Lösegeld? Nein Danke!

Ransomware identifizieren und entschlüsseln

  1. Ransomware erkennen und Daten retten
  2. Ransomware identifizieren und entschlüsseln

Wenn ein Erpresser zugeschlagen hat, merken Sie es schnell – meist öffnet sich eine deutliche Forderung von alleine. Manchmal liegen aber auch nur Textdateien mit Erpresserbotschaften im Windows-Hauptverzeichnis oder in den einzelnen verschlüsselten Verzeichnissen (zum Beispiel Howto_restore_FILES.html). 

Im Fall eines Angriffs sollten sie Ruhe bewahren. Zahlen Sie kein Geld an die Erpresser – sondern suchen Sie zuerst nach einer Lösung. Entfernen Sie den Trojaner mit einer Anti-Malware-Boot-DVD, wie dem Avira Rescue System​​, damit er keinen weiteren Schaden anrichten kann. Nach der Entfernung sind die Daten aber noch gefangen. Um sie zu befreien, müssen Sie den Trojanertyp sicher identifizieren. Einen Hinweis darauf liefert oft die Datei mit der Lösegeldforderung. Eine Liste mit Namen der entsprechenden Dateien finden Sie auf der Webseite von Bleib-Virenfrei.de​​.

ID Ransomware

© Weka/Archiv

Über eine Datenanalyse hilft ID Ransomware bei der Erkennung des Ransomware-Angriffs.

Einen weiteren Ansatzpunkt bilden die Erweiterungen der verschlüsselten Dateien (zum Beispiel .MICRO). Öffnen Sie im Browser den Ransomware-Identifier​​. Geben Sie im Suchfeld die Dateierweiterung ein, und Sie erhalten direkt darunter eine Diagnose. Über Links bekommen Sie Hinweise zu passenden Programmen für Bekämpfung. 

Funktioniert die Erkennung über den Namen oder die Dateierweiterung nicht, lassen Sie die verschlüsselten Dateien selbst analysieren. Die Seite von ID Ransomware​​ bietet Ihnen dazu die Möglichkeit: Laden Sie die Textdatei mit der Lösegeldforderung oder eine der verschlüsselten Dateien zum Online-Service hoch. Die Seite untersucht die Daten und zeigt Informationen über den entsprechenden Typ und potenzielle Tools zur Entschlüsselung an.​

Mehr lesen

No More Ransom
Anti-Ransomware-Initiative

Entschlüsseln statt Lösegeld: Die Anti-Ransomware-Initiative No More Ransom bietet 15 neue kostenlose Decrypt-Tools für Erpressertrojaner an.

Das befallene System mit einem Spezial-Tool entschlüsseln 

Haben sie den Trojanertyp ermittelt, suchen Sie eine passende Entschlüsselungs- Software. Starten Sie das entsprechende Tool, meist ist keine Installation erforderlich. Die Entschlüsselung kann Minuten dauern oder auch Stunden. Das hängt von der Größe der Festplatte und der Anzahl der infizierten Daten ab. Nach der Entschlüsselung können Sie wieder normal arbeiten und die Dokumente öffnen. 

Ransomware befällt gern Dokumente wie Office-Dateien von Word- oder Excel. Auf der Liste stehen außerdem PDFs, Fotos (JPG, TIF) und die Files der Design-Programme Photoshop bzw. Corel Draw. Oft sind auch Archive wie ZIP, RAR oder 7ZIP durch die Verschlüsselung betroffen. Einige Angriffe zielen auf lokale Datenbanken wie Access und SQlite. Letztere benutzten Programme wie die Webbrowser Firefox oder Google Chrome. Sie helfen bei der Indizierung von Inhalten und bei der Speicherung von Einstellungen. Manche Schädlinge suchen auch nach Server-Dateien: HTML oder PHP, um Unternehmen teuer zu erpressen.

EMSISOFT Decrypter

© Weka/Archiv

Spezial-Tools helfen bei der Wiederherstellung der verschlüsselten Daten. Hier: Emsisoft Decrypter.

Tipp: Sichern Sie alle wiederhergestellten Daten. Spielen Sie dann ein Backup des virenfreien Systems zurück. Damit stellen Sie sicher, dass die Ransomware nicht mehr auf dem Rechner ist und später wieder aktiv wird.

Backups helfen im Ernstfall 

Der schlimmste Fall von Ransomware ist ein Angriff, bei dem sich die Daten nicht mehr entschlüsseln lassen. Das kann bei relativ neuen Attacken die Möglichkeit sein. Oder ebenso gravierend sind Fehler bei der schlampigen Entwicklung der Schadsoftware. Ein Beispiel dafür ist The Marlboro Ransomware. Die schneidet beim Verschlüsseln bis zu sieben Bytes von den Dateien ab. Eine vollständige Reparatur aller Dokumente mit einem Decrypter ist deshalb nicht immer möglich.

In solchen Fällen sollten Sie ein komplettes Image Ihres Systems inklusiver aller verschlüsselten Daten auf ein externes Gerät sichern (zum Beispiel mit Clonezilla​). Suchen Sie regelmäßig auf den oben angegebenen Webseiten, ob nicht inzwischen ein Bruch der Verschlüsselung gelungen ist. Dann können Sie Ihre Daten später retten.  Um ganz sicherzugehen, stellen Sie nun Ihr Vortrojaner-System über ein Backup, die Windows-Systemwiederherstellung oder eine Neuinstallation wieder her.

In unserem Gutschein-Portal finden Sie aktuelle Gutscheine und Gutscheincodes von​​ Conrad!

Mehr lesen

Ransomware Locky
Sicherheit

Eine Sicherheitsfirma stellt mit RansomFree ein Gratis-Tool gegen Erpressungs-Trojaner zur Verfügung. Die Arbeitsweise des Programms klingt…

Mehr zum Thema

So werden Sie Ransomware los
Ransomware

Das LKA Niedersachsen warnt vor der Ransomware Jaff. Cyberkriminelle verschicken den Erpressungs-Trojaner per E-Mail. Lesen Sie hier die Details.
Verschlüsselung
Erpressungs-Trojaner

Ende Juni legte die Ransomware Petya Regierungen, Behörden und Firmen lahm. Jetzt melden sich die Hacker mit einer Lösegeldförderung.
shutterstock 115220248 Virus
Ransomware

Locky tritt in der neuen Lukitus-Variante auf und verschlüsselt als klassische Ransomware die Daten des PCs. Zeit für Backups und Vorsichtsmaßnahmen.
Ransomware Locky
Ransomware per Spam-Mail

Die Ransomware Locky treibt als Anhang in einer E-Mail wieder ihr Unwesen. So erkennen Sie aktuelle Locky-Angriffe und schützen sich vor…
Hacker Cyberangriff Malware - Sicherheit (Symbolbild)
Erpressungs-Trojaner

Der Erpressungs-Trojaner nRansom fordert Nacktbilder statt Bitcoins. Sicherheitsexperten berichten, dass nRansom Daten jedoch gar nicht verschlüsselt.