So schützen Sie sich vor Erpresserviren

Kaum eine Bedrohung ist aktuell für PC-Nutzer so akut und gefährlich wie Erpresserviren. Das Unternehmen Kaspersky hat ermittelt, dass die Zahl dieser Viren im Jahr 2016 um 30 Prozent gestiegen ist. Besonders populär ist zum Beispiel das Virus Locky, das im vergangenen Jahr in der Spitze 5.000 Rechner pro Stunde infizierte und deren Daten verschlüsselte. Ähnlich bekannt ist das Erpresservirus Petya. Dieses ist in der Lage, den Master Boot Record zu überschreiben. Hierdurch verlieren Nutzer jeglichen Zugriff auf ihre Festplatte. Andere Erpresserviren wie CryptoWall oder TeslaCrypt verfolgen andere Strategien: Sie verschlüsseln direkt besonders relevante Daten auf einem PC. Die Entwickler solcher Viren haben nicht nur Freude am Zerstören, sondern fordern von den Betroffenen Lösegeld für die Rückgabe ihrer Daten. Im Folgenden haben wir viele nützliche Informationen zum Thema Erpresserviren für Sie zusammengestellt und erläutern Ihnen, wie Sie im Ernstfall richtig mit diesen Schädlingen umgehen.

Immer bestens geschützt sind Sie mit Avira Antivirus Pro - jetzt informieren

Was sind Erpresserviren?

Bei Erpresserviren, auch Ransomware genannt, handelt es sich um Schadsoftware, die persönliche Daten sperrt und für die Freigabe ein Lösegeld verlangt. Hierbei muss zwischen mehreren Arten von Erpresserviren unterschieden werden. Die sogenannten Desktop-Locker verhindern, dass sich die Nutzer bei Windows einloggen können. Diese seit vielen Jahren gängigen Schädlinge arbeiten mit einem effizienten Trick: Sie geben vor, vom Bundeskriminalamt (BKA) zu stammen. Die Entwickler solcher Erpresserviren teilen mit, dass sie auf dem Rechner illegale Inhalte gefunden und gesperrt hätten. Andere Vertreter behaupten, von Microsoft entwickelt worden zu sein, um illegale Inhalte aufzuspüren und zu blockieren. In den letzten Jahren hat die Zahl an Desktop-Lockern jedoch abgenommen, weil die Kriminellen eine effizientere Art der Lösegelderpressung entwickelt haben: Verschlüsselungstrojaner.

Lösegeld oder Löschung der Daten

Für die Freigabe der Inhalte verlangen die Betrüger ein Lösegeld. In der Regel werden nur Bitcoins und paysafecards als Lösegeld akzeptiert, da bei deren Zahlung die Anonymität des Erpressers gewährleistet ist. Häufig setzen die Kriminellen ihre Opfer massiv unter Druck, indem sie ein Ultimatum setzen, bis zu dem das Lösegeld gezahlt sein muss. Erfolgt bis zu einem bestimmten Termin keine Zahlung, verdoppelt sich die Höhe des Betrages. Wird dann immer noch nicht gezahlt, werden die Daten zerstört. Leider handelt es sich dabei meist um keine leere Drohung.

Erpresserviren auf Windows- und Apple-PCs

Betroffen von solchen Erpresserviren sind nicht nur Privatpersonen, auch ganze Websites sind Ziel der Angriffe. Hierbei werden in der Regel Sicherheitslücken ausgenutzt, um Zugang zu WordPress oder dem Server der Website zu erlangen. Die Inhalte sind verschlüsselt und beim Aufrufen der Startseite erscheint nur noch die Erpressernachricht. Besonders stark betroffen sind Windows-Rechner. Jedoch gibt es bereits auch eine beachtliche Zahl an Erpresserviren für Apple-Computer.

Wie kommt es zu der starken Verbreitung von Erpresserviren?

