Ransomware entfernen und Daten entschlüsseln: Das können Sie machen

Erpresser-Trojaner, auch Ransomware genannt, sind eine der Hauptgefahren im Netz, da sie sowohl für organisierte Banden als auch Einzeltäter schnelles Geld versprechen. Das FBI schätzt den Umsatz der Erpresser zwischen 2014 und 2015 allein in den USA auf 18 Mio. US-Dollar. Nimmt man 100 US-Dollar Erpressungsgeld an, so gab es 18.000 erfolgreiche Fälle. Mit Locky sind die Zahlen deutlich gestiegen. Ist ein Rechner befallen, sind nicht nur Betriebssystem und installierte Programme in Gefahr, sondern auch Ihre Daten, denn die Angreifer verschlüsseln diese meist. Zwar geben die Erpresser die Daten nach der Zahlung meist wieder frei, allerdings ist das keineswegs garantiert. Besser ist es, erst zu versuchen, selbst an die Daten zu gelangen. Dafür gibt es kostenlose Tools, die beim Entschlüsseln helfen und mit denen Sie auch hartnäckige Angreifer wieder loswerden.

Generell gibt es zwei verschiedene Arten von Ransomware. Variante eins blockiert den Zugang zum Rechner und die Windows- Anmeldung (Lock Screen). Die zweite Variante ist gefährlicher, da Sie mitunter den Zugang zum Rechner sperrt, oft auch nicht, aber sie verschlüsselt Dateien (Crypto Lock), insbesondere Dokumente und Bilder - Werte, die keiner verlieren möchte.

Vorbeugen ist besser als das Nachsehen haben

Der erste Schritt beim Kampf gegen Ransomware besteht darin, diese gar nicht auf den Rechner zu lassen. Neben aktuellen Virenscannern, die schon einen guten Schutz bieten, gibt es vor allem zwei Tools, die sich auf Erpresser spezialisiert haben. In Netzen, in denen bereits ein Rechner befallen ist, sollten Sie so ein Tool in jedem Fall einsetzen. Denn auch bei einer Entschlüsselung der Daten kann es passieren, dass noch Reste des Trojaners übrig bleiben. Durch das Installieren einer Schutz-Software können Sie andere Rechner im Haus schützen. Die Spezialisten sind insbesondere Malwarebytes Anti Ransomware und BitDefender Crypto-Ransomware Vaccine.

Erste Maßnahmen

Wenn Ihr Rechner trotz Vorbeugung befallen ist, sollten Sie strukturiert vorgehen. Folgende Vorgehensweise ist zu empfehlen:

1. Schalten Sie Ihren Rechner mechanisch aus, damit die Verschlüsselung nicht fortgeführt werden kann.
2. Trennen Sie den Rechner vom Netzwerk, damit andere Rechner nicht befallen und Dateien auf dem Netzwerk nicht verschlüsselt werden können.
3. Sie sollten Ihren Rechner mit einer Rettungs-CD starten, zum Beispiel der Kaspersky- Rettungs-CD, und alle Daten des Rechners, am besten auch das Betriebssystem als Image, auf eine externe Festplatte sichern. So haben Sie auf jeden Fall einen Ist-Zustand des Rechners, bevor Sie weitere Maßnahmen durchführen. Und noch nicht verschlüsselte Daten sind ebenfalls vom verseuchten Rechner getrennt.

1. Versuchen Sie nach der Sicherung die Blockierung des Rechners freizuschalten, zum Beispiel mit der Kaspersky-Rettungs-CD. Mit dieser scannen Sie zunächst den kompletten Rechner und lassen alle Schädlinge entfernen, bevor Sie sich an die Entschlüsselung machen.
2. Starten Sie Windows im abgesicherten Modus.
3. Versuchen Sie in Windows zunächst den letzten Wiederherstellungspunkt zu aktivieren. Dadurch lassen sich Verschlüsselungen verhindern und teilweise auch wieder rückgängig machen.
4. Versuchen Sie, die vom Trojaner verschlüsselten Dateien zu retten.

Blockierten Rechner freischalten

Ist der Rechner nur mit Variante eins der Ransomware befallen (Lock Screen), gibt es gute Hoffnung. Fast immer hilft das Tool Kaspersky WindowsUnlocker, das Bestandteil der kostenlosen Kaspersky Rescue Disk 10 ist. Mit der bootbaren Rettungs-CD sollten Sie den Rechner auch gleich komplett scannen und Schädlinge entfernen lassen. Die Rettungs- CD ist zwar nicht auf Ransomware spezialisiert, kann aber viele Angreifer finden und entfernen. Außerdem ist bei Befall mit Ransomware zu befürchten, dass auch andere Schadfunktionen auf dem Rechner installiert sind, etwa ein Spam-Bot. Gehen Sie zur Bereinigung folgendermaßen vor:

