Was ist Ransomware und wie kann man sich vor einem Angriff schützen?

Heutzutage nehmen Kriminelle nicht nur Menschen, sondern auch Daten und Geräte in Geiselhaft, um Lösegeld zu erpressen – und zwar mit sogenannter Ransomware. Wie genau diese Erpresser-Software funktioniert, wie man Ransomware erkennen und entfernen kann und was Sie tun können, wenn Sie betroffen sind, erfahren Sie hier. Zudem haben wir einige Tipps, mit welchen Maßnahmen Sie vorsorgen und wie Sie sich besser vor Ransomware schützen können, zum Beispiel mithilfe einer Cyber-Sicherheitslösung wie Avira Free Security. 

Wie funktioniert Ransomware?  

Bei Ransomware (von englisch ransom für „Lösegeld“), auch Erpresser-Trojaner genannt, handelt es sich um eine Art von Malware, genauer gesagt, um eine spezielle Form von Trojaner. Sie verhindert den Zugriff auf Dateien oder sogar den gesamten Computer, bis von dem Betroffenen ein Lösegeld gezahlt wird. Dabei verschlüsselt Ransomware bestimmte oder alle Dateien oder sperrt den Bildschirm und somit den Zugang zum System. Die Opfer von Ransomware werden darüber informiert, dass sie einen bestimmten Geldbetrag – häufig in Kryptowährungen – zahlen müssen, um wieder auf ihren Computer bzw. ihre Dateien zugreifen zu können.  

In der Regel drohen die Cyber-Kriminellen damit, nach Ablauf einer Frist die Dateien dauerhaft zu löschen und/oder online zu veröffentlichen. Doch selbst die Zahlung des Lösegelds ist leider keine Garantie dafür, dass die Geschädigten den Schlüssel zur Entsperrung bzw. Entschlüsselung erhalten. Denn Ehrlichkeit hat unter Dieben nicht unbedingt höchste Priorität…   

Ransomware ist eine der größten Cyber-Bedrohungen überhaupt und richtet jedes Jahr Schäden in Milliardenhöhe an. Ransomware entwickelt sich permanent weiter und regelmäßig tauchen neue Arten, Familien, Varianten und Stämme mit eigenen Signaturen und Funktionen auf. Dabei werden die Angriffe auch immer ausgefeilter und komplexer und mittlerweile gibt es sogar Mehrfach-Erpressungen. Zudem bieten Cyber-Kriminelle mit Ransomware-as-a-Service (RaaS) vermehrt entsprechende Dienstleistungen im Darknet an. So können auch Kriminelle ohne technische Kenntnisse Ransomware-Angriffe ausführen lassen.  

Der erste dokumentierte Fall von Ransomware war der AIDS-Trojaner von 1989. Der Evolutionsbiologe Joseph L. Popp verschickte per Post 20.000 Disketten mit der Aufschrift „AIDS Information – Introductory Diskettes“ an Teilnehmer der internationalen AIDS-Konferenz der WHO. Sie waren mit einem Trojaner infiziert, der die Dateien auf dem Computer verschlüsselte. Um die Dateien entschlüsseln zu können und wieder Zugang zu erhalten, sollten die Betroffenen 189 Dollar an ein Postfach in Panama schicken. Dr. Popp wurde gefasst, jedoch für verhandlungsunfähig erklärt, nachdem er damit begann, mit einem Pappkarton auf dem Kopf herumzulaufen.  

Heutzutage wird Ransomware zwar nicht mehr per Diskette, sondern vor allem online verbreitet. Allerdings kann Ransomware auch auf USB-Sticks versteckt werden und weiterhin per Post zu den potenziellen Opfern gelangen. 

Besonders betroffene Branchen und Ransomware-Beispiele  

Ransomware kann prinzipiell gegen jede Privatperson, jede Organisation und jedes Unternehmen eingesetzt werden. Dabei stehen nicht nur große, sondern auch kleine und mittelständische Unternehmen im Visier, da diese häufig vergleichsweise schlechter geschützt sind. Zu den häufigsten Zielen gehören: Regierungsbehörden auf nationaler und kommunaler Ebene, das Bildungs-, Finanz- und Gesundheitswesen, IT & Technologie, Fertigung & Industrie, der Einzelhandel und Dienstleistungen. 

