Was ist eigentlich

Ransomware?

 



Was haben Sie denn so auf Ihrem Computer? Wichtige E-Mails, geheime Dateien aus dem Büro oder sogar alte Fotos von Ihren Kindern? Im Laufe eines Computer-Lebens sammeln sich zahlreiche persönliche, vielleicht auch geschäftliche, aber auf jeden Fall sensible Daten auf der Festplatte. Und genau das macht Sie erpressbar. Wenn statt Ihres gewohnten Startbildschirms plötzlich nur noch ein Totenkopf oder ein Erpresserbrief auf Ihrem Monitor erscheint, haben Sie es höchstwahrscheinlich mit Ransomware zu tun.

Ransomware sind Schadprogramme, die den Computer sperren oder darauf befindliche Daten verschlüsseln. Die Täter erpressen ihre Opfer, indem sie deutlich machen, dass der Bildschirm oder die Daten nur nach einer Lösegeldzahlung wieder freigegeben werden. Im Folgenden erklären wir Ihnen, wie Cybererpresser mit der Angst der Menschen spielen und sich so auf deren Kosten bereichern.

Erfahren Sie mehr über Ransomware

Was heißt Ransomware?

Das Wort „ransom“ kommt aus dem Englischen und bedeutet auf Deutsch „Lösegeld“. Genau darum geht es bei der Ransomware. Deshalb wird sie auch als Erpressersoftware bezeichnet. Manchmal sprechen Experten auch von Verschlüsselungstrojanern, da die Erpressung darauf basiert, dass die Daten für den Nutzer unauflöslich codiert werden. Was sich bei diesen alternativen Titeln abzeichnet, ist die Funktionsweise von Ransomware: Sie schleicht sich ins System und der User stellt mit Schrecken fest, dass sein Computer gesperrt ist.

Wie unterscheiden sich die verschiedenen Varianten der Ransomware?

Im Prinzip gibt es zwei verschiedene Arten von Ransomware: Screenlocker und File-Encrypter.

     

  • Screenlocker sperren den Bildschirm.

  • File-Encrypter verschlüsseln die Daten auf dem Computer und nehmen Kinderfotos, Text-Dateien und wichtige Ordner als Geisel.

Wie macht sich Ransomware bemerkbar?

In der Regel ist der blockierte Bildschirm oder der Erpresserbrief, der sich nicht mehr schließen lässt, das erste, was der Nutzer von der Ransomware mitbekommt. Einige Ransomware-Varianten haben eine Inkubationszeit. Das heißt, dass die schädliche Wirkung erst eintritt, wenn sich der User nicht mehr daran erinnern kann, wann und wo er sich eventuell einen Erpressungstrojaner eingefangen haben könnte.

Ein Schadprogramm kann auch von einem Virenscanner erfasst werden und sich als positives Scan-Ergebnis bemerkbar machen. Wer keine Antiviren-Lösung installiert hat, bemerkt Ransomware jedoch leider erst, wenn es bereits zu spät ist. Da sich viele Erpressungstrojaner nach dem Ausführen ihrer schädlichen Funktion selbst wieder löschen, ist es für Security-Software eine echte Herausforderung, den Schädling zu erkennen. Das erste, was der Computer-Besitzer dann von der Ransomware mitbekommt, ist ein Hinweisfenster mit einer Zahlungsaufforderung, das sich nicht mehr schließen lässt.

Beispiel Locky

Ein bekanntes Beispiel für einen solchen File-Encrypter ist Locky, der vor allem in Deutschland seit Anfang Februar 2016 zahlreiche Windows- und Apple-Rechner befallen hat. Doch auch in den USA wurden Locky-Fälle bekannt: Über 15.000 Euro erbeuteten Täter von zwei US-amerikanischen Krankenhäusern, deren Krankenakten der Schädling verschlüsselt hatte. Auch deutsche Krankenhäuser waren laut Medienberichten von Erpressertrojanern betroffen.

Wie kann ich mir womöglich Ransomware eingefangen haben?

Ihre Verbreitungswege unterscheiden sich dabei kaum von denen anderer Malware: Oft gelangt sie über eine manipulierte Website, zu der ein Link aus einer Spam-Mail oder einer Nachricht über ein soziales Netzwerk führt, auf den Rechner. Manchmal verschicken die Täter auch E-Mails, die eine vermeintliche Mahnung oder einen Lieferschein enthalten. In Wirklichkeit verbirgt sich in der angehängten Datei jedoch keine wichtige Information, sondern der Schadcode.

