Was ist Ransomware?

Der Begriff Ransomware kann ziemlich kompliziert sein. Nicht nur weil diese Art der Schadsoftware extrem komplex ist, sondern auch weil sehr viele Begriffe existieren. Du hast noch nie von Ransomware gehört, kennst aber Erpressungstrojaner, Verschlüsselungstrojaner, Kryptotrojaner oder Cryptolocker? Dann bist du hier genau richtig. Unsere Akademie ist da, um dir alle Fragen rund um Ransomware und Verschlüsselungstrojaner zu erklären. Wie immer so einfach wie möglich und so technisch wie nötig.

Die technischen Details von Ransomware

Die Grundlagen

Das englische Wort ‚ransom’ bedeutet auf Deutsch Lösegeld. Dadurch wird auch sofort klar, worum es bei dieser Art der Schadsoftware geht: sie soll Geld vom ‚infizierten’ Nutzer erpressen. Der Vorgang an sich ist ziemlich einfach: dein Gerät wird von der Software befallen, diese verschlüsselt alle deine Daten und fordert über eine Meldung einen (Löse)geldbetrag. Wenn du zahlst erhältst du einen virtuellen Schlüssel, meist in Form eines Zahlencodes, mit den du dein Gerät wieder entschlüsseln kannst.
Aber was steckt für eine Technik hinter diesem recht einfach klingenden Prozess?

Wenn ein Erpressungstrojaner deinen Computer infiziert hat übernimmt das Programm die Kontrolle über deinen Computer. Es beginnt sofort zu arbeiten und fordert als erstes ein Lösegeld, das gezahlt werden soll um das System zu befreien. Der geforderte Betrag variiert je nach Art der Ransomware. Meist sind es 500€, die in der Internetwährung Bitcoin gezahlt werden sollen. Zusätzlich zur eigentlichen Lösegeldforderung wird ein Zeitfenster von 72 Stunden gesetzt, in dem das Geld gezahlt werden muss. Wird das Geld nicht innerhalb dieser Zeit gezahlt, riskiert der Erpresste eine noch höhere Zahlung leisten zu müssen. Häufig wird dann auch mit dem Löschen jeglicher relevanten Daten gedroht. Bevor wir jedoch an dieser Stelle schon tief in die dunkle Welt der Ransomware eintauchen, schauen wir uns doch kurz die Geschichte dieser Erpressungssoftware an. Wer hat die ersten programmiert? Und wie haben sie sich verbreitet?

Ein Blick in die Vergangenheit

Erstmals als Ransomware benannt wurde der AIDS Trojaner, welcher in den USA auftauchte. Diese frühe Erpressungssoftware funktionierte noch etwas anders als die heutigen Versionen. Wie heute wurden die Dateien des Opfers verschlüsselt. Anschließend daran wurde eine Meldung eingeblendet, die den Nutzer über das Ablaufen einer Software-Lizenz informierte und eine Zahlung von 189$ an die "PC Cyborg Corporation" verlangte. Eine direkte Erpressungsmeldung erschient damals noch nicht auf dem Bildschirm der Nutzer. Ab 2005 nahm die Produktion und Verbreitung von Ransomware im Internet zu, insbesondere in Russland. 2013 belebte das Herausbringen des berühmten Kryptotrojaners "CrytoLocker" die Fantasie und Innovationskraft von Internetkriminellen, da nun erstmals eine Zahlung mittels der nicht nachverfolgbaren Internetwährung Bitcoin gefordert wurde. Diese Zahlungsmethode erwies sich sehr profitabel, geschätzte 27 Millionen Dollar verdienten die Kriminellen hinter CryptoLocker. Der Erfolg von CryptoLocker ebnete auch den Weg dafür, dass Erpressungstrojaner heute eine wichtige kriminelle Einkommensquelle sind.

Wie funktioniert Ransomware?