Professionelle Erpresserviren sind in der Lage, selbst gut aufgestellte Antivirenprogramme zu umgehen. Das ist vor allem dann der Fall, wenn der Code der Schadsoftware neu und den Antivirenherstellern somit unbekannt ist. Zudem erkennen Antivirenprogramme die Viren in der Regel durch die Art, wie sie sich auf einem Rechner verhalten. Der Angriff des Virus wirkt jedoch wie ein normaler Windows-Prozess, der nicht unterbunden werden muss. Da das Virus selbst keine Dateien herstellt, sondern lediglich im Arbeitsspeicher aktiv wird, lässt es sich nicht über sein Verhalten als Schädling erkennen. Selbst die beliebte Sandbox-Technologie zur Abwehr von Schadsoftware hat es schwer, solche Erpresserviren zu erkennen und unschädlich zu machen.

Die Experten von Trend Micro können nicht umhin, diesem Vorgehen einen gewissen Tribut zu zollen. Die Taktik der Erpresser ist sehr professionell und lässt die Schadsoftware über lange Zeiträume hinweg wie harmlose Windows-Systemprozesse erscheinen. Da solche Prozesse durchaus auch Verbindungen zum Internet herstellen, lässt sich hier nur schwer ein Virus erkennen. Somit sind die Überwachung solcher Prozesse und der Schutz des Systems nur sehr schwer realisierbar.

Wie gelangen Erpresserviren auf den eigenen Rechner?

Erpresserviren nutzen verschiedene Wege, um sich auf einem Rechner einzuschleichen. Der häufigste Verbreitungsweg ist der Versand mittels Spam-E-Mails. Im Unterschied zu klassischen Spam-Mails werden Erpresserviren jedoch meist mit Trick-Mails verschickt. Solche E-Mails wirken echt, haben einen glaubwürdigen Betreff und Inhalt und enthalten meist PDF- oder Word-Dateien, die harmlos erscheinen. Wenn jedoch der Anhang geöffnet wird, gelangt die Schadsoftware auf den Rechner und kann über Sicherheitslücken bei Word oder Adobe schädliche Erpresserviren und Verschlüsselungstrojaner aus dem Internet herunterladen und starten.

Viren-Download per Peer-to-peer Netzwerke

Neben E-Mails hat sich auch der Cloud-Dienst Dropbox als gängige Angriffswege von Kriminellen etabliert. Mittels gestohlener Log-in-Daten oder über Schadcodes erlangen die Cyberkriminellen Zugriff auf ein solches Konto und können hier Schadsoftware hinterlegen, die von den ahnungslosen Nutzern dann heruntergeladen wird.

Ebenfalls eine gängige Möglichkeit zum Versand von Erpresserviren sind Peer-to-Peer-Netzwerke. Hier geben die Viren vor, Aktivierungscodes für beliebte Programme wie Microsoft Office oder Adobe Photoshop zu sein. Da die Nutzer einen Aktivierungscode erwarten, sind sie nicht verwundert, dass es sich bei der jeweiligen Datei um eine .exe-Datei handelt. Wenn Sie diese dann starten, gelangt der Schadcode ins System und beginnt umgehend mit der Verschlüsselung. In einigen Fällen wird vorher sogar noch ein Verschlüsselungstrojaner aus dem Internet geladen.

Viren-Download über Websites

Nicht zuletzt haben Entwickler die Möglichkeit, ihre Schadsoftware über Websites zu verbreiten. Sie schleichen sich zum Beispiel über Werbebanner auf seriösen Websites ein und gelangen auf den Rechner, wenn Sie das entsprechende Banner anklicken.

Soll ich das Lösegeld zahlen?

In den meisten Fällen wird von Experten davon abgeraten, auf die Lösegeldforderungen der Erpresser einzugehen. Denn es gibt keine Garantie dafür, dass nach der Zahlung des Geldes die Erpresser die Daten tatsächlich wieder entsperren. Außerdem stellt jede Lösegeldzahlung eine Ermutigung für die Verbrecher dar, ihre kriminellen Machenschaften weiter zu betreiben. Somit ist jede Zahlung ungewollt eine Finanzierung neuer Schadsoftware. Allerdings ist in vielen Fällen eine solche Zahlung die einzige Option, um zumindest eine Chance zu haben, kostbare Daten zurückzubekommen.

