Geiselnahme auf Ihrem Rechner – Ransomware

Für jeden Betroffenen ist es gespenstisch, Teile des Rechners oder das ganze System sind nicht mehr zugänglich. Stattdessen kommen Meldungen, die uns Gänsehaut bescheren: Eine Polizeibehörde habe auf unserem Rechner ungesetzliches Material gefunden. Die Windows-Kopie sei illegal und müsse nun gekauft werden oder man habe grob gegen Urheberrechte verstoßen. Andere Meldungen sind „ehrlicher“ und offenbaren dem geschockten Leser, man habe seinen Rechner gekapert, die Dateien seien verschlüsselt und man erwarte nun umgehend eine Überweisung. Man ist Opfer von Ransomware (Ransom = Lösegeld) geworden.

Der Erpresser mit der Floppy-Disc

Was heute ein Massenphänomen ist, das selbst auf Handys grassiert und zwischen Windows und Android keine Unterschiede mehr macht, hatte schon 1989 einen bizarren Vorläufer. Der Biologe Dr. Joseph Popp verschickte damals 20.000 Disketten in die weite Welt, auf der sich gesammelte Daten über die damals noch neue Krankheit AIDS befinden sollten. Die Software war nicht kostenlos (zwischen 189 und 378 US-Dollar wurden verlangt), eine Installation war aber auch so möglich. Und wer installierte, erlebte sein blaues Wunder, denn die eigenen Dateien verschwanden unauffindbar, während der Drucker plötzlich ansprang und Zahlungsaufforderungen für eine Bank in Panama ausdruckte. Dr. Popp wurde gefasst, doch über 1000 Rechner waren Opfer seines Programms geworden. Und das war nur der Anfang.

Computer-Napping auf dem Vormarsch

Während im Frühjahr selbst in den Nachrichten zur besten Sendezeit über die Ransomware „Locky“ berichtet wurde, ist es mittlerweile recht still um dieses Thema geworden. Völlig unverständlich, denn weder Locky selbst (das anscheinend ein „Update“ zur Verschleierung bekommen hat), noch das Problem selbst sind aus der Welt. Es sind keine 5000 Infektionen mehr in der Stunde, was jedoch den Anwender, der vor einem verschlüsselten Rechner sitzt, kaum trösten dürfte. Zudem steigt die Anzahl der gekaperten Handys stark an, im Jahresvergleich um das Fünffache. 2015 und 2016 sind bislang die ganz großen Jahre der Ransomware, privat wie im Business-Bereich.

Eine ganz normale Infektion

Man kann sich Ransomware so schnell wie z.B. einen normalen Trojaner einfangen. Klassisch ist hier eine „Drive-by-Infektion“ (hier: Infektion beim Surfen auf einer speziell präparierten Seite), Links in Messenger- oder E-Mail-Nachrichten kommen ebenfalls zum Einsatz, wie auch in Facebook-Nachrichten. Dabei wissen auch die Ganoven, dass man bei einem „Bist Du das auf dem Bild? Peinlich!" schneller klickt, als man vielleicht mitdenken mag. USB-Sticks können ebenso befallen sein, wie auch Dateien aus möglicherweise „nicht so ganz legalen“ Quellen, z.B. Torrent-Netzwerken. Hat man dann keine Sicherheitslösung auf dem Rechner, die sofort die Gefahr erkennt, wird es brenzlig, auch wenn der Anwender zunächst noch gar nichts bemerkt.

Was passiert?

Gerne werden z.B. Schwachstellen im Flash Player, Java, Adobe Reader oder Silverlight ausgenutzt, um die Schadsoftware zu installieren. Ist dies geschafft, lädt das Programm oftmals Verschlüsselungsmodule über das Internet nach und eventuell auch aktuelle Informationen zur Bezahlung. Zum Teil werden sogar Sprachdateien nachgeladen, damit das Opfer die späteren Zahlungsbedingungen auch versteht. Dann beginnt das Programm, Daten zu verschlüsseln – und das leider sehr effektiv. Vor allem persönliche Daten werden mit bis zu 256-Bit-Schlüsseln gesichert, selbst für Behörden kaum zu knacken. Manche Software verschlüsselt auch gleich ganze Festplatten, der Anwender hat so gar keinen Zugriff mehr.

Sollte man zahlen?

Ist genügend Schaden angerichtet, bekommt der zumeist ahnungslose Anwender a) einen Schreck und b) eine Zahlungsaufforderung. Ein bestimmter Betrag solle in Bitcoins (kaum verfolgbare Internetwährung, Varianten sind Paysafecard oder Ukash) gezahlt werden, dann werde die Verschlüsselung rückgängig gemacht. Ob man zahlen sollte, ist umstritten. Einerseits würde man Verbrechern so geben, was sie verlangen, ein unschöner Gedanke. Andererseits hat leider allzu häufig auch eine Zahlung keinen Effekt, die Erpresser nehmen das Geld ohne Gegenleistung, alles bleibt verschlüsselt. Eine deutsche Behörde hat dennoch gezahlt (490 €) und das Glück, wieder Zugriff auf zumindest einen Teil ihrer Dateien zu haben. Wessen Leben nicht gerade von den Daten abhängt, sollte das Wagnis nicht eingehen. Einige Experten empfehlen, gleich Anzeige zu stellen, wenn die Erfolgsaussichten realistisch gesehen eher gering sind.

Was tun, wenn es zu spät ist?

Ich will ehrlich sein: Gegen ein bereits ausgeführtes (und sauber programmiertes) Schadprogramm ist kaum ein Kraut gewachsen. Wurden die Dateien schon sicher verschlüsselt, sind sie nicht mehr zu retten. Eine zarte Hoffnung: Kaspersky und Avira haben kostenlose Rettungs-CDs veröffentlicht, die bei manchen Varianten von Schadsoftware helfen. Mit einer Live-CD wie Knoppix können Sie bei einem Neustart auf jene Dateien haben, die noch nicht befallen sind. So können Sie auch Rechner starten, die sonst blockiert wären. Knoppix basiert auf Linux, ist umsonst und nicht sonderlich schwer zu bedienen. Für manche (vorwiegend schlecht programmierte) Ransomware gibt es auch Programme, die eine Entschlüsselung ermöglichen, wenn Sie Glück haben. Versuchen Sie über den „Erpressungstext“ herauszufinden, mit wem Sie es zu tun haben, vielleicht gibt es die wundersame Rettung. Ansonsten gibt es nur die schmerzhafteste aller Varianten: Neuinstallation oder, im Falle von Handies, das Zurücksetzen des Geräts auf die Werkseinstellungen.

Wie kann ich mich schützen?

Eigentlich wie bei allen anderen Schadprogrammen auch. Eine gute Sicherheitslösung (effektives Antivirus) sollte vorhanden sein. Ihr System sollte möglichst aktuell sein, damit altbekannte Schwachstellen (die Ransomware häufig ausnutzt) schon beseitigt sind. Seien Sie vorsichtig, wenn sie Mails oder Nachrichten von unbekannten Absendern bekommen und klicken Sie nicht auf enthaltene Links, auch wenn sie interessant klingen. Seien Sie besonders vorsichtig, wenn Sie Software von unbekannten Seiten herunterladen und installieren. Gibt es auf dubiosen Seiten tolle Programme unerwartet umsonst, kann es später doppelt teuer werden. Regelmäßige Backups helfen, damit persönliche Dateien nicht verloren gehen, dann ist selbst eine Neuinstallation zu verkraften. Alle Tipps gelten gleichermaßen für Handys und Tablets, die ebenso im Visier sind.