So entfernen Sie Ransomware richtig: Eine schrittweise Anleitung

So entfernen Sie Ransomware richtig: Eine schrittweise Anleitung

Ransomware hat sich bereits 2016 zur größten Bedrohung für Privat- und Unternehmensanwender herauskristallisiert. Allein in den ersten Tagen von 2017 sind immer ausgefeiltere Varianten zu beobachten. Mit ihrem schicken Auftreten und fast schon innovativen Bezahlportalen erinnern sie an moderne Start-ups. Doch das Ergebnis ist immer dasselbe: Die Opfer können nicht mehr auf ihre Dateien zugreifen und werden mit einer Lösegeldforderung zur Zahlung innerhalb einer bestimmten Frist erpresst.

Erschreckend, doch kein Grund zur Panik.

Diese Reaktion auf einen Angriff ist nur zu verständlich, aber nicht zielführend. Viele Privatanwender und selbst große Unternehmen reagieren leider häufig mit den falschen Maßnahmen, was es uns schwer macht, ihnen beim Zurückverlangen ihrer Dateien zu helfen. Daher haben wir Ihnen in diesem Artikel eine schrittweise Anleitung zusammengestellt, wie Sie bei einer Infektion mit Ransomware vorgehen sollten.

Was genau ist Ransomware?

Wie schon angedeutet handelt es sich bei Ransomware um eine Schadsoftware, die den Zugriff auf Ihre Dateien sperrt und zu deren Freigabe ein Lösegeld fordert. Dieser Typ von Malware ist eine der lukrativsten Formen von Cyberkriminalität, da sich die Opfer zum Zahlen gezwungen fühlen – selbst ohne Garantie, ob sie ihre Daten jemals zurückbekommen.

Sollte ich das Lösegeld bezahlen?

Bevor wir jedoch weitermachen, zunächst ein Tipp: Zahlen Sie auf keinen Fall das Lösegeld. Dadurch bestärken Sie die Verbrecher nur für weitere Angriffe.

Uns ist durchaus bewusst, dass das Zahlen insbesondere für größere Unternehmen als die bessere Option gesehen wird. Schließlich lässt sich dadurch auch das öffentliche und möglicherweise rufschädigende Eingeständnis einer Sicherheitslücke oder unangemessener IT-Sicherheitsvorkehrungen vermeiden. In einigen Fällen erhalten die Anwender jedoch selbst nach der Zahlung größerer Summen ihre Dateien nicht zurück.

Wir sind für Sie da – bedingungslos.

Emsisoft ist stolzer Partner von No More Ransom, einer Initiative der National High Tech Crime Unit (NHTCU) der niederländischen Polizei, dem EC3 (Europäisches Zentrum zur Bekämpfung der Cyberkriminalität) von Europol sowie zwei weiteren Internetsicherheitsunternehmen. Unser gemeinsames Ziel besteht darin, Ransomware-Opfern zu helfen, ihre verschlüsselte Dateien auch ohne Lösegeldzahlung zurückzuerhalten.

Das Team von Emsisoft ist im Kampf gegen Ransomware jeden Tag ganz vorn mit dabei. Wer wäre also besser geeignet, um Ihnen kosten- und bedingungslos leicht zu befolgenden Rat zu geben?

Mein Computer wurde mit Ransomware infiziert. Was kann ich tun?

Fabian Wosar, der CTO und Leiter des Malware-Forschungslabors von Emsisoft, hat es schön ausgedrückt:

„Ransomware-Infektionen sind auf viele Arten einzigartig. Das Wichtigste daran ist, dass die natürlichen Reflexe, die beim regulären Umgang mit Malware-Infektionen richtig wären, im Falle von Ransomware alles nur noch schlimmer machen könnten.“

Atmen Sie also erst einmal tief durch und gehen Sie dann wie folgt vor:

