Ransomware entfernen & Daten entschlüsseln – So werden Sie den Virus wieder los!

Eine Ransomware-Infektion bedeutet, dass Ihre Daten verschlüsselt oder Ihr Betriebssystem von Cyberkriminellen gesperrt werden. Diese verlangen für die Entschlüsselung der Daten dann meist ein Lösegeld. Ransomware kann durch diverse Möglichkeiten ihren Weg auf das Endgerät finden. Zu den häufigsten zählen Infektionen durch schadhafte Websites, unerwünschte Add-Ons bei Downloads und Mailspam. Zum Ziel von Ransomware-Angriffen zählen sowohl Privatpersonen als auch Unternehmen. Für den Schutz vor Ransomware-Angriffen kann man diverse Maßnahmen ergreifen, wobei ein waches Auge und die richtige Software bereits einen Schritt in die richtige Richtung darstellen. Ein Ransomware-Angriff, bedeutet entweder den Verlust der Daten, die Ausgabe hoher Geldsummen oder beides.

Ransomware erkennen

Wie wissen Sie, ob Ihr Computer infiziert ist? Hier finden Sie einige Möglichkeiten wie ein Ransomware-Angriff festgestellt werden kann:

• Antivirus-Scanner schlägt Alarm: Sofern das Endgerät über einen Virenscanner verfügt, kann dieser eine Ransomware-Infektion frühzeitig erkennen, sofern er nicht umgangen wurde.
• Dateinamenserweiterung checken: Die normale Erweiterung einer Bilddatei ist zum Beispiel „.jpg“. Verändert sich diese Endung zu unbekannten Buchstaben, könnte eine Ransomware-Infektion vorliegen.
• Namensänderung: Tragen Dateien andere Namen, als jene die Sie ihnen gegeben haben? Das Schadprogramm ändert häufig den Dateinamen, wenn es Daten verschlüsselt. Somit könnte auch das ein Hinweis sein.
• Erhöhte CPU und Festplatten Aktivität: Eine erhöhte Aktivität der Festplatte oder des Hauptprozessors können darauf hinweisen, dass die Ransomware im Hintergrund arbeitet.
• Dubiose Netzwerk Kommunikation: Die Interaktion der Software mit dem Cyberkriminellen beziehungsweise mit dem Server des Angreifers, kann verdächtige Netzwerkkommunikation bedeuten.
• Verschlüsselte Dateien: Ein spätes Anzeichen für Ransomware-Aktivitäten ist, dass sich Dateien nicht länger öffnen lassen.

Zu guter Letzt bestätigt ein Fenster mit einer Lösegeldforderung, dass eine Infektion mit Ransomware vorliegt. Je früher der Schädling erkannt wird, desto leichter läuft die Bekämpfung der Schadsoftware ab. Durch eine frühzeitige Erkennung der Infektion mit einem Verschlüsselungstrojaner kann festgestellt werden, welche Art von Ransomware das Endgerät befallen hat. Viele Erpressungstrojaner löschen sich nämlich selbst, nachdem die Verschlüsselung ausgeführt wurde, um nicht untersucht und entschlüsselt werden zu können.

Eine Ransomware Infektion liegt vor – Welche Optionen haben Sie?

Ransomware unterscheidet sich allgemein in Locker-Ransomware und Crypto-Ransomware. Bei einem Locker-Ransomware-Virus wird der gesamte Bildschirm gesperrt, während für bei einer Crypto-Ransomware „lediglich“ einzelne Dateien verschlüsselt werden. Unabhängig von der Art des Cryptotrojaners, stehen den Opfern meist drei Optionen zur Verfügung:

1. Das Betrugsopfer kann das geforderte Lösegeld bezahlen und hoffen, dass die Cyberkriminellen ihr Wort halten und die Daten entschlüsseln.
2. Sie können durch zur Verfügung stehende Tools versuchen, die Malware zu entfernen.
3. Das Opfer kann den Computer auf die Werkseinstellungen zurücksetzen.

Verschlüsselungstrojaner entfernen & Daten entschlüsseln – so geht’s!

Sowohl die Art der Ransomware als auch in welchem Stadium eine Ransomware-Infektion festgestellt wird, hat einen erheblichen Einfluss auf die Bekämpfung des Virus. Nicht bei jeder Ransomware-Variante ist das Entfernen der Schadsoftware und die Wiederherstellung der Dateien möglich. Hier findest du drei Wege, wie du einen Virusbefall bekämpfen kannst.

