Ransomware entfernen

Ransomware entfernen

Malware wie WannaCry, Petya oder Locky schafft es immer wieder weltweit in die Schlagzeilen. Es handelt dabei sich um sogenannte Erpresser-Trojaner, die auch Ransomware oder Krypto-Trojaner genannt werden. Sie verschlüsseln die Dateien des Opfers und fordern von diesem ein Lösegeld. Für die Lösegeldzahlung verwenden sie ein anonymes Bezahlungsverfahren. Häufig kommen dafür Kryptowährungen wie Bitcoin zum Einsatz.

Ist der geforderte Betrag erst einmal beim Täter eingetroffen, ist diesem meistens alles Weitere egal. Nur selten kommt es tatsächlich zur versprochenen Entschlüsselung der Dateien. Ein funktionierendes Entschlüsselungsverfahren zu implementieren, würde nämlich für die Malware-Entwickler einen Zusatzaufwand bedeuteten, der ihnen keine Vorteile bringt. Daher und auch, um den Cyberkriminellen keinen Anreiz zu bieten, raten Polizei und Malware-Experten von der Bezahlung des Lösegelds ab.

Von den Tätern ist also keine Kooperation zu erwarten. Dazu kommt, dass es auch Sicherheitsprofis nur in Ausnahmefällen gelingt, die Verschlüsselung eines Erpresser-Trojaners zu knacken. Wer Opfer einer Ransomware-Attacke wird, muss sich also meistens damit abfinden, dass seine Dateien verschlüsselt bleiben, selbst wenn die Entfernung der Ransomware selbst mit Hilfe eines guten Antivirenprogramms meistens leicht gelingt. Es ist ein wenig wie bei Tollwut, der nach Auftreten der ersten Symptome immer tödlich verlaufenden Viruserkrankung: Wen es einmal erwischt hat, für den kommt jede Hilfe zu spät. Nur wirkungsvolle Prävention bietet Schutz vor einer Infektion des Systems.

Daten per Backup sichern

User wollen den Ratschlag, eine Sicherheitskopie anzufertigen, oft nicht mehr hören, aber IT-Experten werden nicht müde, ihn zu wiederholen. Schließlich erleben sie in ihrer täglichen Arbeit ständig Anwender, die wichtige Dateien verlieren, weil sie diesen Rat nicht beherzigen. Regelmäßige Backups zu erstellen ist die einzige sichere Methode gegen Datenverlust. Meistens ist nur die erste Backup-Sitzung aufwändig und dauert etwas länger. Bei zukünftigen Sicherungsvorgängen speichern moderne Backup-Programme nur die neu hinzugekommenen Dateien, was meistens sehr schnell erledigt ist.

Wichtig für den Schutz vor Krypto-Trojanern ist, dass das Backup sich auf einem Datenträger befindet, der nicht ständig mit dem Rechner verbunden ist. Andernfalls verschlüsselt die Ransomware auch das Sicherungsmedium. Netzlaufwerke und fix verbaute Festplatten fallen also als Backup-Medium aus. Gut eignen sich für diesen Zweck hingegen externe USB-Festplatten. Anwender müssen allerdings darauf achten, sie nach erfolgter Datensicherung immer wieder auszustecken.

Aktuellen Virenschutz verwenden

Hochwertige Antivirus-Softwares sind sehr gut darin, Ransomware zu erkennen und sie zu löschen, bevor sie ausgeführt wird und Schaden anrichten kann. Das gilt jedenfalls für bereits bekannte Verschlüsselungstrojaner Da die Erpresser die meisten Varianten jedoch nur kurzfristig einsetzen, geht die größte Gefahr von neu entwickelter Ransomware aus. Auch gegen diese helfen Antivirenprogramme. Mit Algorithmen zur Verhaltensanalyse erkennen die Schutzprogramme beispielsweise das typische Verhalten dieser Schädlinge und können sie daher rechtzeitig stoppen. Einen gewissen Schutz bieten auch spezielle Anti-Ransomware-Funktionen, die verhindern, dass Ransomware Dateien in vom User definierten Bereichen der Festplatte verschlüsselt. Vollständige Sicherheit können diese Schutzmechanismen aber nicht bieten.

Vorsicht vor E-Mail-Anhängen

Der vielleicht wichtigste Faktor für die IT-Sicherheit ist der Anwender. Mit gesundem Menschenverstand und bedächtigem Verhalten erkennt er die meisten Risiken und kann ihnen großräumig aus dem Weg gehen.

Ransomware wird meistens über E-Mail-Spam verbreitet. Andere Verbreitungswege sind zwar auch bekannt, Petya beispielsweise gelangte über infizierte Updates einer ukrainischen Buchhaltungssoftware auf die Rechner vieler Opfer, sie spielen aber nur eine untergeordnete Rolle. Somit ist klar, dass User bei E-Mails von unbekannten Absendern größte Vorsicht walten lassen müssen, wenn sie sich vor Ransomware schützen wollen. Wenn möglich sollten sie verdächtige E-Mails gar nicht erst öffnen. Auf keinen Fall dürfen Anhänge von unbekannten Absendern ausgeführt werden. Wichtig ist auch, zu wissen, dass diese Spam-E-Mails oft sehr harmlos wirken. Locky beispielsweise tarnte sich als:

  • Rechnung
  • Gescannte Dokumente von einem netzwerkfähigen Scanner
  • Locky-Entfernungs-Tool des Bundeskriminalamts
  • Bewerbung
  • Mahnung

Aktuelle Software verwenden

Genauso wie auf die Dringlichkeit von Backups verweisen IT-Experten auch immer wieder auf die Notwendigkeit, stets die aktuellste Version von Programmen zu installieren. Jede Software verfügt nämlich mit hoher Wahrscheinlichkeit über einige Sicherheitslücken. Diese sind harmlos, so lange sie niemand kennt. Je älter allerdings eine Programmversion ist, desto mehr dieser Schwachstellen haben sich herumgesprochen und werden von Cyberkriminellen ausgenutzt. Die Entwickler bekämpfen das, indem sie Updates veröffentlichen, die Sicherheitslücken schließen, sobald sie ihnen bekannt werden. Besonders das Betriebssystem und den Browser sollten Internet-User daher immer so aktuell wie möglich halten.

Schutz vor unsicheren Websites

Nicht immer gelangt Malware und Ransomware per E-Mail-Anhang auf den Computer des Opfers. Auch verseuchte Websites verbreiten Ransomware. Ransomware tarnt sich mitunter als harmloses Programm, um Computer-User zur Installation zu verleiten.

Eine noch größere Gefahr geht von Drive-by-Downloads aus. Dabei reicht der reine Besuch einer Website aus, um sich mit Verschlüsselungstrojanern und anderer Malware zu infizieren. Durch Sicherheitslücken im Browser wird die Schadsoftware automatisch heruntergeladen und ausgeführt, sobald ein Internet-User die infizierte Website besucht.

Um ihre Nutzer vor Bedrohungen aus dem Web zu schützen, nutzen fast alle bekannten Browser Googles Safe-Browsing-Service. Dieser warnt den Anwender, wenn er eine als schädlich eingestufte Website besuchen möchte. Zusätzlichen Schutz bieten Browser-Erweiterungen, die Bestandteil vieler Internet-Security-Suites und Antivirenprogramme sind. Auch viele Ad-Blocker greifen auf Listen mit gefährlichen Internetadressen zu und verhindern den Aufruf dieser Seiten.


Teaserbild: © logo3in1 / stock.adobe.com | Abb. 1.: © hirexdesign / stock.adobe.com