1. Erstellen Sie ein Abbild oder eine Sicherung Ihres Systems.

Einige Ransomware-Familien verfügen über versteckte Schadensfunktionen (ein sogenannter Payload), die nach einer gewissen Zeit alle verschlüsselten Dateien löschen oder überschreiben. Da Ransomware häufig fehlerhaft ist und immer wieder geändert wird, gibt es für Decrypter (Entschlüsselungstools) keine 100-prozentige Funktionsgarantie und Dateien könnten beim Wiederherstellungsvorgang beschädigt werden. In derartigen Fällen ist folglich eine verschlüsselte Sicherung besser als gar keine Sicherung. Daher empfehlen wir Ihnen dringend:

Bevor Sie irgendetwas anderes tun, legen Sie eine Sicherung all Ihrer verschlüsselten Dateien an. Lesen Sie hierzu auch, wie Sicherungen Sie vor Ransomware schützen können.

2. Deaktivieren Sie jegliche Software zur Optimierung und Bereinigung Ihres Systems.

Viele Ransomware-Versionen speichern die programmeigenen sowie andere erforderliche Dateien in den Ordnern für temporäre Dateien. Sollten Sie also Tools zur Systembereinigung und -optimierung verwenden (CCleaner, BleachBit, Glary Utilities, Clean Master, Advanced SystemCare, Wise Disk/Registry Cleaner, Wise Care, Auslogics BoostSpeed, System Mechanic o. ä.), müssen Sie diese sofort deaktivieren.

Wichtig: Stellen Sie sicher, dass keine automatischen Reinigungs-/Optimierungsläufe geplant sind. Anderenfalls könnte die Anwendung die Infektion oder andere erforderliche Ransomware-Dateien von Ihrem System löschen. Wir benötigen diese jedoch später noch, um feststellen zu können, mit welchem Typ von Ransomware Ihr System infiziert wurde.

3. Verschieben Sie Dateien in Quarantäne, aber löschen Sie sie nicht.

Ihre Anti-Malware-Lösung hat die infizierten Dateien eventuell schon in Quarantäne verschoben. Das ist vollkommen in Ordnung. Löschen Sie diese Dateien nicht. Um herauszufinden, welcher Version Ihr Computer zum Opfer gefallen ist, muss die Ransomware ausführbar also funktionstüchtig sein.

Hinweis: Sie können die Infektion außer Kraft setzen, indem Sie darauf verweisende Autostarteinträge deaktivieren. Es ist jedoch enorm wichtig, dass die bösartigen Dateien nicht ohne vorherige vollständige Sicherung gelöscht oder aus der Quarantäne entfernt werden.

Zur Identifizierung einer Ransomware-Version und Bereitstellung eines Decrypters benötigen wir Zugriff auf die bösartigen Dateien. Darüber hinaus kann es nützlich sein, ein Beispiel für eine verschlüsselte Datei (möglichst nichts Vertrauliches, sondern ein Systemsymbol oder etwas Ähnliches) vorliegen zu haben. Auf diese Weise lässt sich das eingesetzte Verschlüsselungsverfahren nachvollziehen und überprüfen, ob mit anderen bekannten Ransomware-Versionen übereinstimmende Merkmale vorliegen.

4. Serveropfer: Suchen Sie den Zugangspunkt und schließen Sie ihn.

In letzter Zeit haben wir viele Ransomware-Angriffe auf Server beobachtet, die häufig per Brute-Force-Methode (also mit roher Gewalt) erfolgen. Dabei werden über das Remotedesktopprotokoll (RDP) sehr schnell Benutzerkennwörter auf den Server geleitet.

Wir empfehlen Ihnen daher dringend, Ihre Ereignisprotokolle auf eine große Anzahl von Anmeldeversuchen zu überprüfen, die in sehr schneller Folge eingegangen sind.

Sollten Ihnen derartige Einträge auffallen oder Ihr Ereignisprotokoll komplett leer sein, wurde Ihr Server per RDP gehackt. Dann müssen Sie sofort die Kennwörter all Ihrer Benutzerkonten ändern. Darüber hinaus empfehlen wir Ihnen, sofern möglich, das RDP komplett zu deaktivieren oder zumindest den Port zu ändern.

