Ransomware: So entfernst du Verschlüsselungs-Trojaner

„Deine Daten werden verschlüsselt – zahle xy Bitcoins um, sie wiederherzustellen.“ – eine Meldung, die selbst versierten Windows-Nutzern den kalten Schweiß auf die Stirn treibt. Verschlüsselungstrojaner haben sich in letzter Zeit zu einer der am meisten gefürchteten IT-Gefahren überhaupt entwickelt. Die so genannte „Ransomware“, die die Daten auf deinem PC in Geiselhaft nimmt, kann ohne Backup einer echten Katastrophe gleichkommen. Das schlimmste: Eine Garantie dafür, dass die Krypto-Trojaner die Daten wirklich wieder entschlüsseln, gibt es nicht. Kommt es zum Ernstfall, kannst du dir aber mit ein wenig Glück selbst helfen – wir zeigen dir, wie du Verschlüsselungs-Trojanern den Zahn ziehen kannst.

Ransomware: Datenrettung zumindest theoretisch möglich

Wenn dein PC in die Fänge eines Krypto-Trojaners geraten ist, gilt als wichtigste Regel: Keine Panik! Wenn du ein Backup deiner verschlüsselten Dateien besitzt, kannst du diese nach der Bereinigung wiederherstellen und den größten Schaden vermeiden. Ist das nicht der Fall, wird es komplizierter: Gegen viele Verschlüsselungstrojaner gibt es aktuell noch keine wirksamen Gegenmittel. Bevor du aber die Zahlung via Bitcoin veranlasst, solltest du zumindest alle Möglichkeiten ausloten, deine Daten vielleicht doch noch zu retten.

Hat ein Verschlüsselungstrojaner erst einmal zugeschlagen, hast du keinen Zugriff mehr auf Dokumente und Fotos.

Schwierig ist das korrekte Verhalten nach dem Befall. Einige Kryptotrojaner lassen sich nur dann entfernen, wenn du den PC nicht neu startest. Der Grund: Die Entschlüsselung basiert in diesem Fall auf Informationen, die flüchtig im Arbeitsspeichers deines PCs liegen. Ein Beispiel dafür ist WannKiwi. Das Programm versucht, Daten zu retten, die von der berüchtigten Ransomware WannaCry verschlüsselt wurden. Eine Chance auf Gelingen gibt es in diesem Fall nur, wenn du Windows nach der Infektion noch nicht neu gestartet hast. Auf der anderen Seite kann das rechtfertige Herunterfahren des PCs die Verschlüsselung zumindest unterbrechen, sodass du (beispielsweise mit einer Linux-Boot-CD) die noch unverschlüsselten Daten retten kannst. Die „richtige“ Vorgehensweise hängt hier schlichtweg von der Infektion ab.

Ransomware identifizieren und analysieren

Bevor du deine von einem Ransomware-Trojaner verschlüsselten Daten retten kannst, musst du zunächst einmal herausfinden, um welche Form es sich genau handelt. In vielen Fällen genügt dafür der Hinweis, der zwangsläufig nach der Infektion mit den Verschlüsselungstrojanern auf dem Desktop oder beim Öffnen einer verschlüsselten Datei erscheint. Die Angreifer sind nicht selten erpicht darauf, die technischen Details des verwendeten Trojaners in der Beschreibung zu nennen.

In der Aufforderung zur Zahlung des Bitcoin-Lösegelds verraten die Trojaner in der Regel ihren Namen – ein erster Anhaltspunkt zur Entschlüsselung.

In aller Regel unterbinden die Trojaner nicht den Zugriff auf deinen Browser und eine Google-Suche – schließlich „sollst“ du ja den Tor Browser herunterladen, um über das Darknet das Bitcoin-Lösegeld für deinen PC zu bezahlen. Eine Suche bei Google nach dem Namen der Ransomware ist oft ein erster sinnvoller Schritt auf dem Weg zur möglichen Datenrettung.