Vertrauliche und sensible Daten sind für Ransomware-Angreifer besonders lukrativ, weil die Betroffenen sie unbedingt zurückerhalten wollen. Daher sind unter anderem Krankenversicherungen, Krankenhäuser und Gesundheitsministerien ein beliebtes Ziel. Bei dem Angriff auf den nationalen irischen Gesundheitsdienst im Jahr 2021 legte die kriminelle Bande Wizard Spider alle Services lahm und forderte Berichten zufolge 20 Millionen US-Dollar für die Wiederherstellung. Die Folge war ein Quasi-Ausfall der Netzwerke, und in einigen Gebieten fielen bis zu 80 % der medizinischen Termine aus.    

2021 kompromittierte die Ransomware-Bande REvil das Netzwerk des taiwanesischen PC-Herstellers Acer und stellte eine der höchsten Lösegeldforderungen aller Zeiten: Es wurden 50 Millionen US-Dollar verlangt. Ob das Unternehmen den Betrag gezahlt hat, ist allerdings nicht bekannt.  

Mit Costa Rica war 2022 zum ersten Mal ein Land gezwungen, als Reaktion auf einen groß angelegten kombinierten Ransomware-Angriff auf fast 30 staatliche Institutionen den nationalen Notstand auszurufen. Die Ransomware-Gruppe Conti forderte 10 Millionen US-Dollar (später wurde der Betrag auf 20 Millionen erhöht). Der Vorfall hatte insbesondere Auswirkungen auf den Außenhandel, Lohnzahlungen und Ermittlungen der Staatseinnahmen und -ausgaben. Die Regierung zahlte nicht und so landeten die gestohlenen Daten größtenteils im Darknet. 

Welche Ransomware-Arten gibt es?  

Jede Ransomware verhält sich etwas anders, aber im Großen und Ganzen kann sie in zwei Kategorien unterteilt werden:  

1. Locker-Ransomware: nicht verschlüsselnde, sondern bildschirmsperrende Ransomware
2. Krypto-Ransomware: verschlüsselnde Ransomware

Mittlerweile werden auch hybride Ransomware-Angriffe durchgeführt, die beide Arten kombinieren oder zusätzliche Malware und Hacking-Methoden hinzufügen. Dabei kann es sich zum Beispiel um Backdoor-Funktionen zur Fernsteuerung des infizierten Geräts oder um Leakware zur Exfiltration von Daten handeln. 

Während bei einem Ransomware-Angriff der Zugriff auf das System bzw. die Daten nach einer Lösegeldzahlung wiederhergestellt werden kann (zumindest theoretisch), ist das bei den sogenannten Whipern, auch destruktive Malware genannt, nicht der Fall. Diese zielen nur darauf ab, Daten zu vernichten und lassen sich anfangs nicht immer von Ransomware unterscheiden. So war es zum Beispiel bei NotPetya, die der Ransomware-Variante Petya ähnelte (daher der Name), und eine Lösegeldforderung stellte, aber eine zufällig generierte Bitcoin-Adresse anzeigte und somit eine Zahlung gar nicht möglich war.  

Locker-Ransomware 

Locker-Ransomware wird auch Desktopblocker (oder kurz Blocker) genannt und sperrt das infizierte System, indem sie den Zugriff auf das Betriebssystem oder bestimmte Funktionen des Systems einschränkt oder deaktiviert. 

Dafür ändert die Locker-Ransomware die Einstellungen des Betriebssystems oder startet eine spezielle Anwendung, die ein Fenster mit der Lösegeldforderung über den gesamten Desktop legt. Das überlagernde Fenster ist oft so konzipiert, dass es nicht einfach geschlossen oder umgangen werden kann, sodass der Benutzer keine Möglichkeit hat, auf Programme oder Bedienelemente wie die Taskleiste und das Startmenü zuzugreifen.  

MBR Ransomware  

Bei dieser eher seltenen Variante, die auch als Bootlocker-Ransomware bezeichnet wird, sperrt die Ransomware ebenfalls den Zugriff auf das System, jedoch indem sie den Master Boot Record (MBR) überschreibt, manipuliert oder verschlüsselt, also den Teil der Festplatte, welcher das Hochfahren des Betriebssystems ermöglicht. Die Lösegeldforderung erscheint beim Startvorgang des Computers, bevor das Betriebssystem geladen wird.  

