Ransomware

Ransomware ist eine Art von Malware, die den Zugriff auf Dateien oder das Gerät des Nutzers sperrt und dann eine Zahlung fordert, um den Zugriff wiederherzustellen. Ransomware-Angreifer greifen auf Unternehmen, Organisationen und Einzelpersonen gleichermaßen an.

Kostenloses Antivirus

Wichtige Erkenntnisse

  • Ransomware ist eine Art von Malware, die Nutzer daran hindert, auf ihr System oder ihre persönlichen Dateien zuzugreifen, bis ein Lösegeld gezahlt wurde. Daher der Name „Ransomware“.
  • Im Jahr 2023 überstiegen die Zahlungen für Ransomware erstmals die Marke von 1 Milliarde Dollar pro Jahr , während die durchschnittliche Lösegeldsumme auf 620.000 Dollar stieg.
  • Im Jahr 2024 Threatdown einen Anstieg der Ransomware-Angriffe in den USA um 63 % und einen Anstieg der Ransomware-Angriffe im Vereinigten Königreich um 67 %. 
  • Seit 2026 haben Angreifer die Geschwindigkeit und die Unauffälligkeit ihrer Angriffe durch neue Taktiken verbessert. 
  • Es gibt verschiedene Arten von Ransomware, wie beispielsweise Scareware, Bildschirm-Sperrprogramme, verschlüsselnde Ransomware und weitere.
  • Ransomware-Angriffe treffen Unternehmen, aber auch Privatpersonen werden Opfer solcher Angriffe.

Was ist Ransomware?

Definition von Ransomware

Ransomware, oder Erpressungs-Malware, ist eine Art von Malware, die Benutzer daran hindert, auf ihr System oder ihre persönlichen Dateien zuzugreifen, und eine Lösegeldzahlung verlangt, um den Zugriff zurückzuerlangen. Während einige denken könnten, „ein Virus hat meinen Computer gesperrt“, wird Ransomware typischerweise als eine andere Form von Malware als ein Virus klassifiziert.

Die frühesten Varianten von Ransomware wurden in den späten 1980er Jahren entwickelt, und die Zahlung sollte per Snail-Mail versendet werden. Heute fordern Ransomware-Autoren, dass die Zahlung über Kryptowährung oder Kreditkarte geleistet wird, und Angreifer zielen auf Einzelpersonen, Unternehmen und Organisationen aller Art ab. Einige Ransomware-Autoren verkaufen den Dienst an andere Cyberkriminelle, was als Ransomware-as-a-Service oder RaaS bekannt ist.

Ransomware-Angriffe

Wie stellt ein Threat Actor genau einen Ransomware-Angriff durch? Zuerst müssen sie Zugang zu einem Gerät oder Netzwerk erhalten. Mit dem Zugang sind sie in der Lage, die Malware zu nutzen, die benötigt wird, um Ihr Gerät und Ihre Daten zu verschlüsseln oder zu sperren. Es gibt verschiedene Wege, wie Ransomware Ihren Computer infizieren kann.

Wie bekomme ich Ransomware?