Wenn dir die Infos noch nicht genügen, solltest du beim Service „ID-Ransomware vorbeischauen. Das Online-Tool bietet mehrere Ansätze, um die Ransomware auf deinem PC zu erkennen. So kannst du über die Schaltfläche „Lösegeldforderung“ die Text- oder Bilddatei hochladen, die ein Crypto-Trojaner in der Regel auf dem Desktop oder in den verschlüsselten Verzeichnissen platziert. Alternativ nutzt du die Schaltfläche „Verschlüsselte Datei“, um eine eben solche an ID-Ransomware zu übertragen. Der Dienst analysiert nun die Verschlüsselung und versucht, mögliche Lösungen zu präsentieren. Im Idealfall liefert dir die Webseite eine Lösung, um die gekaperten Daten zu retten. Ist das nicht der Fall, kannst du natürlich noch anderweitig nach Lösungen forschen – schlimmstenfalls musst du aber damit rechnen, dass deine Dateien verschlüsselt bleiben.

Glück im Unglück: Die Analyse hat ergeben, dass du die verschlüsselten Daten potenziell wiederherstellen kannst.

Ransomware: Entschlüsselungstools herunterladen und Daten retten

Mit der entsprechenden Menge an Glück im Unglück ergibt die Ransomware-Analyse, dass du die verschlüsselten Daten retten kannst. Ist das der Fall, liefert dir ID-Ransomware die nötigen Infos und bietet dir ein passendes Entschlüsselungs-Programm zum Download an. Ist die Entschlüsselungsroutine eines Trojaners erst einmal geknackt, ist die Datenrettung in der Regel sehr einfach. Die meisten Tools – in unserem Beispiel der Entschlüsseler von AVG für den Tojaner TeslaCrypt sind in der Regel in Form eines Assistenten aufgebaut, der die Wiederherstellung einfach macht. Im Zweifelsfall liefert eine Google-Suche weitere Anweisungen dazu, wie du die Ransomware entschärfen kannst.

Wenn die Verschlüsselung der Ransomware überwunden wurde, ist die Wiederherstellung erfreulich einfach.

Neben ID-Ransomware gibt es noch eine Reihe weiterer Anlaufstellen, die Infos und vor allem Tools zur Rettung vor Crypto-Trojanern sammeln. Empfehlenswert ist unter anderem ein Besuch bei NoMoreRansom (https://www.nomoreransom.org/de/index.html), The Windows Club (http://www.thewindowsclub.com/list-ransomware-decryptor-tools) sowie den Sicherheits-News von Heise Security.

Verschlüsselungs-Trojaner endgültig loswerden

Selbst, wenn du die durch einen Verschlüsselungstrojaner gekaperten Dateien wiederherstellen kannst, solltest du unbedingt sicherstellen, die Schadsoftware selbst loszuwerden. Dabei kannst du natürlich auf die Hilfe deines Virenscanners oder auch zusätzlichen Scans durch Programme wie Malwarebytes Anti Malware oder einem Live-CD-Virenscanner wie Heise Desinfec’t vertrauen. Eine echte Sicherheit, dass Windows von der Schadsoftware befreit ist, liefert dir aber nur eine saubere Neuinstallation von Windows. Alternativ kannst du – so vorhanden – ein Backup von einem Zeitpunkt einspielen, zu dem deine Windows-Installation noch nicht verseucht war.

Wenn eine Windows-Neuinstallation für dich keine Option darstellt, solltest du deinen PC zumindest mit einem Live-Virenscanner wie Desinfec’t säubern.

In Zukunft solltest du vor allem alles dafür geben, eine erneute Infektion zu vermeiden. Tipps und Strategien gegen Verschlüsselungstrojaner haben wir in diesem Artikel für dich zusammengefasst. Denn: Auch, wenn es eine Chance gibt, Daten nach dem Befall mit einem Crypto-Trojaner zu retten, sind diese realistisch betrachtet nicht allzu hoch. Der beste Schutz gegen Ransomware ist also eine effiziente Vorsorge.