Ransomware-Notfall: Diese Tipps helfen Ihnen beim Ablauf

Ransomware ist ein altbekannter Internet-Schädling, der erst wichtigen Daten auf Ihrem PC verschlüsselt und danach ein Lösegeld fordert, um diesen wieder zu entsperren. Dies könnte entweder sehr teuer werden, oder zu dem Verlust aller Daten, die von der Software verschlüsselt wurden, führen. Bei einem Ransomware-Notfall schnelle Hilfe und ein kühler Kopf gefragt. Nur so bestehen weiterhin realistische Chancen, um wieder die Kontrolle über die eigenen Daten zu erlangen und eine Incident Response zu vermeiden.

In unserem Beitrag können Sie sich mit den ersten Maßnahmen bei einem Ransomware-Notfall vertraut machen. Dabei schauen wir uns an, welche Tipps und Tricks helfen, wenn man sich eine Erpressungssoftware wie Ransomware einfängt und diese wieder entfernen möchte. Außerdem geben wir Ihnen in diesem Beitrag wertvolle Hinweise, um direkt nach einem Ransomware-Angriff effizient zu handeln.

Direkte Maßnahmen bei einem Ransomware-Vorfall

Das Erste, was Sie machen sollten, sobald Sie einen Computer-Schädling bemerken ist, den PC vom Internet zu trennen. Wi-Fi, Bluetooth und NFC sollten Sie zuerst ausschalten. So verhindern Sie, dass sich der Schädling auf andere Dateien oder Systeme in Ihrem Netzwerk ausbreitet. Danach gilt es sich einen Überblick zu verschaffen, was genau von der Verschlüsselung betroffen ist. Meistens sind dies zugeordnete oder freigegebene Ordner von anderen Computern, Netzwerkspeichergeräte jeglicher Art, externe Festplatten, USB-Speichergeräte (USB-Sticks, Memory Sticks), angeschlossene Telefone oder Kameras. Auch cloudbasierter Speicher wie Dropbox, Google Drive und OneDrive können bei einem Ransomware-Vorfall betroffen sein.

Als Nächstes stellen Sie fest, ob Daten oder Anmeldeinformationen gestohlen wurden. Überprüfen Sie die Protokolle und die DLP-Software auf Anzeichen von Datenlecks. Suchen Sie nach unerwartet großen Archivdateien (z.B. .zip und .arc), welche vertrauliche Daten enthalten, die als Staging-Dateien verwendet worden sein könnten.

Suchen Sie im nächsten Schritt nach Malware, Tools und Skripten, mit denen Daten gesucht und kopiert werden könnten. Eines der genauesten Anzeichen für Ransomware-Datendiebstahl ist dabei ein Hinweis von der Ransomware-Bande, welche bekannt gibt, dass Ihre Daten und Anmeldeinformationen gestohlen wurden. Als Nächstes ist es wichtig, den Typ der Software zu identifizieren. Dabei gibt es verschiedene Arten, wie zum Beispiel Ryuk, Dharm und SamSam. Jetzt, da Sie den Umfang des Schadens sowie die Belastung durch Ransomware kennen, können Sie eine fundierte Entscheidung treffen, wie Ihre nächste Aktion aussehen wird. 5 konkrete Verhaltensregeln sind auch auf der Webseite von Norton zu lesen.

Gestohlene Daten und Bezahlung

Da Sie jetzt wissen, worum es sich bei Ihrem Ransomware-Vorfall handelt, wie viel betroffen ist und welche Daten gegebenenfalls entscheidend verschlüsselt wurden, können wir in unserer Checkliste voranschreiten. Die Absicht der Ransomware-Bande ist in den meisten Fällen die Erpressung von Lösegeld gegen die Freischaltung Ihrer Daten. Alternativ hierzu, verbleiben die Daten ohne jeden ersichtlichen finanziellen Nutzen für die Erpresser verschlüsselt. Daher sollten wir uns im Folgenden beide Fälle anschauen und die konkreten Schritte im Detail durchgehen.

