Frühere Erpressungsprogramme ließen sich oft sehr einfach oder zumindest mit vertretbarem Aufwand austricksen. Mittlerweile "haben die Täter 20 Jahre Erfahrung aus dem Wettrüsten mit Antiviren-Firmen", sagt Neumann. In Locky etwa seien die Infektionsroutine, die Kommunikation mit dem Command-and-Control-Server, über den die Täter mit ihrer Software kommunizieren, und andere Details geradezu vorbildlich programmiert.

"Im Gegensatz zu traditioneller Malware wie Banking-Trojanern oder Keyloggern, die häufig Administrator-Zugriffsrechte benötigen, braucht Ransomware nur Zugriff auf die Daten des gerade angemeldeten Nutzers", sagt Hypponen. "Spezielle Rechte sind nicht nötig", das mache den eigentlichen Angriff, also die Verschlüsselung der Zieldateien, vergleichsweise einfach.

Bitcoin ist ein weiterer wichtiger Baustein, bestätigen Hypponen und Neumann gleichermaßen. Das elektronische Zahlungssystem mache es den Tätern leicht, bestimmte Vorgänge zu automatisieren, sagt Neumann. Jedes Locky-Opfer muss an eine eigens eingerichtete Bitcoin-Wallet zahlen. Eine einzige Wallet, auf der immer wieder der gleiche Betrag eingeht, der irgendwann zudem sehr groß wird, könnte Ermittlern auffallen. Tausende Wallets, die jeweils nur 0,5 bis ein Bitcoin enthalten, nicht. Gleichzeitig kann die Software der Kriminellen selbsttätig prüfen, ob das Lösegeld schon in der jeweiligen Wallet eingetroffen ist, und dem Opfer dann einen Link zum Entschlüsseln seiner Daten schicken. Damit auch Anfänger die Überweisung hinkriegen, erkläre Locky sehr detailliert und anschaulich, wie das Bitcoin-System funktioniert, sagt Neumann.

Hinzu komme, dass derzeit ein Arbeitsteilungsmodell entstehe. Neumann vergleicht es mit einem Affiliate-Programm: Spezialisten etwa für das Verfassen von Phishingmails in einer Sprache können sich die Ransomware in den dunkleren Ecken des Netzes beschaffen und mit ihren Kenntnissen dafür sorgen, dass sich möglichst viele Opfer damit infizieren. Sie bekommen dafür einen Anteil am Lösegeld von den Programmierern der Kryptotrojaner.

Sicherheitskopien schützen

Schließlich hält Neumann auch die mediale Berichterstattung für einen möglichen Einfluss: Viele Berichte über erfolgreiche Angriffe könnten viele Nachahmer anziehen. "Ransomware ist eine Malware-Kategorie, die bleiben wird", sagt er. Zwar seien die aktuellen Berichte ein sehr guter Grund für Privatanwender, endlich regelmäßige Sicherheitskopien anzulegen und diese physisch getrennt vom Rechner aufzubewahren, etwa auf einer externen Festplatte. Das sei ein wirksamer Schutz vor den Erpressern. Doch die würden dann wahrscheinlich dazu übergehen, gezielt größere Institutionen anzugreifen, die ebenso verwundbar wie zahlungskräftig sind.

Schon jetzt sei das ansatzweise in Locky erkennbar: Die Software schicke die Namen der von ihr verschlüsselten Dateien zum Command-and-Control-Server, sodass die Täter daraus unter Umständen schließen können, wen genau sie erwischt haben, um ihre Forderungen anpassen zu können. Ein fiktives Beispiel: Enthalten die Dateinamen Hinweise auf Konten bei mehreren Banken, hat das Opfer möglicherweise genug Geld, um auch ein höheres Lösegeld zu bezahlen.

Die Empfehlungen von Experten an die Betroffenen sind durchaus unterschiedlich. Das FBI schlägt vor, das geforderte Lösegeld einfach zu bezahlen. Die Verschlüsselung sei zu gut und die amerikanische Bundespolizei könne da nichts machen, sagen die Ermittler. Dagegen rät das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI), das Lösegeld nicht zu zahlen. Man wisse schließlich nicht, ob die Erpresser auch Wort halten und die Daten wieder freigeben.

Neumann sagt, zumindest die Locky-Entwickler ließen eine gewisse kaufmännische Ehre durchblicken und würden den Link zum Entschlüsseln wirklich herausgeben, sobald sie ihr Lösegeld haben. Das sei aus wirtschaftlicher Sicht allerdings auch sinnvoll. Spräche sich herum, dass die Zahlung nichts bringt, würde niemand mehr Bitcoins überweisen.