(PM) 60327 Frankfurt, 17.12.2015 - In den letzten zweieinhalb Jahren hat der Antivirenspezialist Doctor Web mehr als 8.500 Anfragen von Kunden erhalten, deren Computer mit Ransomware infiziert wurden. Aktuell entfallen rund 60 Prozent aller Anfragen an den technischen Support auf Verschlüsselungstrojaner, eine Dekodierung war bisher nur in rund 10 Prozent aller Fälle erfolgreich, die Daten somit unrettbar verloren. Doch dank intensiver Forschungsarbeit ist Dr.Web mittlerweile in der Lage, viele befallene elektronische Geräte mit einer Wahrscheinlichkeit von bis zu 90 Prozent zu entschlüsseln und wieder nutzbar zu machen.

Der Begriff Ransomware beschreibt eine Gruppe von Schadprogrammen, die Daten auf Festplatten verschlüsseln und den Zugriff darauf sperren. Der Nutzer wird dann dazu aufgefordert, Lösegeld zu zahlen, um seine Dateien wieder nutzen zu können. Folgt der User der Aufforderung, kann dieser den Computer im günstigsten Fall dann auch wieder entsperren. Eine Garantie hierfür besteht leider nicht.

Vorsicht vor Dateianhängen

Die Methoden der Cyber-Gangster sind inzwischen äußerst raffiniert. So sind Schadprogramme oftmals gar nicht mehr als solche zu erkennen. Vielmehr verstecken sie sich in Anhängen von Mails, die scheinbar von Freunden oder Bekannten versendet worden sind. Besonderer Beliebtheit erfreuen sich dabei zunächst harmlose Word-Dokumente oder gepackte ZIP-Dateien.

Im Fall der Word-Dateien befindet sich die Malware in den eingebetteten Makros. Originär sollten sie dabei helfen, lästige Routineaufgaben schnell zu erledigen, indem sie diese automatisieren. Doch die Kriminellen nutzen sie, um Schadcode einzuschleusen.

ZIP-Dateien hingegen enthalten ausführbare Dateien – erkennbar an der Dateiendung *.exe – oder Schadcode als JavaScript (*.js). Entpackt der Empfänger das Archiv und führt die Datei aus, installiert sich die Malware oftmals unbemerkt im Hintergrund.

Viele Wege führen zur Malware

Neben dem Download via Mailanhang, kann eine Infektion auch über einen Drive-by-Download, als Datei beim Filesharing oder per Facebook-Link erfolgen. Der Trojaner verschlüsselt dann umgehend bestimmte Dateien, Ordner oder sogar die ganze Festplatte.

Danach erhält der Nutzer mittels einer Nachricht auf dem Display die Aufforderung, Geld per anonymer Überweisung ins Ausland zu zahlen. Anderenfalls bleiben die Daten unbrauchbar. Die Täter versprechen danach die gesperrten Dateien wieder freizugeben beziehungsweise ein Passwort für die Freigabe zu verschicken.

Damit es erst gar nicht so weit kommt, ist es sinnvoll, in Word keine Makros zu verwenden oder diese komplett zu deaktivieren. Daneben sollten ausführbare Dateien in gepackten Archiven auf gar keinen Fall angeklickt werden. Weiterhin kann es sinnvoll sein, die Nutzung von JavaScript im Browser zu unterbinden. Ist es dennoch zu einer Infektion gekommen, stehen die IT-Sicherheitsspezialisten von Doctor Web den Opfern gerne mit Rat und Tat zur Seite.