https://kryptowiki.eu/index.php?action=history&feed=atom&title=RansomwareRansomware - Versionsgeschichte2026-05-21T09:54:44ZVersionsgeschichte dieser Seite in Kryptowiki - Die freie Enzyklopädie der KryptowährungenMediaWiki 1.39.15https://kryptowiki.eu/index.php?title=Ransomware&diff=2642&oldid=prevHerr E-Mark: Die Seite wurde neu angelegt: „<div class="thumb tright"> <div class="thumbinner" style="width: 502px; text-align: left;"> <div class="thumbimage" style="width:500px;"> <div style="padding:…“2018-08-30T07:50:21Z<p>Die Seite wurde neu angelegt: „<div class="thumb tright"> <div class="thumbinner" style="width: 502px; text-align: left;"> <div class="thumbimage" style="width:500px;"> <div style="padding:…“</p>
<p><b>Neue Seite</b></p><div><div class="thumb tright"><br />
<div class="thumbinner" style="width: 502px; text-align: left;"><br />
<div class="thumbimage" style="width:500px;"><br />
<div style="padding: 5px; font-size: 85%; background: #E6E6E6;">{{Kasten|Beispiel eines Erpresserschreibens bei Ransomware:}}<br />
<span style="font-weight:bold;">Your personal files are encrypted!</span><br />
<br />
Your important files <span style="font-weight:bold;">encryption</span> produced on this computer: photos, videos, documents, etc. <span style="font-weight:bold; color:#32C072; text-decoration:underline;">Here</span> is a complete list of encrypted files, and you can personally verify this.<br />
<br />
Encryption was produced using a <span style="font-weight:bold;">unique</span><br />
public key <span style="font-weight:bold; color:#32C072; text-decoration:underline;">RSA-2048</span> generated for this computer. To decrypt files you need to obtain the <span style="font-weight:bold;">private key</span>.<br />
<br />
This <span style="font-weight:bold;">single copy</span> of the private key, which will allow you to decrypt the files, located on a secret server on the Internet; the server will <span style="font-weight:bold;">destroy</span> the key after a time specified in this window. After that, <span style="font-weight:bold;">nobody and never will be able</span> to restore files…<br />
<br />
<span style="font-weight:bold;">To obtain</span> the private key for this computer, which will automatically decrypt files, you need to pay <span<br />
style="font-weight:bold;">300 USD / 300 EUR</span> / similar amount in other currency.<br />
<br />
Click Next to select the method of payment.<br />
<br />
<span style="font-weight:bold; color:#EE0000;">Any attempt to remove or damage this software will lead to immediate destruction of the private key by server.</span><br />
</div><br />
</div><br />
<div class="thumbcaption">Meldung des CryptoLockers</div><br />
</div><br />
</div><br />
<br />
'''Ransomware''' (von {{enS|''ransom''}} für „[[Lösegeld]]“), auch ''Erpressungstrojaner'', ''Erpressungssoftware'', ''Kryptotrojaner'' oder ''Verschlüsselungstrojaner'', sind [[Schadprogramm]]e, mit deren Hilfe ein Eindringling den Zugriff des Computerinhabers auf Daten, deren Nutzung oder auf das ganze Computersystem verhindern kann. Dabei werden private Daten auf dem fremden Computer [[Verschlüsselung|verschlüsselt]] oder der Zugriff auf sie verhindert, um für die [[Entschlüsselung]] oder Freigabe ein Lösegeld zu fordern.<br />
