So schützen Sie sich vor Ransom-Viren

Erpresser-Viren – Geld oder Daten

19.07.2016 von Renate Oettinger
Eine neue Betrugsmasche befällt derzeit viele Computer: die sogenannten Ransom-Viren. Sie verschlüsseln die Daten auf privaten Computern. Nur wer zahlt, kommt wieder an seine Dokumente. Was man dagegen tun kann, sagen die Arag-Experten.

Immer wenn es darum geht, an das Geld anderer Leute zu kommen, scheint der Einfallsreichtum von Betrügern wahre Blüten zu treiben.

Nutzer werden unter Druck gesetzt

Schädlich waren Viren und Trojaner schon immer. Meist haben sie es noch dazu auf das Geld von Computernutzern abgesehen, indem sie beispielsweise Bank- und Kreditkartendaten abgreifen. Was aber neu ist: Die Erpresser-Viren setzen Computernutzer direkt unter Druck, indem sie Privatdaten auf der PC-Festplatte unlesbar machen. Wer nicht zahlt, hat keinen Zugriff mehr auf seine Daten.

Die Daten im Computernetzwerk werden dabei so verschlüsselt, dass nur der Original-Schlüssel sie wieder freigibt. Und den rücken die Verbrecher nur gegen Bezahlung heraus; in der Regel fordern sie um die 500 Euro, zahlbar in der anonymen Internetwährung Bitcoin.

Die neue Betrugsmasche scheint sich für die Cyber-Verbrecher zu lohnen. In der "Hitparade" der digitalen Schädlinge sind Erpresser-Viren steil nach oben geschossen.

Erpresser fordern in der Regel 500 Euro von Betroffenen, damit diese wieder auf ihre Daten zugreifen können. Dieser Zahlungsaufforderung sollte man jedoch nicht nachkommen.
Foto: Bacho - Shutterstock.com

So funktionieren Erpresser-Viren

Wenn Nutzer sich den Ransom-Virus eingefangen haben, sperrt dieser zunächst das Nutzerkonto auf dem betroffenen Computer. Anschließend verschlüsselt das Schadprogramm alle Dateien sowie das Startmenü, sodass kein Zugriff mehr auf den Computer möglich ist. Daraufhin blendet der Schädling eine erpresserische Meldung ein.

Für viele Nutzer sind diese in mehrfacher Hinsicht erschreckend: Denn der Computer verweigert nicht nur die Arbeit, die verhängnisvolle Meldung stammt auch scheinbar aus der Feder von Bundespolizei, BKA oder GEMA. Darum sind die Viren auch als BKA- und GEMA-Trojaner bekannt. Im Meldungstext wird dem User zu Unrecht eine "ungesetzliche Tätigkeit", "unbefugte Netzaktivitäten" oder gar die "Wiedergabe von pornografischen Inhalten mit Minderjährigen" vorgeworfen. Dann drohen die Erpresser mit schwerwiegenden rechtlichen Schritten - es sei denn, der Betroffene ist zur Zahlung bereit.

Sowohl das BKA als auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfehlen allerdings, der Zahlungsaufforderung nicht nachzukommen. In vielen Fällen geben die Kriminellen den Rechner nämlich selbst nach der erfolgten Überweisung nicht frei. Diese Viren sind keine Dumme-Jungen-Streiche, sondern ein handfestes Verbrechen. Eines, das man bei der Polizei anzeigen sollte. Auch wenn die Chancen, die Betrüger zu fassen, derzeit sehr gering sind - je mehr Menschen die Vorfälle öffentlich machen, desto größere Chancen hat die Polizei, den Betrügern doch auf die Spur zu kommen.

Wie kann man sich schützen?

Die Viren und Trojaner kommen in der Regel als E-Mail ins Haus. Sie haben unterschiedliche Texte, oft in korrektem Deutsch. Darum werden diese E-Mails vom Empfänger häufig als vertrauenswürdig eingestuft. Die Kriminellen nutzen für die Verteilung der Viren aber auch Drive-by-Downloads, die der Nutzer unwissentlich beim Besuch präparierter Webseiten im Hintergrund herunterlädt. Da sowohl die E-Mails als auch die darin enthaltenen Viren immer wieder modifiziert werden, können diese nicht immer zuverlässig von Virenscannern erkannt werden. Es helfen also nur erhöhte Vorsicht und ein gesundes Misstrauen gegenüber E-Mails unbekannter Urheberschaft und ganz besonders gegenüber deren Anhängen.

