Was Ransomware ist und wie man sie verhindert und entfernt
Möchten Sie mehr über Ransomware erfahren, beispielsweise darüber, wie Sie Ransomware verhindern und nach einer Infektion entfernen können? In diesem Beitrag gehen wir näher darauf ein, warum Ransomware eine gefährliche Sicherheitsbedrohung für Unternehmen und Einzelpersonen gleichermaßen darstellt. Wir bieten außerdem gezielte Strategien an, mit denen Sie sofort Ihr Risiko einer Ransomware-Ansteckung verringern können, sowie Ihre nächsten Schritte, falls Sie mit Verschlüsselungs-Malware infiziert werden.
Was ist Ransomware?
Einst eine seltene und undurchsichtige Form von Malware, hat Ransomware mittlerweile enorme Auswirkungen auf fast jeden. So viele Ransomware-Angriffe um 150 % erhöht zwischen 2019 und 2020. Obwohl Ransomware nur etwa 15 % aller Cyber-Angriffe ausmacht, ist sie auch eine der teuersten, wobei jeder Angriff Unternehmen nahezu Kosten verursacht 2 Millionen US-Dollar für Abhilfe .
Da diese Art von Angriffen fast täglich Schlagzeilen macht, wirft das eine berechtigte Frage auf:Was ist ein Ransomware-Angriff?
Grundsätzlich ist Ransomware nur eine weitere Form von Malware. Es handelt sich um ein Schadprogramm, das darauf abzielt, den normalen Betrieb eines Computersystems zu infizieren und zu stören.
Es gibt jedoch zwei Hauptmerkmale von Ransomware, die sie von den meisten anderen Formen von Malware unterscheiden:
- Anstatt Daten zu stehlen, soll Ransomware Sie daran hindern, darauf zuzugreifen
- Anstatt Ihre gestohlenen Daten zu verkaufen oder zu nutzen, versuchen Cyberkriminelle, Sie zur Zahlung eines Lösegelds zu zwingen, um wieder Zugriff auf Ihre Daten zu erhalten
Während sich Malware traditionell auf den Diebstahl von Daten konzentriert, geht es bei Ransomware um Erpressung. Abgesehen davon sind die Methoden, mit denen Cyberkriminelle Computer mit Ransomware infizieren, dieselben wie bei jeder anderen Malware.
In diesem Fall könnten Sie sich mit Ransomware infizieren, wenn Sie:
- Laden Sie es über einen schädlichen E-Mail-Anhang oder Link herunter
- Laden Sie es von einem USB-Stick oder einer DVD auf Ihr Gerät
- Laden Sie es herunter, während Sie eine beschädigte Website besuchen
Hacker können Ransomware auch dann auf ein System laden, wenn sie mit roher Gewalt in ein System eindringen oder gestohlene Anmeldedaten verwenden.
Wie funktioniert Ransomware?
Die Funktion von Ranswomare ist relativ einfach. Es gibt verschiedene Arten von Ransomware-Designs, aber alle sind im Wesentlichen Verschlüsselungsprogramme. Sobald das Programm auf einem System installiert ist, führt es den Dateityp aus und verschlüsselt ihn, für den es programmiert wurde.
Gelegentlich könnten Ransomware-Autoren nur auf bestimmte Dateitypen abzielen, beispielsweise Word-Dokumente oder Excel-Tabellen. In den meisten Fällen verfolgen Hacker jedoch einen weitreichenden Ansatz, bei dem jede Datei innerhalb eines Systems oder Servers verschlüsselt wird.
Woher weiß ich, ob ich Ransomware habe?
Der Verlust des Zugriffs auf Systemdateien ist ein klares Zeichen für einen Ransomware-Angriff. Ransomware legt ausgewählte Systemfunktionen lahm oder verweigert den Zugriff auf Dateien. Bei Windows-Rechnern wird dadurch normalerweise der Zugriff auf das Startmenü deaktiviert (auf diese Weise können Sie nicht auf Antivirenprogramme zugreifen oder versuchen, in den abgesicherten Modus zurückzukehren).
Ransomware hat keinen Zweck, es sei denn, der Angreifer macht deutlich, dass Sie infiziert sind, und gibt Anweisungen zum Entsperren Ihres Systems. Aus diesem Grund wird die meiste Ransomware mit einer Meldung (auf Ihrem Bildschirm oder per E-Mail) geliefert, dass Ihr System verschlüsselt wurde. Diese Nachricht enthält normalerweise die Lösegeldforderung und Informationen zur Zahlung des Lösegelds (normalerweise in Bitcoin oder einer anderen Kryptowährung).