Ransomware erkennen – je früher desto besser!

Sofern die Ransomware erkannt wird, ehe es zur Lösegeldforderung kommt, liegt der Vorteil darin, dass die Malware gelöscht werden kann. Dabei bleiben die Daten, welche bis zu diesem Zeitpunkt verschlüsselt wurden, verschlüsselt, aber der Ransomware-Virus kann gestoppt werden. Eine frühzeitige Erkennung bedeutet, dass verhindert werden kann, dass sich die Schadsoftware auf weitere Geräte und Dateien verbreitet.

Wenn Sie Ihre Daten extern oder in einem Cloud-Speicher sichern, sind Sie in der Lage, Ihre verschlüsselten Daten wiederherzustellen. Aber was können Sie tun, wenn Sie keine Sicherung Ihrer Daten haben? Wir empfehlen, dass Sie eine Internet Security Software von einem vertrauenswürdigen Anbieter einsetzen. Möglicherweise existiert bereits ein Entschlüsselungstool für die Ransomware, der Sie zum Opfer gefallen sind. Oder besuchen Sie die Seite des No More Ransom Projekts. Diese branchenweite Initiative wurde ins Leben gerufen, um allen Opfern von Ransomware zu helfen.

Anleitung zum Entfernen von File-Encrypter-Ransomware

Sofern Sie Opfer einer File-Encrypter-Ransomware-Attacke geworden sind, können Sie den folgenden Schritten zur Entfernung des Verschlüsselungstrojaners folgen:

Schritt 1: Trennen Sie die Internetverbindung

Zunächst sollten jegliche Verbindungen sowohl virtuell als auch physisch getrennt werden. Dazu zählen kabellos und mit Kabel verbundene Geräte, externe Festplatten, jegliche Speichermedien und Cloud-Accounts. Dadurch kann die Ausbreitung der Ransomware innerhalb des Netzwerkes verhindert werden. Sofern der Verdacht besteht, dass weitere Bereiche betroffen sind, sollten die folgenden Sicherungs-Schritte auch für diese ausgeführt werden.

Schritt 2: Führen Sie eine Untersuchung mit Ihrer Internet-Sicherheitssoftware durch

Nutzen Sie die von Ihnen installierte Internet-Security Software, um einen Virenscan durchzuführen. Das hilft Ihnen dabei, die Bedrohungen zu identifizieren. Wenn gefährliche Dateien gefunden werden, können diese entweder gelöscht oder in Quarantäne verschoben werden. Sie können die schadhaften Dateien dabei sowohl manuell als auch automatisch durch die Antivirus-Software löschen. Wobei eine manuelle Entfernung der Schadsoftware nur für Computer-affine-Personen zu empfehlen ist.

Schritt 3: Verwenden Sie ein Ransomware-Entschlüsselungstool

Wenn sich Ihr Computer mit einer Ransomware infiziert, die Ihre Daten verschlüsselt, benötigen Sie ein passendes Entschlüsselungstool, um den Zugriff zurückzuerlangen. Bei Kaspersky untersuchen wir kontinuierlich die neuesten Arten von Ransomware, damit wir die entsprechenden Entschlüsselungstools bereitstellen können, um diesen Angriffen entgegenzuwirken.

Schritt 4: Stellen Sie Ihr Backup wieder her

Wenn Sie Ihre Daten extern oder in einem Cloud-Speicher gesichert haben, erstellen Sie eine Sicherungskopie Ihrer Daten, die noch nicht von Ransomware verschlüsselt wurde. Wenn Sie keine Sicherungskopien besitzen, ist das Säubern und Wiederherstellen Ihres Computers um einiges schwerer. Um dies zu vermeiden, ist es empfehlenswert, regelmäßig Sicherungskopien anzulegen. Wenn Sie dazu neigen, solche Dinge zu vergessen, nutzen Sie automatische Cloud-Sicherungsdienste oder machen Sie sich Termine in Ihrem Kalender, damit Sie daran erinnert werden.