Beispiel Petya

Petya verbreitet sich, indem ein nichtsahnender User eine Dropbox-Datei öffnet. In einigen Fällen wurde Petya in einer Dropbox-Datei versteckt, die angeblich eine Bewerbungsmappe enthalten sollte. Statt der Unterlagen eines Bewerbers befand sich dort jedoch die Erpressersoftware. Auf diesem Weg lädt sich der Nutzer den Schadcode herunter. Wenn er diese Datei anschließend auf seinem PC anklickt, führt er die Datei aus – und Petya beginnt, sich im System auszubreiten. Petya ist also auf die ungewollte Hilfe des Users angewiesen. Anders als Locky verschlüsselt Petya nicht die Dateien, sondern den Zugang zu diesen. So weiß der Computer nicht mehr, wo die Dateien liegen und ob sie sich überhaupt noch auf der Festplatte befinden.

Seit wann gibt es Ransomware denn schon?

PC-Nutzer auf diese Weise zu erpressen ist keine neue Erfindung. Die erste dokumentierte Ransomware, die AIDS Trojaner Disk, wurde bereits 1989 in Umlauf gebracht und damals noch über eine Diskette verbreitet. Der Evolutionsbiologe und Harvard Absolvent Joseph L. Popp verschickte damals 20.000 infizierte Disketten mit der Beschriftung „AIDS Information – Introductory Diskette. So schleuste er die Erpressersoftware auf die Rechner der Teilnehmer der Welt-AIDS-Konferenz der Weltgesundheitsorganisation.

Die Schadsoftware ersetzte eine System-Konfigurationsdatei und fing nach neunzig Neustarts an, die Festplatte zu verschlüsseln. Um wieder an die Daten zu gelangen, sollten die Opfer 189 US-Dollar per Post an die Firma PC Cyborg in Panama schicken. Deshalb wurde die erste Ransomware auch als PC Cyborg Trojaner bekannt.

 

Was passiert genau, wenn Ransomware auf dem Computer ist?

Der Klick auf einen Link zu einer Website oder zu einer Dropbox aktiviert den Download eines Installers – so gelangte beispielsweise der Verschlüsselungstrojaner Petya im Frühjahr 2016 auf zahlreiche Rechner. Petya erzwingt einen Neustart des Computers und tauscht dann das normalerweise genutzte Startprogramm, die Master Boot Record (MBR), gegen ein schädliches Ladeprogramm aus.

Danach zwingt Petya den Computer zu einem Neustart und täuscht dem User vor, dass die Datei-System-Struktur überprüft wird, wie es etwa nach einem Systemabsturz der Fall ist. Doch tatsächlich überprüft Petya nicht etwa das System auf seine Funktionstüchtigkeit: Petya verschlüsselt die Daten selbst nicht, sondern macht sie lediglich für den User unzugänglich. Der Computer kann die Dateien dann nicht mehr erkennen und kann auch nicht feststellen, ob sie überhaupt noch da sind.

Nach einem erneuten erzwungenen Neustart erscheint der sogenannte Lockscreen mit den Forderungen der Erpresser. Bei vielen Arten von Ransomware wird es ab diesem Zeitpunkt schwierig, die Dateien kostenlos zu entschlüsseln. Petya dagegen wurde mittlerweile entschlüsselt, so dass niemand mehr Lösegeldzahlung zahlen muss, um seine Daten wiederzubekommen.

Wie funktioniert Ransomware?

Früher sperrten Erpresserprogramme vor allem den Desktop einzelner PCs. Mittlerweile sind solche eher kleinen Angriffe mit Screenlockern recht selten geworden. Heute kommen Verschlüsselungsprogramme deutlich häufiger vor als solche Screenlocker. Die Inhalte der Festplatte werden dabei so verschlüsselt, dass der Nutzer nicht mehr darauf zugreifen kann.

