Ransomware, Adware und Co. – wie kann man sich schützen?

Immer wieder sorgt Schadsoftware für Schlagzeilen: Angriffe auf Unternehmen, Institute, Privatrechner und sogar Krankenhäuser sind im digitalen Zeitalter längst zur Regel geworden. Sie treten in unterschiedlicher Form auf: Für die verschiedenen Arten von schädlicher Software werden in IT-Kreisen gerne die Kofferwörter Ransomware, Spyware, Adware oder Scareware genutzt – stets mit angehängtem „-ware“ als Abkürzung für „Software“. Sie alle beschreiben unterschiedliche Formen von Malware (engl. „malicious Software“ = „bösartige Software“, Schadsoftware). Was aber verbirgt sich konkret hinter den einzelnen Begriffen? Wie akut ist die Bedrohung tatsächlich? Wie können Sie sich als Internetnutzer vor Schadsoftware schützen und sie im Fall einer Infektion wieder vom Rechner entfernen?

Ransomware: So schützen Sie sich vor den „Erpressertrojanern“

Hinter dem ersten Kofferwort, „Ransomware“, verbirgt sich eine Zusammenführung der englischen Begriffe „ransom“ (dt. „Lösegeld“) und „Software“. Daneben ist auch von Erpresser-, Krypto- oder Verschlüsselungstrojanern die Rede. Sie alle bezeichnen die gleiche Funktionsweise: Die Schadsoftware verschlüsselt sämtliche Dateien eines Rechners – oder sogar eines ganzen Netzwerks – und blendet statt der üblichen Benutzeroberfläche eine Anweisung für die Freigabe der Dateien ein, oft eine Lösegeldforderung oder ein ähnlicher „Erpresserbrief“. Bei der Verbreitung unterscheidet sich Ransomware nicht von den deutlich bekannteren Computerviren: Sie gelangt zumeist über gefälschte Mailanhänge (etwa angebliche Rechnungen, Lieferscheine, ZIP-Dateien o. ä.), Sicherheitslücken im Webbrowser oder Filehosting-Dienste wie Dropbox auf die anvisierten Rechner.

So funktioniert Ransomware

Die gängigste Methode ist jedoch die massenhafte Versendung von E-Mails mit infizierten Anhängen über Bot-Netzwerke. Mittels Spambots können Cyberkriminelle die präparierten E-Mails automatisiert verschicken. Hinter den gefälschten Anhängen verbergen sich schließlich Downloader, die den eigentlichen Verschlüsselungstrojaner nachliefern. In der Regel bauen die Mails Druck auf, imitieren tatsächlich existierende Absender wie bekannte Unternehmen oder versuchen, mit Nutzern in Kontakt zu treten. Diese können direkt angesprochen und zum Öffnen des Anhangs aufgerufen werden.

Die Methode ist zwar altbekannt, die Bedrohung jedoch seit dem Winter 2015/16 deutlich akuter geworden: Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentliche im Zuge einer regelrecht explosionsartigen Zunahme der Ransomware-Befälle ein Themenpapier: Darin heißt es, dass im Februar 2016 zehn Mal mehr Ransomware durch Antivirenprogramme erkannt wurde als noch im Oktober 2015. Zeitweise wurden allein in Deutschland stündlich bis zu 5.000 neuinfizierte Rechner durch den Krypto-Trojaner „Locky“ gezählt. Das Schadprogramm sorgte weltweit für Schäden in Millionenhöhe und machte selbst vor Krankenhäusern nicht Halt: Neben einer Klinik in Los Angeles wurden rund um den Globus zahlreiche weitere Krankenhäuser, Firmen und Privatrechner verschlüsselt. Sogar noch häufiger schlagen Schädlinge der Ransomware-Familie TeslaCrypt zu.

