Dokumentation
Malware & Reverse Engineering

Ransomware

Ransomware-Funktionsweise, Verbreitung, Verschlüsselung, WannaCry, Cerber und wichtige Schutzlektionen.

Ransomware

Ransomware ist Malware, die Daten verschlüsselt oder den Zugriff auf Systeme blockiert und danach Lösegeld fordert.

Sie ist besonders gefährlich, weil sie direkt die Verfügbarkeit von Daten und Systemen angreift.

Verbreitung

Häufige Verbreitungswege:

  • schädliche E-Mail-Anhänge
  • infizierte Links
  • kompromittierte Webseiten
  • Exploit Kits
  • ungepatchte Systeme
  • gestohlene Zugangsdaten
  • Remote-Zugänge mit schwachen Passwörtern

Ransomware nutzt oft eine Mischung aus technischen Schwachstellen und menschlichem Verhalten.

Exploit Kits

Ein Exploit Kit ist eine Sammlung von Angriffstechniken, die Sicherheitslücken in Software ausnutzt.

Typische Ziele:

  • Browser
  • Plugins
  • Betriebssystemkomponenten
  • veraltete Software

Wenn ein System verwundbar ist, kann Malware automatisch installiert werden.

Grundlegende Funktionsweise

Der Ablauf ist häufig:

  1. Infektion des Systems
  2. Suche nach interessanten Dateien
  3. schnelle symmetrische Verschlüsselung der Dateien
  4. Schutz der Schlüssel mit Public-Key-Kryptografie
  5. Löschen oder Blockieren von Wiederherstellungsmöglichkeiten
  6. Anzeige der Lösegeldforderung
  7. Zahlung meist über Kryptowährungen oder anonyme Wege

Warum hybride Kryptografie?

Ransomware verschlüsselt große Datenmengen meist symmetrisch, weil das schnell ist.

Der symmetrische Schlüssel wird danach mit einem öffentlichen Schlüssel der Angreifer geschützt. Dadurch kann das Opfer den Schlüssel nicht einfach aus der Datei zurückgewinnen.

Zusätzliche Taktiken

Moderne Ransomware kann zusätzlich:

  • Backups suchen und löschen
  • Systemwiederherstellungspunkte entfernen
  • Sicherheitssoftware deaktivieren
  • Daten vor der Verschlüsselung exfiltrieren
  • Veröffentlichung gestohlener Daten androhen
  • geografische Einschränkungen verwenden

Beispiel: Cerber

Cerber wird in den Unterlagen als Beispiel für Ransomware-as-a-Service genannt.

Dabei stellen Entwickler die Malware-Infrastruktur bereit und andere Angreifer nutzen sie gegen Beteiligung an den Erlösen.

Das zeigt: Malware ist nicht nur Technik, sondern oft ein kriminelles Geschäftsmodell.

Beispiel: WannaCry

WannaCry war ein globaler Ausbruch im Mai 2017.

Wichtige Punkte:

  • Kombination aus Ransomware und Wurm
  • Ziel waren vor allem ungepatchte Windows-Systeme
  • Verbreitung über die SMB-Schwachstelle EternalBlue
  • Verschlüsselung vieler Dateitypen
  • Lösegeldforderung in Bitcoin
  • massive Betriebsunterbrechungen weltweit

Lektionen aus WannaCry

Die wichtigsten Erkenntnisse:

  • Patch-Management ist kritisch.
  • Veraltete Systeme sind ein hohes Risiko.
  • Netzwerksegmentierung begrenzt Ausbreitung.
  • Backups müssen vorhanden und wiederherstellbar sein.
  • Sicherheitsupdates müssen zeitnah eingespielt werden.
  • Ein einzelner Schwachstellenkomplex kann globalen Schaden verursachen.

Schutz gegen Ransomware

Gute Schutzmaßnahmen:

  • regelmäßige Sicherheitsupdates
  • geprüfte Backups
  • Offline- oder immutable Backups
  • E-Mail-Filterung
  • Makros und Skripte einschränken
  • Least Privilege
  • Netzwerksegmentierung
  • Monitoring
  • Awareness-Training
  • Incident-Response-Plan

Merksatz

Ohne funktionierende Wiederherstellung ist ein Backup nur Hoffnung. Gegen Ransomware zählt nicht nur das Backup, sondern der getestete Restore.

Zuletzt aktualisiert: 6. Juni 2026

Malware-Grundlagen

Definition von Malware, zentrale Malware-Arten und typische Verbreitungswege.

Reverse Engineering

Grundidee von Reverse Engineering, Ethik, Laborumgebung, Analyseziele und typische Werkzeuge.