Verschlüsselungstrojaner, oftmals auch Ransomware genannt, sind Schadprogramme, welche den Zugriff auf Ihre Daten verhindern. Ein Angreifer verwendet ein kryptographisches Verfahren, um Ihre Daten unbrauchbar zu machen. Nur wer den entsprechenden Schlüssel besitzt ist in der Lage, die Daten wiederherzustellen. In der Regel steht ein solcher Trojaner im Zusammenhang mit einer Erpressung. Der Angreifer fordert ein Lösegeld für die Herausgabe des geheimen Schlüssels beziehungsweise für die Entschlüsselung der Daten.

Eine Entschlüsselung beziehungsweise Wiederherstellung der Daten ist in den seltensten Fällen möglich. Wenn Sie keine aktuellen Sicherungskopien haben, sind Ihre Daten sehr wahrscheinlich verloren.

Wurden Sie Opfer eines Verschlüsselungsangriffs sollten Sie folgende Punkte für sich klären:

1. Ist der Angriff beendet oder noch im Gange?

Sollte der Angriff noch im Gange sein, isolieren Sie das betroffene System und fahren Sie dieses herunter.

Ist der Angriff bereits abgeschlossen, alle Daten sind also bereits verschlüsselt, fahren Sie das System nicht herunter. Organisieren Sie einen Dienstleister, der eine Sicherung des Hauptspeichers vornehmen kann.

2. Wie ist der Status Ihrer Sicherungskopien?

Wie ist der Status Ihrer Sicherungskopien? Von wann ist die letzte Sicherungskopie?

Erstellen Sie vorsorglich Sicherungen Ihrer Sicherungskopien. Verbinden Sie die Sicherungskopien nicht mit dem infizierten System. Tauschen Sie betroffene Speichermedien aus und bewahren Sie diese auf. So können Sie die Daten wiederherstellen, sollte eine Entschlüsselungsmöglichkeit gefunden werden. Fertigen Sie außerdem Sicherungen der verschlüsselten Daten auf einem separaten Medium an und bewahren Sie diese auf. So können diese gegebenenfalls zu einem späteren Zeitpunkt entschlüsselt und wiederhergestellt werden.

3. Wurden Daten gestohlen?

Machen Sie sich ein Bild davon, welche Daten auf den betroffenen Systemen gespeichert sind. Prüfen Sie, ob der Angreifer neben der Verschlüsselung auch Daten abgezogen hat. Besorgen Sie hierzu Log-Dateien und untersuchen Sie den Datenverkehr. Beachten Sie mögliche Meldepflichten im Falle von Datendiebstahl.

4. Gibt es bereits Entschlüsselungswerkzeuge für den Verschlüsselungstrojaner?

Identifizieren Sie Ihren Verschlüsselungstrojaner. Informieren Sie sich auf Auskunftsseiten, ob für Ihren Verschlüsselungstrojaner eine Entschlüsselungsmöglichkeit gefunden wurde. Wir empfehlen die Seiten nomoreransom.org oder id-ransomware.malwarehunterteam.com. Falls vorhanden, laden Sie sich das Entschlüsselungswerkzeug herunter und entschlüsseln die Daten. Sollte für Ihren Trojaner kein Entschlüsselungswerkzeug existieren, können Sie sich über id-ransomware.malwarehunterteam.com benachrichtigen lassen, sollte es zu Ihrem Trojaner in Zukunft eine Entschlüsselungsmöglichkeit geben.

5. Welches Einfallstor hat der Angreifer genutzt?

Finden Sie das Einfallstor, über das der Angreifer auf Ihr System zugreifen konnte. Eine häufige Methode sind korrumpierte E-Mail-Anhänge.

Prüfen Sie Passwörter für Remotezugänge. Ein gutes Passwort hat mindestens 12 Zeichen und ist möglichst zufällig. Bei kritischen Zugängen sollten Sie auf PublicKeyAuthentication beziehungsweise Zweifaktorauthentisierung umsteigen. Ändern Sie Passwörter, die den Kriterien nicht entsprechen.

6. Wie gehen Sie mit der Erpressung um?

Wir empfehlen klar, den Erpressern kein Lösegeld zu zahlen. Es gibt keine Garantie, dass die Daten daraufhin tatsächlich entschlüsselt werden. Auch sollten Sie keine sensiblen Daten zur Probeentschlüsselung an den Erpresser schicken. Erstatten Sie Anzeige bei der Polizei.