Die Stadt Dettelbach bei Würzburg hat hingegen das geforderte Geld an einen Erpresser bezahlt, um wieder an die verschlüsselten Informationen zu kommen. In diesem Fall war das Erpresservirus mittels einer infizierten E-Mail in das System eingedrungen. Der Code zum Freischalten kostete 500 Dollar in Form von Bitcoins und wurde nach erfolgter Zahlung tatsächlich an die Stadt übermittelt.

Wie beuge ich Erpresserviren vor?

Zu Ihrer eigenen Onlinesicherheit sollte Ihr Antivirus-Programm immer das neuste Update besitzen. Als sehr effiziente Antiviren-Programme haben sich zum Beispiel Avira Free Antivirus und Bitdefender Total Security erwiesen. Zudem ist es wichtig regelmäßig eine Datensicherung durchzuführen, welche Sie an einem anderen Ort aufbewahren sollten. Dann haben Sie all ihre Daten gesichert und sind bei einem eventuellen Angriff auf der sicheren Seite.

Sollte es doch einmal dazu kommen, dass Ihr PC von einem Erpresservirus befallen ist, besteht die Möglichkeit eine Bitdefender Rescue CD einzusetzen. Diese hilft dabei, den vorliegenden Schädling zu finden und zu beseitigen. Auch ESET hat ein Tool entwickelt, mit dem Nutzern geholfen werden konnte, die von der Schadsoftware TeslaCrypt betroffen waren. Zusätzlich bietet auch der Anbieter Kaspersky mittlerweile eine große Auswahl an Decryptern, mit denen diverse Erpresserviren beseitigt werden können. Ebenfalls fleißig auf der Suche nach Lösungen für von Erpresserviren erzeugte Probleme ist der Anbieter Emsisoft.

Darüber hinaus sollte nach einem solchen Virusbefall eine Neuinstallation von Windows durchgeführt werden.

Wie effizient ist mein Antivirenprogramm?

Wenn ein Antivirenprogramm einen Schädling aufgespürt und beseitigt hat, kann davon ausgegangen werden, dass der Rechner wieder zuverlässig und sicher arbeitet. Zu beachten ist aber, dass einige Erpresserviren persönliche Daten an ihren Entwickler weiterleiten. Auf diese Weise kommt dieser zum Beispiel in den Besitz von Passwörtern, Zugangsdaten und PINs. Somit können nach einem solchen Virusbefall auch Onlinekonten gefährdet sein, deren Zugangsdaten auf dem infizierten PC gespeichert waren. Deswegen sollten Sie bei allen genutzten Onlinediensten von PayPal bis zum E-Mail-Account die Zugangsdaten ändern. Das gilt nicht zuletzt auch für Einkauf-Accounts wie eBay und Amazon. Außerdem sollten Windows-Updates immer sofort eingespielt werden, damit bekannte Sicherheitslücken geschlossen und von Kriminellen nicht mehr ausgenutzt werden können.

Viele Anwender schwören zudem auf Spezialtools zum Schutz vor Verschlüsselungstrojanern. Diese sind in dem Wissen entwickelt worden, dass Erpresserviren immer wieder die vorhandene Antivirensoftware austricksen. Aus diesem Grund überprüft das Tool Bitdefender Anti-Ransomware zum Beispiel, ob Verschlüsselungsversuche am Dateisystem vorgenommen werden. Wenn das Tool ein Verschlüsselungsvorgang entdeckt, stoppt es den Prozess und sendet eine Meldung an den Nutzer. Ein ebenfalls seit längerer Zeit erfolgreich genutztes Tool ist Anti-Ransomware von Malwarebytes. In Zukunft werden noch weitere Tools dieser Art folgen. 

Immer bestens geschützt sind Sie mit Avira Antivirus Pro - jetzt informieren