Schutzmaßnahmen und Methoden, um Ransomware zu entfernen

Die Präventivmaßnahmen gegen Ransomware sind vielfältig: An erster Stelle sind die grundsätzlichen Schutzmaßnahmen vor betrügerischen E-Mails zu nennen. Das heißt: Bei unerwarteten Mails skeptisch sein, nicht unbedacht auf dubiose Links klicken sowie die Plausibilität von Anhängen stets hinterfragen und diese nur öffnen, wenn die Authentizität einwandfrei feststellbar ist. Außerdem wird empfohlen:

  • das Betriebssystem sowie eine effektive Anti-Virensoftware immer aktuell zu halten; nur so können neue Bedrohungen auch erkannt werden
  • Back-ups der wichtigsten Dateien regelmäßig auf einem externen Speichermedium zu erstellen; im Verlustfall können die Daten so ohne größere Schäden wiederhergestellt werden
  • die Firewall des Betriebssystems immer einzuschalten; es kann zudem zusätzlichen Schutz bieten, nicht dauerhaft mit Administratorrechten zu arbeiten
  • Software mit bekannten Sicherheitslücken nicht mehr zu verwenden; hier ist an erster Stelle der Adobe Flash Player zu nennen, der seit der Umstellung vieler Webseiten auf HTML5 immer seltener benötigt wird

Wenn es dann doch so weit gekommen ist: Was können Sie im Falle einer Verschlüsselung durch Ransomware unternehmen? Ob sich die Ransomware entfernen lässt, hängt stark vom jeweiligen Verschlüsselungsverfahren ab. Einige können von gängiger Antiviren-Software erkannt und entfernt werden. Andere sind hartnäckiger: In jedem Fall sollte bei einem Befall der Rechner von Netzwerk getrennt und ausgeschaltet werden. Mithilfe von Rettungs-CDs lassen sich einige Bedrohungen abwenden: Diese Notfall-Discs gibt es von den Herstellern gängiger Antiviren-Software, etwa von Kaspersky, AVG oder BitDefender.

Außerdem kann das Starten im abgesicherten Modus helfen. Dieser stellt sicher, dass ausschließlich die wichtigsten Systemfunktionen hochfahren. In dieser sicheren Umgebung lässt sich das System unter „Systemsteuerung“ im Menü „System und Sicherheit“ auf einen früheren Zeitpunkt zurücksetzen – allerdings nur, wenn zuvor ein Wiederherstellungspunkt gesetzt wurde. Diesen erzeugt das System aber in der Regel automatisch bei Updates oder Programminstallationen.

Als letztes Mittel können Sie über die Befehlszeile auch spezielle Entschlüsselungstools ausführen, die gegen spezifische Verschlüsselungstrojaner entwickelt wurden. Alle wichtigen Links zu diesen Tools finden Sie in diesem Artikel von „PC Welt“.

Adware und Spyware entfernen: So werden Sie Schnüffel-Software los und schützen Ihre Daten

Spyware (engl. „spy“ = „Spion“) bezeichnet Spionageprogramme, die im harmlosesten Fall das Nutzerverhalten und -interesse zu Werbezwecken erschnüffeln, schlimmstenfalls aber auch Kreditkartendaten, Passwörter oder andere sensible Informationen ausspähen. Bei besonders bösartigen Befällen installiert sich Spyware zusammen mit sogenannten Keyloggern, die jegliche Eingaben des Nutzers nachverfolgen und übers Internet an die Entwickler der Schadsoftware weiterleiten. Im ersten, harmloseren Fall spricht man auch von Adware (zusammengesetzt aus engl. „advertisement“ = „Werbung“ und „Software“). Diese Programme machen oft kein Geheimnis aus ihrer eigentlichen Absicht. Oft gelangen sie als optionale Zusatzinhalte eines Installationsclients auf die Rechner und lassen sich dort auch leicht deinstallieren. In vielen Fällen handelt es sich um Toolbars für den Browser bzw. Searchbars zumeist unbekannterer Suchmaschinen. Über die Eingaben in diese Suchleisten kann zugeschnittene Werbung in Form von Bannern oder Pop-ups präsentiert werden. Auch eine automatische Veränderung der Startseite oder der Standard-Suchmaschine sind möglich – Eingriffe, die sich zwar leicht rückgängig machen lassen, aber dennoch lästig sind.

Adware: So entfernen sie unerwünschte Browser-Tools

Am besten ist es, Adware gar nicht erst zu installieren: Wählen Sie daher bei der Installation von kostenlosen Programmen aus dem Internet (Freeware) nicht die automatisierte Standard-Installation – selbst wenn Sie der Quelle des Installationsclients vertrauen. Oftmals werden Zusatzprogramme bei der Express-Installation einfach mitinstalliert, ohne dass der Nutzer etwas von ihnen weiß. Erst beim nächsten Öffnen des Browsers zeigen sich die Auswirkungen. Nehmen Sie sich besser die Zeit und gehen Sie die Installation Schritt für Schritt durch. Kontrollieren Sie bei jedem Installationsschritt genau, was installiert werden soll und entfernen Sie die Häkchen bei unerwünschten Programmen.

