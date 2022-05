Ich wurde Opfer einer Ransomware-Attacke. Die Dateien, die ich auf meinen QNAP-NAS-Geräten gespeichert hatte, wurden verschlüsselt und haben jetzt die Dateiendung .deadbolt. Leider habe ich nicht von allen Daten ein Backup angelegt. Gibt es eine Möglichkeit, die Daten noch zu retten?

Für die Deadbolt-Ransomware bietet die Firma Emsisoft einen sogenannten Decryptor an, der die Dateien prinzipiell wieder entschlüsseln kann. Dafür braucht die Software aber einen Entschlüsselungs-Key, den Sie derzeit nur bei den Erpressern erhalten. Der Decryptor existiert, weil ein QNAP-Update den Teil des Schädlings entfernt, der eine Eingabe des Keys erlaubt.

Generell raten wir immer davon ab, den Entschlüsselungs-Key bei den Tätern zu kaufen, weil man damit die organisierte Kriminalität unterstützt. Zudem gibt es keine Garantie dafür, dass man den Key nach der Zahlung des Lösegelds tatsächlich erhält. In Einzelfällen ist dieser Weg jedoch der einzige Ausweg, einen noch größeren Schaden zu verhindern, beispielsweise wenn es um essenzielle Unternehmensdaten geht, für die kein Backup existiert.

Die Deadbolt-Ransomware hinterlässt eine Anleitung der Erpresser auf betroffenen QNAP-Geräten. Eine Zahlung garantiert nicht, dass man auch wirklich einen Entschlüsselungs-Key erhält. (Bild: emsisoft.com)

Sie können probieren, die Daten mit einer Recovery-Software wie Testdisk oder Photorec wiederherzustellen. Hierzu bauen Sie die NAS-Platte am besten aus und verbinden sie mit einem Rechner, auf dem die Recovery-Software läuft. Hilft das nicht, dann sollten Sie die verschlüsselten Daten zur Seite legen, also entweder die gesamte Platte oder ein 1:1-Abbild davon. In vielen Fällen taucht irgendwann der zur Entschlüsselung nötige Key im Netz auf, wodurch man sich die Zahlung des Lösegelds sparen kann.

(rei)