Windows-10-Tools: Sicherheit
Advanced Windows Service Manager
Advanced Windows Service Manager untersucht verdächtige Dienste. So können Sie Rootkits, Viren und andere Schadsoftware identifizieren und beenden. Nicht nur Windows-eigene Komponenten werden als Dienste im Hintergrund ausgeführt. Gerätetreiber, Virenwächter, Server-Prozesse und zunehmend auch Malware installieren sich als Dienst. Verdächtige Dienste lassen sich über das Kontextmenü der rechten Maustaste stoppen. Außerdem kann man die Dateien online bei Virustotal untersuchen lassen oder bei Google nach Infos dazu suchen.
Avira Free Antivirus
Avira Free Antivirus ist für Privatanwender kostenlos. Im Hintergrund überwacht ein Virenwächter die Dateiveränderungen. Sie können Dateien und Ordner gezielt nach Schädlingen durchsuchen lassen. Das geht über einen Eintrag im Kontextmenü. Das Avira-Tool erkennt auch gefährliche Rootkits. Außerdem schützt es Sie vor Phishing-Attacken. Avira Free Antivirus kann nicht nur die letzten Reste von entdeckter Malware beseitigen, sondern auch das beschädigte Windows-System reparieren beziehungsweise in seinen früheren Zustand zurückversetzen.
Comodo Firewall
Comodo Firewall ist eine in der Basisversion kostenlose Desktop-Firewall für Windows, die sich detailliert einstellen lässt. Beim Start einer Anwendung, die aufs Internet zugreifen will, fragt Sie die Software nach Ihrem Einverständnis. Für weit mehr als 10 000 populäre und laut Hersteller als sicher geltende Anwendungen werden die Zugriffsregeln automatisch erstellt. Im Applikationsmonitor der Firewall können Sie für jede einmal genehmigte Anwendung im Detail festlegen, welche Ports sie im Rahmen der Internet-Kommunikation nutzen darf.
Crococryptfile
Crococryptfile hat den Zweck, Ihre Dateien und Ordner vor fremdem Zugriff und Einsehen zu schützen. Das Tool arbeitet dabei ähnlich einem Archivierungsprogramm, das eine AES-Verschlüsselung nutzt. CrococryptFile erstellt Dateiarchive. Dazu werden auch Datei- und Verzeichnisinformationen verschlüsselt, sodass Dateinamen, Zeitstempel und Dateigrößeninformationen nicht von Dritten eingesehen werden können. Außerdem versteckt das Tool alle Infos über den Archivinhalt durch Schreiben der Daten und Meta-Daten in einen einzigen Dateidump.
Eraser
Eraser hilft sicherheitsbewussten Anwendern beim Löschen von Dateien und Verzeichnissen. Mit dem Tool lassen sich Daten über das Explorer-Kontextmenü so löschen, dass sie auch mit Experten-Tools nicht mehr wiederhergestellt werden können. Maximale Auswahl haben Sie bei den Überschreibmethoden in den Programmeinstellungen – Dateien werden umso sicherer geshreddert, je öfter sie von Eraser überschrieben werden. Dabei werden auch als äußerst sicher geltende Militärstandards unterstützt. Der Planer erlaubt das zeitgesteuerte Löschen.
Malwarebytes Anti-Malware
Malwarebytes Anti-Malware verwendet eine Signaturdatenbank und heuristische Methoden um Schädlinge auf Ihrem System gezielt aufzuspüren und zu entfernen. Dabei kann der Nutzer zwischen einem Quick-Scan und einem vollständigen Suchlauf wählen, bei denen Malwarebytes Anti-Malware infizierte und bösartige Dateien sofort in einen Quarantäne-Ordner zum endgültigen Löschen verschiebt. Zudem erstellt die Software nach jedem Scan einen kurzen Bericht und wird durch tägliche Signatur-Updates immer auf dem neuesten Stand gehalten.
Sticky Password
Sticky Password bietet ein übersichtliches Verwalten von Kennwörtern und ein automatisches Ausfüllen von Webformularen und Logins. Das einfach gestaltete Menü ermöglicht einen schnellen Zugriff auf die gespeicherten Passwörter. Mit Sticky Password kann man für mehrere Benutzer individuell Passwörter verwalten, oder sich neue erzeugen lassen. Seit Version 7 ist der Passwort-Manager in einer Cloud- und einer Desktop-Variante erhältlich. Mit der Online-Variante synchronisieren Sie Ihre Passwörter mit allen gängigen Mobilgeräten und Windows-Rechnern.

Ransom-Viren auch auf Apple?

Mac-Nutzer haben in aller Regel mit Viren deutlich weniger Probleme als die meisten Windows-Nutzer. Aber auch bei Apple hatte sich ein Erpresser-Virus in das Update eines Programms geschmuggelt; mit der neuen Programm-Version holten sich die Nutzer dieses Programms auch den Virus auf den Computer. Immerhin wurden die Probleme schnell erkannt, so dass wohl nur wenige Nutzer betroffen waren.

Was tun, wenn der Virus den Computer lahmlegt?

Bei einer primitiven Art des Virus ist das Vorgehen recht simpel:

  1. Fahren Sie Ihren Computer runter und starten Sie ihn anschließend im abgesicherten Modus neu.

  2. Dann führen Sie eine Systemwiederherstellung aus. Wählen Sie dafür einen Zeitpunkt vor der Vireninfektion aus und setzen das System auf diesen zurück.

  3. Anschließend sollten Sie einen Virenscanner einschalten, um den Computer auch von schlummernden Schädlingen zu befreien.

Schwieriger ist das Vorgehen, wenn der zweite Schritt nicht funktioniert und der Rechner auch im abgesicherten Modus den Sperrbildschirm anzeigt. Meist ist dann die einzige Möglichkeit eine Neuinstallation von Windows, um den Computer restlos von dem Schadprogramm zu befreien. Dabei gehen allerdings alle gespeicherten Daten verloren.

Darum empfehlen die Arag-Experten, die wichtigsten Daten regelmäßig zu kopieren. Und zwar so, dass die Sicherheitskopie außerhalb der Reichweite des Virus ist und von ihm nicht angegriffen werden kann. Man sollte seine wichtigsten Daten also entweder auf DVD brennen oder auf eine externe Festplatte kopieren. Diese sollte nach der Sicherung dann aber nicht mit dem PC verbunden bleiben, sondern ausgeschaltet werden.

Download des Textes unter: www.arag.de/service/infos-und-news/rechtstipps-und-gerichtsurteile/internet-und-computer/