Leider ist es eine bittere Wahrheit: Jeder kann völlig unvermittelt das Opfer von Ransomware werden. Ransomware ist besonders fies: Sie verschlüsselt Dateien und gibt sie nur gegen ein Lösegeld wieder frei.

Auch wenn Sie eine gute Sicherheits-Software nutzen, kann es trotzdem sein, dass Sie von einer sogenannten 0-Day-Ransomware getroffen werden. 0-Day steht für eine ganz neue Variante einer Malware, die noch kein Security-Hersteller zuvor gesehen respektive erkannt hat. Es kann aber auch sein, dass ihr System oder eine installierte Software eine schwere Sicherheitslücke hat, durch die zuerst ein spezielles Angriffs-Tool (Exploit) eindringt und danach mit erhöhten Rechten im Windows-System Verstärkung holt, also verschiedene weitere Malware zum Spionieren, Daten stehlen oder Verschlüsseln, Bild 1.

Wenn alle Vorbereitungen und Schutzwälle durchdrungen wurden, ist guter Rat teuer. Meist wird der PC erst etwas langsam, ver­weigert Aktionen und zeigt danach plötzlich einen Textbildschirm, der den Nutzer informiert, dass seine Daten verschlüsselt seien und sie erst wieder entschlüsselt würden, wenn ein Lösegeld bezahlt werde. Zusätzlich wird oft ein Link zu einer Webseite eingeblendet, die einem erklärt, wie man die Kryptowährung Bitcoin kauft. Denn die Erpresser möchten, dass für die Entschlüsselungs-Keys eine gewisse Summe in Bitcoins in eine Bitcoin-Wallet eingezahlt wird. Einige Angreifer bieten sogar einen Link zu einem Chat, in dem die Angreifer ansprechbar sind. Das alles klingt zwar etwas verrückt, aber für die Cybergauner ist es ein Geschäft, bei dem sie Support zur Zahlung anbieten, Bild 2.

Bevor Sie sich aber mit einer Bezahlung, Bitcoins oder anderen Dingen beschäftigen, sollten Sie zuerst alles sichern und retten, was noch möglich ist. Denn niemand garantiert, dass nach der Bezahlung die Daten auch wirklich freigegeben werden. Nutzen Sie dazu unsere Anleitung.

Sobald Sie sicher sind, dass Ihre Daten verschlüsselt sind, sollten Sie Ihren PC erst einmal isolieren – und zwar möglichst schnell.

Eine aktive Ransomware verschlüsselt zwar die Daten auf dem PC, aber das können Sie in der Regel nicht mehr stoppen. Allerdings sucht der Angreifer (zum Beispiel ein Schädling wie Emotet) alle verfügbaren Laufwerke am PC – sowohl lokale als auch alle externen und Netzwerklaufwerke, Bild 3. Waren Sie schnell, sind diese Daten vielleicht noch nicht verschlüsselt. Aber: Selbst wenn die Daten noch normal da sind, kann es sein, dass der Angreifer weitere verseuchte Dateien für eine erneute Infizierung hinterlegt hat. Sie werden sie zur Sicherheit scannen müssen. Dazu später noch mehr.

Ganz wichtig ist das Löschen der gefährlichen E-Mail mit der Malware und das Ändern der E-Mail-Zugänge. Denn sobald Angreifer auf dem System sind, führen sie einige Aktionen parallel aus. Eine davon, wieder am Beispiel von Emotet, ist die Weiterverbreitung der Angriffs-Software. Dazu will der Angreifer Ihren guten Absendernamen missbrauchen und sendet vertrauenserweckende E-Mails an Ihre Kontakte.

Sind die Zugänge geändert, könnten Sie bei Bedarf den PC auch wieder ans Internet anschliessen. Der installierte E-Mail-Client kann keine gefährlichen E-Mails mehr versenden. Allerdings sollten Sie zuvor das Problem mit den Cloud-Services lösen (siehe dazu nächster Abschnitt), Bild 4.

Wie bereits oben angesprochen ist die Kappung der Verbindung zu Cloud-Services und Speicher wie Dropbox oder OneDrive wichtig. Die Daten liegen getrennt in der Cloud und bieten eine Versionierung an. Wurden also Daten verschlüsselt und überschrieben, können Sie diese wiederherstellen, in dem Sie auf eine frühere Version springen. Die Services bieten dazu eine Wiederherstellungsfunktion an. Dropbox nennt das zum Beispiel Rewind, Bild 5.

