zephyr_p - stock.adobe.com
Schritt für Schritt: Ransomware entfernen und Daten retten
Wenn eine Ransomware erst einmal zugeschlagen hat, gilt es Ruhe zu bewahren. Wir zeigen, welche Maßnahmen Sie ergreifen können, um weiteren Schaden zu vermeiden.
Ein Angriff durch Ransomware wirkt sich sowohl auf einzelne Personen als auch Unternehmen in der Regel verheerend aus. Schnell kommt bei den Betroffenen daher blanke Panik auf, wenn etwa plötzlich ein Hinweis auf dem Bildschirm auftaucht, dass die Systeme mit einer Ransomware infiziert sind.
Ebenso schockierend ist, wenn der Versuch, auf wichtige Dateien zuzugreifen, mit einer Aufforderung zur Zahlung eines Lösegeld endet, weil sie verschlüsselt wurden und nicht mehr zugänglich sind. Ohne den Zugriff auf wichtige Unternehmensdaten und -Systeme stoppt schnell die gesamte Arbeit. Immer wieder kommen deshalb ganze Unternehmen in Schieflage. Der Schaden ist in manchen Fällen irreparabel.
Es ist daher heute unverzichtbar, sich bereits im Vorfeld darüber zu informieren, wie ein Angriff durch Ransomware erkannt und wie darauf am besten reagiert werden kann.
Wie sich Ransomware-Angriffe erkennen lassen
Vorbeugung ist hier das A und O. Wenn es einer Ransomware erst einmal gelungen ist, ein oder mehrere Systeme zu befallen, ist es meist sehr schwer oder sogar unmöglich, den Schädling wieder loszuwerden. In sehr vielen Fällen wird der Befall mit einem Erpresser-Trojaner aber erst dann bemerkt, wenn er durch den Angreifer selbst bekannt gemacht wird. Wenn jedoch erst einmal ein Pop-up-Fenster mit der Erpressung erscheint, ist es zu spät.
Weitere Indikatoren sind Warnmeldungen der Antivirensoftware, die reduzierte Leistung eines oder mehrerer befallener Computer, ein nicht mehr möglicher Zugriff auf wichtige Dateien oder anderes ungewöhnliches Verhalten im Netzwerk.
Kann Ransomware wieder entfernt werden?
Das Entfernen von Ransomware ist keine leichte Aufgabe. Manchmal ist eine Bereinigung durchaus durchführbar, in vielen anderen Fällen besteht keine Möglichkeit, die Malware wieder vollständig von den betroffenen Systemen zu eliminieren. Zu den wichtigsten Aufgaben gehört zunächst, die weitere Ausbreitung der Ransomware auf andere Systeme im Netzwerk zu verhindern. Dieses Ziel lässt sich mit einer Umsetzung der folgenden Maßnahmen erreichen:
- Verbinden Sie keine weiteren Geräte mit einem infizierten oder verdächtigen Netzwerk,
- besuchen Sie keine verdächtigen Webseiten,
- öffnen Sie keine Attachments, die zu verdächtigen E-Mails gehören,
- klicken Sie nicht auf Links in E-Mails, Nachrichten in sozialen Netzwerken oder in anderen möglicherweise böswilligen Botschaften,
- installieren Sie keine Raubkopien und auch keine anderen Programme aus unbekannten Quellen,
- nehmen Sie keinen Kontakt mit den Angreifern auf und zahlen Sie auch nicht die geforderten Lösegelder,
- installieren Sie auf Ihren Systemen moderne Virenscanner und halten Sie sie auf dem aktuellen Stand,
- richten Sie eine sorgfältig konfigurierte Firewall ein und prüfen Sie ihre Einstellungen regelmäßig,
- sichern Sie sowohl Dateien als auch Betriebssysteme an geschützten Stellen,
- prüfen Sie den Einsatz von Cloud Storage als Backup-Ziel,
- speichern Sie wichtige Dateien auf externen Medien und
- führen Sie regelmäßig Tests und Scans in Ihrem Netzwerk durch, um verdächtigen Aktivitäten frühzeitig auf die Schliche zu kommen.
Schritte zur Entfernung einer Ransomware-Infektion
Es ist leider nahezu unvermeidbar, dass es eine Ransomware irgendwann auch an den besten Sicherheitsmaßnahmen vorbei schafft, unabhängig davon welche Vorbereitungen ergriffen wurden. Wenn es aber so weit kommt, ist es von entscheidender Bedeutung, dass der Angriff so früh wie möglich entdeckt wird, um die weitere Ausbreitung auf andere Systeme und Geräte im Netzwerk zu verhindern.
Sowohl Einzelpersonen als auch Unternehmen können die folgenden Maßnahmen ergreifen, um Ransomware zu entfernen. Von Erpressungstrojanern betroffene Mitarbeiter sollten zudem so schnell wie möglich ihre leitenden Manager und die IT-Support-Abteilung über den Vorfall informieren. Ein schnelles Handeln ist bei einer Ransomware-Attacke von höchster Bedeutung.
Schritt 1: Die befallenen Geräte isolieren
Trennen Sie die befallenen Geräte sofort von jeglichen verkabelten und nicht verkabelten Verbindungen ab, seien es das Internet, das interne Netzwerk, verbundene mobile Endgeräte, Flash-Laufwerke, externe Festplatten, Netzlaufwerke oder auch Accounts für Cloud-Speicher. Diese Maßnahme soll verhindern, dass sich die Ransomware auf andere Geräte ausbreiten kann.
Prüfen Sie zudem, ob eines oder mehrere der mit der infizierten Maschine verbundenen Geräte selbst bereits eventuell schon mit der Ransomware verseucht sind.
