Ransomware: So entfernen Sie Verschlüsselungs-Trojaner

„Deine Daten werden verschlüsselt – zahle xy Bitcoins um, sie wiederherzustellen.“ – eine Meldung, die selbst versierten Windows-Nutzern den kalten Schweiß auf die Stirn treibt. Verschlüsselungstrojaner haben sich in letzter Zeit zu einer der am meisten gefürchteten IT-Gefahren überhaupt entwickelt. Die so genannte „Ransomware“, die die Daten auf Ihrem PC in Geiselhaft nimmt, kann ohne Backup einer echten Katastrophe gleichkommen. Das schlimmste: Eine Garantie dafür, dass die Krypto-Trojaner die Daten wirklich wieder entschlüsseln, gibt es nicht. Kommt es zum Ernstfall, können Sie sich aber mit ein wenig Glück selbst helfen – wir zeigen Ihnen, wie Sie Verschlüsselungs-Trojanern den Zahn ziehen können.

Ransomware: Datenrettung zumindest theoretisch möglich

Wenn Ihr PC in die Fänge eines Krypto-Trojaners geraten ist, gilt als wichtigste Regel: Keine Panik! Wenn Sie ein Backup Ihrer verschlüsselten Dateien besitzen, können Sie diese nach der Bereinigung wiederherstellen und den größten Schaden vermeiden. Ist das nicht der Fall, wird es komplizierter: Gegen viele Verschlüsselungstrojaner gibt es aktuell noch keine wirksamen Gegenmittel. Bevor Sie aber die Zahlung via Bitcoin veranlassen, sollten Sie zumindest alle Möglichkeiten ausloten, Ihre Daten vielleicht doch noch zu retten.

Hat ein Verschlüsselungstrojaner erst einmal zugeschlagen, haben Sie keinen Zugriff mehr auf Dokumente und Fotos.

Schwierig ist das korrekte Verhalten nach dem Befall. Einige Kryptotrojaner lassen sich nur dann entfernen, wenn Sie den PC nicht neu starten. Der Grund: Die Entschlüsselung basiert in diesem Fall auf Informationen, die flüchtig im Arbeitsspeichers Ihres PCs liegen. Ein Beispiel dafür ist WannKiwi. Das Programm versucht, Daten zu retten, die von der berüchtigten Ransomware WannaCry verschlüsselt wurden. Eine Chance auf Gelingen gibt es in diesem Fall nur, wenn Sie Windows nach der Infektion noch nicht neu gestartet haben. Auf der anderen Seite kann das rechtfertige Herunterfahren des PCs die Verschlüsselung zumindest unterbrechen, sodass Sie (beispielsweise mit einer Linux-Boot-CD) die noch unverschlüsselten Daten retten können. Die „richtige“ Vorgehensweise hängt hier schlichtweg von der Infektion ab.

Ransomware identifizieren und analysieren

Bevor Sie Ihre von einem Ransomware-Trojaner verschlüsselten Daten retten können, müssen Sie zunächst einmal herausfinden, um welche Form es sich genau handelt. In vielen Fällen genügt dafür der Hinweis, der zwangsläufig nach der Infektion mit den Verschlüsselungstrojanern auf dem Desktop oder beim Öffnen einer verschlüsselten Datei erscheint. Die Angreifer sind nicht selten erpicht darauf, die technischen Details des verwendeten Trojaners in der Beschreibung zu nennen.

In der Aufforderung zur Zahlung des Bitcoin-Lösegelds verraten die Trojaner in der Regel ihren Namen – ein erster Anhaltspunkt zur Entschlüsselung.

In aller Regel unterbinden die Trojaner nicht den Zugriff auf Ihren Browser und eine Google-Suche – schließlich „sollen“ Sie ja den Tor Browser herunterladen, um über das Darknet das Bitcoin-Lösegeld für Ihren PC zu bezahlen. Eine Suche bei Google nach dem Namen der Ransomware ist oft ein erster sinnvoller Schritt auf dem Weg zur möglichen Datenrettung.