Möglicherweise sehen Sie so etwas:
Auch hier ist die Verschlüsselung die Methode der Wahl für Ransomware-Autoren. Diese Art von Malware verschlüsselt Dateien auf Ihrem Gerät, sodass sie ohne den richtigen Entschlüsselungsschlüssel oder das richtige Passwort nicht geöffnet werden können. Nur der Angreifer verfügt über diese Informationen (obwohl manchmal nicht ).
Jede Datei kann mit Ransomware verschlüsselt werden, obwohl die meisten Ransomware-Programme nicht versuchen, alle Dateitypen zu verschlüsseln. Einige neuere Formen der Verschlüsselung von Ransomware haben es sogar übernommen Verschlüsselung gemeinsam genutzter Netzwerkdateien Und gerade für Unternehmen eine gefährliche Entwicklung.
Solange Sie die Ransomware nicht von Ihrem Computer entfernen (oder das geforderte Lösegeld bezahlen und hoffen, dass der Kriminelle sie entweder für Sie löscht oder Ihnen den Entschlüsselungsschlüssel gibt), haben Sie keinen Zugriff auf diese Dateien oder kritischen Systeme. Einige Ransomware-Programme verlangen sogar, dass Sie innerhalb einer bestimmten Zeitspanne zahlen, andernfalls bleiben die Dateien für immer gesperrt oder der Virus löscht Ihre Festplatte vollständig.
Was Sie oben gelesen haben, ist eher eine allgemeine Erklärung. Wenn Sie eine detailliertere technische Erklärung darüber benötigen, wie Ransomware Daten verschlüsselt, empfehlen wir Ihnen dieser ausgezeichnete mittlere Beitrag oben von Tarcisio Marinho.
Verwandt: So starten Sie Windows 7/8/10/11 im abgesicherten Modus
Arten von Ransomware
Ransomware gibt es bereits seit den 1980er-Jahren, doch viele Angriffe nutzen heutzutage Ransomware, die auf dem moderneren Trojaner Cryptolocker basiert. Dateiverschlüsselnde Ransomware ist zunehmend die häufigste Art. Darüber hinaus beschäftigen mittlerweile viele Hacker Doppelte Verschlüsselungstechniken die zwei Arten von Malware verwenden, um Dateien zu sperren.
Entsprechend Malwarebytes , gibt es mehrere Kategorien von Ransomware, auf die Sie möglicherweise immer noch stoßen:
Ransomware verschlüsseln
Wenn Ransomware auf Ihren Computer gelangt, handelt es sich wahrscheinlich um eine verschlüsselnde Malware. Verschlüsselnde Ransomware entwickelt sich schnell zur am weitesten verbreiteten Art, da die eingesetzten Cyberkriminellen einen hohen Return on Investment erzielen und es schwierig ist, die Verschlüsselung zu knacken oder die Malware zu entfernen. Dies ist bei Hackern beliebt, da die meisten Antiviren-Tools dies einfach nicht verhindern und die Verschlüsselung nach einer Infektion nicht effektiv entfernen können.
Durch die Verschlüsselung von Ransomware werden die Dateien auf Ihrem System vollständig verschlüsselt und Sie können nicht mehr darauf zugreifen, bis Sie ein Lösegeld bezahlt haben, normalerweise in Form von Bitcoin. Einige dieser Programme sind außerdem zeitkritisch und beginnen mit dem Löschen von Dateien, bis das Lösegeld bezahlt ist, was das Gefühl der Dringlichkeit der Zahlung verstärkt.
Zu dieser Art von Ransomware sagt Adam Kujawa, Direktor von Malwarebytes Labs, hatte das zu sagen : „Sobald man infiziert ist, ist es zu spät.“ Spiel vorbei.'