Wenn bislang noch kein Lösegeld verlangt wurde, entfernen Sie die Ransomware sofort von Ihren Systemen. Wenn dagegen bereits ein Lösegeld von Ihnen gefordert wird, seien Sie beim Kontakt mit den Erpressern vorsichtig, wenn Sie ihn überhaupt aufnehmen wollen. Viele Experten, inklusive der meisten Strafverfolgungsbehörden empfehlen, die geforderten Beträge nicht zu bezahlen.
Schritt 2: Art und Typ der Ransomware feststellen
Kenntnisse über die Art von Ransomware, mit der Sie es zu tun haben, können enorm hilfreich bei den Gegenmaßnahmen sein. Wenn der Zugriff auf Ihre Systeme gesperrt wurde, wie es bei sogenannter Locker Ransomware geschehen kann, ist dies aber eventuell nicht mehr möglich. Das oder die infizierten Geräte sollten von einem erfahrenen Sicherheitsexperten untersucht oder zumindest mit einem geeigneten Security-Tool geprüft werden. Manche dieser Werkzeuge sind als kostenlose Freeware erhältlich, andere erfordern ein kostenpflichtiges Abonnement.
Schritt 3: Entfernen der Ransomware
Bevor die Systeme wieder genutzt werden können, muss zuerst jegliche noch vorhandene Ransom- und andere Malware entfernt werden. In der Anfangsphase eines Angriffs infiziert die Ransomware das System und verschlüsselt wichtige Dateien. Manche sperren auch den kompletten Zugriff auf das befallene Gerät. Nur das richtige Passwort oder ein passender Entschlüsselungs-Key kann es dann entsperren beziehungsweise die betroffenen Daten wieder zugänglich machen.
Für die Entfernung einer Ransomware gibt es mehrere Optionen:
- Prüfen Sie zunächst, ob die Ransomware überhaupt noch vorhanden ist. Manche Schädlinge löschen sich selbst, wenn sie ein System erfolgreich infiziert und wichtige Dateien verschlüsselt haben. In anderen Fällen kommt es aber vor, dass die Malware auf dem infizierten Gerät bleibt, um weitere Systeme zu attackieren oder um neu hinzugekommene Dateien ebenfalls zu verschlüsseln.
- Setzen Sie Antimalware- und Anti-Ransomware-Software ein. Viele der aktuellen Schutzprogramme können Erpressungstrojaner in Quarantäne verschieben oder gleich unwiederbringlich löschen.
- Bitten Sie Sicherheitsexperten um Hilfe. Arbeiten Sie bei der Entfernung der Ransomware mit erfahrenen Spezialisten zusammen, entweder innerhalb Ihres Unternehmens oder indem Sie externe Berater hinzuziehen.
- Entfernen Sie den Schädling auf manuellem Weg. In manchen Fällen ist es möglich, die installierte Software zu prüfen und den Schädling selbst zu löschen. Diese Aufgabe sollten aber nur erfahrene Sicherheitsexperten durchführen, da dadurch an den betroffenen Systemen weiterer Schaden entstehen kann.
Aber selbst, wenn es gelingt, die Ransomware erfolgreich zu entfernen, bedeutet das nicht automatisch, dass Sie damit wieder Zugriff auf Ihre verschlüsselten Daten bekommen. Dafür benötigen Sie spezielle Entschlüsselungs-Tools, die für manche Ransomware-Varianten von Sicherheitsfirmen teils kostenlos angeboten werden. Viele Antimalware-Tools enthalten ebenfalls entsprechende Funktionen. Leider gibt es aber bei weitem nicht für jede Ransomware ein passendes Tool zum Wiederherstellen der verschlüsselten Dateien.
Im Rahmen der forensischen Untersuchung sollte das IT-Team einen detaillierten Scan der betroffenen Geräte durchführen, damit keine etwaigen Überreste des Schadcodes verbleiben. Meist ist es dabei nötig, die befallenen Systeme in Quarantäne zu stellen. Erst nachdem sie äußerst gründlich bereinigt wurden, dürfen sie wieder ihre Dienste aufnehmen.
Schritt 4: Systeme wiederherstellen
Versuchen Sie, Ihre Daten zu retten, indem Sie einen früheren Zustand der befallenen Systeme aus einem Backup wiederherstellen. Wichtig ist, dass es zu einem Zeitpunkt vor dem Angriff erstellt wurde. Wenn die Backups nicht selbst gesperrt oder verschlüsselt wurden, stellen Sie sie über die Restore-Funktion wieder her. Dateien, die erst nach der letzten Sicherung erstellt wurden, sind aber nicht darin enthalten.
Die meisten aktuellen Betriebssysteme verfügen über integrierte Werkzeuge, um Dateien wiederherzustellen oder um kompromittierte Systeme zu bereinigen.
Nachdem Sie die Daten wiederhergestellt haben, sollten Sie noch die folgenden Maßnahmen durchführen:
- Ändern Sie so schnell wie möglich alle Passwörter und Zugangscodes.
- Stellen Sie sicher, dass Ihre Firewall-Regeln und Ihre Antimalware-Software auf einem aktuellen Stand sind. Ersetzen Sie mangelhafte Schutzlösungen mit besseren Anwendungen.
- Befolgen Sie Empfehlungen gegen Ransomware, um künftige Infektionen zu vermeiden. Dazu gehört etwa, rechtzeitig und regelmäßig Backups aller wesentlichen Daten zu erstellen und auch zu prüfen, ob diese sich ordnungsgemäß wieder herstellen lassen. Die Backups dürfen anschließend dauerhaft nicht mit den gesicherten Systemen verbunden bleiben, sonst werden sie mit hoher Wahrscheinlichkeit ebenfalls verschlüsselt oder gesperrt.