  • Malspam: Um Zugang zu erlangen, nutzen einige Bedrohungsakteure Spam, indem sie E-Mails mit einem schädlichen Anhang an viele Menschen senden und darauf warten, dass jemand den Anhang öffnet und „anbeißt“. Malicious Spam, oder Malspam, ist unerwünschte E-Mail, die zur Verbreitung von Malware genutzt wird. Die E-Mail könnte präparierte Anhänge wie PDFs oder Word-Dokumente enthalten. Sie könnte auch Links zu bösartigen Websites beinhalten.
  • Malvertising: Eine weitere beliebte Infektionsmethode ist Malvertising. Malvertising, oder bösartige Werbung, ist der Einsatz von Online-Werbung zur Verbreitung von Malware mit wenig bis gar keiner Benutzerinteraktion. Während des Surfens im Internet können Benutzer, selbst auf legitimen Seiten, ohne jemals auf eine Anzeige zu klicken, zu kriminellen Servern geleitet werden. Diese Server katalogisieren Details über die Computer der Opfer und ihre Standorte und wählen dann die am besten geeignete Malware zur Lieferung aus. Oft ist diese Malware Ransomware. Malvertising verwendet häufig ein infiziertes iframe oder ein unsichtbares Webseiten-Element, um seine Aufgabe zu erfüllen. Das iframe leitet zu einer Exploit-Landingpage um und von der Landingpage aus greift bösartiger Code das System über ein Exploit Kit an. All dies geschieht ohne das Wissen des Benutzers, weshalb es oft als Drive-by-Download bezeichnet wird.
  • Spear-Phishing: Eine gezieltere Methode für einen Ransomware-Angriff ist durch Spear Phishing. Ein Beispiel für Spear-Phishing wäre das Senden von E-Mails an Mitarbeiter eines bestimmten Unternehmens, die behaupten, dass der CEO Sie bittet, an einer wichtigen Mitarbeiterumfrage teilzunehmen, oder dass die Personalabteilung Sie auffordert, eine neue Richtlinie herunterzuladen und zu lesen. Der Begriff „Whaling“ wird verwendet, um solche Methoden zu beschreiben, die auf hochrangige Entscheidungsträger in einer Organisation abzielen, wie den CEO oder andere Führungskräfte.
  • Social Engineering: Malspam, Malvertising und Spear-Phishing können und enthalten oft Elemente von Social Engineering. Bedrohungsakteure können Social Engineering einsetzen, um Menschen dazu zu bringen, Anhänge zu öffnen oder auf Links zu klicken, indem sie legitim erscheinen—sei es, indem sie vorgeben, von einer vertrauenswürdigen Institution oder einem Freund zu sein. Cyberkriminelle nutzen Social Engineering bei anderen Arten von Ransomware-Angriffen, z. B. indem sie sich als FBI ausgeben, um Benutzer dazu zu bringen, ihnen Geld zu zahlen, um ihre Dateien zu entsperren. Ein weiteres Beispiel für Social Engineering wäre, wenn ein Bedrohungsakteur Informationen aus Ihren öffentlichen sozialen Medienprofilen über Ihre Interessen, häufig besuchte Orte, Ihren Job usw. sammelt und einige dieser Informationen verwendet, um Ihnen eine Nachricht zu senden, die Ihnen vertraut vorkommt und hofft, dass Sie klicken, bevor Sie merken, dass sie nicht legitim ist. 
Malvertising und Ransomware Infografik.

Dateien verschlüsseln & Lösegeld fordern

Egal welche Methode der Bedrohungsakteur anwendet, sobald er Zugang hat und die Ransomware-Software (die normalerweise aktiviert wird, indem das Opfer auf einen Link klickt oder einen Anhang öffnet) Ihre Dateien oder Daten verschlüsselt, sodass Sie keinen Zugriff darauf haben, werden Sie dann eine Nachricht sehen, die eine Lösegeldzahlung fordert, um das, was sie genommen haben, wiederherzustellen. Oft wird die Zahlung in Form von Kryptowährung verlangt.

Arten von Ransomware

Drei Haupttypen von Ransomware umfassen Scareware, Bildschirm-Sperren und verschlüsselnde Ransomware:

