Daten retten oder sichern

Jetzt starten Sie den verseuchten PC mithilfe Ihres Boot-Sticks. Eventuell ist das Booten von Sticks und externen Laufwerken deaktiviert. Daher müssen Sie beim Rechnerstart entweder in das BIOS gelangen oder ein spezielles Startmenü für die Boot-Reihenfolge aufrufen. Die passenden Tasten oder Kombinationen blendet das System in der Regel beim Rechnerstart am unteren Bildrand ein. Hilfe bietet auch das PC-Handbuch. Vergessen Sie nicht, dass Sie für den Stick eine aktive Internetverbindung haben müssen.

Achtung: Haben Sie den Start verpasst oder die Tastenkombination für den BIOS-Zugang hat nicht funktioniert, warten Sie nicht, bis Windows startet, sondern ziehen den USB-Stick sofort wieder ab. Fahren Sie den PC nicht herunter, sondern schalten Sie ihn am besten einfach aus. Windows darf auf keinen Fall mit aktiver Internetleitung wieder hochfahren.

Sobald der Stick gestartet und die Kaspersky Rescue Disk geladen ist, wählen Sie als Sprache English/Enter. Danach gehts zu Kaspersky Rescue Disk, Graphic mode und Enter. Auf der grafischen Oberfläche stimmen Sie den Anfragen zu. Die Reinigung des Windows-PCs beginnen Sie per Mausklick. Lassen Sie einfach den gesamten PC nach der Malware durchsuchen und löschen. Damit sind Sie den Angreifer erst einmal los.

Anschliessend greifen Sie auf Ihre Festplatte zu und sichern alle verschlüsselten privaten Daten, die Sie benötigen, Bild 8. Denken Sie daran, dass eventuell viele Daten in einem Cloud-Speicher stecken. Die haben Sie bereits.

In der Rettungsoberfläche sind die Festplatten unter Desktop/Volumes zu finden. Alle Laufwerke sind dabei als sda1, sda2 bzw. sdb1, sd2 aufgelistet. Ihre Festplatten sind darunter zu finden. Das Rettungssystem auf Linux-Basis benennt sie einfach anders. Aber mit diesem Hinweis finden Sie Ihre Platte und die Daten. Kopieren Sie die verschlüsselten Daten auf einen Stick oder eine externe USB-Platte. Sie haben sie vergessen, vorher anzuschliessen? Macht nichts – das geht auch, wenn das System bereits gestartet ist. Stecken Sie das USB-Gerät an und klicken Sie danach auf den Befehl View/Reload, Bild 9. Danach können Sie die Daten suchen, Dateien oder Ordner per rechtem Mausklick und Copy kopieren und auf dem Sicherungslaufwerk mit Paste einfügen, Bild 10.

Falls Ihnen wirklich wichtige Dateien verschlüsselt wurden, so kann es sein, dass Sie diese aktuell nicht entschlüsseln können. Im Moment dauert es einige Monate bis Jahre, bis ein Tool zur Entschlüsselung bereitsteht. Aber wenn es eines gibt, finden Sie es fast sicher auf der Webseite NoMoreRansom (Link: go.pctipp.ch/3399). Die Seite ist eine Initiative von internationalen Behörden und Security-Herstellern. Dort gibt es das Online-Tool namens Crypto Sheriff, das Ihnen hilft, die Art der Ransomware zu ergründen und ob es vielleicht bereits ein Tool zur Entschlüsselung gibt. Dazu fügen Sie auf der Testseite des Crypto Sheriff einfach zwei verschlüsselte Dateien ein und geben, falls vorhanden, die Adresse des Bitcoin-Wallets an. Das Tool analysiert die Daten und gibt Ihnen die Information, ob eines der bereits 180 vorhandenen Entschlüsselungs-Tools funktioniert.

Falls nicht: bewahren Sie die Daten weiterhin auf. Auch wenn sie aktuell verschlüsselt sind, es gibt ständig neue Tools zum Entschlüsseln; haben Sie Geduld.

Wenn Sie Ihre Daten von dem verschlüsselten Windows-System gerettet haben, sollten Sie den ganzen Computer löschen und neu formatieren. Windows und Anwendungen können sie ja komplett neu installieren. Die Vorarbeit lässt sich auch direkt mit der Kaspersky Rescue Disk erledigen. Dazu klicken Sie in der Nutzeroberfläche unter dem Menü Desktop/Volumes etwa den Eintrag sda1 mit der rechten Maustaste an und wählen die Option Delete. Wenn Sie die nächste Anfrage mit OK bestätigen, löscht das System die angezeigte Partition samt den darauf vorhandenen Daten – und zwar unwiederbringlich!