1. Laden Sie die Live-CD von einem anderen Rechner aus und brennen Sie die ISO-Datei als Datenträger-Abbild. Starten Sie dann den befallenen Rechner mit der DVD.
2. Wählen Sie die gewünschte Sprache aus und bestätigen Sie mit 1 die Lizenzbedingungen.
3. Starten Sie Kaspersky Rescue Disk. Grafikmodus.
4. Wechseln Sie in den Optionen auf die Registerkarte Update.
5. Klicken Sie auf Update ausführen.
6. Sobald die neuen Definitionsdateien heruntergeladen wurden (das kann etwas dauern), wechseln Sie auf die Registerkarte Untersuchung von Objekten.
7. Markieren Sie alle Festplatten, die im System eingebunden sind, und klicken Sie danach auf Untersuchung von Objekten starten.
8. Lassen Sie alle Viren und befallenen Dateien entfernen.
9. Starten Sie den Scanvorgang noch einmal und stellen Sie sicher, dass keinerlei Viren mehr auf dem System sind.
10. Durch diesen Schritt haben Sie schon die meisten Angreifer entfernt.

Gegen Lock-Screen-Trojaner hilft ebenfalls die kostenlose Trend Micro Anti-Ransomware. Hier hängt es davon ab, ob Sie den Rechner im abgesicherten Modus mit oder ohne Netzwerkzugriff starten können und Zugriff auf den Desktop erhalten. Für beide Szenarien bietet Trendmicro eine Version an. Sie starten das Tool und lassen den Rechner scannen, sobald Sie Zugriff haben. In den meisten Fällen erkennt der Scanner die Angreifer und kann sie entfernen.

Nach Verwendung eines Tools ist es durchaus sinnvoll, sowohl den befallenen Rechner als auch alle anderen in Ihrem Netz mit weiteren Rettungs-CDs durchsuchen zu lassen. So ist sichergestellt, dass wirklich alle Angreifer entfernt wurden. Auch Microsoft bietet mit Windows Defender Offline eine Rettungs- CD an, die viele Schädlinge entfernen kann.

Dateien entschlüsseln

Ransomware lässt sich nur mit Spezialsoftware zuverlässig decodieren. Versuchen Sie zunächst im Web, anhand der konkreten Symptome Ihren Trojaner zu erkennen.

Kaspersky bietet beispielsweise zur Entschlüsselung von CoinVault- und CryptXXX die beiden kostenlosen Tools CoinVaultDecryptor und CryptXXXDecryptor an. Sie laden das Programm herunter und starten den Scan-Vorgang. Standardmäßig scannt ein Tool lokale Festplatten und angeschlossene externe Datenträger nach verschlüsselten Dateien und entschlüsselt diese. In den Einstellungen können Sie darüber hinaus festlegen, dass die Tools auch Netzlaufwerke einbeziehen.

RakhniDecryptor von Kaspersky entfernt vor allem die Trojaner Trojan-Ransom.Win32.Rakhni, Trojan-Ransom.Win32.Agent.iih, Trojan-Ransom.Win32.Aura, Trojan-Ransom.Win32.Autoit und weitere.

TeslaCrpyt und CryptInfinite knacken

Die Ransomware TeslaCrypt ist besonders hartnäckig. Der Software-Hersteller ESET bietet aber ein Tool an, mit dem Sie die Dateien knacken können. Dazu verfügt es über den originalen Schlüssel der TeslaCrypt-Entwickler. Laden Sie das Tool herunter und kopieren Sie es in ein Verzeichnis. Sie müssen es als Administrator in der Eingabeaufforderung (cmd) starten. Wechseln Sie in das Verzeichnis, in das Sie ESET Decryptor kopiert haben. Um alle Dateien zu entschlüsseln, geben Sie Folgendes ein: ESETTeslaCryptDecryptor.exe C:

Wollen Sie mehrere Laufwerke entschlüsseln, wechseln Sie nach der Entschlüsselung einfach den Laufwerksbuchstaben. Brauchen Sie noch erweiterte Hilfe zum Tool, finden Sie diese auf der Seite von ESET.

Auch die Ransomware CriptInfinite verschlüsselt Dateien auf PCs. Mit dem kostenlosen Tool DecryptInfinite Utility von Emsisoft können Sie verschlüsselte Dateien wieder entschlüsseln. Ziehen Sie dazu mit der Maus eine verschlüsselte Datei auf die ausführbare Datei decrypt_cryptinfinite.exe, und das Tool beginnt mit dem Decodieren.

Es gibt viele weitere Erpresser, die sich knacken lassen. Weitere Infos entnehmen Sie der Tabelle oder lassen Sie sich in einem Forum wie Trojaner-Board beraten.