Wenn ein Erpressungstrojaner dein System über eine der üblichen Verbreitungsmethoden befällt (Mailanhang bzw. Download, bösartiger Link), gibt es in der Regel zwei Möglichkeiten, um dein System außer Gefecht zu setzen. Bei ersterer schließt die Ransomware deinen Computerbildschirm ab, indem sie ein großes Erpressungsbild anzeigt. Dadurch wird dein PC oder Laptop unzugänglich, außer du zahlst das Lösegeld. Wenn das Geld bezahlt wurde sind die Kriminellen angehalten ihren Teil der Vereinbarung einzuhalten, das Sperrbild von deinem Computer zu nehmen, dir wieder Zugang zum System zu geben und die Ransomware von deiner Festplatte und aus deinen Downloads zu löschen. Die zweite Möglichkeit besteht darin, dass die Ransomware deine Dateien, Prozessoren, Festplatten und sogar Anwendungen auf deinem Rechner wie deine iCloud umfangreich verschlüsselt. Auch in diesem Fall kannst du auf deinen Computer nicht zugreifen ohne das Lösegeld zu bezahlen. Da die betroffenen Dateien durch die Ransomware verschlüsselt wurden, ist es in der Regel unmöglich festzustellen wie die ursprünglichen Dateinamen lauteten. Deswegen ist es extrem schwer herauszufinden, welche Daten verloren, verschlüsselt oder verändert wurden. Um ihren ‚Kunden’ zu beweisen, dass sie wirklich in der Lage sind alle Daten zu entschlüsseln gibt es normalerweise von Erpresserseite die Möglichkeit eine Testdatei entschlüsseln zu lassen. Es ist trotzdem wichtig festzuhalten, dass eine Zahlung des geforderten Lösegeldes keine 100% Garantie dafür ist, dass alle Dateien des befallenen Systems wiederhergestellt werden.

Ransomware und Verschlüsselung. Wie passt das zusammen?

Eine genauere Betrachtung

Die oben erwähnte zweite Methode ist heute üblicher, etwa 95% der Angriffe von Ransomware im Jahr 2015 erfolgten auf diese Art und Weise. Dies zeigt, dass der ‚alte’ Sperrbildschirm heute kaum noch relevant für Internetkriminelle ist. Dies liegt erstens daran, dass die komplette Verschlüsselung des Systems es dem Opfer unmöglich macht an seine Daten zu gelangen und zweitens, dass die Kriminellen über diese Art der Erpressung zunehmend Unternehmen ins Visier nehmen können. Diese sind eher zur Zahlung des Lösegeldes bereit sind als Privatanwender. Wenn sich ein Kryptotrojaner Zugang zu deinem System verschafft hat und deine Dateien verschlüsselt, können zwei Verschlüsselungsverfahren zum Zuge kommen: RSA oder AES Verschlüsselung. Der Unterschied zwischen diesen beiden Verfahren bzw. Algorithmen ist essentiell um komplett zu verstehen, wie Ransomware genau funktioniert.

RSA, AES, klingt technisch! Wieso ist das überhaupt relevant?

Beim RSA-Verfahren handelt es sich um ein asymetrisches kryptografisches Verfahren. Dies bedeutet, dass zur Verschlüsselung ein anderer Schlüssel als zur Entschlüsselung verwendet wird. Beim Schlüssel zum Verschlüsseln handelt es sich um einen sogenannten öffentlichen Schlüssel. Der zur Entschlüsselung ist der private Schlüssel. Es ist also immer ein Schlüsselpaar zum Ver- und Entschlüsseln. Wenn dein Gerät mit RSA verschlüsselt wurde, bekommst du nach Zahlung des Lösegeldbetrags in der Regel den (privaten) Schlüssel mit dem du deinen Computer wieder entsperren kannst, um Zugang zu deinen Daten zu erhalten. Wird allerdings mit AES verschlüsselt verhält es sich ein bisschen anders. Bei diesem Verschlüsselungsverfahren wird ein und derselbe ‚Schlüssel’ benutzt um Dateien ab- und aufzuschließen. Meistens nutzen die heutigen Cyberkriminellen zunächst das AES-Verfahren um alle Dateien zu verschlüsseln, und als extra Herausforderung haben sich die schlauen Kerle aus dem Darknet eine extra Hürde einfallen lassen. Sie verschlüsseln nämlich den AES Schlüssel mit einem öffentlichen RSA Schlüssel. Was das für dich bedeutet? Du müsstest zunächst die RSA Verschlüsselung knacken bzw. den passenden privaten Schlüssel zum öffentlichen Schlüssel haben um auf den AES Schlüssel überhaupt zugreifen zu können. Diesen müsstest du dann ebenfalls entschlüsseln. Klingt unmöglich und super kompliziert? Ist es auch! Zumindest für den normalen Internetnutzer, der in seiner Freizeit keine Verschlüsselungsalgorythmen knackt. Auch wenn es unglaublich klingt, so ist genau das auch schon gelungen und ein Verschlüsselungs-Trojaner wurde entschlüsselt.
Wenn du jetzt ein bisschen überfordert bist, ob der Unmenge an Informationen und Schlüsseln und dir denkst: "Das ist wirklich zu kompliziert. Ich zahl einfach das Geld!", können und wollen wir dazu nicht raten. Erstens gibt es keine Garantie dafür, dass dies deine Daten entschlüsselt und unbeschadet wieder frei gibt und zweitens sendest du damit ein Zeichen an all die Interkriminellen dieser Erde: eure Arbeit und Erpressungsmechanismen funktionieren! Warum sollten sie damit aufhören, wenn es doch ein so unglaublich lohnendes Geschäft ist?