Online-Backups können bei der Wiederherstellung verschlüsselter Dateien eine große Hilfe sein. Die meisten Online-Sicherungsdienste umfassen Versionierung, sodass Sie auf frühere Versionen von Dateien und nicht auf die verschlüsselten Versionen zugreifen können
Scareware
Scareware ist Malware, die versucht, Sie davon zu überzeugen, dass Sie einen Computervirus haben, der sofort entfernt werden muss. Anschließend wird versucht, Sie dazu zu bringen, den Virus zu entfernen, indem ein verdächtiges und in der Regel gefälschtes Malware- oder Virenentfernungsprogramm gekauft wird. Scareware ist heutzutage äußerst selten, aber einige dieser Viren gibt es immer noch in freier Wildbahn. Viele zielen auf Mobiltelefone ab.
Ein Scareware-Virus verschlüsselt normalerweise keine Dateien, versucht jedoch möglicherweise, Ihren Zugriff auf einige Programme (z. B. Virenscanner und -entferner) zu blockieren. Dennoch ist Scareware am einfachsten zu entfernen. Tatsächlich können Sie Scareware in den meisten Fällen mit Standard-Virenentfernungsprogrammen oder anderen Methoden entfernen, ohne dass Sie etwas eingeben müssen Sicherheitsmodus (obwohl dies möglicherweise immer noch notwendig oder empfohlen ist).
Screen Locker (oder Lockscreen-Viren)
Bildschirmsperren zeigen einen Warnbildschirm an, der Ihren Zugriff auf Computerfunktionen und -dateien einschränkt. Diese können auf Ihrem Computer installiert werden oder in einem Webbrowser vorhanden sein. Sie erhalten in der Regel eine Nachricht, in der sie vorgeben, eine Strafverfolgungsorganisation zu vertreten, und versuchen, Sie davon zu überzeugen, dass Ihnen schwerwiegende rechtliche Konsequenzen drohen, wenn Sie nicht sofort eine Geldstrafe zahlen.
Diese Art von Virus kann auf vielfältige Weise installiert werden, unter anderem durch den Besuch kompromittierter Websites oder durch Klicken und Herunterladen einer infizierten Datei in einer E-Mail. Bei der direkten Installation auf einem Computer müssen Sie möglicherweise einen harten Neustart durchführen, um wieder Zugriff auf Ihr System zu erhalten. Möglicherweise werden Sie jedoch auch dann noch mit der Bildschirmsperrmeldung begrüßt, wenn das Betriebssystem erneut geladen wird.
Bildschirmsperren neigen dazu, Sie von Ihrem Menü und anderen Systemeinstellungen auszuschließen, blockieren jedoch nicht immer den Zugriff auf Ihre Dateien. Einige der primären Angriffsmethoden der Malware verhindern, dass Sie problemlos auf Ihre Virenentfernungssoftware zugreifen können, und hindern Sie manchmal sogar daran, Ihren Computer über die Benutzeroberfläche neu zu starten.
Bildschirmsperren sind ein weiterer guter Grund, warum Cloud-Backup äußerst wichtig ist. Auch wenn die Bildschirmsperre Ihre Dateien nicht verschlüsselt oder löscht, sind Sie möglicherweise gezwungen, eine Systemwiederherstellung durchzuführen. Bei der Systemwiederherstellung werden Ihre wichtigen Dateien möglicherweise nicht gelöscht, sie werden jedoch in einen früheren Zustand zurückversetzt. Abhängig vom wiederhergestellten Status kann dies dennoch zu vielen Datenverlusten oder Fortschritten führen. Regelmäßige Online-Backups tragen dazu bei, Datenverluste zu verhindern, die durch eine Systemwiederherstellung nicht garantiert werden können, insbesondere wenn sich der Virus schon viel länger auf Ihrem System versteckt hat, als Sie gedacht haben.
So verhindern Sie Ransomware
Das Entschlüsseln von mit Ransomware verschlüsselten Dateien ist unglaublich schwierig. Es sei denn, Sie zahlen das Lösegeld und erhalten den Entschlüsselungsschlüssel vom Angreifer(NICHT EMPFOHLEN), ist es praktisch unmöglich, die Ransomware zu entschlüsseln. Heutzutage verwendet die meiste Ransomware AES- oder RSA-Verschlüsselungsmethoden, die beide mit Brute-Force-Methoden funktionell nicht zu knacken sind.
Um es ins rechte Licht zu rücken: Die US-Regierung verwendet auch AES-Verschlüsselungsstandards. Informationen darüber, wie man diese Art von Verschlüsselung erstellt, sind weithin bekannt, ebenso wie die Schwierigkeit, sie zu knacken.