Wichtig: Überprüfen Sie alle Benutzerkonten auf dem Server. Damit stellen Sie sicher, dass die Angreifer keine Konten als Hintertür angelegt haben, über die sie eventuell später noch einmal Zugriff auf Ihr System erlangen könnten.

5. Identifizieren Sie den Typ der Ransomware.

Wenn Ihr System mit einem unbekannten Typ von Ransomware infiziert wurde, kann Ihnen Malware Hunter Team weiterhelfen. Es hat den kostenlosen Dienst ID Ransomware ins Leben gerufen. Über ihn lässt sich durch Überprüfen des Codes auf bestimmte Signaturen feststellen, welche Ransomware-Version für Ihren Datenverlust verantwortlich ist. Indem Sie wissen, mit welcher Familie Sie es zu tun haben, können Sie leichter herausfinden, ob es bereits einen Decrypter dafür gibt.

Hinweis: Wenn Sie mehr darüber erfahren möchten, wie Sicherheitsforscher Ransomware identifizieren, könnte Sie das Interview mit Sicherheitsforscher Michael Gillespie in unserem Emsisoft-Blog interessieren.

VirusTotal bietet Ihnen ebenfalls die Möglichkeit, bösartige Dateien auf Signaturen zu scannen. Derartige Dienste sind unglaublich nützlich. Sollten Sie beispielsweise Emsisoft um Unterstützung bitten, werden wir Sie höchstwahrscheinlich um die Ergebnisse eines dieser Dienste bitten. Indem Sie uns die Information bereits bei der Kontaktaufnahme liefern, können wir Ihnen noch schneller bei der Rettung Ihrer Dateien helfen.

5.1 Es gibt einen Decrypter? Verwenden Sie ihn.

Sobald Sie wissen, um welchen Typ von Ransomware es sich handelt, können Sie auf decrypter.emsisoft.com nach einem passenden Decrypter suchen. Wir sind unermüdlich dabei, Ihnen hier immer die neuesten Decrypter bereitzustellen. Leider können wir nicht garantieren, dass es auch einen für Ihren Bedarf gibt, da ständig bessere und ausgefeiltere Ransomware-Versionen in Umlauf gebracht werden.
Sollten Sie den benötigten Decrypter gefunden haben, befolgen Sie die Anweisungen, die Ihnen beim Herunterladen des Programms angezeigt werden. Teilen Sie uns über unser Forum bitte auch unbedingt mit, ob es funktioniert hat.

5.2 Es gibt keinen Decrypter? Helfen Sie uns.

Damit wir auch neue Versionen von Ransomware knacken können, muss unser Labor so früh möglich davon Kenntnis haben.

Lassen Sie uns über das Forum wissen, wenn Sie Opfer von Ransomware wurden. Unser kostenloser Ransomware-Notfalldienst steht sowohl Kunden als auch Nichtkunden zur Verfügung – bedingungslos. Sie können uns auch hier per E-Mail erreichen. Bitte hängen Sie in beiden Fällen der E-Mail die bösartige Datei an oder geben Sie den Dateilink von VirusTotal beziehungsweise den Link zum ID-Ransomware-Ergebnis an. Fügen Sie außerdem ein Dateipaar bestehend aus verschlüsselter Datei und Originalversion bei. Dazu eignen sich beispielsweise die Standardbilder von Windows, heruntergeladene Dateien oder Dateien aus installierten Programmen, weil Sie hier noch auf einem anderen Weg Zugang zu den Originalversionen haben.

Sollten Sie unser Forum zum ersten Mal besuchen oder Probleme mit den beschriebenen Schritten haben, lesen Sie sich zunächst unsere häufig gestellten Fragen und diesen Forum-Beitrag (auf Englisch) durch, der eine Anleitung zum Schreiben von Forum-Beiträgen enthält.

Wie Sie sehen, gibt es viele praktische Maßnahmen, mit denen Sie Ihre Daten vor Ransomware schützen oder deren Schaden minimieren können. Es gibt also keinen Grund zur Panik. Emsisoft steht Ihnen von Anfang bis Ende zur Seite.

CTA_ransomware_EAM_Download_DE

Wir wünschen eine schöne (Ransomware-freie) Zeit!