Erpressung einer Zahlung für Ihre Daten

Auch wenn es nicht direkt danach klingt, ist die Zahlung gegen Freischaltung Ihrer Daten die komfortabelste Variante, um sich von Ransomware zu befreien. Dabei überweisen Sie in einer vorgegebenen Zeit einen Betrag, welcher Ihnen meistens bereits im Ransomware-Screen angezeigt wird. Mithilfe von Bitcoin können die Überweisungen anonym vorgenommen werden. Eventuell lassen sich das Zahlungsziel sowie der Betrag mit der Ransomware-Bande verhandeln. Die Hoffnung hierauf sollte allerdings nicht zu groß sein.

Sobald der Computer wieder freigegeben ist, sollten Sie in jedem Fall mit größter Vorsicht Ihre Dateien dezentral sichern und die Ransomware entfernen. Um zu vermeiden, dass Rückstände und Shadow Dateien auf Ihrem System zurückbleiben, bietet sich die Installation eines Backups an. Das verwendete Backup sollte von einem nicht befallenen Speichermedium eingespielt werden, um weitere Vorfälle und Zahlungen zu vermeiden. Sichern Sie nach Fertigstellung der Installation unbedingt sämtliche Schwachstellen Ihres Systems oder Netzwerks gegen erneute Angriffe ab.

Verschlüsselung ohne Zahlung

Der zweite Fall ist die Verschlüsselung Ihrer Daten durch Ransomware, ohne einen ersichtlichen finanziellen Hintergrund. Die eigentliche Absicht liegt hier in der Incident Response, dem Stören von Abläufen in einem Betrieb oder Unternehmen. Das hängt häufig mit weiteren personellen Kosten und Arbeitsausfällen für den Betroffenen zusammen. Bei einer solchen Variante ist das eigenständige Beseitigen nur schwer möglich. Wir empfehlen daher, sich auf die Wiederherstellung durch ein Backup einzustellen. Das Entschlüsseln mithilfe von Software ist ein aufwendiger Prozess, welcher von neuen Ransomware-Versionen bereits erfolgreich unterbunden wird.

In einer Variante ohne Möglichkeit die Kontrolle durch Überweisungen zurückzuerlangen, steht meist der totale Verlust Ihrer Daten im Interesse der Ransomware-Bande. Dies kann nur durch regelmäßige Backups und dezentrale Datensicherungen abgeschwächt werden, welche nach dem Zurücksetzen Ihres Systems eingespielt werden. Bereinigen Sie hierbei Ihr System gründlich und achten Sie darauf, dass keine Ordner, Archive oder Dateien zurückbleiben, die durch Ransomware erzeugt wurden. Auch nach diesem Schritt ist eine Absicherung im Rahmen der Datenschutzprävention unbedingt zu empfehlen.

Fazit: Ransomware beseitigen und Prävention betrieben

Wie Sie sehen, ist Ransomware eine mächtige Methode, um Ihren Computer sowie Teile Ihres Netzwerks außer Gefecht zu setzen. Im Interesse sind häufig der Schaden an Ihrem Unternehmen sowie die klassische Erpressung von Lösegeld. Die Freischaltung Ihrer Daten garantiert dabei jedoch nicht, dass Sie mit dem Themen Ransomware und Incident Response abgeschlossen haben. Daher empfehlen wir Ihnen klar, regelmäßige Backups Ihres Systems zu erstellen, um gegen die Machenschaften von Ransomware-Banden vorzugehen. Nur so können im Ernstfall Daten erhalten bleiben und Schwachstellen im System abgeschwächt werden.

Neben der korrekten Handlung in einem Ransomware-Vorfall, ist auch die Prävention im eigenen Unternehmen ein wichtiger Aspekt der Cyber-Sicherheit. Die Computer und Geräte im Netzwerk sollten so abgesichert werden, dass eine Verschlüsselung durch Ransomware für Angreifer zur Schwierigkeit wird. Darüber hinaus sollten Mitarbeiter unbedingt über die Hintergründe, Machenschaften und Absichten von Erpressern im Internet aufgeklärt werden. Schulungen für IT-Sicherheit und digitales Arbeiten sind daher für jedes Unternehmen zu empfehlen. Als Privatperson lohnt sich zudem ein gewisses Maß an Achtsamkeit beim Surfen im Internet und der Arbeit mit Downloads. Weitere Informationen über die Bedrohungslage und Prävention hat das BSI zusammengetragen.