Anleitung zum Entfernen von Screenlocker-Ransomware

Im Falle einer Screenlocker-Ransomware steht das Betrugsopfer zunächst vor der Herausforderung zur Sicherheitssoftware zu gelangen. Durch das Starten des Rechners im Abgesicherten Modus besteht die Möglichkeit, dass die Bildschirm-sperrende Aktion nicht geladen wird und das Opfer, das Antivirusprogramm zur Bekämpfung der Schadsoftware nutzen kann.

Ransom bezahlen - Ja oder Nein?

Von der Lösegeldzahlung wird allgemein abgeraten. Ähnlich wie man bei Geiselnahmen im echten Leben nicht verhandelt, sollte dies auch nicht gemacht werden, wenn Daten als Geiseln genommen werden. Von einer Lösegeldzahlung ist abzuraten, da keine Garantie besteht, dass die Erpresser, tatsächlich ihrem Versprechen nachkommen und die Daten entschlüsseln. Zudem würde die Zahlung, diese Art von Verbrechen unterstützten, was keinesfalls geschehen sollte.

Sofern Sie dennoch planen, das Lösegeld zu bezahlen, sollten Sie die Ransomware nicht vom Computer entfernen. Abhängig von der Art der Ransomware oder dem Plan der Cyberkriminellen hinsichtlich der Entschlüsselung, kann die Ransomware nämlich den einzigen Weg darstellen, wie ein Entschlüsselungscode angewendet werden kann. Eine frühzeitige Entfernung der Software würde den teuer erkauften Entschlüsselungscode unbrauchbar machen. Sofern man tatsächlich einen Entschlüsselungscode zugesendet bekommen hat und dieser funktioniert, sollte man nach der Entschlüsselung der Daten jedoch so schnell als möglich die Ransomware vom Gerät entfernen.

Ransomware-Arten: Wo liegen die Unterschiede im weiteren Vorgehen?

Es existieren viele verschiedene Ransomware-Arten, wobei manche durch wenige Klicks deinstalliert werden können. Konträr dazu gibt es jedoch auch weit verbreitete Varianten des Virus, deren Entfernung erheblich komplexer und zeitintensiver ist.

Für die diversen Ransomware-Varianten liegen unterschiedliche Möglichkeiten zur Entfernung und zur Entschlüsselung der befallenen Dateien vor. Dabei existiert für die vielen verschiedenen Ransomware-Varianten kein allgemein-wirksamer Decrypter.

Folgende Fragen sind wichtig, wenn es um die ordentliche Entfernung der Ransomware geht:

• Welche Virus-Art hat das Gerät befallen?
• Liegt ein passendes Entschlüsselungsprogramm vor und wenn ja welches?
• Wie hat der Virus seinen Weg ins System gefunden?

Ryuk könnte zum Beispiel über Emotet ins System gelangt sein. Dies bedeutet einen Unterschied für die Behandlung des Problems. Liegt ein Petya-Befall vor, so stellt der Abgesicherte Modus eine gute Möglichkeit für die Entfernung dar. Mehr zu den verschiedenen Ransomware-Varianten finden Sie hier.

Fazit

Trotz bester Sicherheitsvorkehrungen ist eine Ransomware-Attacke nie mit vollkommener Sicherheit auszuschließen. Trifft der Fall der Fälle ein, so kann eine ausgezeichnete Internet Security Software, wie jene von Kaspersky, gute Vorbereitung und aufmerksames Handeln dazu beitragen, die Folgen des Angriffs zu schmälern. Mit den Anzeichen eines Ransomware-Angriffs im Hinterkopf, kann ein Befall frühzeitig erkannt und bekämpft werden. Doch auch nach einer Lösegeldforderung stehen Ihnen Optionen zur Verfügung, unter welchen Sie die richtige für ihre individuelle Situation auswählen können. Behalten Sie dabei stets in Erinnerung, dass das regelmäßige Sichern Ihrer Daten die Tragweite eines Angriffs erheblich lindert.

Diese Sicherheitslösungen erkennen Ransomware:

• Kaspersky Internet Security
• Kaspersky Total Security
• Kaspersky Security Cloud

Weitere Artikel zum Thema Ransomware:

• Ransomware – Definition, Prävention und Beseitigung
• So sorgen Sie für die Sicherheit Ihrer Daten
• So unterscheiden sich die Verschlüsselungstrojaner