Microsofts OneDrive erkennt sogar die Aktion, wenn massenhaft Daten umbenannt werden, stoppt den Vorgang und informiert den Nutzer. Aber: auch bei diesem Speicher kann es sein, dass der Angreifer Angriffs-Tools oder andere Malware auf dem Speicher mit ablegt. Daher müssen Sie den Cloud-Speicher auf Schädlinge untersuchen lassen. Was aber nicht einfach ist. Die meisten Cloud-Services scannen die vorhandenen Daten nicht auf Malware. Meist wird das nur in höheren Verträgen oder Business-Accounts angeboten.

Vergessen können Sie die Cloud-Daten auf dem befallenen PC. Diese löschen Sie später einfach, da ja in der Cloud alles gesichert ist. Loggen Sie sich am besten per Smartphone in die Cloud-Oberfläche Ihres Accounts ein.

Android und iOS sind nicht mit der Windows-Malware infizierbar. Prüfen Sie die veränderten Daten. Wenn Sie dort nur Dateien sehen, die alle die gleiche Endung haben, zum Beispiel .encrypt, dann sind das die verschlüsselten Dateien. Liegen dazwischen normale, neue Dateien, ist das meist gefährliche Malware. Die können Sie unter Android oder iOS auch herunterladen und als Datei etwa auf der Webseite virustotal.com prüfen lassen. Vergessen Sie nicht, nach der Prüfung die Datei von Ihrem Gerät zu löschen.

Unsere Empfehlung: Nachdem der verseuchte Computer keinen Zugang mehr zum Cloud-Speicher hat, setzen Sie den gesamten Datenbestand in Ihrer Cloud einfach auf ein Datum vor dem Angriff zurück.

Bei Microsofts OneDrive zum Beispiel finden Sie die Funktion in der Weboberfläche unter dem Zahnrad-Symbol oben rechts via Optionen und den Befehl Ihr OneDrive wiederherstellen. Anschliessend folgen Sie dem weiteren Dialog und legen das Datum fest. Sie können wählen zwischen den Optionen Gestern, letzte Woche oder Datum angeben.

Danach setzt OneDrive die Daten zurück und Sie haben keine Gefahr mehr von versteckter Malware auf dem Cloud-Speicher. Der ganze Vorgang ist auch mit anderen Cloud-Speichern möglich. Bei Dropbox nennt sich der Vorgang wie erwähnt Rewind und läuft so ähnlich ab wie bei OneDrive, Bild 6.

Wir gehen in unserem Artikel davon aus, dass Sie das geforderte Lösegeld nicht bezahlen wollen. Das ist auch richtig so, denn mit Ihrem Geld finanzieren Sie weitere Angriffe auf sich selbst und andere. Und: selbst, wenn Sie zahlen, ist das keine Garantie, dass sie das Entschlüsselungs-Tool bekommen oder es auch wirklich funktioniert.

Für den sicheren Zugriff auf Ihren Computer starten Sie ihn am besten von einem Rettungs-Stick. Diesen fertigen Sie idealerweise an einem anderen, sauberen Windows-Rechner an. Nutzen Sie dazu nicht den verseuchten Windows-PC; der neue Stick würde nur ebenfalls verschlüsselt.

Wir empfehlen Ihnen dazu die kostenlose Software Kaspersky Rescue Disk (Download via go.pctipp.ch/3398). Denn: nach dem Booten mit dem Stick kann dieser über das Internet neueste Virendefinitionen holen und Sie können gleich Daten auf ein externes Medium sichern und laufen nicht Gefahr, verseuchte Daten zu speichern, Bild 7.

Den Antivirus-USB-Boot-Stick legen Sie mithilfe der ISO-Datei an, die Sie bei Kaspersky herunterladen. Als Hilfs-Tool nutzen Sie das Freeware-Programm Rufus in der portablen Version (rufus.ie/de). Es formatiert für Sie einen USB-Stick (nicht kleiner 4 GB!) passend, macht ihn gleich bootfähig und installiert darauf Kaspersky Rescue Disk.

Nach dem Start von Rufus wählen Sie das Laufwerk, an dem der Stick steckt. Mittels AUSWAHL greifen Sie zur Boot-CD, das ist die von Ihnen heruntergeladene Datei krd.iso. Bei Dateisystem stellen Sie Fat32 ein. Nun geht es mit Start los. Bei der Abfrage wählen Sie ISO-Image Modus. Es kann sein, dass Rufus noch eine fehlende Datei herunterladen muss. Stimmen Sie zu. Nun noch zwei kurze OK-Bestätigungen, jetzt wird der Stick angefertigt.