Verschlüsselt Ransomware alle meine Dateien?

Bestimmt willst du gerne wissen welche Dateien verschlüsselt werden und ob deine gesamten Daten betroffen sind. Die Antwort auf diese Frage ist nicht ganz einfach, denn es kommt darauf an. Ransomware hat normalerweise eine Liste mit Dateiendungen auf welche zugegriffen wird. Beispielsweise könnte diese Liste bestimmen, dass jegliche Dateien mit den Endungen .doc, .docx, .txt und .exe verschlüsselt werden sollen. Damit die Ransomware all diese Dateien findet ist sie so programmiert, verschiedenen Pfaden innerhalb deines Computers zu folgen, um dann alle relevanten Dateien mit den betreffenden Endungen zu finden.

Besonders kritisch wird es in der Regel, wenn nicht nur persönliche Dokumente betroffen sind, sondern auch wichtige Programme, die dafür sorgen, dass der Computer einwandfrei läuft. So oder so, das Resultat ist dasselbe, denn die Lösegeldforderung wird in beiden Fällen erfolgen. Trotzdem gibt es einen kleinen aber nicht unwichtigen Unterschied: wenn nur deine persönlichen Dateien verschlüsselt wurden, werden "nur" diese verloren sein, wenn der Countdown zur Zahlung abgelaufen ist. Sind auch Systemdateien betroffen und du hast das Lösegeld nicht gezahlt, kann es unter Umständen passieren, dass dein gesamtes System unbrauchbar wird. Was das im schlimmsten Fall bedeuten kann? All deine Daten sind weg und vermutlich musst du sogar einen neuen Computer kaufen.

Berühmte Ransomware

Ein paar "große" Namen

Nachdem nun alle super komplizierten Verschlüsselungsmechanismen hoffentlich etwas klarer sind, wollen wir eine kurze Übersicht über die "Übeltäter" von damals und heute geben.

  • Police Ransom | a.k.a. "FBI Virus"
  • CryptoLocker | a.k.a "Crypto Virus"
  • TorrentLocker
  • CryptoWall
  • Locky
  • TeslaCrypt
  • Petya

Eine Besonderheit von Ransomware ist, dass viele Typen sich mit der Zeit weiterentwickeln und eine digitale Evolution durchmachen. Für mehr Informationen zu den verschiedenen Arten von Ransomware, ihre Wege sich zu verbreiten und detailliertere Analysen empfehlen wir einen Blick in Sophos leicht verständlichen Report zu dem Thema zu werfen.

Noch ein letzter Ratschlag sich vor Ransomware zu schützen

Auch wenn wir es oben bereits einmal kurz angesprochen haben, wir raten dazu, wenn irgend möglich, niemals das geforderte Lösegeld zu zahlen. Der beste Schutz gegen Ransomware besteht darin, regelmäßige System Backups zu erstellen, deinen Computer regelmäßig auf Viren und Malware zu überprüfen und dir dessen bewusst zu sein, wessen und welche E-Mail Anhänge du öffnest und herunterlädst. Dasselbe gilt übrigens für Links, sowohl beim Surfen, als auch beim Öffnen aus einer E-Mail heraus. Indem du sicherstellst, dass du nur E-Mails, Anhänge sowie USB-Sticks öffnest, runterlädst und nutzt, die aus einer vertrauenswürdigen Quelle stammen, hast du bereits den ersten wichtigen Schritt in Richtung Ransomware-Schutz unternommen. Leider haben auch wir noch nicht das eine Patentrezept gefunden um niemals Opfer von Ransomware zu werden. Wenn du eines kennst, dann lass es uns gerne wissen! Wenn du trotz aller Sicherheitsmaßnahmen Ransomware auf einem deiner Geräte haben solltest, musst du aufgrund des üblichen Countdowns von 72 Stunden in jedem Fall schnell handeln. Normalerweise steigt das verlangte Lösegeld, je mehr Zeit vergeht und am Ende werden in der Regel deine Dateien und dein System dauerhaft verschlüsselt und somit für dich versperrt.

Wie gewohnt kann ZenMate ein gewisses Maß an Sicherheit bieten, da wir dich vor bösartiger Werbung mit unserer Web FireWall schützen. Zudem kannst du dafür sorgen, dass deine Online-Privatsphäre durch unsere VPN Produkte geschützt bleibt. Für jegliche Bedrohungen, sowie den Schutz vor Ransomware, beachte bitte die oben beschriebenen Tipps und bleib wachsam beim Surfen. Wie immer gilt: Nur wenn du alles über die heutigen Gefahren im Netz weißt, bist du auch in der Lage dich vor ihnen zu schützen.

Erzähl deinen Freunden davon!