Die Ransomware-Variante RedBoot tat jedoch nicht nur das, sondern verschlüsselte zudem auch noch alle Dateien. MBR Ransomware kann also auch in Verbindung mit anderen Ransomware-Techniken eingesetzt werden, was zu vielschichtigen Angriffen führt, die schwieriger zu beheben sind. 

Krypto-Ransomware 

Diese verschlüsselnde Ransomware, auch Krypto-Trojaner, Cryptolocker oder Verschlüsselungstrojaner genannt, ist im Allgemeinen die gängigere der beiden übergeordneten Ransomware-Arten. Hier kommen fortschrittliche Verschlüsselungsalgorithmen zum Blockieren von Dateien oder ganzen Ordnerstrukturen und Laufwerken zum Einsatz. Betroffene finden in der Regel eine Textdatei mit Anweisungen für die Zahlung im Ordner der Dateien, auf die sie keinen Zugriff mehr haben. 

Während ältere Ransomware-Stämme nur bestimmte Dateien wie Systemdateien oder persönliche Dateien verschlüsselten, kann fortschrittlichere Ransomware nicht nur den MBR manipulieren, sondern zusätzlich noch das Master File Table (MFT), die Dateisystemtabelle der Festplatte, verschlüsseln. So können sie den Zugriff auf alle Dateien und das Betriebssystem sperren, wie es beispielsweise die Petya-Ransomware getan hat. 

Mehrfach-Erpressungen durch Leakware & Co. 

Bei der einfachen Erpressung, auch Single Extortion genannt, werden die Dateien „nur“ verschlüsselt, wohingegen sie bei der doppelten Erpressung, der Double Extortion, auch noch kopiert und gestohlen werden. In diesem Fall wird zusätzlich damit gedroht, die erbeuteten Daten zu veröffentlichen. Dabei kann es sich um sensible Daten von Unternehmen oder intime Dateien von Privatpersonen handeln. Diese Ransomware-Art wird auch als Leakware oder Doxware bezeichnet. Während sie in ihrer früheren Form Daten nur stehlen, jedoch nicht verschlüsseln konnte, kann sie heutzutage oft beides.  

Die dreifache Erpressung (Triple Extortion) setzt noch einen drauf bzw. einen dritten Hebel an und droht des Weiteren damit, mit den gestohlenen Daten die betreffenden Kunden, Geschäftspartner oder Patienten zu erpressen. Oder die Erpresser kontaktieren diese direkt und drohen mit Veröffentlichung der Daten. Je nach Inhalt der erbeuteten Daten können sich noch weitere Handlungsoptionen ergeben (Multiple Extortion oder Mehrfacherpressungen).  

Als vierter Vektor (Quadruple Extortion oder vierfache Erpressung) kann beispielsweise ein DDoS-Angriff ausgeführt werden, um die Erreichbarkeit der Webseiten zu unterbinden und somit den Druck weiter zu erhöhen.  

Mobile Ransomware 

Auch Android-Geräte wie Smartphones und Tablets können mit Ransomware infiziert werden, zum Beispiel über Drive-by-Downloads, gefälschte Updates, Phishing-Angriffe, schädliche Game Plugins oder infizierte Apps. In der Regel handelt es sich hierbei um bildschirmsperrende Locker-Ransomware, da die Daten eines Smartphones bei einer Verschlüsselung relativ leicht wiederhergestellt werden können, zum Beispiel über Cloud-Backups. Die Ransomware-Variante DoubleLocker änderte allerdings die Geräte-PIN auf den betroffenen Smartphones und verschlüsselte zusätzlich alle Daten. 

iPhone-Nutzer haben hingegen Glück: Es gibt derzeit keine iOS-Ransomware. Allerdings können Cyber-Kriminelle so tun also ob und mithilfe von Scareware einen Ransomware-Angriff vortäuschen, ohne dabei tatsächlich den Zugriff auf die Daten oder Dateien Gerät zu sperren. 

Wie laufen Ransomware-Angriffe ab? 