Die beste Methode zur Bekämpfung von Ransomware besteht darin, das Infektionsrisiko zu beseitigen. Da die Entschlüsselung ohne Zahlung eines Lösegelds mit erheblichen Kosten und Schwierigkeiten verbunden ist, ist Prävention die beste Strategie.
Schutz vor Ransomware kann erreicht werden, indem Schwachstellen in Ihrem System, Netzwerk oder Ihrer Organisation behoben und die Verhaltensweisen geändert werden, die Sie oder Ihr Unternehmen dem Risiko eines Ransomware-Angriffs aussetzen.
Best Practices zur Ransomware-Prävention
- Investieren Sie in eine solide Datensicherung. Das ist schwer zu unterschätzen. Datensicherung ist das Beste, was Sie tun können. Selbst wenn Sie von Ransomware betroffen sind, bedeutet eine effektive und konsistente Datensicherung, dass Ihre Daten sicher sind, unabhängig davon, mit welcher Art von Ransomware Sie angegriffen werden.
- Investieren Sie in eine effektive Antivirensoftware. In diesem Fall benötigen Sie nicht nur Malware- oder Virenbereinigungsprogramme, sondern eine Software, die Sie aktiv überwacht und Sie vor Bedrohungen warnt, auch innerhalb von Webbrowsern. Auf diese Weise erhalten Sie Benachrichtigungen über verdächtige Links oder werden von bösartigen Websites, auf denen sich möglicherweise Ransomware befindet, umgeleitet.
- Klicken Sie niemals auf verdächtige E-Mail-Links. Die meiste Ransomware verbreitet sich per E-Mail. Wenn Sie es sich zur Gewohnheit machen, niemals auf verdächtige Links zu klicken, verringern Sie das Risiko, Ransomware und andere Viren herunterzuladen, erheblich.
- Schützen Sie mit dem Netzwerk verbundene Computer. Manche Ransomware scannt aktiv Netzwerke und greift auf alle angeschlossenen Computer zu, die einen Fernzugriff ermöglichen. Stellen Sie sicher, dass auf allen Computern in Ihrem Netzwerk der Fernzugriff deaktiviert ist, oder verwenden Sie starke Schutzmethoden, um einen einfachen Zugriff zu verhindern.
- Halten Sie die Software auf dem neuesten Stand. Updates für Windows und andere Betriebssysteme und Anwendungen schließen häufig bekannte Sicherheitslücken. Eine rechtzeitige Aktualisierung kann dazu beitragen, das Risiko einer Anfälligkeit für Malware, einschließlich Ransomware, zu verringern.
- Investieren Sie in Tools zum Schutz vor Ransomware. Besonders nützlich für kleine Unternehmen und Netzwerkadministratoren, um aufkommende Bedrohungen zu überwachen und darauf zu reagieren. Viele Antiviren-Tools umfassen mittlerweile Anti-Ransomware-Lösungen, die mithilfe einer Verhaltensanalyse die Ausführung von Ransomware-Viren verhindernVorSie starten den Verschlüsselungsprozess.
Was tun, wenn Sie sich mitten in der Verschlüsselung Ransomware einfangen?
Die Verschlüsselung ist ein ressourcenintensiver Prozess, der eine erhebliche Menge an Rechenleistung erfordert. Wenn Sie Glück haben, können Sie Ransomware möglicherweise mitten in der Verschlüsselung abfangen. Dies erfordert ein scharfes Auge und das Wissen, wie ungewöhnlich viel Aktivität aussieht (und sich manchmal anhört). Ransomware wird in der Regel als Hintergrundprozess ausgeführt, um einer Entdeckung zu entgehen, sodass die schädliche Aktivität leicht übersehen werden kann, bevor Sie sie stoppen können.
Darüber hinaus versteckt sich der Virus, der die Verschlüsselung durchführt, wahrscheinlich in einem anderen Programm oder hat einen geänderten Dateinamen, der harmlos aussehen soll. Möglicherweise können Sie nicht erkennen, welches Programm die Aktion ausführt. Sollten Sie jedoch beim Verschlüsseln von Dateien entdecken, dass es sich Ihrer Meinung nach um einen Ransomware-Virus handelt, haben Sie folgende Möglichkeiten:
Versetzen Sie Ihren Computer in den Ruhezustand
Dadurch werden alle laufenden Prozesse gestoppt und ein schnelles Speicherabbild Ihres Computers und Ihrer Dateien erstellt (und auf der Festplatte gespeichert). Starten Sie Ihren Computer nicht neu und verlassen Sie ihn nicht aus dem Ruhezustand. In diesem Modus kann ein Computerspezialist (entweder von Ihrer IT-Abteilung oder einem beauftragten Sicherheitsunternehmen) das Gerät im schreibgeschützten Modus an einen anderen Computer anschließen und die Situation beurteilen. Dazu gehört auch die Wiederherstellung unverschlüsselter Dateien.
