Ransomware als Teil der Malware-Familie ist eine Erpressersoftware mit der Angreifer einzelne Dateien verschlüsseln oder ganze Computersysteme vor dem Zugriff des Nutzers sperren. Der Begriff setzt sich dabei zusammen aus den Wörtern “ransom” (steht im englischen für Lösegeld) und “ware” (als Bezeichnung für Computerprogramme/Software).
Als erste dokumentierte Ransomware-Attacke galt die AIDS Trojaner Disk aus dem Jahr 1989. Damals verschickte Joseph L. Popp ein Evolutionsbiologe und Harvard Absolvent 20.000 infizierte Disketten an zahlreiche Forschungseinrichtungen. Nach neunzig Neustarts verschlüselte das Programm die Daten auf der Festplatte. Für die Freigabe sollten die Opfer 189 US-Dollar per Post an eine Firma in Panama schicken.
Heutzutage gelangt Ransomware über präparierte E-Mail-Anhänge, Sicherheitslücken in Betriebssystemen und Software, oder durch Datendienste wie Dropbox oder Google Drive auf die Systeme der Nutzer.
Die Software beginnt dann damit den Zugriff auf den Rechner zu sperren, bzw. Dateien zu verschlüsseln, die für den Besitzer sehr wichtig sind. Auf Windows-Systemen sind das in der Regel Dateien im Ordner “Eigene Dateien” aber auch Dokumente aus Office-Anwendungen, E-Mails, Fotos, Datenbanken und Archive.
Es gibt aber auch Ransomware, die sich wie eine Fernwartungssoftware verhält. Dabei sitzen die Angreifer direkt am anderen Ende und durchsuchen ohne das der Nutzer dies merkt, den Computer nach wichtigen Dateien, um diese nicht nur zu verschlüsseln (single extortion = einfache Erpressung), sondern auch abzugreifen und für eine doppelte Erpressung (double extortion) zu nutzen. Die Angreifer drohen hierbei mit der Veröffentlichung der Daten, sollte man der gestellten Geldforderung nicht nachkommen.
Aber nicht nur die Art und Weise wie Ransomware einen Computer infiziert, hat sich seit der ersten dokumentierten Attacke verändert, auch die Art der Lösegeldzahlung. Waren es früher Schecks, die die Opfer an die Täter schicken mussten, sind es heute Überweisungen in einer Kryptowährung, da sich diese ebendso wenig leicht zurückverfolgen lassen.
Den Code zum Entsperren des Computers bzw. den Schlüssel zum Entschlüsseln der Daten bekommt der geschädigte Nutzer nach Zahlung des Lösegeldes, so zumindest das Versprechen der Hacker. Viele Fälle haben jedoch gezeigt, dass eine Zahlung noch längst keine Garantie ist, dass man den Code bzw. den Schlüssel auch wirklich bekommt. Experten raten deshalb davon ab auf die Forderungen einzugehen.
Sollte man dennoch bezahlen wollen, so ist es wichtig, dass die Überweisung nicht von dem Rechner ausgeht, der Ziel des Angriffs geworden ist. Hacker installieren oftmals unbemerkt noch weitere Schadsoftware, um den Rechner zu überwachen.