<br />
Die Bezeichnung setzt sich zusammen aus ''ransom'', dem englischen Wort für Lösegeld, und ''ware'', entsprechend dem für verschiedene Arten von Computerprogrammen üblichen Benennungsschema (''[[Software]]'', ''[[Malware]]'' etc.). Im zweiten Quartal 2012 gab es laut ''Kindsight Security'' etwa 123.000 neue Varianten.<ref>pc-gesund.de: [http://www.pc-gesund.de/it-wissen/malware ''Der PC Gesund Malware Report 2012: Zusammenfassung: Ransomware – die Malware-Innovation'']</ref><br />
<br />
== Historie ==<br />
Die Idee geht auf das Jahr 1989 zurück, als der Schädling ''[[AIDS (Schadprogramm)|AIDS TROJAN DISK]]'' mit Hilfe einer infizierten Diskette Daten verschlüsselte. Der Virus behauptete, eine Lizenz sei abgelaufen, und nannte den Namen eines Unternehmens, bei dem der Lizenzschlüssel erworben werden kann. Das Vorgehen war somit nicht unmittelbar als Erpressung erkennbar. Der Autor dieses Schädlings, Joseph Popp, konnte überführt werden und wurde zu einer Haftstrafe verurteilt, die er wegen einer psychischen Erkrankung jedoch nicht antreten konnte. Er kündigte an, das erpresste Geld an die AIDS-Forschung zu spenden. Einer der ersten Angreifer, der Ransomware zur Verbreitung über das [[Internet]] einsetzte, ist der [[Trojanisches Pferd (Computerprogramm)|Trojaner]] ''TROJ_PGPCODER.A'', für dessen Entschlüsselung mehrere hundert [[US-Dollar]] gefordert wurden.<br />
<br />
Im polizeilichen Kriminalitätsbericht des Landes [[Sachsen-Anhalt]] von 2011 wird ein Fall beispielhaft erwähnt. Ein Täter hatte 831 Computer in diesem Bundesland mit einer Erpressungssoftware infiziert.<ref>Ministerium für Inneres und Sport Sachsen-Anhalt [http://www.presse.sachsen-anhalt.de/index.php?&cmd=get&id=852588&identifier=378195007d5efddef6802784f824fc92 ''Polizeiliche Kriminalstatistik 2011, Pressemitteilung Nr.: 015/2012''], 27. Februar 2012</ref><br />
<br />
Inzwischen sind kostenpflichtige sowie kostenfreie Baukastensysteme, sogenannte [[Crimeware]]-Kits, in Untergrundforen aufgetaucht, mit deren Hilfe Ransomware erstellt werden kann.<ref name="pc_welt_2012-7_s22">[[PC-Welt|PC-Welt Pocket]]: ''Erpresserviren aus dem Baukasten'', 7/2012, S. 22</ref><br />
<br />
2016 ist der Kryptotrojaner [[Locky]] aufgetaucht, welcher zehntausende PCs und unter anderem das Fraunhofer-Institut in Bayreuth infizierte.<ref>{{Internetquelle |url=http://www.golem.de/news/krypto-trojaner-locky-mehr-als-5-000-infektionen-pro-stunde-in-deutschland-1602-119247.html |titel=Mehr als 5.000 Infektionen pro Stunde in Deutschland |zugriff=2016-02-19}}</ref> Der Tesla X3-Cryptovirus befiel im Februar 2016 u.&nbsp;a. Rechner des Rathauses in [[Rheine]].<ref>[[Westfälische Nachrichten]]: ''Virus legt Rathaus in Rheine lahm'', Westfalen, Rheine, mas, 2. März 2016</ref> Vom 1. Dezember 2015 bis zum 29. Februar 2016 wurden nach Angaben des [[Landeskriminalamt (Deutschland)|Landeskriminalamts]] 156 Anzeigen wegen Angriffen durch Ransomware erstattet, die Dunkelziffer wird weit darüber vermutet.