Schadensbegrenzung

Opfer bemerken eine Infektion meist erst, wenn auf dem Bildschirm die Lösegeldforderung erscheint. Dann ist das Kind bereits in den Brunnen gefallen – und es sind Daten verschlüsselt. Um den Schaden zu begrenzen, sollten betroffene Rechner unverzüglich vom Netzwerk getrennt werden.

Wurde entschieden, nicht zu zahlen, scannt man das betroffene System mit einer Antivirenlösung und entfernt verdächtige Dateien. Da jede Woche neue Ransomware-Varianten auftauchen, gibt es kein Patentrezept, wie sich die Dateien entschlüsseln lassen. Die meisten Experten empfehlen ein Wiederherstellen der Daten aus einem Backup.

Für einige Erpresserviren kursieren auch Entschlüsselungs-Tools. Der Antiviren-Spezialist Kaspersky stellt in Zusammenarbeit mit der niederländischen Polizei ein solches Tool für die Erpresserviren Coinvault und Bitcryptor zur Verfügung.

Wenn nicht klar ist, welche Systeme genau betroffen sind, dann hilft in vielen Fällen ein Blick in die Protokolldateien weiter – so lässt sich ermitteln, welche Rechner zur fraglichen Zeit Zugriff auf Netzlaufwerke hatten. Auch die Metadaten verschlüsselter Dateien liefern Hinweise darauf, welche Benutzerkonten diese Dateien erzeugt haben.

Unter gewissen Voraussetzungen ist auch ohne Backups eine Wiederherstellung der Daten möglich. Das ist der Fall, wenn der Erpresservirus die Windows-Schattenkopien nicht verschlüsselt oder gelöscht hat, Snapshots virtueller Maschinen existieren, Cloud-Dienste frühere Dateiversionen speichern – oder die Verschlüsselung der Ransomware einfach versagt hat.