Unterbrechen Sie den Verschlüsselungsvorgang
Wenn Sie herausfinden können, welcher Vorgang der Übeltäter ist, können Sie versuchen, diesen Vorgang auszusetzen.
Unter Windows erfordert dies das Öffnen von Taskmanager (STRG + ALT + ENTF) und nach verdächtigen Vorgängen suchen. Achten Sie insbesondere auf Vorgänge, bei denen offenbar viel auf die Festplatte geschrieben wird. Für macOS-Benutzer können Sie dies über tunAktivitätsmonitor(CMD + UMSCHALT + U, dann öffnen Sie den Ordner „Dienstprogramme“, um den Aktivitätsmonitor zu finden).
Von dort aus können Sie den Betrieb unterbrechen. Es ist besser, den Vorgang anzuhalten, anstatt ihn abzubrechen, da Sie so den Prozess detaillierter untersuchen können, um zu sehen, was er tatsächlich vorhat. Auf diese Weise können Sie besser feststellen, ob Sie Ransomware in Ihren Händen haben.
Wenn Sie feststellen, dass es sich um Ransomware handelt, prüfen Sie, welche Dateien das Programm angegriffen hat. Möglicherweise finden Sie es beim Verschlüsseln bestimmter Dateien. Möglicherweise können Sie diese Dateien kopieren, bevor der Verschlüsselungsprozess abgeschlossen ist, und sie an einen sicheren Ort verschieben.
Weitere tolle Vorschläge von Sicherheits- und Computerexperten finden Sie unter Stapelaustausch .
Ransomware-Entfernung: So entfernen Sie Scareware und Screen Locker (Sperrbildschirmviren)
Screen Locker sind schwieriger zu entfernen als Scareware, stellen aber kein so großes Problem dar wie dateiverschlüsselnde Ransomware. Scareware- und Lockscreen-Viren sind keine perfekten Angreifer und können oft leicht und kostengünstig entfernt werden.
Betrachten Sie unter den verfügbaren Optionen zum Entfernen von Bildschirmsperrviren diese beiden:
- Führen Sie einen vollständigen Systemscan mit einem seriösen On-Demand-Malware-Cleaner durch
- Führen Sie eine Systemwiederherstellung bis zu einem Punkt durch, bevor die Scareware oder der Screen Locker Meldungen anzeigte.
Schauen wir uns beides im Detail an.
Option 1: Führen Sie einen vollständigen Systemscan durch
Dies ist ein ziemlich einfacher Vorgang, aber bevor Sie einen Systemscan durchführen, ist es wichtig, einen seriösen On-Demand-Malware-Cleaner auszuwählen. Ein solcher Reiniger ist Zemana Anti-Malware. Windows-Benutzer könnten sogar das integrierte Windows-Sicherheitstool (ehemals Windows Defender) verwenden, obwohl es gelegentlich weniger effektiv ist als Antivirensoftware von Drittanbietern.
Um den vollständigen Systemscan mit Zemana Anti-Malware durchzuführen, gehen Sie wie folgt vor:
- Öffnen Sie Ihren Zemana Anti-Malware-Startbildschirm.
- Ändern Sie auf dem Startbildschirm den Scantyp inTief
Bevor Sie einen Scan durchführen, empfehlen wir, einen Wiederherstellungspunkt festzulegen. Das Festlegen eines Wiederherstellungspunkts ist im Allgemeinen eine bewährte Methode für Virenscans, nur für den Fall, dass während des Scanvorgangs ein kritischer Fehler auftritt. Ihr Virenscan markiert und entfernt möglicherweise einige Dateien oder Programme, die keine Probleme darstellen (Chrome-Erweiterungen werden beispielsweise häufig als problematisch angezeigt), sodass eine Systemwiederherstellung erforderlich ist, um sie wiederherzustellen.