Ein Ransomware-Angriff kann in verschiedene Phasen unterteilt werden, die je nach Ransomware-Variante und Angriffsmethode variieren können. Zudem kann Ransomware auch verzögert aktiv werden und sich über Wochen oder Monate nach der Infektion im Schlafmodus befinden, zum Beispiel um zu einem bestimmten Zeitpunkt zuzuschlagen oder für einen koordinierten Angriff eingesetzt zu werden. 

Ransomware-Angriffe können zusätzliche oder weniger Schritte enthalten oder in einer veränderten Reihenfolge erfolgen, aber prinzipiell laufen sie folgendermaßen ab:  

Infektion/Infiltration: Die erste Phase, auch „Erstzugriff“ genannt, besteht darin, in das Zielsystem einzudringen. Dies kann über unterschiedliche Wege erfolgen, wie wir Ihnen im nächsten Abschnitt näher erläutern werden. 

1. Einnistung und Ausführung: Nach dem Eindringen führt die Ransomware ihre bösartigen Aktionen auf dem infizierten System aus. Dies beinhaltet oft das Herunterladen und Ausführen von schädlichem Code, der darauf abzielt, Dateien zu verschlüsseln oder das System zu beeinträchtigen. 
2. Ausbreitung: Die Ransomware versucht sich auszubreiten und weitere Systeme im Netzwerk zu infizieren, was auch als laterale Bewegung oder Lateralausbreitung bezeichnet wird. Dazu können auch Geräte wie USB-Sticks und externe Festplatten sowie Netzlaufwerke und Cloud-Speicherdiensten gehören, die ihren Online-Speicher mit lokalen Ordnern synchronisieren. 
3. Verschlüsselung & Exfiltration: Die Ransomware sucht nun nach wertvollen Daten bzw. bestimmten Dateitypen, wie Dokumenten, Bildern oder Datenbanken, und verschlüsselt sie mit einem starken Verschlüsselungsalgorithmus. Dadurch werden die Dateien für den Benutzer unlesbar und unbrauchbar gemacht. Vor der Verschlüsselung kann es auch zu einer Exfiltration von Daten kommen, d.h., dass diese kopiert und exportiert werden, um den Betreffenden doppelt zu erpressen, wie oben beschrieben.  
4. Lösegeldforderung: Nachdem die Dateien verschlüsselt wurden bzw. das Gerät gesperrt wurde, wird dem Opfer eine Lösegeldforderung präsentiert. Dies kann durch eine Nachricht auf dem Bildschirm des infizierten Systems geschehen oder durch eine Textdatei, die den Opfern Anweisungen zur Zahlung eines Lösegelds gibt. Oft wird eine Frist gesetzt, innerhalb der das Lösegeld gezahlt werden muss, um die Dateien zurückzuerhalten.
5. Zahlung und Entschlüsselung (optional): Wenn das Opfer bereit ist, auf die Forderung einzugehen, erhält es nach der Lösegeldzahlung manchmal (aber nicht immer!) eine Software oder einen Schlüssel (auch Key genannt) in Form eines Codes. Mithilfe dieser Software oder dieses Schlüssels können die Dateien entschlüsselt bzw. das System entsperrt werden.  

Wie befällt Ransomware einen Computer oder ein System? 

Auch wenn es sich bei Ransomware um kein Virus handelt, kann sie auf den gleichen Wegen wie Viren und andere Malware-Arten auf Ihren Computer gelangen. Und auch die Schutzmaßnahmen, die Sie ergreifen können, sind weitestgehend die gleichen. Weiter unten in diesem Artikel erfahren Sie ausführlich, wie Sie sich vor Ransomware-Angriffen schützen können. 

Folgende Infektionsmethoden sind besonders verbreitet: 

• Social Engineering: Bei dieser Art der sozialen Manipulation versuchen Cyber-Kriminelle ihr Opfer durch gezielte Täuschung dazu zu bewegen, Malware wie Ransomware herunterzuladen oder sensible Daten preiszugeben. Beim Social Engineering werden verschiedenste Methoden und Strategien eingesetzt, wie zum Beispiel Phishing oder Scareware. Beide Angriffsformen nutzen häufig Schreckensszenarien, um den Nutzer zu einer gewünschten Handlung zu bringen.  

