Lösegeld? Nein Danke!

Ransomware identifizieren und entschlüsseln

  1. Ransomware erkennen und Daten retten
  2. Ransomware identifizieren und entschlüsseln

Wenn ein Erpresser zugeschlagen hat, merken Sie es schnell – meist öffnet sich eine deutliche Forderung von alleine. Manchmal liegen aber auch nur Textdateien mit Erpresserbotschaften im Windows-Hauptverzeichnis oder in den einzelnen verschlüsselten Verzeichnissen (zum Beispiel Howto_restore_FILES.html). 

Im Fall eines Angriffs sollten sie Ruhe bewahren. Zahlen Sie kein Geld an die Erpresser – sondern suchen Sie zuerst nach einer Lösung. Entfernen Sie den Trojaner mit einer Anti-Malware-Boot-DVD, wie dem Avira Rescue System​​, damit er keinen weiteren Schaden anrichten kann. Nach der Entfernung sind die Daten aber noch gefangen. Um sie zu befreien, müssen Sie den Trojanertyp sicher identifizieren. Einen Hinweis darauf liefert oft die Datei mit der Lösegeldforderung. Eine Liste mit Namen der entsprechenden Dateien finden Sie auf der Webseite von Bleib-Virenfrei.de​​.

ID Ransomware

© Weka/Archiv

Über eine Datenanalyse hilft ID Ransomware bei der Erkennung des Ransomware-Angriffs.

Einen weiteren Ansatzpunkt bilden die Erweiterungen der verschlüsselten Dateien (zum Beispiel .MICRO). Öffnen Sie im Browser den Ransomware-Identifier​​. Geben Sie im Suchfeld die Dateierweiterung ein, und Sie erhalten direkt darunter eine Diagnose. Über Links bekommen Sie Hinweise zu passenden Programmen für Bekämpfung. 

Funktioniert die Erkennung über den Namen oder die Dateierweiterung nicht, lassen Sie die verschlüsselten Dateien selbst analysieren. Die Seite von ID Ransomware​​ bietet Ihnen dazu die Möglichkeit: Laden Sie die Textdatei mit der Lösegeldforderung oder eine der verschlüsselten Dateien zum Online-Service hoch. Die Seite untersucht die Daten und zeigt Informationen über den entsprechenden Typ und potenzielle Tools zur Entschlüsselung an.​

Mehr lesen

No More Ransom
Anti-Ransomware-Initiative

Entschlüsseln statt Lösegeld: Die Anti-Ransomware-Initiative No More Ransom bietet 15 neue kostenlose Decrypt-Tools für Erpressertrojaner an.

Das befallene System mit einem Spezial-Tool entschlüsseln 

Haben sie den Trojanertyp ermittelt, suchen Sie eine passende Entschlüsselungs- Software. Starten Sie das entsprechende Tool, meist ist keine Installation erforderlich. Die Entschlüsselung kann Minuten dauern oder auch Stunden. Das hängt von der Größe der Festplatte und der Anzahl der infizierten Daten ab. Nach der Entschlüsselung können Sie wieder normal arbeiten und die Dokumente öffnen. 

Ransomware befällt gern Dokumente wie Office-Dateien von Word- oder Excel. Auf der Liste stehen außerdem PDFs, Fotos (JPG, TIF) und die Files der Design-Programme Photoshop bzw. Corel Draw. Oft sind auch Archive wie ZIP, RAR oder 7ZIP durch die Verschlüsselung betroffen. Einige Angriffe zielen auf lokale Datenbanken wie Access und SQlite. Letztere benutzten Programme wie die Webbrowser Firefox oder Google Chrome. Sie helfen bei der Indizierung von Inhalten und bei der Speicherung von Einstellungen. Manche Schädlinge suchen auch nach Server-Dateien: HTML oder PHP, um Unternehmen teuer zu erpressen.

EMSISOFT Decrypter

© Weka/Archiv

Spezial-Tools helfen bei der Wiederherstellung der verschlüsselten Daten. Hier: Emsisoft Decrypter.

Tipp: Sichern Sie alle wiederhergestellten Daten. Spielen Sie dann ein Backup des virenfreien Systems zurück. Damit stellen Sie sicher, dass die Ransomware nicht mehr auf dem Rechner ist und später wieder aktiv wird.

Backups helfen im Ernstfall 

Der schlimmste Fall von Ransomware ist ein Angriff, bei dem sich die Daten nicht mehr entschlüsseln lassen. Das kann bei relativ neuen Attacken die Möglichkeit sein. Oder ebenso gravierend sind Fehler bei der schlampigen Entwicklung der Schadsoftware. Ein Beispiel dafür ist The Marlboro Ransomware. Die schneidet beim Verschlüsseln bis zu sieben Bytes von den Dateien ab. Eine vollständige Reparatur aller Dokumente mit einem Decrypter ist deshalb nicht immer möglich.

In solchen Fällen sollten Sie ein komplettes Image Ihres Systems inklusiver aller verschlüsselten Daten auf ein externes Gerät sichern (zum Beispiel mit Clonezilla​). Suchen Sie regelmäßig auf den oben angegebenen Webseiten, ob nicht inzwischen ein Bruch der Verschlüsselung gelungen ist. Dann können Sie Ihre Daten später retten.  Um ganz sicherzugehen, stellen Sie nun Ihr Vortrojaner-System über ein Backup, die Windows-Systemwiederherstellung oder eine Neuinstallation wieder her.

In unserem Gutschein-Portal finden Sie aktuelle Gutscheine und Gutscheincodes von​​ Conrad!

Mehr lesen

Ransomware Locky
Sicherheit

Eine Sicherheitsfirma stellt mit RansomFree ein Gratis-Tool gegen Erpressungs-Trojaner zur Verfügung. Die Arbeitsweise des Programms klingt…

Mehr zum Thema

WannaCry-Ransomware
Erpressungs-Trojaner

Die Ransomware WannaCry legt weltweit Windows-Rechner lahm. Lesen Sie, welche Auswirkungen das hat und was Sie dagegen tun können.
© wk1003mike / shutterstock
Windows Update Probleme

Nach der Aufregung um die Ransomware WannaCry streikt Windows Update? Wir zeigen Ihnen den Weg zum Patch-Download, den Ihr Windows-Rechner jetzt…
Hacker Cyberangriff Malware - Sicherheit (Symbolbild)
Hacker-Kollektiv

Droht nach WannaCry die nächste Ransomware-Welle? Die Hacker-Gruppe Shadow Brokers will weitere NSA-Cyberwaffen leaken - und im Monatsabo anbieten.
WannaCry-Ransomware
Erpressungs-Trojaner

Opfer von WannaCry bekommen erste Entschlüsselungs-Tools, die Erfolgsaussichten sind jedoch gering. Dazu stellt sich heraus: Vorrangig Windows 7 ist…
Verschlüsselung
Erpressungs-Trojaner

Vodafone-Kunden, die von der Ransomware WannaCry betroffen sein könnten, erhalten einen Brief. Der Provider weist auf eine Infektion hin.