Auf einem Windows-Computer:
- Eintippen'Wiederherstellungspunkt'.
- WählenEinen Wiederherstellungspunkt erstellenüber die Systemsteuerung.
- WählenErstellenGeben Sie dann eine Beschreibung des Wiederherstellungspunkts ein, z. B. „Scan vor Malware“.
- Darüber hinaus möchten Sie vielleicht zu gehenKonfigurierenzum EinschaltenSystemschutz. Dadurch werden in Zukunft automatisch Wiederherstellungspunkte erstellt und Sie können auswählen, wie viel Speicherplatz für Backups reserviert werden soll
Auf einem macOS-Computer:
Keine Notwendigkeit! Ihr macOS-Computer erstellt mithilfe von Time Machine automatisch Wiederherstellungspunkte.
Nachdem Ihr Wiederherstellungspunkt gesichert ist, können Sie jetzt auf klickenScanne jetztum den Malware-Scan zu starten.
In meinem Fall hat ein kürzlich durchgeführter Systemscan von Zemana einen potenziellen DNS-Hijack ergeben. Huch! (Außerdem wurden einige Programme fälschlicherweise als Malware und Adware eingestuft. Überprüfen Sie daher sorgfältig, welche Dateien Sie ordnungsgemäß bereinigen und unter Quarantäne stellen.)
Gehen Sie wie folgt vor, um einen vollständigen Systemscan mit Windows-Sicherheit durchzuführen:
- Führen Sie eine schnelle Systemsuche durch„Windows-Sicherheit“
- ZugangWindows-Sicherheitund klicken Sie links auf das Schildsymbol
- Klicke aufScan Optionen
- Wechseln zuKompletter Suchlauf
- Klicke aufScanne jetzt
Microsoft verbessert ständig seine integrierte Windows-Antivirensoftware, aber sie ist immer noch keine so gute Lösung wie eine On-Demand-Tooloption von Drittanbietern wie Zemana oder viele andere hochwertige Antivirenprogramme. Beachten Sie, dass jedes AV-Tool eines Drittanbieters, das Sie installieren, die Windows-Sicherheit automatisch deaktiviert.
Beim Umgang mit Bildschirmsperr-Ransomware , müssen Sie möglicherweise eingeben Sicherheitsmodus um die On-Demand-Virenentferner zum Laufen zu bringen oder Ihre Systemwiederherstellung ordnungsgemäß durchzuführen. Sogar einige Scareware-Programme können Sie manchmal daran hindern, Ihre Virenentfernungsprogramme zu öffnen, aber normalerweise können sie Sie nicht daran hindern, dies zu tun, während Sie sich im abgesicherten Modus befinden. Wenn Sie Schwierigkeiten haben, Ihren Computer im abgesicherten Modus neu zu starten (eine eindeutige Möglichkeit, wenn Sie eine Bildschirmsperre haben), schauen Sie sich unsere Anleitung an So starten Sie Windows im abgesicherten Modus .
Option 2: Führen Sie eine Systemwiederherstellung durch
Eine andere Möglichkeit besteht darin, eine Systemwiederherstellung an einem Punkt durchzuführen, bevor die Scareware oder der Screen Locker anfing, Meldungen anzuzeigen. Wenn Sie Windows verwenden, ist diese Option nur verfügbar, wenn Ihr Computer so eingestellt ist, dass er in voreingestellten Abständen Systemwiederherstellungspunkte erstellt, oder wenn Sie diese Aktion selbst manuell durchgeführt haben.
(Wer auf dieses Handbuch als vorbeugende Maßnahme gegen Ransomware zugreift, sollte Option 1 lesen, in der wir darüber sprechen, wie man Wiederherstellungspunkte unter Windows erstellt.)
Wenn Sie keine aktuellen Wiederherstellungspunkte für Ihren Windows-Computer haben (oder überhaupt einen), ist diese Option für Sie nicht hilfreich, wenn Sie derzeit an einer Virusinfektion leiden.
- Wenn angezeigt wird, dass Sie bereits über ein Backup verfügen, wählen Sie die Backup-Dateien vom aktuellsten Wiederherstellungspunkt oder vom gewünschten Wiederherstellungspunkt aus.
