Gehackt! Was tun?

Ransomware entfernen: So geht‘s

16.03.2017 von Florian Maier

Wer sich gegen Erpressungs-Malware schützen will, braucht eine solide Verteidigungs-Strategie. Wir sagen Ihnen, was zu tun ist.

Ransomware schleicht sich nicht wie ordinäre Malware auf Ihren Rechner: Sie tritt die Tür ein, richtet eine Schrotflinte auf Ihre Daten und fordert laut brüllend Geld - ansonsten sind die Daten futsch, so die Drohung der Cyber-Banditen. Wenn man nicht weiß, wie man sich dagegen schützen kann, droht zudem akute Wiederholungsgefahr.

Schädling eingefangen? Wir sagen Ihnen, wie man sich vor Befall schützt.
Foto: Sergey Toronto - shutterstock.com

Anti-Ransomware: Strategien gegen Hacker

Bewaffnete Digital-Gangster, die die Daten-Autobahnen auf und ab cruisen - was nach einem total überzeichneten Actionfilm-Plot klingt, ist in der vernetzten Welt längst zur Realität geworden. Die Angriffe mit Ransomware sind laut dem Security-Anbieter SonicWall im Jahr 2016 auf 638 Millionen angestiegen. Das entspricht einer 168-fachen Steigerung gegenüber dem Vorjahr (3,8 Millionen Angriffe) - obwohl die Zahl der Malware-Attacken insgesamt gesunken ist. Aber warum Daten stehlen, wenn man sie auch einfach kidnappen und damit Geld erpressen kann?

Auf der RSA Conference in San Francisco wurde erstmals ein ganztägiges Seminar zur Bedrohung durch Ransomware abgehalten. Dabei ging es nicht nur darum, wer mit der Erpressungs-Malware attackiert wird und wieviel die kriminellen Hacker verlangen, sondern auch darum, welche Abwehrmaßnahmen greifen, wie sich Ransomware entfernen lässt und wie beziehungsweise ob man mit den Daten-Geiselgangstern verhandeln sollte. Wir haben die Infos für Sie zusammengetragen und helfen Ihnen dabei, eine passende Anti-Ransomware-Strategie zu entwerfen.

Ransomware-Opfer: Die Ziele der Hacker

Notfall- und Rettungsdienste
Behörden warnen vor Cyberattacken auf Krankenhäuser, Feuerwachen und sonstige Notfall- und Rettungsdienste. Die Funktion der IT-Systeme entscheidet in diesen Fällen unter Umständen über Leben und Tod. Das macht sie zu vielversprechenden Zielen für Ransomware-Kampagnen.

Der Durchschnittsuser
Nicht nur auf dem Feld der IT-Sicherheit gilt der Mensch als schwächstes Glied. Das liegt auch daran, dass Durchschnitts-User sowohl die ergiebigsten, als auch die am leichtesten zu manipulierenden Quellen für Hacker darstellen. Das betrifft ganz besonders diejenigen, die sich leicht unter Druck setzen lassen und/oder technisch nicht allzu bewandert sind. Zum Ransomware-Ziel wird der normale User, weil so gut wie Jeder in Zeiten der Digitalisierung persönliche und/oder Unternehmensdaten auf einem oder mehreren seiner Devices vorrätig hält.

Unternehmen
Egal ob groß oder klein: So gut wie jedes Unternehmen muss sich heutzutage auf seine IT-Systeme verlassen, um die täglich anfallenden Geschäftsprozesse abwickeln zu können. Diese Systeme enthalten in der Regel wertvolle Informationen, weswegen Unternehmen auch die ideale Zielscheibe für Ransomware darstellen. Dazu kommt, dass sich viele Unternehmen Ausfallzeiten schlicht nicht leisten können - es ist also sehr wahrscheinlich, dass sie deshalb auf Lösegeldforderungen eingehen.

Strafverfolgungs- und Regierungsinstitutionen
Strafverfolgungsbehörden, Geheimdienste und sonstige Regierungsinstitutionen werden von kriminellen Hackern vor allem aus Gründen der Rache ins Visier genommen - schließlich sind sie es, die die Cyberkriminellen verfolgen. Zwar verfügen große Organisationen wie BND oder FBI über die Ressourcen, standesgemäße Abwehrmechanismen einzurichten, bei kleineren Behörden - zum Beispiel Polizeiwachen oder lokale Verwaltungsbehörden - sieht das anders aus. Entsprechend sind die Ransomware-Attacken auf solche Organisationen gestiegen.