Im Sperrbildschirm taucht meistens eine Adresse auf, eine Webseite oder eine Formularmaske, die die Forderungen und die Zahlungsmethoden erklären. Die Erpresser versprechen dort, dass sie nach Eingang der Zahlung die Daten wieder entschlüsseln. Einige Täter drohen damit, die Daten für immer verschwinden zu lassen, wenn das Opfer mit der Polizei spricht. Es gibt inzwischen sogar Ransomware, die für jede Stunde, in der noch keine Zahlung erfolgt ist, verschlüsselte Dateien löscht. Damit der Nutzer die Bedrohung nicht durch Abschalten des PCs aussitzen kann, vernichtet die Software beim Neustart des Systems gleich viele Dateien auf einmal.

Und wie hat sich die Bedrohungslage seither verändert?

Der erste über das Netz verbreitete Verschlüsslungstrojaner war TROJ_PGPCODER.A. Für seine Entschlüsselung forderten die Erpresser mehrere hundert Dollar. Das war 2005. Seit 2011 verzeichnen Sicherheitsexperten einen rasanten Anstieg von Ransomware-Attacken. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt: "Seit Mitte September 2015 hat sich die Bedrohungslage durch Ransomware deutlich verschärft". Vor allem in Deutschland stoßen Virenscanner seit Anfang 2016 vermehrt auf Ransomware, erklärt das BSI. Gegenüber Oktober 2015 fanden Sicherheitslösungen im Februar 2016 mehr als 10-mal so häufig Ransomware in Deutschland. Dieser Trend sei auch weltweit zu erkennen.

Wie genau verdienen die Erpresser damit Geld?

Der Anstieg der in den Umlauf gebrachten Ransomware-Dateien lässt sich auch darauf zurückführen, dass sie sich mittlerweile recht einfach herstellen lassen: Im Darknet gibt es sogenannte Crimeware-Kits, mit denen sich Schadprogramme nach dem Baukastenprinzip zusammenstellen lassen. Das Programmieren oder Programmieren-Lassen von Ransomware ist also recht einfach und kostengünstig. Während die Kriminellen wenig Geld in die Erstellung hineinstecken, können Sie bestenfalls sehr viel herausholen: Über den Sperrbildschirm informieren die Täter die Opfer über die Zahlungsmodalitäten.

Bezahlen lassen sich die Cyberkriminellen per Paysafe- oder Ukash-Cards oder mit der Online-Währung Bitcoin. Das Lösegeld beträgt in vielen Fällen um die 400 Euro. Manchmal werden für die Entschlüsselung aber auch mehrere tausend Euro fällig: Je nachdem, wie wichtig die Daten sind, wie etwa bei der Erpressung der Krankenhäuser mit Locky. Wenn das Opfer diese Zahlung vorgenommen hat, wird sie dem Täter gutgeschrieben. Idealerweise gibt er im Gegenzug die Daten wieder frei.

Wie kann ich mich schützen?

  • Backups: Der beste Schutz vor Ransomware sind regelmäßige Backups, die auf einem vom System getrennten Speichermedium aufbewahrt werden. Wenn Sie ein Backup auf einer externen Festplatte durchführen, trennen Sie diese nach der Sicherung ab und sorgen Sie dafür, dass dieses Speichermedium möglichst offline genutzt wird. Mit regelmäßigen Backups stellen Sie sicher, dass Sie auch im Falle einer tatsächlichen Ransomware-Infektion keine Daten verlieren und Ihr System einfach wiederherstellen können. Achten Sie dabei darauf, dass es sich um ein sicheres Medium wie eine CD handelt, die nicht ebenfalls infiziert werden kann.
  • Betriebsystem: Aktualisieren Sie zudem regelmäßig Ihr Betriebssystem. So können Sie Sicherheitslücken schließen. Gleiches gilt auch für Ihren Browser und jede andere Software, die auf dem System installiert ist
  • Sicherheitssoftware: Eine solide Security-Software ist unerlässlich. Sie sollte Schutzmechanismen wie Verhaltensüberwachung und andere proaktive Technologien beinhalten.
  • Browser-Schutz: Zudem ist ein Browserschutz sinnvoll, der Sie vor gefährlichen Skripten und dem versehentlichen Download von Schaddateien schützt.
  • E-Mail-Schutz:Gefälschte und trügerische Mails können von einer speziellen Sicherheitssoftware noch in Ihrem Posteingang sichergestellt werden. So vermeiden Sie, dass Sie eine solche Mail in die Irre führt. Antivirensoftware stellt zusätzlich Schädlinge wie Trojaner fest und macht sie dingfest.
  • Ransomware-Cleaner: Gegen Screenlocker gibt es mittlerweile Softwarelösungen, die Ihnen helfen, den Sperrbildschirm und den Schädling zu entfernen. 
  • Nutzerkonto: Einer Infektion lässt sich auch vorbeugen, indem der User sich nicht achtlos mit seinem Admin-Account auf Ihrem Computer anmeldet, sondern sich ein Gastkonto als Standardnutzeroberfläche einrichtet. Da dieser Account weniger Rechte hat, kann Ransomware hier nicht so tief ins System vordringen und idealerweise gar keinen Schaden anrichten. 
  • Information: Alle Schutzmaßnahmen auf einen Blick finden Sie auf unserer Ransomware-Informationsseite.

