Ransomware

Historie

Die Idee geht auf das Jahr 1989 zurück, als der Schädling AIDS TROJAN DISK mit Hilfe einer infizierten Diskette Daten verschlüsselte. Der Autor dieses Schädlings konnte überführt werden und wurde zu einer Haftstrafe verurteilt. Einer der ersten Angreifer, der Ransomware zur Verbreitung über das Internet einsetzte, ist der Trojaner TROJ_PGPCODER.A, für dessen Entschlüsselung mehrere hundert US-Dollar gefordert wurden.

Vorgehen der Schädlinge

Beispiel eines von einer Ransomware gesperrten Computers

Beispiel für die Lösegeldforderung; es handelt sich hierbei um Trojan-Ransom.Win32.Foreign.aiq (Name nach Kaspersky)

Ransomware kann auf den gleichen Wegen wie ein Computervirus auf einen Computer gelangen. Zu diesen Wegen zählen präparierte E-Mail-Anhänge wie beispielsweise trojanische Pferde, die mittels Computerwürmern versendet werden, die Ausnutzung von Sicherheitslücken in Webbrowsern oder das Fehlen einer Firewall.

Der befallene Computer kann auf unterschiedliche Weisen blockiert werden. Einfachere und harmlosere Erpressungsversuche äußern sich nur in einem Hinweisfenster, das bei jedem regulären Windowsstart erscheint und nicht geschlossen werden kann. Auch der Taskmanager wird blockiert. Unerfahrene PC-Benutzer wissen nicht, wie sie diese Blockade beenden können. Es scheint nur den Ausweg zu geben, das Lösegeld zu zahlen, indem eine Paysafecard oder Ukash-Karte gekauft wird. Der Betrag wird dabei dem Erpresser gutgeschrieben, indem man die Gutscheinnummer des Bezahlsystems am befallenen PC eingibt, wodurch sie dem Täter elektronisch mitgeteilt wird. Der Betrag kann dann von ihm ausgegeben werden.

Besonders bösartige Varianten der Ransomware haben ein größeres Schadpotenzial: Zumeist werden Briefe, Rechnungen und andere mit Office-Anwendungen erstellte Dokumente, die sich in Windows-Systemen in der Regel im Ordner „Eigene Dateien“ befinden, verschlüsselt. Grundsätzlich kommen als Ziel alle Dateien in Frage, die für den Besitzer des Computers eine hohe Wichtigkeit aufweisen und nicht wiederbringbar sind, wozu u. a. auch E-Mails, Datenbanken, Archive und Fotos zählen können. Diese Dateien werden nun so verschlüsselt, dass der Benutzer keinen Zugriff auf ihre Inhalte mehr besitzt. Im Gegensatz zu Spyware werden hier also keine großen Datenmengen verschoben. Üblicherweise löscht sich Ransomware nach der Verschlüsselung der Dateien selber, um die Analyse des Schädlings zu erschweren.

Um wieder Zugriff auf die von der Ransomware verschlüsselten Daten zu erhalten, wird der geschädigte Benutzer von dem Eindringling aufgefordert, eine E-Mail an eine bestimmte E-Mail-Adresse zu senden, eine Webseite aufzurufen oder eine Formularmaske auszufüllen. In allen Fällen wird eine Software zur Entschlüsselung bzw. die Zusendung des benötigten Passworts versprochen, wofür zuvor eine Bezahlung erfolgen muss. Häufig drohen die Kriminellen, dass bei einer Kontaktaufnahme mit der Polizei sämtliche Daten vernichtet würden. Um dem Opfer die Möglichkeit zu nehmen, sich Hilfe zum Thema Informationssicherheit aus dem Internet zu holen, kann es zu Manipulationen an der Hosts-Datei kommen, so dass der Zugang zu solchen Webseiten maßgeblich eingeschränkt wird.

Ein – aus Sicht des Angreifers – entscheidender Nachteil von Ransomware ist der Kontakt zum Opfer zur Lösegeldforderung und -bezahlung. Diese können per Internet erfolgen, beispielsweise über Online-Bezahldienste wie PayPal oder Ukash.^[1] Gleichwohl dürfte es staatlichen Ermittlungsbehörden leichtfallen, das Empfängerkonto zu sperren und den Kontoinhaber zu ermitteln.

Ratschläge für Betroffene

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät in solchen Fällen, nicht auf die Forderungen einzugehen. Selbst nach Bezahlung des Lösegelds sei nicht sicher, ob die Daten tatsächlich wieder entschlüsselt würden. Da zudem die Zahlungsbereitschaft des Opfers identifiziert würde, sind weitere Forderungen nicht auszuschließen. Bei einer Zahlung mittels Kreditkarte würden dem Täter darüber hinaus weitere private Informationen zugänglich.

