Gut zu Wissen: Ransomware

Ransomware: Was ist zu tun, wenn Ihre Daten zu Geiseln werden?

Die Gefahren von Malware für die IT-Sicherheit von Unternehmen sind seit Jahren bekannt. Wir als GfA e.V. haben diese in der Vergangenheit bereits ebenfalls thematisiert. Lange wurden die Risiken jedoch vielerorts nicht ausreichend ernstgenommen. Die Folgen konnte der TÜV-Verband (VdTÜV) unlängst in einer eigenen Studie aufzeigen: Mehr als zehn Prozent aller deutschen Unternehmen sind demnach nur in den vergangenen zwölf Monaten Opfer von Cyberattacken geworden. Viele Firmen wurden sogar mehrfach angegriffen. In 30 Prozent der Fälle handelte es sich um sogenannte Pishing-Attacken. 20 Prozent der Angreifer nutzten Ransomware. Dabei handelt es sich um die wohl hinterhältigste Art von Schadsoftware überhaupt.

Was ist Ransomware?

Ransom ist die englische Vokabel für Lösegeld. Hacker nehmen mangels einer Software bestimmte Daten oder sogar ganze Rechner als Geiseln. Die Nutzer werden aus dem eigenen System ausgesperrt. Die Malware fordert anschließend dazu, eine bestimmte Summe Lösegeld zu bezahlen, um wieder Zugriff auf die eigenen Daten zu erhalten. Oft wird das Ganze noch mit einem Countdown kombiniert: Wird das Geld nicht rechtzeitig überwiesen, löscht die Software sämtliche Festplatten und beschädigt das System auf diese Weise irreparabel. Wie erfolgreich dieser Ansatz ist, zeigen die Namen entsprechender Schädlinge aus der Vergangenheit: WannaCry, Cerber und CryptoLocker sind nur drei Beispiele.

Wie funktioniert die schädliche Software?

Ransomware verschlüsselt die Festplatte des angegriffenen Computers. Oft ist anschließend überhaupt kein Zugriff mehr auf den Rechner möglich. Einige Hacker gestatten allerdings weiterhin eine eingeschränkte Nutzung. Das Lösegeld muss in der Regel in einer Kryptowährung entrichtet werden. Bitcoin steht dabei hoch im Kurs. Um die Zahlung vornehmen zu können, müssen die Anwender zumindest einige Funktionen des Rechners nutzen können.

Die Malware schiebt sich zwischen Betriebssystem und Systemspeicher, um zu funktionieren. Nach der Verschlüsselung der Festplatte übernimmt sie dabei die Aufgaben von Windows, Linux oder MacOS. Dies ist der Grund, weshalb die Nutzer die Lösegeldforderung auf ihrem Bildschirm sehen können. Dabei benutzt die Malware einige der installierten Treiber weiter (beispielsweise den für den Grafikchip). Dieser Punkt ist bedeutsam, wenn es um die Befreiung der eigenen Daten geht.

Was passiert bei einer Lösegeld-Zahlung?

Wird das Lösegeld gezahlt, stellen die Angreifer einen „Schlüssel“ zu. Mit diesem lässt sich die Verschlüsselung der Festplatte aufheben. Der vollständige Zugriff ist auf diese Weise wiederhergestellt. Es ist selten, dass die Angreifer trotz erfolgter Zahlung die Schlüsselherausgabe verweigern. Die Opfer recherchieren alle sofort über die spezifische Malware im Netz. Zeigt sich hier, dass die Erpresser die Daten trotz Lösegeldzahlungen nicht freigeben, fließt kein Geld mehr.

Wie kann die Erpresser-Software wieder entfernt werden?

Lange Zeit galt als es unmöglich, die erpresserische Malware wieder zu entfernen. Selbst Sicherheitsexperten rieten dazu, das Lösegeld zu bezahlen – und idealerweise gleich die gesamte IT-Infrastruktur zu tauschen. Das System galt als konterminiert und sollte deshalb nicht mehr genutzt werden. Inzwischen hat sich die Situation ein Stück weit geändert. Wer Opfer eines solchen Angriffs wird, kann in einigen Fällen auch ohne Zahlung wieder Herr der eigenen IT werden. Einige Mitglieder der Gesellschaft für Arbeitsmethodik können bei diesem Problem beispielsweise helfen.

Der Ansatz ist, dass die Malware weiterhin einige Treiber verwenden muss. Diese müssen ihrerseits Daten von der Festplatte abgreifen. Über diesen Pfad lässt sich der Schädling im besten Fall wieder herausdrängen. An dieser Stelle sei aber klar gesagt: Eine 100-prozentige Sicherheit gibt es hierfür nicht. Dies ist konkret von der Erpresser-Software sowie dem jeweiligen Computer (bzw. gleich dem ganzen Netzwerk) abhängig.

Die Software ist entfernt: Der nächste Schritt

Nachdem die Malware beseitigt wurde, wird ein ungutes Gefühl zurückbleiben. Der Rechner war infiltriert und ist es vermutlich noch immer. Abgesehen von einer vollständigen Formatierung der Hardware bis hinunter zu den Speichersystemen ist es unrealistisch, die Software komplett entfernen zu können. Glücklicherweise muss dies inzwischen nicht mehr sein: Moderne Antiviren-Lösungen sind auch mit Möglichkeiten ausgestattet, die erpresserische Software zu bekämpfen.

Das Verfahren ist dabei denkbar einfach: Der Virenschutz verschlüsselt die Festplatte selbst und hat notwendigen Key für die Verwendung. Systemprozesse können sich eine Nutzungserlaubnis abholen. Was bereits verschlüsselt ist, kann nicht mehr als Geisel genommen werden. In Kombination mit einer Firewall ist eine solche Lösung übrigens auch eine hervorragende Prävention, um gar nicht erst Opfer einer entsprechenden Attacke zu werden.

Abschließend: Plötzlich sehr langsame und / oder heiß werdende Rechner sind ein Warnsignal

Wer seine IT-Infrastruktur oder auch nur einen einzelnen Rechner befreit hat, beobachtet häufiger das folgende Phänomen: Das System wird langsam. Flankiert wird dies nicht selten von stark steigenden Temperaturen. In einem solchen Fall findet eine Art Kampf statt, die Systemressourcen verbraucht: Die Ransomeware versucht die Verschlüsselung der Verteidigung zu überwinden. Das Ganze läuft durchgängig: Die kriminelle Software probiert einfach Code nach Code. Bei einer entsprechenden Infektion sollte es zu einer Datensicherung in einer Sandbox oder auf externen Speichereinheiten kommen. Anschließend sollte die Hardware komplett formatiert und die Software auf der Ebene der Firmware neu aufgebaut werden.

Scroll to Top