  • Scareware: Wie sich herausstellt, ist Scareware gar nicht so unheimlich. Es handelt sich dabei um betrügerische Sicherheitssoftware und Betrügereien mit technischem Support. Möglicherweise erhalten Sie eine Popup-Meldung, in der behauptet wird, dass Malware entdeckt wurde und Sie diese nur loswerden können, wenn Sie zahlen. Wenn Sie nichts tun, werden Sie wahrscheinlich weiterhin mit Pop-ups bombardiert, aber Ihre Dateien sind im Grunde sicher. Ein seriöses Cybersicherheitsprogramm würde nicht auf diese Weise um Kunden werben. Wenn Sie die Software dieses Unternehmens noch nicht auf Ihrem Computer installiert haben, würde sie Sie nicht auf eine Ransomware-Infektion überwachen. Wenn Sie über eine Sicherheitssoftware verfügen, müssen Sie nicht dafür bezahlen, dass die Infektion entfernt wird - Sie haben bereits für die Software bezahlt, die genau diese Aufgabe übernimmt.
  • Bildschirm-Sperren: Alarmstufe Orange für diese Typen. Wenn Sperr-Ransomware auf Ihren Computer gelangt, bedeutet das, dass Sie vollständig aus Ihrem PC ausgesperrt sind. Beim Starten Ihres Computers erscheint ein Fenster in voller Größe, oft begleitet von einem offiziell aussehenden Siegel des FBI oder des US-Justizministeriums, das sagt, dass auf Ihrem Computer illegale Aktivitäten festgestellt wurden und Sie eine Strafe zahlen müssen. Das FBI würde Sie jedoch nicht aus Ihrem Computer aussperren oder Zahlung für illegale Aktivitäten verlangen. Wenn sie Sie des Piraterieverdachts, der Kinderpornografie oder anderer Cyberkriminalität verdächtigen würden, würden sie den entsprechenden rechtlichen Weg einschlagen.
  • Verschlüsselnde Ransomware: Dies ist das wirklich böse Zeug. Das sind die, die Ihre Dateien schnappen und verschlüsseln und Lösegeld verlangen, um sie zu entschlüsseln und auszuliefern. Der Grund, warum diese Art von Ransomware so gefährlich ist, ist, dass sobald Cyberkriminelle Ihre Dateien in die Hände bekommen, keine Sicherheitssoftware oder Systemwiederherstellung sie Ihnen zurückgeben kann. Es sei denn, Sie zahlen das Lösegeld – in den meisten Fällen sind sie weg. Und selbst wenn Sie bezahlen, gibt es keine Garantie, dass die Cyberkriminellen Ihnen diese Dateien zurückgeben.

Mac

Erfahren Sie mehr über KeRanger, die erste echte Mac-Ransomware.

Nicht diejenigen, die aus dem Ransomware-Spiel ausgeschlossen bleiben wollen: Mac-Malware-Autoren haben 2016 die erste Ransomware für Mac OSes veröffentlicht. Sie heißt KeRanger und infizierte eine App namens Transmission, die beim Starten bösartige Dateien kopierte, die leise im Hintergrund drei Tage lang weiterliefen, bis sie explodierten und Dateien verschlüsselten. Glücklicherweise veröffentlichte Apples integriertes Anti-Malware-Programm XProtect kurz nach der Entdeckung der Ransomware ein Update, das es blockiert, Benutzersysteme zu infizieren. Dennoch ist Mac-Ransomware nicht mehr nur theoretisch. 

Auf KeRanger folgten Findzip und MacRansom, beide 2017 entdeckt. Vor kurzem im Jahr 2020 gab es etwas, das wie Ransomware aussah (ThiefQuest, auch bekannt als EvilQuest), sich jedoch als „Wiper“ herausstellte. Es gab vor, Ransomware zu sein, um zu vertuschen, dass es all Ihre Daten exfiltrierte, und obwohl es Dateien verschlüsselte, gab es nie eine Möglichkeit für Benutzer, sie zu entschlüsseln oder die Gruppe wegen Zahlungen zu kontaktieren. 

