Ransomware, auch Erpressungstrojaner, Kryptotrojaner oder Verschlüsselungstrojaner genannt, sind Schadprogramme, mit deren Hilfe ein Fremder den Computer mitsamt aller darauf befindlichen Daten sperrt mit dem Ziel, den Eigner zu erpressen (englisch: to ransom). Die Angriffssoftware verschlüsselt die Dateien auf dem Rechner des Opfers oder verhindert den Zugriff auf sie, um für die Freigabe ein „Lösegeld“ zu fordern. Im Jahr 1989 tauchte der erste Schädling dieser Art auf, der sich „Aids Trojan Disk“ nannte. Einer der ersten Angreifer, der sich über das Internet verbreitete, war der Trojaner TROJ_PGPCODER.A. Im zweiten Quartal 2012 gab es laut Kindsight Security etwa 123.000 neue Varianten von Verschlüsselungstrojanern. 2016 tauchte der aggressive Kryptotrojaner Locky auf, welcher bislang Millionen PCs verseucht hat (s.o.).
Ransomware gelangt auf den gleichen Wegen wie ein Virus oder ein Wurm auf einen Computer – über präparierte E-Mail-Anhänge, Sicherheitslücken in Webbrowsern oder das Fehlen einer Firewall. Beliebt sind E-Mails mit einer gefälschten Rechnung oder einem Lieferschein im Anhang. Kryptotrojaner schleichen sich auch gerne aus präparierten Webseiten auf den eigenen Rechner, auch Makros aus Officedateien enthalten die Schadsoftware.
Ein befallener Computer wird auf unterschiedliche Weise blockiert. Einfachere und harmlosere Erpressungsversuche äußern sich nur in einem Hinweisfenster, das bei jedem regulären Systemstart erscheint und nicht geschlossen werden kann – es lässt sich vom Experten mitsamt dem Trojaner relativ schnell wieder entfernen. Bösartige Ransomware verschlüsselt zumeist Briefe, Rechnungen und andere mit Office-Anwendungen, andere machen sich auch über E-Mails, Datenbanken, Archive und Fotos her – bis hin zum Betriebssystem und den Programmen. Die Dateien werden dabei so verschlüsselt, dass der Benutzer keinen Zugriff auf ihre Inhalte mehr hat. Der Eindringling fordert das Opfer danach auf, eine E-Mail an eine bestimmte Adresse zu senden, eine Webseite aufzurufen oder eine Formularmaske auszufüllen. In allen Fällen wird eine Software zur Entsperrung oder die Zusendung des benötigten Passworts versprochen, wofür allerdings vorher meist mehreren Hundert Euro überwiesen werden müssen.
Oft hat der Angreifer gar nicht vor, die Daten wieder zu entschlüsseln, so dass sie unwiederbringlich verloren sind – unabhängig davon, ob der Geschädigte zahlt oder nicht. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät daher, nicht auf die Forderungen einzugehen. Selbst nach Bezahlung des Lösegelds sei nicht sicher, ob die Daten tatsächlich wieder entschlüsselt würden. Da zudem die Zahlungsbereitschaft des Opfers identifiziert würde, seien weitere Forderungen nicht auszuschließen. Bei einer Zahlung mittels Kreditkarte würden dem Täter darüber hinaus weitere private Informationen zugänglich.
Computerexperten empfehlen verschiedene vorbeugende Maßnahmen zur Abwehr von Ransomware (s.o.). Wichtig zu wissen: Ausgefeilte Trojaner verschlüsseln alle Daten, die sie erreichen können, also auch permanent angeschlossene Datensicherungsmedien. Machen Sie unbedingt zusätzlich in regelmäßigen Abständen eine Datensicherung auf externe Datenträger.
Als ein Exploit (englisch to exploit: ausnutzen, ausbeuten) wird in der Datenverarbeitung eine systematische Ausnutzung von Schwachstellen bezeichnet. Die Kriminellen schreiben dafür eigens einen Programmcode, der Sicherheitslücken und Fehlfunktionen von Programmen oder ganzen Systemen ausfindig macht und entsprechende Schadsoftware sofort aufspielt. Findet die Malware beispielsweise eine alte Version eines Browsers auf dem Rechner, nutzt er diese Schwachstelle sofort aus. Es gibt unterschiedliche Arten von „Ausbeutern“, je nachdem, gegen welches Opfer sich der Angriff richtet. Lokale Exploits etwa lesen systematisch Schwachstellen in einem einzelnen Computer aus mit dem Ziel, Viren oder Trojaner in das System einzuschleusen. Um diesen möglichst wenig Angriffsfläche zu bieten, sollten vor allem Browser, Mailprogramme und Betriebssystem immer auf dem neuesten Sicherheitsstand sein.
Bekannt sind auch sogenannte Denial-of-Service-Exploits, bei denen versucht wird, eine Webseite so zu überlasten, dass sie den Dienst verweigert (denial). Andere Exploits richten sich gegen Datenbanken und Programme, mit denen sich Internetseiten kreieren lassen.
© Neues vom PCDOKTOR.de – 23. März 2016 – Frankfurt am Main–Nordend