3. Wie kommt der Schadcode auf meinen PC?
Als Verbreitungsweg nutzen die Erpresserviren die klassischen Pfade für PC-Schädlinge.
Mails: Erpresserviren kommen hauptsächlich über spamartig verbreitete Mails. Doch anders als viele Spammails sind diese Nachrichten meist sehr gut gemachte Trickmails. Das Aussehen der Mails wirkt echt, die Nachricht scheint plausibel, und der Anhang ist meist ein harmlos wirkendes PDF oder eine Word-Datei. So öffnen die Empfänger der Nachricht häufig das angehängte Dokument. In der Datei befinden sich aber gefährliche Codeteile, die Sicherheitslücken von Word oder dem Acrobat Reader ausnutzen und im nächsten Schritt weiteren Code, meist den eigentlichen Verschlüsselungstrojaner, aus dem Internet nachladen und auch gleich starten.
Als schwer kontrollierbare Download-Quelle nutzen die Kriminellen übrigens auch private Dropbox-Konten. Die Kontrolle über diese Konten können sie entweder über gestohlene Log-in-Daten erlangen, oder der schädliche Code erschleicht sich den Zugriff über zuvor befallene PCs.
Peer2Peer-Netze: In diesen Netzen tarnen sich die Erpresserviren als Aktivierungscodes für beliebte Software, etwa Microsoft Office oder Adobe Photoshop. Es handelt sich um EXE-Dateien, die vom Opfer bereitwillig gestartet werden, da es einen Key-Generator erwartet. Tatsächlich starten sie den Schadcode, der entweder umgehend mit der Verschlüsselung der Dateien beginnt oder aber erst noch den eigentlichen Verschlüsselungstrojaner aus dem Internet nachlädt.
Websites: Einige Erpresserviren sollen auch über Werbebanner auf eigentlich harmlosen Websites auf die PCs gelangt sein. In den vergangenen Monaten ist dazu allerdings nichts mehr bekannt geworden.
4. Wenn ein Erpresservirus meine Daten sperrt: Soll ich zahlen?
Sicherheitsexperten empfehlen in der Regel, das Lösegeld nicht zu zahlen. Denn Sie können sich nicht darauf verlassen, dass Sie nach der Zahlung einen funktionierenden Code zum Entschlüsseln oder Entsperren erhalten. Zum anderen würde man mit einer Zahlung die Kriminellen dazu ermutigen, weiter Schädlinge zu verbreiten. Mit Ihrem Lösegeld bezahlen Sie also indirekt die Entwicklung weiterer Erpresserviren.
Doch das ist nur die eine Seite. Viele Betroffene sehen für sich keinen anderen Ausweg, als das Lösegeld zu bezahlen. Es fehlt ihnen schlichtweg ein Backup ihrer wichtigen Daten.
Leider sind in den vergangen Monaten auch die PCs von etlichen Krankenhäusern mit Erpresserviren verseucht worden. Von einem US-Hospital wurde bekannt, dass es rund 17 000 Dollar in Form von 40 Bitcoins gezahlt hat . Auch in Deutschland sind laut Presseberichten in diesem Jahr wohl mindestens fünf Krankenhäuser Opfer von Erpresserviren geworden. Wie viele von ihnen gezahlt haben, ist nicht bekannt. Im März 2016 hatte sich aber die Stadt Dettelbach bei Würzburg dazu entschieden, das Lösegeld zur Befreiung der gefangen genommenen Daten zu zahlen. Der Erpresservirus Teslacrypt hatte sich dort erfolgreich über einen Mailanhang in das IT-System geschleust. Dettelbach zahlte rund 500 Dollar in Form von Bitcoins und erhielt einen Code, mit dem sich die meisten Daten wiederherstellen ließen. Es gibt also viele Betroffene, die bezahlt haben.
Grundsätzlich gilt: Einen Erpresservirus, der nur den Zugang zu Windows sperrt, bekommen Sie auch ohne Zahlung des Lösegelds wieder los (Punkt 5). Anders sieht es bei Schädlingen aus, die Ihre Daten verschlüsseln. Wenn Sie kein Backup Ihrer wertvollen Daten haben, kann die Zahlung des Lösegelds eine Chance sein, die Dateien zurückzuerhalten. In einigen Fällen lassen sich die gekidnappten Daten aber auch mit Tools retten (Punkt 6).
Übrigens: Ende Mai haben die Macher des Erpresserschädlings Teslacrypt das Ende ihrer Machenschaften verkündet und den Generalschlüssel für alle Opfer zur Verfügung gestellt. Nun können Sie beispielsweise mit dem Tool Eset Teslacrypt Decrypter gefangene Dateien befreien.