• Scareware: Während Phishing-Angriffe in der Regel über E-Mails und Webseiten erfolgen, tritt Scareware meist in Form von Pop-ups auf, bei denen es sich um vermeintliche Meldungen des Betriebssystems oder Virenschutzes handelt. Diese informieren über ein Problem, das mit einer Aktion angeblich behoben werden kann, aber stattdessen dadurch erst zu einem führt, nämlich möglicherweise zu einer Ransomware-Infektion. Besonders perfide sind Scareware-Mails, die Nutzern Angst einjagen und mit leeren Drohungen entweder Geld zu erpressen versuchen oder über einen infizierten Link Ransomware einschleusen. 

• Schädliche E-Mail-Anhänge in Spam– und Phishing-Mails: Diese bösartigen Anhänge in scheinbar von vertrauenswürdigen Absendern stammenden E-Mails können verschiedene Formate haben und z. B. als ZIP-Datei, EXE-Datei, PDF, Word-Dokument, Excel-Tabelle usw. versendet werden. Die Ransomware-Variante CryptoLocker nutzte beispielsweise dieses Vorgehen und trieb gleichzeitig noch in einem P2P-Filesharing-Netzwerk ihr Unwesen – wie auch die Ransomware-Variante TorrentLocker. Hier ist also ebenfalls Vorsicht geboten. 

• Filesharing-Dienste: Angreifer können auch Filesharing-Dienste wie Dropbox, Google Drive und Co. nutzen, um Ransomware zu verbreiten, beispielsweise durch das Teilen von infizierten Dateien über Links oder das Hochladen von Ransomware-Dateien in gemeinsam genutzten Ordnern. Die Ransomware-Gruppe Petya nutzte zum Beispiel einen Dropbox-Download-Link in einer Bewerbungs-Mail, um sich Zutritt zu verschaffen.  

• Infizierte URLs/verlinkte Malware: Schädliche Links können sich in E-Mails, Social Media-Posts und sogar in SMS-Nachrichten befinden und zu mit Ransomware infizierten Webseiten oder zum Download von Ransomware führen. 

• Drive-by-Downloads: Cyber-Kriminelle können sowohl eigene Webseiten mit schädlichem Code aufsetzen als auch vertrauenswürdige Webseiten kompromittieren und manipulieren. Sobald Sie eine solche Webseite aufrufen, wird die Ransomware quasi im Vorbeigehen automatisch heruntergeladen. Die Ransomware-Variante Bad Rabbit wurde beispielsweise durch eine gefälschte Adobe Flash Player-Installationsdatei eingeschleust, einen sogenannten Dropper. Häufig kommt hierfür auch Malvertising zum Einsatz. Diese Art der Online-Werbung kann mit einem bösartigen Code versehen sein, der zu einem Drive-by-Download führt, oder den Nutzer auf eine schädliche Webseite leiten. 

• Schädliche Downloads: Hierbei wird der User aktiv und lädt unwissentlich eine gefälschte, mit Ransomware versehene Software eines vermeintlich seriösen Anbieters herunter. Auch unlizenzierte Software oder Raubkopien können infiziert sein, wie das Beispiel der STOP/Djvu-Ransomware-Familie gezeigt hat.  

• USB-Sticks: Kriminelle greifen zur Verbreitung von Ransomware teilweise auch auf USB-Sticks zurück und verschicken diese als Werbegeschenk getarnt per Post oder „verlieren“ sie an Orten, wo sie garantiert jemand findet. 

• Sicherheitslücken in Programmen und Betriebssystemen (Exploits): Häufig werden noch unentdeckte bzw. noch ungepatchte Schwachstellen in Programmen, Betriebssystemen und auch Cloud-Plattformen ausgenutzt, um Ransomware einzuschleusen. Die Ransomware-Variante WannaCry nutzte beispielsweise eine Windows-Sicherheitslücke als Einfallstor. 

Wie können Sie sich vor Ransomware schützen? 

Zum Glück können Sie sich mit einigen Vorsichtsmaßnahmen vor Ransomware schützen und mithilfe eines Virenschutzes die beliebtesten Einfallstore besser abschirmen. Er hilft Ihnen auch bei der Erkennung und Entfernung von Ransomware. 