Haben Sie versehentlich doch Adware installiert, können Sie diese im Regelfall leicht wieder entfernen. Viele Toolbars lassen sich in der Systemsteuerung des Betriebssystems („Programme und Funktionen“ o. ä.) deinstallieren. Auf jeden Fall sollten Sie alle installierten Browser kontrollieren und die Toolbars ggf. einzeln und manuell löschen, sofern diese noch in der Add-on- bzw. Plug-in-Übersicht auftauchen. Auch die Standard-Suchmaschine und die Startseite passen Sie in den Einstellungen der Browser manuell an. Sollte sich das Schadprogramm jedoch nicht deinstallieren lassen, sind schwerere Geschütze notwendig.

Das Programm AdwCleaner beispielsweise sucht und entfernt zahlreiche Formen von Browser-Toolbars und -Hijackern. Hiermit lassen sich effektiv zahlreiche Formen von Adware entfernen. Eine Installation ist nicht nötig, so können Sie die Überprüfung auch von einem externen Medium wie einem USB-Stick oder einer CD ausführen. Vorsicht ist – wie bei jeder Freeware – beim Download des Programms geboten: Trittbrettfahrer versuchen mitunter gefälschte Software in die oberen Ergebnisse bei Google zu bekommen. Sichere Download-Quellen und weitere Informationen zu dem Programm werden in diesem Artikel genannt. Trotzdem sollten Sie nach der Bereinigung des Rechners und Ihrer Browser sicherheitshalber noch einen vollständigen System-Scan mit Ihrem Antiviren-Scanner durchführen.

Was ist Spyware, wie kann sie erkannt und entfernt werden?

Die Abgrenzung zwischen Adware und Spyware ist meist nicht ganz klar und die Übergänge können fließend sein – in der Regel geht Spyware jedoch deutlich aggressiver und getarnter vor. Während Adware meist in der App- und Programmübersicht auftaucht und hier deinstalliert werden kann, agiert Spyware verdeckt und im Hintergrund. Auch die Aufzeichnung der Tastatureingaben durch Keylogger fällt unter diesen Überbegriff: Auf diese Weise sollen PINs, Passwörter, Mailadressen oder andere sensible Daten ausgespäht werden. Sie bemerken diese Schadsoftware meist, wenn der Virenscanner oder die Firewall Alarm schlagen. Geschieht dies nicht, weil Sie beispielsweise den Virenscanner nicht aktualisiert haben oder gar keiner installiert ist, bemerken Sie den Eindringling erst, wenn der Rechner schlagartig ungewohnt langsam arbeitet.

Bei Verdacht können Sie im Task-Manager (Strg+Alt+Entf drücken und „Task-Manager starten“ auswählen) die CPU-Auslastung überprüfen und unerwünschte Prozesse recherchieren. Einige Trojaner tarnen sich als vermeintlich bekannte Prozesse. Ist beispielsweise der Browser gar nicht geöffnet, wird in der Übersicht aktiver Prozesse aber trotzdem angezeigt, könnte ein Spionage-Trojaner am Werk sein. Ebenso können Sie unter dem Reiter „Netzwerk“ einen Überblick über die Netzwerkauslastung gewinnen. Zeigen sich hier unübliche Aktivitäten, könnte dies ebenfalls ein Indiz für aktive Schnüffel-Software sein.

Auch hier gilt als wichtigste Schutzmaßnahme die Aktualisierung bzw. die Installation einer Antiviren-Software. Die Programme erkennen Schadsoftware und machen sie unschädlich. Dabei gilt: Selbst ein Gratis-Virenschutz ist besser als gar keiner! Neben dem bereits erwähnten AdwCleaner bieten sich z. B. folgende Programme für Windows-Systeme an, von denen es jeweils auch kostenlose Versionen gibt:

  • Antivir: Avira Free Antivirus
  • AVG-Antivirus Free
  • Kaspersky Free Antivirus
  • Malwarebytes Anti-Malware