Gesundheitswesen
Anfang 2016 sorgten die Ransomware-Angriffe auf zwei Krankenhäuser in Nordrhein-Westfalen für Schlagzeilen. Die Folgen der Cyberattacke waren gravierend: Die IT-Systeme mussten komplett abgeschaltet werden, der Offline-Modus zwang die Krankenhäuser in die prädigitale Ära und sorgte dafür, dass große OPs verschoben werden mussten und Notfallpatienten in anderen Kliniken aufgenommen werden mussten.

Bildungseinrichtungen
Auch Schulen und Universitäten geraten verstärkt ins Visier der Ransomware-Hacker. Schließlich verfügen sie in aller Regel über ausreichend Ressourcen, um auf Lösegeldforderungen einzugehen - insbesondere in den USA. Im Februar 2016 wurden mehrere Schulen in den Vereinigten Staaten von Crypto-Ransomware heimgesucht. Eine Schule in South Carolina bezahlte rund 8500 Dollar, um wieder an die Daten ihrer 25 Server zu kommen.

Religiöse Institutionen
Die Netzwerke von religiösen Institutionen werden für erpresserische Hacker zunehmend attraktiv. Schließlich ist deren Personal in der Regel nicht im Umgang mit Cyberbedrohungen wie Phishing-E-Mails geschult. Ende Februar 2016 waren zwei Kirchengemeinden in den USA betroffen - eine vom Schlagzeilen-trächtigen Crypto-Trojaner Locky. Die Kirchengemeinde bezahlte eine Lösegeld von 570 Dollar, um wieder an ihre Daten zu kommen.

Finanzwesen
Der Banken- und Finanzsektor wird regelmäßig zum Ziel von Ransomware-Hackern und Botnets - schließlich ist auch hier in der Regel einiges zu holen. Die Cyberkriminellen, die hinter der Ransomware TeslaCrypt stecken, initiierten Mitte Februar 2016 eine Spam-Mail-Kampagne. Hinter einem infizierten Anhang versteckte sich ein JavaScript-Downloader, der die TeslaCrypt-Malware auf das System der Opfer schleuste.

Ransomware trifft da, wo es weh tut

Der erste Schritt zu mehr Sicherheit: Lernen Sie Ihre Feinde verstehen. Im Netz kursieren laut Raj Samani, CTO von Intel Security, mehr als 400 verschiedene Arten von Ransomware - darunter übrigens auch einige, die auf Mac OS und Linux ausgerichtet sind. Die meist verbreitete Erpressungs-Malware ist einer Studie von Datto zufolge CryptoLocker, die sämtliche persönlichen Dokumente verschlüsselt und anschließend ein Ultimatum bis zur Löschung stellt. Inzwischen gibt es aber auch Varianten, die beispielsweise Webcams kapern und damit drohen, das so erstellte Video-Material im Netz zu verbreiten.

Zunächst einige allgemeine Tipps von Experten, die Sie ganz generell beherzigen sollten, um sich vor Schadsoftware im Allgemeinen zu schützen:

Halten Sie Ihren Rechner auf dem neuesten Stand.
Nutzen Sie Firewall- und Anti-Malware-Lösungen. Die Windows Firewall und der Windows Defender bieten hier kaum ausreichenden Schutz.
Verlassen Sie sich nicht alleine auf Anti-Malware-Lösungen. Die Anbieter von Antivirus-Software beginnen laut den Experten auf der RSA Conference gerade erst damit, Lösungen gegen Ransomware zu integrieren.
Deaktivieren Sie Adobe Flash oder nutzen Sie einen Browser, der das von Haus aus tut.
Deaktivieren Sie Office-Makros.
Klicken Sie nicht auf zweifelhafte Links - insbesondere nicht in einer E-Mail: Dies ist die gängigste Art und Weise, wie Ransomware verbreitet wird. Wer sich hier infiziert, leitet den schadhaften Link außerdem oft ungewollt an andere Nutzer weiter.
Halten Sie sich von den dunklen Ecken des Netzes fern.