<ref name="WN_2016-03-09">[[Westfälische Nachrichten]]: ''Alarm im Internet: Landeskriminalamt warnt vor massiven Cyber-Attacken'', Titelseite, Düsseldorf/Münster, Hilmar Riemenschneider, Elmar Ries, 9. März 2016</ref> Betroffen waren 113 Firmen und Einrichtungen, unter denen sich etliche Kliniken sowie das [[Ministerium für Inneres und Kommunales des Landes Nordrhein-Westfalen]] in Düsseldorf befanden, welches im Dezember 2015 einen Angriff erlitt.<ref name="WN_2016-03-09" /><ref>[[Westfälische Nachrichten]]: ''Der Krieg der Hacker: Cyber-Erpressungen erleben einen neuen Boom / Auch im Münsterland finden die Kriminellen Opfer'', Westfalen, Münsterland, Elmar Ries, 9. März 2016</ref><br />
<br />
Im März 2016 wurde KeRanger gefunden, eine Variante eines Kryptotrojaners für [[OS X]].<ref>{{Internetquelle |url=http://researchcenter.paloaltonetworks.com/2016/03/new-os-x-ransomware-keranger-infected-transmission-bittorrent-client-installer/ |titel=Neue OS X Ransomware KeRanger infiziert via Transmission BitTorrent Client Installer |zugriff=2016-03-06}}</ref> Anfang Juni 2016 informierte das [[Fraunhofer-Institut für Sichere Informationstechnologie]] darüber, dass auch [[Smartphone]]s durch Ransomware betroffen sein können, insbesondere falls diese mit Security-[[Mobile App|Apps]] versehen sind, die [[Sicherheitslücke]]n enthalten, wie sie vom Fraunhofer-Institut in sämtlichen der sieben exemplarisch getesteten Anwendungen gefunden und dem jeweiligen Hersteller zur Behebung gemeldet wurden.<ref>[[Westfälische Nachrichten]]: ''Sicherheits-Apps für Android-Geräte können Lücken haben'', Service, [[dpa]], 4. Juni 2016</ref><br />
<br />
Im Mai 2017 befiel [[WannaCry]] unter anderem mehrere global tätige große Unternehmen in sehr kurzer Zeit; es wurden über 230.000 Computer in 150 Ländern infiziert. Aufgrund dieser Ausmaße bezeichnete das [[Europol|Europäische Polizeiamt]] den Ausbruch als noch nie da gewesenes Ereignis.<br />
Neben der üblichen Verbreitung durch E-Mail-Anhang besitzt WannaCry Wurm-Eigenschaften und versucht, weitere Rechner über Sicherheitslücken in Betriebssystemen aktiv und ohne Nutzerzutun zu infizieren. Die auf aktuellem Update-Stand (April bei Microsoft) befindlichen Systeme seien nicht betroffen gewesen. Bestimmte Datei- und Druckerdienste müssen freigegeben sein, womit WannaCry die Ausbreitung vor allem in Unternehmens-internen Datennetzen mit teilweise lange fehlerbehafteten Rechnersystemen gelang.<br />
<br />
== Vorgehen der Schädlinge ==<br />
Ransomware kann auf den gleichen Wegen wie ein [[Computervirus]] auf einen Computer gelangen. Zu diesen Wegen zählen präparierte [[E-Mail]]-Anhänge, die Ausnutzung von [[Sicherheitslücke (Software)|Sicherheitslücken]] in [[Webbrowser]]n oder über Datendienste wie [[Dropbox]].<br />
<br />
[[Datei:Locky trojan 02-2016 German PD.png|mini|Screenshot der deutschsprachigen Version des Erpresserbriefs von [[Locky]]]]<br />
[[Datei:Goldeneye-ransomware-161212.jpg|mini|Bildschirmfoto von Goldeneye Ransomware im Dezember 2016]]<br />
<br />