Jetzt starten Sie den verseuchten PC mithilfe Ihres Boot-Sticks. Eventuell ist das Booten von Sticks und externen Laufwerken deaktiviert. Daher müssen Sie beim Rechnerstart entweder in das BIOS gelangen oder ein spezielles Startmenü für die Boot-Reihenfolge aufrufen. Die passenden Tasten oder Kombinationen blendet das System in der Regel beim Rechnerstart am unteren Bildrand ein. Hilfe bietet auch das PC-Handbuch. Vergessen Sie nicht, dass Sie für den Stick eine aktive Internetverbindung haben müssen.

Achtung: Haben Sie den Start verpasst oder die Tastenkombination für den BIOS-Zugang hat nicht funktioniert, warten Sie nicht, bis Windows startet, sondern ziehen den USB-Stick sofort wieder ab. Fahren Sie den PC nicht herunter, sondern schalten Sie ihn am besten einfach aus. Windows darf auf keinen Fall mit aktiver Internetleitung wieder hochfahren.

Sobald der Stick gestartet und die Kaspersky Rescue Disk geladen ist, wählen Sie als Sprache English/Enter. Danach gehts zu Kaspersky Rescue Disk, Graphic mode und Enter. Auf der grafischen Oberfläche stimmen Sie den Anfragen zu. Die Reinigung des Windows-PCs beginnen Sie per Mausklick. Lassen Sie einfach den gesamten PC nach der Malware durchsuchen und löschen. Damit sind Sie den Angreifer erst einmal los.

Anschliessend greifen Sie auf Ihre Festplatte zu und sichern alle verschlüsselten privaten Daten, die Sie benötigen, Bild 8. Denken Sie daran, dass eventuell viele Daten in einem Cloud-Speicher stecken. Die haben Sie bereits.

In der Rettungsoberfläche sind die Festplatten unter Desktop/Volumes zu finden. Alle Laufwerke sind dabei als sda1, sda2 bzw. sdb1, sd2 aufgelistet. Ihre Festplatten sind darunter zu finden. Das Rettungssystem auf Linux-Basis benennt sie einfach anders. Aber mit diesem Hinweis finden Sie Ihre Platte und die Daten. Kopieren Sie die verschlüsselten Daten auf einen Stick oder eine externe USB-Platte. Sie haben sie vergessen, vorher anzuschliessen? Macht nichts – das geht auch, wenn das System bereits gestartet ist. Stecken Sie das USB-Gerät an und klicken Sie danach auf den Befehl View/Reload, Bild 9. Danach können Sie die Daten suchen, Dateien oder Ordner per rechtem Mausklick und Copy kopieren und auf dem Sicherungslaufwerk mit Paste einfügen, Bild 10.

Falls Ihnen wirklich wichtige Dateien verschlüsselt wurden, so kann es sein, dass Sie diese aktuell nicht entschlüsseln können. Im Moment dauert es einige Monate bis Jahre, bis ein Tool zur Entschlüsselung bereitsteht. Aber wenn es eines gibt, finden Sie es fast sicher auf der Webseite NoMoreRansom (Link: go.pctipp.ch/3399). Die Seite ist eine Initiative von internationalen Behörden und Security-Herstellern. Dort gibt es das Online-Tool namens Crypto Sheriff, das Ihnen hilft, die Art der Ransomware zu ergründen und ob es vielleicht bereits ein Tool zur Entschlüsselung gibt. Dazu fügen Sie auf der Testseite des Crypto Sheriff einfach zwei verschlüsselte Dateien ein und geben, falls vorhanden, die Adresse des Bitcoin-Wallets an. Das Tool analysiert die Daten und gibt Ihnen die Information, ob eines der bereits 180 vorhandenen Entschlüsselungs-Tools funktioniert.

Falls nicht: bewahren Sie die Daten weiterhin auf. Auch wenn sie aktuell verschlüsselt sind, es gibt ständig neue Tools zum Entschlüsseln; haben Sie Geduld.

Wenn Sie Ihre Daten von dem verschlüsselten Windows-System gerettet haben, sollten Sie den ganzen Computer löschen und neu formatieren. Windows und Anwendungen können sie ja komplett neu installieren. Die Vorarbeit lässt sich auch direkt mit der Kaspersky Rescue Disk erledigen. Dazu klicken Sie in der Nutzeroberfläche unter dem Menü Desktop/Volumes etwa den Eintrag sda1 mit der rechten Maustaste an und wählen die Option Delete. Wenn Sie die nächste Anfrage mit OK bestätigen, löscht das System die angezeigte Partition samt den darauf vorhandenen Daten – und zwar unwiederbringlich!