5. Wie reagiere ich richtig, wenn mein PC betroffen ist?
Desktop-Locker: Falls Ihnen der Zugriff auf Windows verwehrt wird, sollten Sie der erpresserischen Meldung natürlich keinen Glauben schenken: Weder das BKA oder das FBI noch Microsoft oder Adobe haben Ihren PC gesperrt. Das waren die kriminellen Virenverbreiter. Versuchen Sie zunächst die einfachen Tricks. Der simpelste Desktop-Locker zeigt einfach ein Bild mit der erpressereischen Nachricht im Vollbildmodus an. Die Tasten Esc oder F11 verkleinern das Bild und Sie haben wieder Zugriff. Schwerere Geschütze sperren den Log-in tatsächlich. Versuchen Sie es mit dem abgesicherten Modus von Windows. Dazu drücken Sie vor dem Starten von Windows die Taste F8 (bis Windows 10) oder die Tastenkombination Strg-F8 (Windows 10). Konnten Sie so den abgesicherten Modus wählen, starten Sie über die Tastenkombination Windows-R und die Eingabe von msconfig.exe die Systemkonfiguration. Auf der Registerkarte "Systemstart" suchen Sie nach unerwünschten Einträgen und entfernen diese.
Gelingt der Start in den abgesicherten Modus nicht, empfiehlt sich das Booten des PCs mit einer Notfall-DVD, etwa der PC-WELT Notfall-DVD . Damit können Sie Ihre Daten zur Sicherheit auf ein externes Medium kopieren. Anschließend sollte ein Scan mit dem integrierten Antivirentool von Avira den Schädling aufspüren und beseitigen. Klappt das nicht, starten Sie Ihren Rechner mit der Bitdefender Rescue-CD und scannen ihn mit diesem Tool.
Verschlüsselungstrojaner: Die meisten dieser Schädlinge verschlüsseln Ihre Daten zunächst still und leise im Hintergrund und zeigen erst dann ihre Erpressernachricht an. Wenn Sie die Nachricht sehen, ist das Unheil also bereits geschehen. Es gibt somit keinen Grund für überstürzte Maßnahmen. Allerdings drohen einige Schädlinge damit, ihre Lösegeldforderung nach einiger Zeit zu erhöhen. Das ist ernst zu nehmen. Prüfen Sie, ob Sie ein vollständiges Backup Ihre Daten besitzen und damit auf die verschlüsselten Dateien verzichten können. Falls das nicht der Fall ist, prüfen Sie, ob es gegen Ihren Schädling ein Entschlüsselungsprogramm gibt (siehe Punkt 6).
Sollte es kein Entschlüsselungstool geben und sollten Sie kein Backup haben, bleibt zur Not die Möglichkeit, das Lösegeld zu bezahlen (siehe Punkt 4). Möchten Sie das nicht, sollten Sie die verschlüsselten Daten dennoch aufbewahren. Denn immer wieder gelingt es den Antivirenspezialisten ein paar Wochen nach einer Infektionswelle, den Code eines Erpresservirus zu knacken und nachträglich ein Entschlüsselungstool bereit zustellen.
In jedem Fall ist eine Virenbeseitigung fällig. Da Ihr aktuelles Antivirenprogramm gegen den Schädling zunächst versagt hat, empfiehlt sich eine andere Software, etwa Avira Free Antivirus oder Bitdefender Total Security .
Alternativ starten Sie den PC etwa mit der Bitdefender Rescue-CD und lassen Sie darüber den Schädling suchen und entfernen. Der sauberste Schritt nach einer Vireninfektion ist aber immer noch die Neuinstallation von Windows. Erstellen Sie zuvor eine Backup aller Daten. Eine Backup-Checkliste finden Sie hier .
6. Wie kann ich meine verschlüsselten Daten retten?
Einige Antivirenhersteller arbeiten laufend daran, neue Entschlüsselungstools bereitzustellen. So brachte etwa Ende Mai der Hersteller Eset ein Entschlüsselungstool für Teslacrypt-Opfer heraus. Das Tool soll auch Schäden von Teslacrypt Version 3 bis 4.2 beseitigen können. Kaspersky bietet schon länger Decrypter gegen einige Erpresserviren. Sehr aktiv ist auch der Antivirenspezialist Emsisoft. Er bietet Entschlüsselungstools für zahlreiche Erpresserviren . Es tut sich aktuell also einiges im Kampf gegen die Verschlüsselungsviren. Wenn Sie betroffen sind, bietet die Tabelle auf Seite 31 eine erste Orientierung bei der Suche nach Entschlüsselungstools.
