Ransomware: Erpressung per Lösegeld-Trojaner

Immer mehr Internetnutzer und Firmen werden Opfer von Ransomware – also eines Erpressungs- oder Lösegeld-Trojaners. Diese Schadprogramme sperren auf dem Computer Dateien, Ordner, oder gleich die ganze Festplatte und fordern für die Freigabe Geld – etwa per Ukash oder Paysafecard. Lesen Sie hier, was Sie über Ransomware wissen müssen und wie Sie sich dagegen schützen können.

Ransomware, auch Lösegeld-Trojaner genannt, erpresst von Computerbesitzern Geld. Symbolbild: Fotolia

Der Begriff Ransomware kommt aus dem Englischen, Ransom ist das Wort für Lösegeld. Und tatsächlich ist ein Angriff mit Ransomware nichts anderes als Erpressung über das Internet.

Das Prinzip: Die Täter schleusen ein Schadprogramm – meist als getarnter Mail-Anhang, als Datei beim Filesharing, per Facebook-Link, oder über infizierte Webseiten – auf den Computer ihres Opfers. Dieses Programm verschlüsselt umgehend bestimmte Dateien, Ordner oder sogar die ganze Festplatte und stellt dem Nutzer dann per Bildschirmanzeige ein Ultimatum: Entweder, er zahlt Geld – oder seine Daten bleiben verschlüsselt und sind damit unbrauchbar.

Die Bezahlung des Lösegelds soll dann per anonymer Überweisung ins Ausland geschehen, etwa mit den Zahlungssystemen Ukash oder Paysafecard. Die Täter versprechen, im Gegenzug die gesperrten Dateien wieder freizugeben, beziehungsweise ein Passwort für die Freigabe zu verschicken.

Die Zahl der Angriffe per Lösegeld-Trojaner ist in den vergangenen Jahren rasant gestiegen. „Seit Mitte September 2015 hat sich die Bedrohungslage durch Ransomware deutlich verschärft“, meldet auch das Bundesamt für Sicherheit in der Informationstechnik (BSI)

Drei Beispiele:

BKA-Trojaner und Bundespolizei-Trojaner

Der sogenannte BKA- oder Bundespolizei-Trojaner fordert das Opfer auf, per Ukash Lösegeld zu zahlen. Bild: Polizei Hagen

Beim sogenannten BKA-Trojaner oder Bundespolizei-Trojaner wurde Opfern vorgegaukelt, eine offizielle Polizeibehörde habe den Computer über das Internet verschlüsselt. Auf dem Rechner sei ungesetzliches Material wie Kinderpornografie oder Gewalt gegen Kinder entdeckt worden, hieß es. In vielen Fällen lautete die Bildschirm-Meldung „Die offizielle Mitteilung des Bundeskriminalamtes“ oder auch oder „Es ist die ungesetzliche Tätigkeit enthüllt!“. Um den betroffenen Rechner wieder freischalten zu können, sollte der Betroffene einen Ukash- oder Paysafe-Code im Wert von 100, 200 oder 500 Euro kaufen und in ein dafür vorgesehenes Feld einzutragen oder an eine E-Mail-Adresse zu senden. Zugleich wurde damit gedroht, dass die gesamte Festplatte formatiert werde, sollte die geforderte Zahlung nicht innerhalb von 24 Stunden erfolgen. War der betroffene Rechner mit dem Internet verbunden, erschienen im Nachrichtenfenster Angaben zu der momentan genutzten IP-Adresse, dem Internetserviceprovider sowie dem ungefähren Standort.

Ransomware „Illegale Windows-Kopie“

Der Trojaner mit dem Namen Ransom.AN tarnte sich als Microsoft-Meldung und teilte dem Benutzer mit, dass seine Windows-Kopie illegal sei. „Die Echtheit Ihrer Windows-Kopie wurde automatisch überprüft und nicht bestätigt. Ihnen wurde die folgende Identifikationsnummer 54367 verliehen. Es ist erforderlich, eine Windows-Lizenz aktivieren zu lassen. Dafür haben Sie 100 Euro an Microsoft zu zahlen“, hieß es in der Bildschirm-Meldung, die betroffene Computerbesitzer zu sehen bekamen. Opfer sollten dann eine Paysafecard oder Ukash-Karte im Wert von 100 Euro kaufen und den Code der Karte auf einer bestimmten Internetseite eingeben. Diese sah aus, als sei sie von Windows bereitgestellt, tatsächlich handelte es sich um eine Fälschung.

Ransomware „Gema-Trojaner“

Der Gema-Trojaner tauchte erstmals im Herbst 2011 auf. Das Schadprogramm gab vor, von der deutschen Verwertungsgesellschaft Gema zu stammen. Angeblich hätte der betroffene Internetnutzer gegen das Urheberrecht verstoßen, hieß es in der Bildschirm-Mitteilung. Es seien urheberrechtlich geschützte Musikstücke auf dem Rechner gefunden und verschlüsselt worden. Zugriff auf Rechner und Dateien gebe es nur, wenn man Ukash-Voucher im Wert von 50 Euro kaufe und die Nummer über die eingeblendete Bildschirmtastatur eingibt. Eine Mailadresse war nicht angegeben.

