Verschlüsselungstrojaner: Allgemeiner Überblick und Maßnahmen zum Schutz

Ransomware schleicht sich auf verschiedene Weise in Ihren Computer: Häufig über eine infizierte E-Mail oder einen Download auf einer unseriösen Website. Mit welchen Tipps Sie sich gegen Verschlüsselungstrojaner absichern können, erfahren Sie hier.

Vorhangschloss mit Einschussloch vor einem Microchip
Krypto-Trojaner.  Foto: Adobe Stock

Ransomware ist heimtückisch: Sie laden ein Dokument auf einer unseriösen Website herunter oder öffnen in einem unbedachten Moment den Anhang einer E-Mail zweifelhafter Herkunft. Der Verschlüsselungstrojaner, der sich dabei in Ihr Computersystem eingeschleust hat, kann mitunter über Wochen und Monate versteckt bleiben, ehe er bei einem koordinierten Angriff per Fernsteuerung zuschlägt. Solche Attacken können das Tagesgeschäft eines Unternehmens zum Stillstand bringen und dabei hohe finanzielle Schäden verursachen. Private Userinnen und User sind ebenfalls häufig Ziele derartiger Cyberangriffe, wobei hier der persönliche Wert der verschlüsselten Daten die Betroffenen oft zur Zahlung eines Lösegeldes motiviert.

Was ist Ransomware?

Ransomware ist ein spezialisierter Trojaner, der auch als Verschlüsselungstrojaner, Erpressungstrojaner oder Krypto-Trojaner bezeichnet wird. Das Schadprogramm verhindert den Zugriff auf Daten und Systeme, indem es diese verschlüsselt und unleserlich macht. Verschlüsselt werden können alle beschreibbaren Dateiformate. Für die Entschlüsselung wird von den Betroffenen meist die Zahlung eines Lösegeldes gefordert (auf Englisch: Ransom). Dabei richten sich die Lösegeldforderungen häufig nach den finanziellen Mitteln der Opfer – so kann der Betrag bei Privatpersonen ein paar Hundert Euro betragen, von großen Unternehmen werden in der Regel weitaus höhere Summen gefordert.

Bekannte Verschlüsselungstrojaner sind etwa Locky, Crysis, Cerber2021, CTB-Locker, GoldenEye oder LockerGoga. Die meisten Ransomware-Abkömmlinge sind zwar auf Windows-Geräte spezialisiert, jedoch können auch Computer mit anderen Betriebssystemen (Linux, MacOS) sowie Smartphones (iOS, Android) betroffen sein.

Ransomware-as-a-Service: Ein lukratives Geschäftsmodell

Der Verkauf von Verschlüsselungstrojanern hat sich mittlerweile zu einer Branche entwickelt: Gegen ein Entgelt stellen die Autorinnen und Autoren ihre Krypto-Trojaner anderen Cyberkriminellen zur Verfügung („Ransomware-as-a-Service“, RaaS). Die Anbieterinnen und Anbieter stehen in einem harten Wettbewerb untereinander, weshalb die Verschlüsselungsprogramme laufend optimiert werden. Die Professionalisierung im Cybercrime-Bereich hat in den letzten Jahren zu einem deutlichen Anstieg von Ransomware geführt.

Sicherheitsexpertinnen und -experten sind bemüht, Entschlüsselungstools zu entwickeln, mit denen sich bestimmte Schadcodes dechiffrieren und verschlüsselte Daten retten lassen. Die Daten können daher unter Umständen zu einem späteren Zeitpunkt wiederhergestellt werden.

Hinweis

Der E-Mail-Posteingang kann zum Einfallstor für Viren werden. Erfahren Sie mehr im Beitrag „Spam und E-Mail-Viren: Funktionsweise und Schutzmaßnahmen“.

Wie gelangen Verschlüsselungstrojaner auf den Computer?

Verschlüsselungstrojaner werden meist über Spam-E-Mails übertragen. Auch andere Übertragungswege wie Drive-by-Exploits (meist unbeabsichtigter Download auf einer infizierten Website) oder Hacking sind möglich. Angreiferinnen und Angreifer bedienen sich dabei häufig sogenannter Exploits-Kits (Baukästen für Malware), für deren Einsatz keine besonderen Kenntnisse der verwendeten Exploits erforderlich sind.

Hinweis

Vorsicht sollten Sie auch beim Herunterladen von Programmen walten lassen. Weitere Informationen finden Sie im Beitrag „Sicherer Download: So erkennt man den Software-Wolf im Schafspelz“. 