Wenn Ihnen die Infos noch nicht genügen, sollten Sie beim Service „ID-Ransomware vorbeischauen. Das Online-Tool bietet mehrere Ansätze, um die Ransomware auf Ihrem PC zu erkennen. So können Sie über die Schaltfläche „Lösegeldforderung“ die Text- oder Bilddatei hochladen, die ein Crypto-Trojaner in der Regel auf dem Desktop oder in den verschlüsselten Verzeichnissen platziert. Alternativ nutzen Sie die Schaltfläche „Verschlüsselte Datei“, um eine eben solche an ID-Ransomware zu übertragen. Der Dienst analysiert nun die Verschlüsselung und versucht, mögliche Lösungen zu präsentieren. Im Idealfall liefert Ihnen die Webseite eine Lösung, um die gekaperten Daten zu retten. Ist das nicht der Fall, können Sie natürlich noch anderweitig nach Lösungen forschen – schlimmstenfalls müssen Sie aber damit rechnen, dass Ihre Dateien verschlüsselt bleiben.

Glück im Unglück: Die Analyse hat ergeben, dass Sie die verschlüsselten Daten potenziell wiederherstellen können.

Ransomware: Entschlüsselungstools herunterladen und Daten retten

Mit der entsprechenden Menge an Glück im Unglück ergibt die Ransomware-Analyse, dass Sie die verschlüsselten Daten retten können. Ist das der Fall, liefert Ihnen ID-Ransomware die nötigen Infos und bietet Ihnen ein passendes Entschlüsselungs-Programm zum Download an. Ist die Entschlüsselungsroutine eines Trojaners erst einmal geknackt, ist die Datenrettung in der Regel sehr einfach. Die meisten Tools – in unserem Beispiel der Entschlüsseler von AVG für den Tojaner TeslaCrypt sind in der Regel in Form eines Assistenten aufgebaut, der die Wiederherstellung einfach macht. Im Zweifelsfall liefert eine Google-Suche weitere Anweisungen dazu, wie Sie die Ransomware entschärfen können.

Wenn die Verschlüsselung der Ransomware überwunden wurde, ist die Wiederherstellung erfreulich einfach.

Neben ID-Ransomware gibt es noch eine Reihe weiterer Anlaufstellen, die Infos und vor allem Tools zur Rettung vor Crypto-Trojanern sammeln. Empfehlenswert ist unter anderem ein Besuch bei NoMoreRansom (https://www.nomoreransom.org/de/index.html), The Windows Club (http://www.thewindowsclub.com/list-ransomware-decryptor-tools) sowie den Sicherheits-News von Heise Security.

Verschlüsselungs-Trojaner endgültig loswerden

Selbst, wenn Sie die durch einen Verschlüsselungstrojaner gekaperten Dateien wiederherstellen können, sollten Sie unbedingt sicherstellen, die Schadsoftware selbst loszuwerden. Dabei können Sie natürlich auf die Hilfe Ihres Virenscanners oder auch zusätzlichen Scans durch Programme wie Malwarebytes Anti Malware oder einem Live-CD-Virenscanner wie Heise Desinfec’t vertrauen. Eine echte Sicherheit, dass Windows von der Schadsoftware befreit ist, liefert Ihnen aber nur eine saubere Neuinstallation von Windows. Alternativ können Sie – so vorhanden – ein Backup von einem Zeitpunkt einspielen, zu dem Ihre Windows-Installation noch nicht verseucht war.

Wenn eine Windows-Neuinstallation für Sie keine Option darstellt, sollten Sie Ihren PC zumindest mit einem Live-Virenscanner wie Desinfec’t säubern.

In Zukunft sollten Sie vor allem alles dafür geben, eine erneute Infektion zu vermeiden. Tipps und Strategien gegen Verschlüsselungstrojaner haben wir in diesem Artikel für Sie zusammengefasst. Denn: Auch, wenn es eine Chance gibt, Daten nach dem Befall mit einem Crypto-Trojaner zu retten, sind diese realistisch betrachtet nicht allzu hoch. Der beste Schutz gegen Ransomware ist also eine effiziente Vorsorge.