Entschlüsseln die Täter meine Dateien wirklich, wenn ich das Lösegeld zahle?

Beim Umgang mit Kriminellen ist immer Vorsicht und Skepsis geboten. Deshalb ist der generelle Rat: Zahlen Sie kein Lösegeld. Viele der Kriminellen haben von vornherein kein Interesse an Fairplay – und gar keine Möglichkeit zur Entschlüsselung geplant. Ihnen geht es allein um das Geld. Wer keine Sicherheitskopie oder ein Backup gemacht hat, verliert also in der Regel seine Dateien, nachdem sein Rechner mit Ransomware infiziert wurde. Verhandeln Sie nicht mit Erpressern.

Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät, den Forderungen nicht nachzugehen. Auf Fairness brauche niemand zu hoffen. Und wer mit Kreditkarte zahlt, macht aus einem Konto einen Selbstbedienungsladen. Ein Erpresser kann plötzlich mehr Geld für die Herausgabe der Daten fordern oder über eine „Hintertür“ im System zu einem späteren Zeitpunkt nochmals die Daten verschlüsseln. Er fordert dann wiederum Geld – selbst wenn er zunächst sein Versprechen zu halten scheint und die Daten freigibt. Mit einer Zahlung geht man also in mehrfacher Hinsicht ein Risiko ein.

Was muss ich beachten, wenn ich das Lösegeld bezahlen will?

Wenn Sie entgegen aller Warnungen das Lösegeld zahlen wollen, sollten sie vorher keine Komponenten der Ransomware vom PC entfernen. Diese sind nämlich unter Umständen das Schloss, in den Sie den Schlüssel, den Sie nach der Zahlung eventuell erhalten, stecken müssen. Ohne Schloss kann der Entschlüsselungscode unbrauchbar werden und Ihre Dateien bleiben unwiderruflich verschlüsselt. Außerdem sind die Komponenten unter Umständen auch in dem Fall wichtig, dass Ermittlungsbehörden ein Schlag gegen die Cyber-Kriminellen gelingt – dann gibt es häufig sogenannte Decrypter, die Betroffenen helfen, ihre Daten ohne die Zahlung wiederherzustellen. Die in den Komponenten enthaltenen Informationen sind dabei nötig, um den Wiederherstellungsschlüssel zu generieren.

Falls Sie tatsächlich einen Schlüssel erhalten haben und damit Ihre Dateien entschlüsseln konnten, sollten Sie danach umgehend die Ransomware von Ihrem Rechner löschen. Machen Sie sich jedoch immer bewusst, dass die Kriminellen sich Ihnen gegenüber nicht verpflichtet fühlen und Sie gegebenenfalls Geld und Daten verlieren. Zudem halten Sie so die kriminelle Maschinerie aufrecht. Denn wenn niemand zahlt, lohnt sich für die Kriminellen irgendwann der Aufwand nicht mehr. Deshalb sei an dieser Stelle nochmals betont: Entscheiden Sie sich bewusst gegen eine Lösegeldzahlung.

Wie entferne ich Ransomware?

Sollten Sie trotz aller Vorsicht Opfer einer Attacke geworden sein, hilft oft nur noch eines: die schädliche Software vom Computer löschen. Der zuverlässigste und zugleich gründlichste Weg, Ransomware loszuwerden ist es, das System auf den Werkszustand zurückzusetzen. Bevor Sie diesen Weg wählen, sollten Sie sich bewusstmachen, dass danach alle auf dem Computer befindlichen Dateien unwiderruflich verloren sind. Alternativ können Sie, sofern Sie regelmäßig ein Systembackup erstellt haben, Ihr System auf den Zustand zu einem früheren Zeitpunkt vor der Infektion zurücksetzen. So können Sie Ihren Rechner von dem Schädling befreien.

