoftware das Problem, sondern die Wiederherstellung der ursprünglichen Daten.

Inzwischen weiss man: Die TeslaCrypt-Drahtzieher haben im Mai 2016 quasi ihren Laden geschlossen und den Masterschlüssel zum Dechiffrieren der in Geiselhaft genommenen Daten zur Verfügung gestellt. Trotz dieser überraschenden Wende bei TeslaCrypt kann dieser als sehr typisches Beispiel für eine Vielzahl von Erpressungs-Trojanern gelten.

Ransomware, bzw. die Gefahr einer Infektion, kann man am besten mittels Prävention bekämpfen. Hier gilt: Die simpelsten Vorkehrungen, wie regelmässige Updates von Software und Betriebssystem, Misstrauen gegen E-Mails mit fragwürdigem Absender und regelmässige Backups von Daten helfen am besten (Backup – aber sicher!). Speziell das Einspielen von Updates für das Betriebssystem ist von elementarer Wichtigkeit. Kommen die Updates nicht automatisch, helfen diese Tipps, um die Patches manuell zu installieren.

PCtipp hat an dieser Stelle sieben Präventionsstategien gegen Ransomware ausgearbeitet.