Wie bei der Entfernung von Ransomware können in besonders hartnäckigen Fällen – wenn die Desinfektion des Rechners nicht mehr über die Funktionen des Betriebssystems und einer installierten Antiviren-Software möglich ist – auch Rettungs-CDs helfen. Ein Beispiel dafür ist die Kaspersky Rescue Disk. Diese lässt über die Supportseite des Herstellers herunterladen. Anschließend müssen Sie aus der heruntergeladenen ISO-Abbilddatei eine CD oder DVD brennen. Dafür können Sie ein Brennprogramm Ihrer Wahl verwenden (beispielsweise Nero Burning ROM). Jetzt müssen sie nur noch im BIOS („basic input/output system“) die Boot-Reihenfolge ändern und bestimmen, dass der Rechner beim nächsten Neustart von CD bzw. DVD booten soll.

In das BIOS gelangen sie – je nachdem, welches Mainboard im Rechner verbaut ist – über eine der Funktionstasten; die richtige zeigt der Rechner beim Hochfahren an. Im BIOS können Sie die entsprechenden Einstellungen im Menüpunkt „Boot“ vornehmen. Speichern Sie, starten Sie den Rechner neu und drücken Sie eine beliebige Taste, wenn eine Anzeige Sie dazu auffordert. Sie können beim Booten nun zwischen einer reinen Textdarstellung des Rettungsprogramms und einer Grafikoberfläche wählen und anschließend den Rechner nach Schadsoftware aller Art durchsuchen und bereinigen.

Scareware: Wie funktioniert die Paniksoftware?

Scareware (engl. „to scare“ = „erschrecken“) ist eine besonders perfide Programmgattung: Die Schadsoftware soll dem Nutzer Angst einjagen – in den meisten Fällen tarnt sich Scareware als vermeintliches Antivirenprogramm, das vor einem angeblichen Befall durch Viren oder Trojaner warnt. In Wirklichkeit ist sie jedoch selbst die Schadsoftware. Der verängstigte Benutzer bekommt Pop-up-Fenster mit Warnungen angezeigt. Eine angebliche Bereinigung des Rechners ist gegen Bezahlung bzw. den Kauf einer neuen Version des gefälschten Programmes möglich. Nach der Zahlung des Opfers werden die Nachrichten lediglich ausgeblendet. Schlimmer noch: Sollte die Zahlung per Kreditkarte getätigt werden, sind die Cyberkriminellen fortan auch im Besitz der sehr sensiblen Kreditkarten-Daten.

Einige Scareware-Pop-ups sehen aufgrund ihres penetrant-blinkenden Designs sofort unseriös aus und lassen sich leicht als Täuschung enttarnen. Andere gehen raffinierter vor und versuchen, das Aussehen authentischer Antiviren-Software zu imitieren und bieten sogar einen vorgetäuschten Support per Telefon oder E-Mail an. Wie aber lässt sich die Täuschung erkennen und die Scareware entfernen? Grundsätzlich sollte Sie sich jede Warnung genau ansehen: Stammt die Nachricht tatsächlich von einem Programm, das sie installiert haben bzw. das auf Ihrem Rechner vorinstalliert war? Falls nicht, haben Sie es sehr wahrscheinlich mit Scareware zu tun.

Keine seriöse Antiviren-Software wird versuchen, Sie mit einer Virenwarnung in Panik zu versetzen und gleichzeitig Kapital aus Ihrer Angst zu schlagen. Zwar blenden kostenlose Antivirenprogramme gelegentlich Angebote zum Upgrade auf eine umfangreichere und kostenpflichtige Version ein; authentische Antiviren-Software (auch kostenlose) bietet im Moment eines Befalls aber Soforthilfe an, ohne extra abzukassieren. Scareware versucht zudem mit einer Liste von angeblich mehreren Dutzend Infektionen die Bedrohung akuter wirken zu lassen – derart zahlreiche Befälle sind aber äußerst selten und unwahrscheinlich. Entfernen lässt sich Scareware mit allen gängigen und authentischen Antivirenprogrammen. Hierbei gilt es wieder, die Programme nur über seriöse und vertrauenswürdige Quellen zu beziehen, also entweder über die offizielle Herstellerseite oder seriöse IT-Portale.


Auf dem Laufenden bleiben?

Jetzt für unseren Newsletter anmelden und gratis Online-Marketing Whitepaper für lokale Anbieter sichern!