Mit diesen Tipps sind Sie Cyber-Erpressern immer einen Schritt voraus:  

1. Sichern Sie Ihre Daten regelmäßig
   Wenn es um den Schutz vor Ransomware geht, sind regelmäßige Backups Ihres Systems das A und O. Denn wenn Ihre Daten gesichert sind, können Angreifer Sie nicht mehr erpressen ‒ ganz einfach. Nutzen Sie dafür am besten eine externe Festplatte und das integrierte Windows Backup-Tool bzw. Time Machine für Mac und/oder einen Cloud-Speicherdienst wie Windows OneDrive oder Apples iCloud. Achten Sie darauf, dass Ihr Speichermedium standardmäßig vom Netzwerk getrennt ist, da sich eine Ransomware-Infektion über das gesamte Netzwerk verbreiten kann.  

2. Aktualisieren Sie regelmäßig Ihr Betriebssystem und Ihre Programme
   Da Ransomware-Infektionen auch über Sicherheitslücken in Betriebssystemen und Programmen erfolgen können, sollten Sie diese regelmäßig aktualisieren. Denn Updates erhalten häufig sogenannte Patches, die diese Schwachstellen beheben. Ein Software-Updater kann Ihnen dabei helfen und die Suche nach neuen Updates aus sicherer Quelle abnehmen. So können Sie dafür sorgen, dass nur „saubere“ Updates auf Ihren PC gelangen.  

3. Verwenden Sie eine Virenschutzlösung
   Neben einer Firewall bietet ein leistungsstarker Virenschutz gleich auf mehreren Ebenen einen besseren Schutz vor Ransomware-Angriffen. Besonders wenn Ihre Cyber-Sicherheitslösung über folgende Funktionen verfügt, wie sie zum Beispiel in Avira Free Security bzw. Avira Prime enthalten sind. 

• • Ransomware-Schutz: Die kostenlose All-in-One-Lösung Avira Free Security verfügt über einen cloudbasierten Echtzeit-Schutz, der auf der Analyse von Virensignaturen basiert und zur Erkennung bereits bekannter Online-Bedrohungen dient. Dabei werden verdächtige Dateien in der Avira Protection Cloud mit der umfangreichen Ransomware-Datenbank von Avira abgeglichen und bei einer Übereinstimmung blockiert. 
  • Erweiterter Ransomware-Schutz: Avira Prime nimmt zusätzlich noch eine heuristische und verhaltensbasierte Analyse vor. Bei der erstgenannten werden bestimmte Merkmale, Eigenschaften oder Verhaltensweisen von Programmen und Dateien betrachtet, um potenziell schädliche Aktivitäten zu erkennen und zu verhindern. Die zweitgenannte geht noch einen Schritt weiter und betrachtet das tatsächliche Verhalten von Programmen oder Dateien während ihrer Ausführung. So können ungewöhnliche Aktionen erkannt und blockiert werden, die typischerweise von Ransomware initiiert werden, wie die Verschlüsselung von Dateien. Auf diese Weise können auch neue, bisher unbekannte Ransomware-Varianten und Mutationen entdeckt und blockiert werden. 
  • Webschutz: Die kostenlose Browser-Erweiterung Avira Browserschutz und der in Avira Prime für Windows integrierte Webschutz bieten einen besseren Schutz vor schädlichen Downloads, infizierten Webseiten und bösartiger Online-Werbung. Avira Prime für Windows verfügt zusätzlich noch über einen E-Mail-Schutz, mit dem Sie Ihre Mails auf gefährliche Links und mit Ransomware oder anderer Malware infizierte Anhänge überprüfen können. Zudem können damit auch USB-Sticks, externe Festplatten und in der Cloud gespeicherte Dateien gescannt werden. 

4. Schützen Sie auch Ihre Mobilgeräte vor Ransomware
   Mit Avira Antivirus Security können Sie auch Ihre Android-Geräte besser vor Malware wie Ransomware schützen und viele weitere kostenlose Funktionen nutzen. Dazu gehört neben einem Virenschutz unter anderem ein VPN, mit dem Sie Ihren Datenverkehr in ungesicherten öffentlichen WLANs verschlüsseln und sicherer surfen können.
   Avira Mobile Security für iOS enthält ebenfalls ein VPN sowie weitere nützliche Features. Die Pro-Version der beiden Apps bietet zusätzlich einen Webschutz, mit dem Sie sich besser vor schädlichen Webseiten und Phishing-Angriffen schützen können. 