Mobile Ransomware

Es war nicht bis zum Höhepunkt des berüchtigten CryptoLocker und anderer ähnlicher Familien im Jahr 2014, dass Ransomware in großem Stil auf mobilen Geräten gesehen wurde. Mobile Ransomware zeigt typischerweise eine Nachricht an, dass das Gerät aufgrund einer Art illegaler Aktivität gesperrt wurde. Die Nachricht besagt, dass das Telefon entsperrt wird, nachdem eine Gebühr entrichtet wurde. Mobile Ransomware wird oft über bösartige Apps verbreitet und erfordert, dass Sie das Telefon im abgesicherten Modus starten und die infizierte App löschen, um den Zugriff auf Ihr mobiles Gerät wiederzuerlangen.

Wie kann ich Ransomware entfernen?

Man sagt, eine Unze Prävention ist ein Pfund Heilung wert. Das gilt sicher im Hinblick auf Ransomware. Wenn ein Angreifer Ihr Gerät verschlüsselt und ein Lösegeld fordert, gibt es keine Garantie, dass er es wieder entschlüsselt, egal ob Sie zahlen oder nicht.

Deshalb ist es entscheidend, vorbereitet zu sein, bevor Sie von Ransomware betroffen sind. Zwei entscheidende Schritte, die Sie unternehmen sollten, sind:

  • Installieren Sie Sicherheitssoftware, bevor Sie von Ransomware betroffen sind.
  • Sichern Sie regelmäßig Ihre wichtigen Daten (Dateien, Dokumente, Fotos, Videos usw.).

Wenn Sie sich mit einer Ransomware-Infektion konfrontiert sehen, ist die oberste Regel, niemals das Lösegeld zu zahlen. (Dies ist inzwischen ein Ratschlag, der vom FBI unterstützt wird.) Das tut lediglich dazu ermutigen, dass Cyberkriminelle weitere Angriffe auf Sie oder gegen jemand anderen starten. 

Eine mögliche Option zur Entfernung von Ransomware ist, dass Sie versuchen könnten, einige verschlüsselte Dateien abzurufen, indem Sie kostenlose Decryptoren verwenden. Um klarzustellen: Nicht alle Ransomware-Familien haben Decryptoren erhalten, oft weil die Ransomware fortgeschrittene und ausgeklügelte Verschlüsselungsalgorithmen verwendet.

Und selbst wenn es einen Decryptor gibt, ist nicht immer klar, ob er für die richtige Version der Malware gedacht ist. Sie wollen Ihre Dateien nicht weiter verschlüsseln, indem Sie das falsche Entschlüsselungsskript verwenden. Deshalb müssen Sie genau auf die Lösegeldnachricht selbst achten oder vielleicht einen Sicherheits-/IT-Spezialisten um Rat fragen, bevor Sie etwas versuchen.

Weitere Möglichkeiten, mit einer Ransomware-Infektion umzugehen, umfassen das Herunterladen eines Sicherheitsprodukts, das für die Entgegenwirkung bekannt ist, und das Durchführen eines Scans zur Entfernung der Bedrohung. Sie werden möglicherweise Ihre Dateien nicht zurückerlangen, jedoch können Sie sicher sein, dass die Infektion bereinigt wird. Für Screenlocking-Ransomware könnte eine vollständige Systemwiederherstellung notwendig sein. Wenn das nicht funktioniert, können Sie versuchen, einen Scan von einer bootfähigen CD oder einem USB-Laufwerk durchzuführen.

Wenn Sie versuchen möchten, eine Infektion mit verschlüsselnder Ransomware abzuwehren, müssen Sie besonders wachsam bleiben. Wenn Sie bemerken, dass Ihr System scheinbar grundlos langsamer wird, schalten Sie es ab und trennen Sie es von der Internetverbindung. Wenn, nachdem Sie es wieder hochgefahren haben, die Malware noch aktiv ist, kann sie keine Anweisungen senden oder empfangen vom Command-and-Control-Server. Das bedeutet, dass die Malware ohne Schlüsselinstruktionen oder Zahlungsmöglichkeiten möglicherweise untätig bleibt. An diesem Punkt laden Sie ein Sicherheitsprodukt herunter, installieren es und führen einen vollständigen Scan durch.