Ransomware im Detail
– Fachwissen zum Thema –

Ransomware auf einen Blick

Verschlüsselungstrojaner

Ein Verschlüsselungstrojaner oder Crypto-Trojaner verschlüsselt Dateien auf dem Rechner und verlangt Lösegeld für die Entschlüsselung. Einige Trojaner-Familien verschlüsseln nur bestimmte Dateitypen wie Bilder, Dokumente oder Filme. Andere verschlüsseln alle Dateitypen und verschonen nur wenige Ordner. Populäre Familien sind CryptoLocker (nicht mehr aktiv), CryptoWall, CTB-Locker, Locky, TeslaCrypt und TorrentLocker. Eine recht neue Form ist Petya. Anstelle einzelner Dateien verschlüsselt er die Master File Table (das Inhaltsverzeichnis) der Festplatte. Danach sind die Dateien auf der Festplatte nicht mehr auffindbar.

App-Locker

Dieser Ransomware-Typ erpresst die Nutzer damit, dass er den Zugang zu Apps und Programmen unterbindet. So wird z.B. der Browser oder der Zugang zur Verwaltung des Netzwerkspeichers (NAS) blockiert. In einigen Fällen können sie mit Standard-Tools ausgehebelt werden. Es gibt nur wenige Schädlingsfamilien dieser Art, ein Beispiel ist Synolocker. Der Name lehnt sich daran an, dass der Schädling Produkte von Synology – einem Hersteller für NAS-Lösungen – im Visier hat.

Screenlocker

Ein Screenlocker blockiert den Zugang zum Rechner, indem er einen Sperrbildschirm anzeigt, der sich ständig in den Vordergrund schiebt und evtl. auch andere Prozesse beendet. Dadurch lässt sich der Rechner nicht mehr bedienen. Die bekannteste Familie aus diesem Bereich ist Reveton, auch BKA-Trojaner, GEZ-Trojaner oder FBI-Trojaner genannt.

Hybride

Es gibt auch Ransomware, die Screenlocker und Verschlüsselung kombinieren. Das macht die Wiederherstellung der Daten noch aufwendiger. Auch hier gibt es nur wenige Familien, z.B. Chimera.

Was kann Software gegen Ransomware leisten?

  • Signaturbasierte Erkennung per Virenscanner

    Für bereits bekannte Familien von Ransomware erfolgt die einfachste und effektivste Erkennung per Signatur. Signaturen erkennen im Code einer Datei die Befehlsabfolgen, die für die schädlichen Aktionen verantwortlich sind und typisch für eine bestimmte Gruppe oder Familie von Schadprogrammen sind. Ein untrügliches Zeichen für die Erkennung von Ransomware ist die Anzeige eines Signaturnamens wie Trojan-Ransom und dem Familiennamen, wie Win32.Trojan-Ransom.Petya.A. Momentan unterscheiden wir mehr als 120 Ransomware-Familien. Darunter so prominente Namen wie Cryptowall, Locky, CTB-Locker und CryptXXX.

    Signaturen können aber nicht nur die typischen Aktionen von Ransomware erkennen. Oft werden Schadprogramme an universellen Codeabfolgen erkannt, die typisch sind für Kompression, Verschlüsselung, Downloadroutinen, Backdoor-Aktivitäten, Tarnmechanismen uvm. Heuristische und generische Signaturen erkennen solche allgemeingültigen Befehlssequenzen auch bei bislang unbekannten Familien.

      

  • Netzwerkverkehr

    Viele Ransomware-Familien werden erst aktiv, wenn sie mit ihrem Kontrollserver Kontakt aufnehmen und entsprechende Befehle erhalten. Sobald die Kontrollserver bekannt sind, kann man den Zugang dorthin blockieren. Und wenn die Kommunikation zum Kontrollserver nicht stattfindet, bleibt die Ransomware inaktiv. Auch die Art und Weise wie die Verbindung aufgebaut wird und wie die Daten übertragen werden, sind typisch für Ransomware und lassen sich erkennen und blockieren.

