Gefahr durch Verschlüsselungsviren

In letzter Zeit werden immer häufiger Erpressungstrojaner, Kryptotrojaner oder Verschlüsselungstrojaner (Ramsonware) in Umlauf gebracht. Wenn diese aktiv werden, werden die Daten auf dem Computer verschlüsselt und für „Lösegeld“ der Code zum entschlüsseln versprochen. Eine Möglichkeit, ohne Kauf des Entschlüsselungscodes auf seine Daten wieder zugreifen zu können, gibt es bislang meist nicht.

Die Schadprogramme kommen per Email, mittels Computerwürmern, durch Ausnutzung von Sicherheitslücken in Webbrowsern oder über Datendienste wie Dropbox auf den PC.

So werden etwa E-Mails versandt, die vorgeben, eine im Anhang befindliche ZIP-Datei enthalte eine Rechnung oder einen Lieferschein über bestellte Ware. Alternativ wird in kruden Formulierungen, beispielsweise „Es ist die ungesetzliche Tätigkeit enthüllt!“, behauptet, das Bundeskriminalamt, die Bundespolizei, die GEMA oder Microsoft habe illegale Aktivitäten auf dem Computer festgestellt und diesen daraufhin gesperrt. Im schlimmsten Fall werden alle Daten verschlüsselt. Häufig handelt es sich um Fake-Emails von Paketdiensten (DHL, Post …), die einen Link enthalten, der zur Paketverfolgung führen soll, in Wirklichkeit aber die Installation des Schadprogramms auslöst.

Um wieder Zugriff auf die von der Ransomware verschlüsselten Daten zu erhalten, wird der geschädigte Benutzer von dem Eindringling aufgefordert, eine E-Mail an eine bestimmte E-Mail-Adresse zu senden, eine Webseite aufzurufen oder eine Formularmaske auszufüllen. In allen Fällen wird eine Software zur Entschlüsselung bzw. die Zusendung des benötigten Passworts versprochen, wofür zuvor eine Bezahlung erfolgen muss. Häufig drohen die Kriminellen, dass bei einer Kontaktaufnahme mit der Polizei sämtliche Daten vernichtet würden.

In einigen Fällen ist die Möglichkeit der Entschlüsselung der verschlüsselten Dateien von Seiten des Angreifers gar nicht vorgesehen, so dass diese Dateien unwiderruflich verloren sind, sofern keine Sicherheitskopie der verschlüsselten Dateien existiert.

Schutz und Gegenmaßnahmen

  • Wichtige Daten sollten in regelmäßigen Abständen auf externe Datenträger, wie beispielsweise CD-ROMs, DVDs oder externe Festplatten (die nur während der Sicherung angeschlossen werden dürfen!), gesichert werden, zu denen Ransomware keinen Zugriff erlangen kann. Eine solche Datensicherung schützt zugleich vor anderen Ursachen für Datenverluste wie beispielsweise Ausfall der Festplatten. Zwar können auch diese Vorkehrungsmaßnahmen keinen Schutz gegen eine Blockierung des Computersystems durch Ransomware bieten, ermöglichen es dem Betroffenen aber zumindest, die zuvor gesicherten Daten nach einer Neuinstallation des Systems wiederherzustellen.
  • Betrieb einer stets aktuell zu haltenden Anti-Viren-Software
  • Vermeiden der Anmeldung und Arbeit mit Administrator-Rechten
  • Laufende Aktualisierung des verwendeten Betriebssystems und Webbrowsers
  • Webbrowser können zudem durch Erweiterungen wie NoScript oder manuelle Einstellungen, bei denen die Ausführung von aktiven Inhalten wie JavaScript unterbunden wird, zusätzlich geschützt werden.
  • Webbrowser sollten mit Werbeblockern vor unnötig ausgeführten Scripts und anderen eingebundenen aktiven Inhalten geschützt werden. Viele Trojaner erreichen das System per Drive-By-Download ohne das Zutun des Benutzers.
  • Der Flash Player sollte deinstalliert werden. Er wird heute in den meisten Fällen nicht mehr benötigt, da die meisten Webseiten ihre Inhalte per HTML5 wiedergeben können.
  • E-Mail-Anhängen sollte grundsätzlich Misstrauen entgegengebracht werden. Dies gilt für bekannte und unbekannte Absender, da die Absenderadresse gefälscht werden kann. E-Mail-Anhänge sollten nur geöffnet werden, wenn die Kombination aus Absender und Inhalt ein sehr hohes Maß an Plausibilität innehat, beispielsweise also erwartet wurde.
    Verdächtige Emails sollen gar nicht geöffnet werden, keinesfalls aber Links in der Email angeklickt werden.

Der letzte Punkt (E-Mail-Anhänge) ist in der Schule unbedingt zu beachten. Die anderen obliegen der EDV-Betreuung.

Fake-Email

Beispiel einer geöffneten Email, die vermutlich zur Installation von Schadsoftware führt. Der Absender zeigt, dass die Email nicht von der österreichischen Post stammt. Die Schaltfläche zur Paketverfolgung heißt in den echten Emails der Post nicht „herunterladen“.

Die Absender-Emailadresse ist ev. auch schon ersichtlich, wenn man in der Auflistung der Emails mit der Maus drüberfährt, sodass die Email nicht geöffnet werden muss.

M. Teier, L. Ertl