So werden etwa E-Mails versandt, die vorgeben, eine im Anhang befindliche [[ZIP-Dateiformat|ZIP-Datei]] enthalte eine Rechnung oder einen Lieferschein über bestellte Ware.<ref name="pc_welt_2012-7_s22" /> Alternativ wird in kruden Formulierungen, beispielsweise „Es ist die ungesetzliche Tätigkeit enthüllt!“, behauptet, das [[Bundeskriminalamt (Deutschland)|Bundeskriminalamt]], die [[Bundespolizei (Deutschland)|Bundespolizei]], die [[GEMA]] oder [[Microsoft]] habe illegale Aktivitäten auf dem Computer festgestellt und diesen daraufhin gesperrt.<ref name="pc_welt_2012-7_s24">[[PC-Welt|PC-Welt Pocket]]: ''Die Erpresserviren kommen'', Arne Arnold, Moritz Jäger, 7/2012, S. 24</ref><br />
<br />
Ein befallener Computer kann auf unterschiedliche Weise blockiert werden.<br />
<br />
=== Blockade des Systems ===<br />
Einfachere und harmlosere Erpressungsversuche äußern sich nur in einem Hinweisfenster, das bei jedem regulären Systemstart erscheint und nicht geschlossen werden kann. Auch der [[Taskmanager]] wird blockiert. Unerfahrene PC-Benutzer wissen nicht, wie sie diese Blockade beenden können. Es scheint nur den Ausweg zu geben, das Lösegeld zu zahlen, indem beispielsweise eine [[Paysafecard]] oder [[Ukash]]-Karte gekauft wird.<ref>[[Heise online|Heise]]: [http://heise.de/-1416716 ''Bot erpresst Facebook-Nutzer''], 19. Januar 2011</ref> Der Betrag wird dem Erpresser gutgeschrieben, indem man die Gutscheinnummer des Bezahlsystems am befallenen PC eingibt, wodurch sie dem Täter elektronisch mitgeteilt wird. Als weitere anonyme Bezahlmethode wird die Kryptowährung [[Bitcoin]] eingesetzt.<br />
<br />
=== Verschlüsselung von Dokumenten ===<br />
Besonders bösartige Varianten der Ransomware haben ein größeres Schadpotenzial: Zumeist werden Briefe, Rechnungen und andere mit [[Office-Paket|Office-Anwendungen]] erstellte Dokumente, die sich in [[Microsoft Windows|Windows]]-Systemen in der Regel im Ordner ''Eigene Dateien'' befinden, verschlüsselt.<ref name="pc_welt_2012-7_s24" /> Grundsätzlich kommen als Ziel alle Dateien in Frage, die für den Besitzer des Computers sehr wichtig und unwiederbringlich sind, wozu u.&nbsp;a. auch E-Mails, [[Datenbanksystem|Datenbanken]], [[Liste der Datenkompressionsprogramme|Archive]] und Fotos zählen können.<ref name="pc_welt_2012-7_s24" /> Diese Dateien werden nun so verschlüsselt, dass der Benutzer keinen Zugriff auf ihre Inhalte mehr hat. Im Gegensatz zu [[Spyware]] werden hier also keine großen [[Datenmenge]]n verschoben.<br />
<br />
Um wieder Zugriff auf die von der Ransomware verschlüsselten Daten zu erhalten, wird der geschädigte Benutzer von dem Eindringling aufgefordert, eine E-Mail an eine bestimmte E-Mail-Adresse zu senden, eine [[Webseite]] aufzurufen oder eine Formularmaske auszufüllen. In allen Fällen wird eine Software zur Entschlüsselung bzw. die Zusendung des benötigten [[Kennwort|Passworts]] versprochen, wofür zuvor eine Bezahlung erfolgen muss. Häufig drohen die Kriminellen, dass bei einer Kontaktaufnahme mit der Polizei sämtliche Daten vernichtet würden.<br />
<br />
Um dem Opfer die Möglichkeit zu nehmen, sich Hilfe zum Thema Informationssicherheit aus dem Internet zu holen, kann die [[Hosts-Datei]] manipuliert worden sein, so dass der Zugang zu solchen Webseiten maßgeblich eingeschränkt wird.<br />
