Ransomware stellt eine neue Form der Malware-Bedrohung dar, bei welcher (wie das englische Wort "ransom" andeutet) Lösegeld vom Opfer erpresst wird. Bei einem solchen Angriff werden alle Daten wie Dateien, Bilder, Filme usw. auf den Festplatten und auch auf Netzlaufwerken der Opfer verschlüsselt und damit ohne entsprechenden Schlüssel (Decryption Key) unlesbar gemacht. Um an den entsprechenden Entschlüsselungsschlüssel zu gelangen, wird vom Oper Geld meist in Form von Bitcoins verlangt. Zunächst wird beim Opfer eine Bildschirmmeldung mit weiteren Informationen angezeigt. Dabei hat das Opfer in der Regel nur wenig Zeit, beispielsweise nur 24 Stunden, um an den entsprechenden Schlüssel zu gelangen. Um die weiterführenden Zahlungsinformationen zu bekommen, muss in der Regel eine Website im Darkweb, meist über das Verschlüsselungsnetzwerk TOR besucht werden. Von der Zahlung der Forderungen wird von den Strafverfolgungsbehörden abgeraten. Es ist jedoch nicht gewährleistet, dass man mit bestimmten Tools wieder an die Daten gelangen wird. Die Cyberkriminellen setzen leider immer bessere und aus kryptografischer Sicht sichere Verfahren für die genutzte Ransomware ein. Daher ist hier ein extern aufbewahrtes aktuelles Backup besonders wichtig. Seien Sie aber vorsichtig: Schadsoftware könnte sich in Zukunft langfristig unauffällig verhalten und damit versuchen, alle Daten aus den Rotationen der Backup-Datenträger zu verschlüsseln. So wären dann auch alle Backup-Datenträger verschlüsselt, und es bestünde bis auf die Zahlung der Forderung keine weitere Option mehr!

Anfang Januar 2016 warnen Sicherheitsforscher vor einem neuen, als JavaScript-Applikation getarnten Ransom32-Verschlüsselungstrojaner. Darüber ist in einem Beitrag von heise online vom 5. Januar 2016 zu lesen. Diese Ransomware ist die erste dieser Art und gibt sich beispielsweise als harmlose Anwendung wie etwa der Webbrowser Chrome aus. Beim Starten des selbstentpackenden RAR-Archivs, welches zum Beispiel als Mailanhang zum Opfer gesandt werden kann, werden die Dateien mit AES 128 Bit verschlüsselt. Cyberkriminelle können diese Ransomware auf einer Webseite im anonymisierten TOR-Netzwerk individuell zusammenstellen und die erstellte Malware-Kampagne anschliessend selber steuern. Die effektiven Entwickler der neuen Ransomware verlangen für die Nutzung des ONline-Services eine Provision von 25% des Lösegeldertrages, die die Opfer per Bitcoins überweisen müssen. Besonders gefährlich ist die Tatsache, dass es sich beim genutzten NW.js-Framework um ein konformes Framework handelt. So sind damit erstellte Schadprogramme für einen Virenscanner, zumindest aktuell nach Erscheinen des Beitrages nur sehr schwierig oder gar nicht zu erkennen.

Es stellt sich weiter die Frage, was passieren wird, wenn Cyberkriminelle konforme Verschlüsselungssysteme wie den in Windows integrierten Bitlocker zur Verschlüsselung nutzen. Da ist es für eine im Antivirus-Programm integrierte Echtzeit- und Verhaltensüberwachung schwierig festzustellen, ob nun eine Malware oder ein legitimer Nutzer die Verschlüsselung der Datenträger gestartet hat.