Ransomware - wenn der Rechner verschlüsselt ist

Da wir ständig online unterwegs sind, lauern im Internet diverse Gefahren, welchen es zu begegnen gilt. Der TCS möchte aktiv mithelfen diese Gefahren und Risiken zu bekämpfen und ist darum Mitglied der SISA Swiss Internet Security Alliance geworden.

Das Geschäft mit digitaler Erpressung boomt. Ransomware – ein Wortmix aus «Ransom» = Lösegeld und «ware» von Malware, also bösartige Software, boomt. Es vergeht fast kein Tag, an dem in der aktuellen Tagespresse nicht darüber berichtet wird. Dort liest man von Unternehmen, Spitälern, Organisationen – doch wie schaut das Thema im privaten Umfeld aus? Sind Privatpersonen auch von Ransomware betroffen?

Wenn ein Computer oder ein Netzwerk mit Ransomware infiziert wurde, blockiert diese den Zugang zum System (Locker-Ransomware) oder verschlüsselt dessen Daten (Crypto-Ransomware). Cyberkriminelle verlangen anschliessend von ihren Opfern Lösegeld, um die Daten wieder freizugeben. Dieser Betrag soll meist in einer Kryptowährung, zum Beispiel Bitcoin, bezahlt werden. Der Kontakt verläuft dabei normalerweise über das Darknet. 

«Die neue Generation» von Ransomware-Akteuren lassen sich weder auf Rabatte, noch auf langwierige Verhandlungen ein. Konkret bedeutet dies, dass sie mit der Verschlüsselung der Daten eine Frist zur Lösegeldzahlung nennen. Wird die Lösegeldforderung nicht erfüllt, werden vertrauliche Daten direkt veröffentlicht oder zerstört.

Die Malware können Sie beispielsweise über einen Anhang in einer E-Mail, einen Dateidownload oder mit einer «gefälschten» Webseite eines seriösen Anbieters empfangen. 

Sobald die Malware auf Ihrem Gerät ist, haben Sie keinen Zugriff mehr, und können Ihre Daten auch nicht selbst entschlüsseln. Unter Umständen wird Ihr Bildschirm schlagartig schwarz und Ihr Gerät reagiert nicht mehr auf Eingaben über Maus und Tastatur. Anschliessend erscheint ein bedrohlich geschriebener Text der Täterschaft, in dem sie mit der Löschung oder Weitergabe aller Daten auf dem Computer drohen. In der Regel enthält der Text folgende Merkmale:

• Ein Countdown, Ladebalken oder Datum zeigt Ihnen an, wie viel Zeit Ihnen angeblich bleibt. Dies soll die Dringlichkeit unterstreichen und Sie unter Druck setzen.
• Sie werden aufgefordert, Bitcoins zu kaufen und an einen angegebenen Account zu überweisen.
• Die einzige Handlungsmöglichkeit, die Ihnen gelassen wird, ist in der Regel der Zugang zu einem Marktplatz für Kryptowährungen, auf dem das Lösegeld erworben und online an die Täterschaft verschickt werden soll. Letztere nutzt dieses Zahlungsmittel, da sich der Zahlungsverkehr verschleiern lässt und es der Strafverfolgungsbehörde erschwert, die Transaktionen zurückzuverfolgen.

Damit Sie gar nicht erst in die Situation kommen, Ransomware von Ihrem Rechner entfernen zu müssen, sollten Sie vorsichtig mit unbekannten Dateien umgehen.

• Erstellen Sie regelmässig eine Sicherungskopie (Backup) Ihrer Daten. Die Sicherungskopie sollte offline, das heisst auf einem externen Medium wie Beispielsweise einer externen Festplatte gespeichert werden. Stellen Sie sicher, dass Sie das Medium, auf welche Sie die Sicherungskopie erstellen, nach dem Backup-Vorgang vom Computer trennen. Ansonsten werden bei einem Befall durch Ransomware möglicherweise auch die Daten auf dem Backup-Medium verschlüsselt und unbrauchbar.
• Seien Sie vorsichtig im Umgang mit E-Mails.
• Schliessen Sie niemals USB Sticks aus unbekannten Quellen an ihre Geräte an. Täter legen teilweise gezielt präparierte USB Sticks und sogar USB-Ladekabel (sogenannte OMG-Kabel) aus, um so vermeintlich glückliche Finder in die Falle zu locken.
• Halten Sie Ihre Programme und das Betriebssystem aktuell. Das regelmässige Aktualisieren von Programmen und Betriebssystemen hilft, Sie vor Malware zu schützen.
• Verwenden Sie ausschliesslich bekannte Downloadquellen. Laden Sie niemals Software oder Mediendateien von unbekannten Seiten herunter. Auch bei einem Download auf Ihrem Mobile Device ist Vorsicht geboten. Vertrauen Sie dabei auf den Google Play Store oder den Apple App Store abhängig von Ihrem Endgerät.

Bei einem Ransomware-Befall sollten Sie den Computer sofort vom Internet und allen angehängten Speichermedien trennen, um weiteren Schaden zu verhindern. In den meisten Fällen von Malware empfiehlt es sich, die Festplatte zu formatieren und den Rechner von Grund auf neu einzurichten und die Sicherungskopie (Backup) einzuspeisen.

Melden Sie den Cybervorfall dem Nationalen Zentrum für Cybersicherheit NCSC.

Zahlen Sie niemals Lösegeld! Auch wenn viele Privatpersonen und Unternehmen versucht sind, das Lösegeld zu zahlen, um die Kontrolle über ihre Systeme zurückzuerhalten, sollte dies nur das Äusserste Mittel sein, und zwar in Absprache mit der Polizei. Mit einer Lösegeldzahlung animieren Sie die Erpresser und machen sich interessant für weitere Angriffe.