     

  • Verhaltensbasierte Erkennung

    Die verhaltensbasierte Erkennung überwacht alle laufenden Anwendungen auf verdächtige Aktivitäten. Falls es ein Schadprogramm doch geschafft hat, auf den Rechner zu gelangen, verhindert sie mögliche Schäden. Die Erkennung ist darauf ausgerichtet, die ersten Aktionen von Schädlingen zu erkennen. Etliche Ransomware-Familien verbreiten sich über manipulierte Webseiten oder schädliche Werbebanner. Dabei nutzen sie Sicherheitslücken aus (engl. to exploit), um die Rechner beim Besuch der Webseite unbemerkt zu kapern.

    Die Art und Weise, wie diese Angriffe stattfinden, zeigen typische Aktionen im System, die mit speziellen verhaltensbasierten Schutzverfahren erkannt werden. Sollten einzelne Indikatoren nicht ausreichen, werden auch Kombinationen und Abfolgen aus verschiedenen Bereichen zur Bewertung genutzt.

     

  • Installationsverhalten

    Wenn sich eine Ransomware im System installiert, finden charakteristische Vorgänge statt, an denen man die Schadprogramme erkennen kann. Häufig erfolgt die Installation ohne dass ein sichtbares Fenster vorhanden ist. In vielen Fällen wird das System im ersten Schritt ausgekundschaftet, bevor weitere Software nachgeladen wird. Es werden z.B. typische Konfigurationsdateien und/oder Registry-Einträge angelegt, um nur ein paar Beispiele zu nennen.

     

  • Persistenz

    Um nach einem Neustart des Rechners wieder aktiv zu werden, muss die Ransomware einen der vielen Autostart-Mechanismen anwenden. Die Vorgehensweise folgt dabei typischen Mustern. Diese lassen sich anhand der Systemaktivitäten erkennen und abbrechen. Es wird als äußerst verdächtig angesehen, wenn viele einzelne Dateien verschlüsselt werden. Wenn dann weitere Merkmale hinzukommen, wie z.B. ein unbekannter Prozess oder kein sichtbares Fenster, wird die Aktion abgebrochen.

  •  

  • Angriffe aus dem Web

    In vielen Fällen wird Ransomware über Webseiten oder andere Internetdienste verbreitet. In die G DATA URL Cloud werden ständig aktuelle URLs eingepflegt, die bekanntermaßen Schadprogramme ausliefern. Wenn eine Seite als schädlich bekannt ist, wird der Zugang durch unsere Software blockiert. Außerdem werden alle Daten, die in den Browser gelangen, auf Schadcode überprüft, seien es Dateidownloads oder aktive Scripte in der Webseite.

     

  • Spamschutz

    Auch E-Mails werden häufig zur Verbreitung von Ransomware genutzt. Bevor die anderen Schutzmechanismen wie Webschutz und Virenscanner die Inhalte der Mail prüfen, muss die Mail überhaupt im Postfach landen. Unser ausgezeichnete Spamschutz mit der OutbreakShield-Technologie erkennt schädliche E-Mails schon, wenn sie unterwegs sind – anhand der Art und Weise, wie sie sich verbreiten. So wird die E-Mail mit den schädlichen Inhalten häufig erst gar nicht zugestellt bzw. wieder aus dem Postfach entfernt.

  •  

  • Fokus Ransomware in den Analysesystemen der SecurityLabs

    In den G DATA SecurityLabs werden täglich viele hundertausend Dateien analysiert. Die Suchverfahren in den automatischen Analysesystemen sind so ausgelegt, dass möglichst viel Malware identifiziert wird. Dabei können wir auch Verfahren einsetzen, die bei Kunden üblicherweise nicht zum Einsatz kommen können, weil sie zum Beispiel zu rechenintensiv sind. Bei klaren Ergebnissen werden automatisch Schutzmechanismen wie URLs und Datei-Blacklisten in der Cloud aktualisiert und Signaturen für die Virenscanner erstellt.

    Verdächtige Kandidaten, bei denen noch Zweifel bestehen, werden von den Malware-Analysten bewertet. In diese üblichen Abläufe haben wir spezielle Erkennungsverfahren eingefügt, mit denen Ransomware sofort erkannt und dann mit hoher Priorität verarbeitet wird. Darüber hinaus wird die Vorgehensweise von Ransomware mit besonderer Intensität analysiert. Diese Analysen sind die Grundlage für heuristische Signaturen, für URL-Filter von täglich neu erzeugten Domain-Namen oder für die Erweiterung der Regeln für die verhaltensbasierte Erkennung.