Um sich vor Ransomware zu schützen, eignen sich beispielsweise die Software-Lösungen Malwarebytes 3.0 oder RansomFree. In den meisten Fällen sind die Tools gegen die Erpressungs-Malware allerdings nicht kostenlos erhältlich oder in ihrem Umfang eingeschränkt, wie beispielsweise das Tool von Bitdefender, das lediglich gegen vier gängige Ransomware-Spielarten schützt.

Backups erstellen, Daten retten

Ransomware verschlüsselt Ihre wichtigsten Daten - deswegen sollten Sie in jedem Fall ein Backup anlegen. Zu diesem Zweck können Sie zum Beispiel auf kostenlosen Cloud-Speicher von Box, OneDrive, Google und anderen Anbietern zurückgreifen. Es empfiehlt sich dabei, regelmäßig ein Backup anzulegen. Vorsicht ist dabei dennoch geboten, denn der Cloud Service Ihrer Wahl könnte unbeabsichtigt auch infizierte Files zum Backup hinzufügen, wenn Sie nicht schnell genug sind.

Eine bessere Lösung stellt der Einsatz einer externen Festplatte dar. Das ist dank der weiter sinkenden Storage-Preise - insbesondere für konventionelle HDDs - auch nicht besonders teuer. Dabei sollten Sie ebenfalls auf Regelmäßigkeit achten und darauf, die Platte nach dem Backup wieder vom Rechner zu trennen, um Ihr Daten-Backup zu isolieren.

Wenn Ihr System bereits mit Ransomware infiziert ist, können Sie unter Umständen über den Datei-Explorer nachvollziehen, welche Daten betroffen sind. Erster Hinweis: .doc- oder .docx-Dateien mit seltsamen Dateinamen. Ein Ratschlag von Ondrej Vlcek, CTO von Avast: Wenn die Ransomware kein zeitliches Ultimatum setzt und Sie die betroffenen Daten nicht sofort benötigen, können Sie auch in Erwägung ziehen, nichts zu tun. Außer zeitweilig an einem anderen Rechner zu arbeiten. Glaubt man dem Experten, besteht nämlich die Möglichkeit, dass die Antivirus-Lösung die Daten nach einer gewissen Zeit entschlüsseln kann, wenn sie Gegenmaßnahmen entwickelt.

Doch auch ein Backup hat seine Tücken: Eventuell müssen Sie erst einmal recherchieren, wie Sie das - je nach Art der Daten - anstellen.

Backup-Ratgeber

Backup
Die Gründe für den Verlust von Daten sind vielfältig - leider wird das vielen Firmen und Anwendern häufig zu spät klar. (Bild: NovaStor)

Backup
Eigentlich selbstverständlich - aber IT-Verantwortliche und Administratoren sollten prüfen, ob ihre Backup-Lösung diesen Ansprüchen genügt. (Bild: NovaStor)

Backup
Wer seine Daten sichern und wiederherstellen will, kann auf eine große Auswahl an Open-Source-Lösungen wie beispielsweise das Programm Areca zurückgreifen.

Backup
Personal Backup ist ein weiteres Beispiel für eine freie Lösung, die zudem durch eine umfassende Unterstützung in deutscher Sprache glänzen kann.

Backup
Viele Anbieter kommerzieller Backup-Lösungen wie hier Veeam stellen freie Versionen ihrer Software kostenlos bereit. Diese weisen dann aber oft gewisse Einschränkungen beim Funktionsumfang auf.

Backup
Etwas versteckt aber wieder vorhanden: Microsoft stellt den Anwendern unter Windows 10 die Windows-7-Software zur Datensicherung wieder zur Verfügung, die unter Windows 8/8.1 fehlte

Backup
Keine vollständige Datensicherung aber gut dafür geeignet, einzelne Dateien auch in älteren Versionen wiederherzustellen: der Dateiversionsverlauf unter Windows 10.

Backup
Viele kommerzielle Lösung bieten auch eine direkte Sicherung auf einen Speicherplatz in der Wolke an: Acronis-Backup warnt hier aber zu Recht -- eine initiale Lösung kann je nach zur Verfügung stehender Bandbreite sehr lange dauern!

Backup
Wer eine professionelle Lösung wie hier beispielsweise Symantec Back Exec 15 einsetzt, kann direkt seine unterschiedlichen Systeme mittels Agenten direkt von seinem Server aus sichern und wiederherstellen.