Das sollten Sie über Ransomware wissen

Wie kommt ein Lösegeld-Trojaner auf meinen Computer?

Eine Infizierung kann in Form einer sogenannten „Drive-by-Infektion“ erfolgen. Dabei reicht es aus, mit einem nicht genügend geschützten Rechner eine manipulierte Webseite aufzurufen. Infektionen über manipulierte Dateien, etwa in eMail-Anhängen oder über Links im Facebook-Chat oder bei WhatsApp, sind ebenfalls möglich. Zunehmend wird Ransomware auch über Links in Facebook-Nachrichten verbreitet. Dabei werden die potenziellen Opfer über Lügen (OMG – Total krasses Video“) oder Fragen („Bist du das auf dem Bild?“) dazu gebracht, sich die Schadprogramme auf den Rechner zu laden und zu aktivieren.

Gibt es Schutz vor Ransomware?

Um die Gefahr einer Infektion durch Lösegeld-Trojaner zu minimieren, sollten Sie Folgendes beachten:

Halten Sie Ihr Computersystem und alle installierten Programme immer aktuell. Schalten Sie bei Windows die automatische Update-Funktion ein.
MAchen Sie regelmäßig Backups Ihres Computers und Ihrer wichtigsten Daten. Wenn Ihr Computer verschlüsselt wurde, sind Ihre Daten so wenigstens in Sicherheit.
Benutzen Sie eine Anti-Viren-Software und aktualisieren sie auch diese regelmäßig.
Scannen Sie Ihren Rechner regelmäßig auf Schadsoftware, etwa mit Spybot Search&Destroy oder Emsisoft Anti-Malware
Öffnen Sie keine Anhänge in E-Mails von unbekannten Absendern oder bei Nachrichten, die Ihnen merkwürdig vorkommen
Folgen Sie keinen Links in E-Mails von unbekannten Absendern oder bei dubios erscheinenden Nachrichten
Seien Sie misstrauisch bei Facebook- oder WhatsApp-Nachrichten, die erschreckende oder sexuelle Inhalte versprechen

Was tun bei einer Infektion mit einem Lösegeld-Trojaner?

Zahlen Sie auf keinen Fall den geforderten Betrag. Selbst wenn Sie zahlen, wird Ihr Rechner nicht freigeschaltet. Zudem handelt es sich um einen Erpressungsversuch.
Sichern Sie die angezeigte Meldung fotografisch und erstatten Sie Anzeige bei ihrer örtlichen Polizeidienststelle. Eine Sicherstellung ihres Rechners ist nicht erforderlich und dieser kann nach der Anzeigenerstattung umgehend bereinigt werden.

So reinigen Sie einen mit Ransomware infizierten Computer

Vorab die schlechte Nachricht: Nicht jeder verseuchte Computer lässt sich reinigen. Zudem ist die Wiederherstellung des Rechners oft mit einem Datenverlust verbunden. Gerade Laien sollten deshalb im Ernstfall fachkundigen Rat einholen, ehe Sie sich an die Reparatur des PC machen. Nach einem Befall durch einen Lösegeld-Trojaner sind folgende Schritte möglich:

Per Rettungs-CD: Der Antiviren-Spezialist Kaspersky stellt kostenlos die „Kaspersky Rescue CD“ zum Download bereit (hier die Anleitung dazu im pdf-Format). Auch der deutsche Schutzprogramm-Hersteller Avira hat eine Rettungs-CD namens „DE-Cleaner Rettungssystem CD“ entwickelt, die kostenlos verfügbar ist. Die CD funktinieert jedoch nicht bei allen Varianten der Schadsoftware.
Per Systemwiederherstellung: Drücken Sie beim Hochfahren des Rechners kurz vor Erscheinen des Windows-Logos die „F8“-Taste. Starten Sie Windows dann im „Abgesicherten Modus“. Sollte Windows erfolgreich hochgefahren sein, erreichen Sie über Start > Programme > Zubehör > Systemprogramme die Systemwiederherstellung. Wählen Sie dort einen Wiederherstellungspunkt, der vor dem Infektionsdatum liegt. Meist wird diese Art der Wiederherstellung jedoch leider keinen Erfolg bringen.
Per Live-CD: Der Start des Computers ist auch über eine Live-CD möglich, etwa mit dem kostenlosen „Knoppix“. Damit lassen sich zumindest alle persönlichen Daten auf eine externe Festplatte oder einen USB-Stick sichern, sollte der Computer komplett neu aufgesetzt werden müssen.

Wo gibt es weitere Informationen zum Thema Ransomware?

Über Ransomware und Lösegeld-Trojaner informieren unter anderem das Anti-Botnetzentrum des eco-Verbands, der Antiviren-Hersteller Emsisoft, und die Wikipedia.