<br />
In einigen Fällen ist die Möglichkeit der Entschlüsselung der verschlüsselten Dateien von Seiten des Angreifers gar nicht vorgesehen, so dass diese Dateien unwiderruflich verloren sind, sofern keine Sicherheitskopie der verschlüsselten Dateien existiert.<ref name="pc_welt_2012-7_s24" /><br />
<br />
== Schutz- und Gegenmaßnahmen ==<br />
Das [[Bundesamt für Sicherheit in der Informationstechnik]] hat eine Situationsanalyse veröffentlicht<ref Name="BSI">bsi.bund.de: ''[https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/Ransomware.pdf?__blob=publicationFile&v=2 Ransomware – Bedrohungslage, Prävention & Reaktion]'', 2016, abgerufen am 29. August 2018 (PDF).</ref>, in der auch umfangreiche Empfehlungen zu Schutz- und Gegenmaßnahmen aufgeführt sind, sowie die empfohlene Verhaltensweisen im eingetretenen Fall.<br />
<br />
== Ratschläge für Betroffene ==<br />
Obwohl einer Umfrage 2010 zufolge rund ein Viertel der Opfer ein Lösegeld zahlen würde,<ref>Gulli.com, [http://www.gulli.com/news/13828-umfrage-zu-ransomware-rund-ein-viertel-wuerde-loesegeld-zahlen-2010-07-17 ''Umfrage zu Ransomware: Rund ein Viertel würde Lösegeld zahlen''], 17. Juli 2010</ref> rät auch das [[Bundesamt für Sicherheit in der Informationstechnik|Bundesamt für Sicherheit in der Informationstechnik (BSI)]], nicht auf die Forderungen einzugehen. Selbst nach Bezahlung des Lösegelds sei nicht sicher, ob die Daten tatsächlich wieder entschlüsselt würden. Da zudem die Zahlungsbereitschaft des Opfers identifiziert würde, sind weitere Forderungen nicht auszuschließen. Bei einer Zahlung mittels [[Kreditkarte]] würden dem Täter darüber hinaus weitere private Informationen zugänglich. Es wird geraten, eine Anzeige zu erstatten.<ref>Westfälische Nachrichten: ''Hilfe nach Erpressung mit Schadsoftware'', dpa, 30. Mai 2016</ref><br />
<br />
Bei den im Zeitraum 2011 bis Februar 2012 weit verbreiteten Schadprogrammen wurde zwar der Zugriff auf die Daten verhindert, es fand jedoch keine Verschlüsselung statt. Handelsübliche Antivirusprogramme konnten einige dieser Schädlinge entfernen. Dazu waren kostenlose Programme, beispielsweise [[Malwarebytes|MBAM]] oder [[Avira#Kostenlose Version|Avira]], ausreichend.<br />
<br />
Teilweise gelingt es Sicherheitsforschern, Ransomware zu knacken und Entschlüsselungswerkzeuge zur Verfügung zu stellen, mit denen die verschlüsselten Daten dann wieder entschlüsselt werden können. So ist es beispielsweise im Februar 2016 gelungen, die Verschlüsselung von TeslaCrypt 2 bis zur Version 2.2.0 zu brechen.<ref>{{Internetquelle |autor=Dennis Schirrmacher |url=http://heise.de/-3092667 |titel=Verschlüsselungs-Trojaner TeslaCrypt 2 geknackt; Kriminelle rüsten nach |werk=Heise Security |hrsg=Heise Medien GmbH & Co. KG |datum=2016-02-05 |zugriff=2016-02-09}}</ref><ref>{{Internetquelle |autor=Dennis Schirrmacher, Jürgen Schmidt |url=http://heise.de/-3094987 |titel=TeslaCrypt 2.0 entschlüsselt |werk=Heise Security |hrsg=Heise Medien GmbH & Co. KG |datum=2016-02-05 |zugriff=2016-02-09}}</ref> Im April 2016 wurde zeitweilig die Verschlüsselung des Erpressungstrojaners [[Petya]] (Version bis Dezember 2016) geknackt. Die Software ''hack-petya'' erzeugte einen Schlüssel, mit welchem die Daten wieder entschlüsselt werden konnten.