Schutz und Gegenmaßnahmen

Wichtige Daten sollten in regelmäßigen Abständen auf externe Datenträger wie beispielsweise CD-ROMs oder DVDs gesichert werden, zu denen Ransomware keinen Zugriff erlangen kann. Ein solches Backup schützt zugleich vor anderen Ursachen für Datenverluste wie beispielsweise Head-Crashs als Ausfallursache von Festplatten. Zwar können auch diese Vorkehrungsmaßnahmen keinen Schutz gegen eine Blockierung des Computersystems durch Ransomware bieten, ermöglichen es dem Betroffenen zumindest aber, die zuvor gesicherten Daten nach einem Neuaufzusetzen des Systems wiederherzustellen.

Der Schädling TROJ_PGPCODER.A nutzt eine sehr einfache Verschlüsselung, die auch ohne Programm des Erpressers rückgängig gemacht werden kann.^[2] Nachfolgeversionen nutzen zum Teil deutlich stärkere Verschlüsselungsverfahren wie RSA, die derzeit und in absehbarer Zeit nicht zu knacken sind. Daher ist es ratsam, vorbeugende Maßnahmen zur Abwehr von Ransomware zu treffen. Hierzu zählen der Betrieb einer stets aktuell zu haltenden Anti-Viren-Software sowie verfügbare Updates des verwendeten Betriebssystems und Webbrowsers zu installieren. Zudem sollten E-Mail-Anhängen von unbekannten Absendern ein gesundes Misstrauen entgegengebracht und diese ungeöffnet gelöscht werden.

Bei den im Zeitraum 2011 bis Februar 2012 weit verbreiteten Schadprogrammen wird lediglich der Zugriff auf die Daten verhindert, es findet jedoch keine Verschlüsselung statt. Handelsübliche Antivirusprogramme können einige dieser Schädlinge problemlos entfernen. Dabei sind kostenlose Programme, beispielsweise MBAM oder Avira ausreichend, so dass kein finanzieller Schaden entstehen muss.

Im polizeilichem Kriminalitätsreport 2011 des Landes Sachsen-Anhalt wird ein Fall beispielhaft erwähnt. Ein Täter hat 831 Computer in diesem Bundesland mit einer Erpressungssoftware infiziert. Das Landeskriminalamt Sachsen-Anhalt richtet seit Februar 2012 eine Spezialdienststelle zur Bekämpfung der Cyber-Crime ein, die mit sieben zusätzlichen Stellen – entgegen dem allgemeinen Sparkurs – diese Kriminalitätsart bekämpfen soll.^[3] Dieser eine Fall bedeutet eine Zahl von über 20.000 betroffenen Computern in Deutschland, wenn unterstellt wird, dass die Zahl der Infektionen im selben Verhältnis steigt wie die Einwohnerzahl.

Nach einer Umfrage würde rund ein Viertel der Opfer ein Lösegeld zahlen.^[4]

Einzelnachweise

1. ↑ Heise: Bot erpresst Facebook-Nutzer, 19. Januar 2011
2. ↑ Virusbeschreibung bei F-Secure, 12. August 2008
3. ↑ Innenministerium Sachsen-Anhalt: Polizeiliche Kriminalstatistik 2011, 27. Februar 2012
4. ↑ Gulli.com: Umfrage zu Ransomware: Rund ein Viertel würde Lösegeld zahlen, 17. Juli 2010

Weblinks

• eco Verband der deutschen Internetwirtschaft e.V.: Hier finden Sie eine Übersicht sowie Anleitungen aller uns bekannten Versionen der BKA, GEMA, Bundespolizei Trojaner. 23. August 2010, abgerufen am 9. September 2011 (bka-trojaner und gema-trojaner Sammlung). 

• Dr. Web Deutschland GmbH: Doctor Web-Virenreport März: Trojan.Encoder erpresst Lösegelder für Dateien. www.pressebox.de, 12. April 2010, abgerufen am 9. September 2011 (Pressemeldung der Doctor Web Deutschland GmbH). 
• computerwoche.de: Hacker kidnappen Daten. 25. Mai 2005, abgerufen am 22. Juli 2006. 
• Bundesamt für Sicherheit in der Informationstechnik: Beschreibung: Trojan.Gpcoder, Aktivitäten und Wiederherstellung. 22. Mai 2005, abgerufen am 9. September 2011 (Kopie der Seite bei archive.org).