5. Seien Sie stets auf der Hut

• • Öffnen Sie keine E-Mail-Anhänge, bei denen Sie nicht wissen, ob die Quelle vertrauenswürdig ist. Prüfen Sie beispielsweise, ob die E-Mail-Adresse des Absenders korrekt ist, indem Sie mit dem Mauszeiger darüberfahren. Lesen Sie hier, anhand welcher weiteren Merkmale Sie Phishing-Mails erkennen können. 
  • Seien Sie vorsichtig bei Links in Nachrichten, E-Mails oder sozialen Medien und überprüfen Sie Links lieber einmal zu viel als zu wenig.   
  • Schließen Sie niemals USB-Sticks an Ihr Gerät an, wenn Sie ihre Herkunft nicht kennen.   
  • Laden Sie Software oder Mediendateien nur aus verifizierten Quellen herunter.   

Wie sollte man auf einen Ransomware-Angriff reagieren? 

Wenn Sie Opfer eines Ransomware-Angriffs geworden sind und kein Backup Ihres Computers haben, heißt es erst einmal Ruhe zu bewahren und nicht übereilt zu handeln. 

Das sollten Sie nun tun: 

• Nicht bezahlen: Gehen Sie bei einem Ransomware-Angriff nicht auf die Forderungen der Erpresser ein. Denn zum einen ist nicht garantiert, dass diese Ihre Daten oder Ihr System nach der Zahlung tatsächlich wieder freigeben und zum anderen könnten weitere Forderungen folgen.  
• Anzeige erstatten: Fotografieren Sie die Nachricht der Erpresser ab und wenden Sie sich damit an die örtlich zuständige Polizeidienststelle. 
• Im Internet nach Entschlüsselungstools suchen: Mit speziellen Decryption-Tools und etwas Glück können Ihre Daten eventuell entschlüsselt und wiederhergestellt werden. Auf der Webseite des No More Ransom Project werden beispielsweise Schlüssel und Entschlüsselungswerkzeuge für viele verschiedene Ransomware-Varianten sowie die entsprechenden How-to-Anleitungen zur Verfügung gestellt. Dort können Sie auch die Lösegeldforderung oder Ihre Dateien zur Erkennung der Ransomware-Variante hochladen. So kann die Ransomware möglicherweise identifiziert und überprüft werden, ob eine Entschlüsselungslösung verfügbar ist. 
  Es gibt auch andere seriöse Webseiten, die Entschlüsselungstools und/oder Angaben zu den Dateinamen der Lösegeldforderung und den Dateiendungen der verschlüsselten Dateien zur Bestimmung der Ransomware-Variante zur Verfügung stellen.  

Wie kann man Ransomware erkennen und entfernen? 

Leider kann man Ransomware in der Regel nicht erkennen, bis sie zugeschlagen hat. Daher lässt sie sich auch nicht so einfach entfernen. In diesem Fall können Sie leider nur wie oben beschrieben vorgehen.  

Ein guter Virenschutz hilft Ihnen jedoch proaktiv und kann nicht nur Ransomware, sondern auch andere Schadsoftware frühzeitig erkennen und schädliche Aktionen verhindern. Der Echtzeitschutz von Avira überwacht beispielsweise das System kontinuierlich im Hintergrund. Erkennt er eine verdächtige Datei oder Aktivität, blockiert er automatisch deren Zugriff oder Ausführung. Zudem empfehlen sich regelmäßige System-Scans, um Ransomware rechtzeitig erkennen und entfernen zu können.  

Die All-in-One-Schutzlösung Avira Free Security enthält darüber hinaus noch einen Software-Updater, mit dem Sie Sicherheitslücken schließen können, sowie einen Browserschutz, mit dem Sie Ihre Online-Aktivitäten besser schützen können. So können Sie sich auf gleich mehreren Ebenen besser gegen Ransomware-Angriffe absichern.