Präventive Maßnahmen gegen Verschlüsselungstrojaner

Drei Viertel aller Ransomware-Infektionen erfolgen über den Empfang von Spam-E-Mails. Es empfiehlt sich daher, das E-Mail-Konto abzusichern und unbekannte Absenderadressen kritisch zu prüfen. Darüber hinaus helfen folgende Maßnahmen, die Gefahr einer Infektion durch Erpressungstrojaner wesentlich zu reduzieren:

  • Antivirenprogramm verwenden. Eine solche Applikation kann bereits bekannte Schadprogramme mit hoher Zuverlässigkeit detektieren. Dies bietet jedoch keinen vollumfänglichen Schutz gegen Ransomware. Aktivieren Sie zudem die Firewall Ihres Betriebssystems.
  • Programme aktualisieren. Halten Sie Betriebssystem, Browser und Software auf dem neuesten Stand. Die vom jeweiligen Hersteller bereitgestellten Updates sorgen dafür, dass bekannte Sicherheitslücken geschlossen werden.
  • E-Mail-Account absichern. Zu den grundlegenden technischen Schutzmaßnahmen gehört ein aktiver Spamfilter für den E-Mail-Empfang. Potenziell gefährliche E-Mails können dadurch aus dem Verkehr gezogen werden, bevor sie im Postfach landen. Deaktivieren Sie außerdem die Anzeige externer Inhalte (Bilder, Stylesheets) in Ihren E-Mails. Mit ihnen könnten auch versteckte Schadprogramme automatisch geladen werden.
  • Browser absichern. Aktualisieren Sie Ihren Browser und installieren Sie einen Werbeblocker, der Sie vor unerwünschten Inhalten auf Websites schützt. Um die Sicherheit zu erhöhen, können Sie Ihren Browser in den Einstellungen absichern und zum Schutz Ihrer Privatsphäre individuell konfigurieren.  
  • Standardkonto verwenden. Für den täglichen PC-Gebrauch genügt in der Regel ein Standard-Benutzerkonto mit Basisrechten. Falls Sie stattdessen mit Ihrem Administratorenkonto eingeloggt sind, hat das Schadprogramm nach erfolgter Infektion uneingeschränkten Zugriff auf Ihr System. Mit entsprechendem Kontomanagement können Sie sich vor einer Vielzahl von Cyberbedrohungen schützen.
  • Benutzerkontensteuerung aktivieren. Durch diese Funktion muss jede Änderung der Windows-Konfiguration von der Userin oder dem User zunächst bestätigt werden. Weiterführende Informationen finden Sie hier: Sicherheitseinstellungen für Windows 10.
  • Vorsicht ist besser als Nachsicht. Achten Sie darauf, welche E-Mails und E-Mail-Anhänge Sie anklicken. Ist die Herkunft einer Nachricht nicht mit Sicherheit bekannt oder gar verdächtig, sollten Sie über Umwege versuchen, die Identität der Absenderin oder des Absenders beziehungsweise die Glaubwürdigkeit des Inhalts zu überprüfen: Handelt es sich etwa vorgeblich um einen Online-Dienstleister, bei dem Sie als Kundin oder Kunde registriert sind, können Sie sich via Benutzerkonto informieren, ob Sie tatsächlich von diesem Anbieter kontaktiert wurden.
  • Datensicherung. Regelmäßige Back-ups können vor Datenverlust schützen. Um eine Infektion der Datensicherung zu vermeiden, sollten diese auf Datenträgern erfolgen, die außerhalb der Reichweite von Trojanern liegen, also nicht an den Computer angeschlossen sind. Verwenden Sie eine externe Festplatte oder einen USB-Stick und bewahren Sie die Datenträger an einem sicheren Ort auf. Welche weiteren Back-up-Methoden Ihnen zur Verfügung stehen, erfahren Sie in dem Artikel „Datenverlust vermeiden: Mit diesen Maßnahmen sichern Sie Daten“.

Tipp

Für weitere Tipps und Informationen lesen Sie den Beitrag „Erpressungstrojaner – Vorbeugende Maßnahmen“.

Tipps für Betroffene: Sofortmaßnahmen

Besteht der Verdacht einer Infektion, sollte das Gerät sofort abgeschaltet und vom Strom genommen werden. Dadurch verhindern Sie eine Ausbreitung des Schadprogramms. Durch den Systemabbruch ist es unter Umständen technisch nicht mehr möglich, den Forderungen der Kriminellen nachzukommen – Sicherheitsexpertinnen- und -experten raten aber ohnedies davon ab, Lösegeld zu bezahlen. Beachten Sie außerdem, dass auch angeschlossene Festplatten oder USB-Sticks infiziert sein können.

Falls es nicht zu einem vorzeitigen Abbruch gekommen ist, werden die Opfer in einer Textdatei oder auch per E-Mail angewiesen, eine bestimmte Adresse im Tor-Netz aufzurufen und dort den passenden Krypto-Schlüssel zur Dechiffrierung zu erwerben.

Betroffene sollten das Erpresserschreiben fotografieren und den Cyberangriff bei der Polizei anzeigen. Ferner wird empfohlen, die verschlüsselten Daten (in Form einer Sicherheitskopie vor Bereinigung des Systems) für den Fall aufzuheben, dass die Verschlüsselung zu einem späteren Zeitpunkt geknackt wird.

Tipp

Hilfreiche Tipps zur Schadensbegrenzung finden Sie auch in den Beiträgen „Datenrettung“ und „Schadsoftware entfernen“. 

Letzte Aktualisierung: 21. Oktober 2022

Für den Inhalt verantwortlich: A-SIT Zentrum für sichere Informationstechnologie – Austria