In Umlauf gebracht wird Ransomware auf unterschiedlichen Wegen. Sehr weit verbreitet ist die Übertragung per E-Mail-Anhang, wobei die Schadprogramme sich häufig als Rechnungen oder Gewinnmitteilungen tarnen. Aber auch auf manipulierten Webseiten werden Besuchern über Sicherheitslücken in Browsern oder Plug-Ins Schädlinge untergeschoben. Selbst auf seriösen Webseiten kann diese Gefahr lauern, wenn diese Werbebanner einblenden, die zuvor entsprechend manipuliert wurden.
Ransomware als Dienstleistung
Ransomware genießt bei Cyberkriminellen höchste Popularität und hat andere Computerschädlingsvarianten wie Banking-Trojaner längst verdrängt. In den einschlägigen Marktplätzen im Darknet werden Schadprogramme in allen Preisklassen und mit unterschiedlichem Zubehör angeboten. Auch Interessenten ohne größeres technisches Wissen können dort Ransomware erwerben und bei Bedarf auch gleich die notwendige Infrastruktur zur Steuerung und zum Aussenden per Spam-Mails mitbuchen.
Häufig werden Ransomware-Attacken über mehrere Angriffswellen ausgeführt: Über Phishing-Mails werden zunächst Nutzerdaten und Passwörter erbeutet, mit denen einige Zeit später der eigentliche Ransomware-Angriff ausgeführt wird: Zuerst werden die Backup-Dateien nach und nach verschlüsselt oder komplett gelöscht, bevor dann die Produktivdateien verschlüsselt werden. Das Umgehen der Verschlüsselung durch die Wiederherstellung der Produktivdateien ist dann nicht mehr möglich, da auch die vorhandenen Datensicherungen kompromittiert sind. In vielen Fällen werden die Produktivdaten vor der Verschlüsselung von den Erpressern kopiert, um von diesen noch anderweitig genutzt zu werden.
Hat die Schadsoftware zugeschlagen und die Dateien verschlüsselt, erscheinen Hinweise auf dem Computer-Bildschirm, mit denen die Täter auf die Verschlüsselung aufmerksam machen und das weitere Vorgehen beschreiben. Wenn das Opfer vom Angriff erfährt, ist es für Gegenmaßnahmen längst zu spät. Da sie meist weit gestreut werden, sind die Lösegeldforderungen vergleichsweise moderat. Typischerweise liegen die Beträge, die die Ganoven verlangen, im Bereich von 500 bis 1.000 EUR, allerdings sind auch Fälle bekannt, bei denen deutlich höhere Summen erpresst wurden. Da die Angreifer ihre Opfer auch gezielt auswählen können, verlangen sie von Unternehmen deutlich mehr Geld als von Privatleuten.