Diese Optionen zur Entfernung von Ransomware funktionieren jedoch nicht in jedem Fall. Wie oben erwähnt, sollten Verbraucher sich proaktiv gegen Ransomware verteidigen, indem sie Sicherheitssoftware wie Malwarebytes Premium installieren und alle wichtigen Daten sichern. Für Unternehmen erfahren Sie mehr über die Malwarebytes-Geschäftslösungen, die Ransomware-Erkennung, -Prävention und Rücknahme umfassen. 

Wie kann ich mich vor Ransomware schützen?

Sicherheitsexperten sind sich einig, dass die beste Methode, sich vor Ransomware zu schützen, darin besteht, es von Anfang an zu verhindern.


Lesen Sie über die besten Möglichkeiten, eine Ransomware-Infektion zu verhindern.

Lesen Sie über die besten Möglichkeiten, eine Ransomware-Infektion zu verhindern.

Obwohl es Methoden zur Bewältigung einer Ransomware-Infektion gibt, sind diese bestenfalls unvollkommene Lösungen und erfordern oft viel mehr technische Fertigkeiten als der durchschnittliche Computerbenutzer besitzt. Hier ist also, was wir den Leuten empfehlen, um die Auswirkungen von Ransomware-Angriffen zu vermeiden.

Der erste Schritt zur Ransomware-Prävention besteht darin, in großartige Cybersicherheitsprogramme zu investieren—ein Programm mit Schutz in Echtzeit, das entwickelt wurde, um fortgeschrittene Malware-Angriffe wie Ransomware zu vereiteln. Sie sollten auch nach Funktionen Ausschau halten, die sowohl verwundbare Programme vor Bedrohungen abschirmen (eine Anti-Exploit-Technologie) als auch verhindern, dass Ransomware Dateien als Geiseln hält (eine Anti-Ransomware-Komponente). Kunden, die die Premium-Version von Malwarebytes für Windows nutzten, waren zum Beispiel vor allen großen Ransomware-Angriffen des Jahres 2017 geschützt.

Als Nächstes müssen Sie, so schmerzhaft es auch sein mag, regelmäßig sichere Backups Ihrer Daten erstellen. Wir empfehlen die Verwendung von Cloud-Speicher mit hochgradiger Verschlüsselung und Multi-Faktor-Authentifizierung. Sie können jedoch auch USB-Sticks oder eine externe Festplatte kaufen, auf denen Sie neue oder aktualisierte Dateien speichern können – achten Sie nur darauf, die Geräte nach dem Backup physisch von Ihrem Computer zu trennen, da sie sonst ebenfalls mit Ransomware infiziert werden können.

Stellen Sie sicher, dass Ihre Systeme und Software aktuell sind. Der WannaCry Ransomware-Ausbruch nutzte eine Schwachstelle in Microsoft-Software aus. Obwohl das Unternehmen bereits im März 2017 einen Patch für das Sicherheitsproblem herausbrachte, installierten viele Leute das Update nicht – was sie anfällig für Angriffe machte. Wir verstehen, dass es schwierig ist, die ständig wachsende Liste von Updates für die täglich genutzte Software und Anwendungen im Auge zu behalten. Aus diesem Grund empfehlen wir, Ihre Einstellungen so zu ändern, dass automatische Updates aktiviert sind.

Bleiben Sie informiert. Einer der häufigsten Wege, wie Computer mit Ransomware infiziert werden, geschieht durch Social Engineering. Bilden Sie sich weiter (und Ihre Mitarbeiter, wenn Sie ein Geschäftsinhaber sind), um Malspam, verdächtige Websites und andere Betrügereien zu erkennen. Vor allem aber nutzen Sie Ihren gesunden Menschenverstand. Wenn etwas verdächtig erscheint, ist es das wahrscheinlich auch.

Wer sind hackers?

Was ist Scareware?

Was ist Spyware?