Backup
Eine hybride Sicherung, wie sie hier schematisch am Beispiel der Lösung von NovaStor dargestellt wird, ergänzt die traditionelle Sicherung vor Ort sinnvoll durch Cloud-Speicher. (Bild: NovaStor)

Das ist bei einer Ransomware-Infektion zu tun

Wenn Sie sich gerade fragen, wie man überhaupt feststellt, ob einen die Cyber-Gangster erwischt haben und man ein Ransomware-Opfer gworden ist: Glauben Sie uns, das merkt man ziemlich schnell. Im Fall der Citadel-Ransomware erhielten betroffene User eine Warnung, dass ihr Rechner mit Kinderpornografie in Verbindung gebracht wird. Ganz generell stellen die meisten Arten von Ransomware auf furchteinflößende Szenarien ab.

Bei einer tatsächlichen Infektion heißt das oberste Gebot: keine Panik. Zunächst sollten Sie die Behörden informieren: Wenden Sie sich dazu am besten direkt an die Zentrale Ansprechstellen Cybercrime der Polizei. Anschließend sollten Sie selbst den Umfang des Problems identifizieren: Untersuchen Sie Ihre Verzeichnisse auf infizierte Files. Ungewöhnliche Dateiendungen sind ein Anzeichen dafür. Versuchen Sie auch, die Dateinamen wieder zu ändern, denn es gibt auch Ransomware, die mit Fake-Verschlüsselung arbeitet.

Im nächsten Schritt geht es darum, den Erpresser-Schädling wieder loszuwerden. Wenn Sie eine kostenpflichtige Anti-Malware-Lösung installiert haben, führen Sie einen Scan ihrer Festplatte(n) durch und versuchen Sie Ihr Glück beim Support des Anbieters. Eine andere Möglichkeit: Besuchen Sie die Website Crypto-Sheriff von NoMoreRansom: Dort finden Sie gesammelte Ressourcen wie Ransomware-Uninstaller und andere kostenfreie Tools von Intel, Interpol oder Kaspersky Labs, die Ihnen bei der Entfernung der Erpressungs-Malware helfen können.

Wenn nichts mehr hilft

Unglücklicherweise - so die Experten auf der RSA Conference - werde allzu oft auf die Lösegeld-Forderungen der kriminellen Hacker eingegangen. Wenn Sie die Ransomware nicht entfernen können sind Sie dazu gezwungen, sich darüber Gedanken zu machen, wieviel die betroffenen Daten wert sind und wie schnell Sie sie brauchen. Die bereits erwähnte Datto-Studie kommt zu dem Ergebnis, dass 42 Prozent aller kleinen Unternehmen, die von Ransomware heimgesucht werden, auf die Forderungen der Cyber-Erpresser eingehen.

Sie sollten dabei aber immer bedenken, dass es ein Mensch ist, der am anderen Ende der Malware sitzt. Wenn es eine Möglichkeit gibt, diesen zu kontaktieren, sollten Sie diese nach Meinung der Experten auch wahrnehmen. Sie sollten dabei nicht erwarten, dass Sie die Hacker dazu überreden können, Ihre Files kostenfrei zu entschlüsseln. Aber bei aller Cyber-Verschlagenheit sind die Kriminellen auch Geschäftsmänner. Sie können deshalb immer versuchen, mehr Zeit oder ein niedrigeres Lösegeld auszuhandeln.

Wenn Sie allerdings über ein umfassendes Backup verfügen, müssen Sie unter Umständen "nur" Ihren Rechner zurücksetzen, Apps und Programme neu installieren und Ihre Daten wiederherstellen.

Zum Video: Ransomware entfernen: So geht‘s

Lassen Sie es gar nicht erst soweit kommen!

Ransomware kann Sie über viele Wege erwischen: Eine neue App, eine auf Flash-basierte Website oder ein versehentlicher Klick auf eine maliziöse Werbeanzeige.

Dabei ruft die Erpressungs-Malware unschön in Erinnerung, dass nicht alle Menschen gute Absichten haben und das Unglück jederzeit zuschlagen kann. Sie sollten Ihren Rechner als Teil Ihres Zuhauses - beziehungsweise Büros - betrachten: Regelmäßige Aufräum-Sessions und die Absicherung gegen unbefugten Zugriff sollten eine Selbstverständlichkeit sein. Denn nur wer auf das Schlimmste vorbereitet ist, kann sich entspannt zurücklehnen.

Dieser Artikel basiert auf einem Beitrag unserer US-Schwesterpublikation pcworld.com.