<ref>{{Internetquelle |autor=Helmut Martin-Jung |url=http://www.sueddeutsche.de/digital/verschluesselungstrojaner-ransomware-geknackt-petya-opfer-bekommen-ihre-daten-zurueck-1.2945474?source=rss |titel=Erpressungs-Trojaner geknackt: Opfer bekommen Daten zurück |werk=Sueddeutsche.de |datum=2016-04-12 |zugriff=2018-02-02}}</ref><br />
<br />
== Externe Links ==<br />
{{Wiktionary}}<br />
* [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/Lagedossier_Ransomware.html ''Lagedossier Ransomware''] In: [[Bundesamt für Sicherheit in der Informationstechnik]] (BSI), 7. Juli 2016.<br />
* [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/Ransomware.html ''Ransomware: Bedrohungslage, Prävention & Reaktion.''] In: BSI, 11. März 2016.<br />
* {{Internetquelle |autor=Gerald Himmelein |url=https://www.heise.de/newsticker/meldung/WannaCry-Co-So-schuetzen-Sie-sich-3714596.html |titel=WannaCry & Co.: So schützen Sie sich – heise online |werk=heise.de |datum=2017-05-15 |zugriff=2017-05-15}}<br />
* Bestimmung von Ransomware:<br />
** [https://id-ransomware.malwarehunterteam.com/ id-ransomware.malwarehunterteam.com]<br />
** [https://www.nomoreransom.org/ nomoreransom.org] – Crypto Sheriff von Europol und der niederländischen Polizei<br />
* [https://www.botfrei.de/ botfrei.de]: Anti-Botnet Beratungszentrum<br />
* {{Internetquelle |autor=bleib-Virenfrei.de |url=https://www.bleib-virenfrei.de/artikel/bka-bundespolizei-gvu-trojaner-entfernen/#bundespolizei-bka-gvu-trojaner |titel=Hier finden Sie eine Übersicht aller bekannten Versionen der BKA-, GEMA- und Bundespolizei-Trojaner |datum=2016-01-07 |zugriff=2016-05-25 |kommentar=bka-trojaner und gvu/gema-trojaner Sammlung}}<br />
* {{Internetquelle |autor=Bundesamt für Sicherheit in der Informationstechnik |url=http://www.bsi.bund.de/av/vb/gpcoder.htm |titel=Beschreibung: Trojan.Gpcoder, Aktivitäten und Wiederherstellung |datum=2005-05-22 |archiv-url=https://web.archive.org/web/20080216062436/http://www.bsi.bund.de/av/vb/gpcoder.htm |archiv-datum=2008-02-16 |zugriff=2013-01-03}}<br />
* {{Internetquelle |autor=Security-Insider.de, Stephan Augsten |url=http://www.security-insider.de/themenbereiche/bedrohungen/viren-wuermer-trojaner/articles/509579/?cmp=nl-14 |titel=Wie Ransomware entwickelt und verbreitet wird |datum=2015-11-02 |zugriff=2015-11-03}}<br />
* {{Internetquelle |autor=heise.de |url=https://www.heise.de/security/meldung/Goldeneye-Ransomware-Die-Bedrohung-erkennen-Mitarbeiter-warnen-Infektion-verhindern-3564252.html |titel=Goldeneye Ransomware: Die Bedrohung erkennen, Mitarbeiter warnen, Infektion verhindern |datum=2016-12-07 |zugriff=2016-12-13}}<br />
<br />
== Einzelnachweise ==<br />
<references /><br />
<br />
[[Kategorie:Kriminalistik]]<br />
[[Kategorie:Ransomware| ]]<br />
[[Kategorie:Hackertechnik (Computersicherheit)]]<br />
[[Kategorie:Rechtsinformatik]]</div>Herr E-Mark