Der Backup-Wiederherstellungsprozess kann mehrere Minuten dauern, insbesondere wenn die wiederherzustellende Datenmenge groß ist. Dadurch sollte Ihr Dateisystem jedoch auf einen Stand vor dem Herunterladen und Installieren des Virus zurückgesetzt werden.
Beachten Sie, dass sowohl ein Scan als auch eine Wiederherstellung verzögerte Reaktionszeiten haben können, daher ist es eine gute Idee, beides durchzuführen.
Die Indiana University bietet außerdem eine hilfreiche Wissensdatenbank mit einigen fortgeschrittenen Methoden für lästigere Scareware . Wir empfehlen auch einen Blick auf unsere Vollständiger Leitfaden zu Windows-Malware und -Prävention . Es führt Sie durch den Prozess der Malware-Entfernung und wie dieser Prozess bei verschiedenen Programmen aussieht.
Ransomware-Entfernung: So entfernen Sie dateiverschlüsselnde Ransomware
Sobald verschlüsselte Ransomware auf Ihr System gelangt, geraten Sie in Schwierigkeiten, wenn Sie alle nicht gespeicherten Daten oder alles, was nicht gesichert wurde, behalten möchten (zumindest ohne viel dafür zu bezahlen). Das Lösegeld zu zahlen ist verlockend, aber nicht immer effektiv. Laut dem Sophos-Bericht „State of Ransomware 2021“ erhielten Unternehmen, die ein Lösegeld zahlten, in der Regel nur etwas zurück rund 65 % ihrer Daten . Nur 8 % erhielten alle Daten zurück, die als Lösegeld erbeutet wurden.
In Anbetracht der mit der Zahlung des Lösegelds verbundenen Risiken sollten Sie nicht in Panik geraten, wenn Sie von einer bösartigen verschlüsselten Ransomware betroffen sind. Wenn Sie es überhaupt vermeiden können,Ermutigen Sie Ransomware-Hacker nicht durch Zahlungen.Sie haben zwei alternative Möglichkeiten zur Entfernung von Ransomware:
- Beauftragen Sie einen professionellen Ransomware-Entfernungsdienst: Wenn Sie über das nötige Budget verfügen, um einen Fachmann zu beauftragen, und entscheiden, dass sich die Wiederherstellung Ihrer Dateien lohnt, ist dies möglicherweise die beste Vorgehensweise. Viele Unternehmen, darunter Bewährte Datenwiederherstellung Und Zytelligenz , spezialisiert auf die Bereitstellung von Ransomware-Entfernungsdiensten. Beachten Sie, dass einige Gebühren auch dann erheben, wenn die Entfernung nicht erfolgreich ist, während andere dies nicht tun.
- Versuchen Sie, die Ransomware selbst zu entfernen: Dies ist in der Regel kostenlos und möglicherweise die bessere Option, wenn Sie nicht über die Ressourcen verfügen, einen Fachmann zu engagieren. Wenn Sie Ihre Dateien selbst wiederherstellen möchten, müssen Sie in der Regel zunächst die Malware entfernen und anschließend ein Tool zum Entschlüsseln Ihrer Dateien verwenden.
Wenn Sie das Problem selbst beheben möchten, führen Sie die folgenden Schritte aus:
Schritt 1: Führen Sie einen Antiviren- oder Malware-Entferner aus, um den verschlüsselnden Virus zu entfernen
Wichtiger Hinweis:Das Entfernen des verschlüsselnden Ransomware-Virus ist nicht dasselbe wie das Entschlüsseln von Dateien. Wenn Sie von Ransomware betroffen sind, müssen Sie die Dateien dennoch mit anderen Tools entschlüsseln oder wiederherstellen.
Sehen Sie sich die Anweisungen zum Entfernen von Malware/Viren im Abschnitt zum Entfernen von Scareware/Screen Locker oben an. Der Entfernungsprozess in diesem Schritt ist derselbe, mit einer Ausnahme: Wir empfehlen Ihnen dringend, diesen Virus im sicheren Modus ohne Netzwerkzugriff zu entfernen.
Es besteht die Möglichkeit, dass die von Ihnen infizierte dateiverschlüsselnde Ransomware auch Ihre Netzwerkverbindung kompromittiert hat. Einige Varianten müssen mit einem Hostserver kommunizieren. Das Unterbrechen dieser Kommunikation kann dazu beitragen, weitere Maßnahmen seitens des Hackers, der das System infiziert hat, zu verhindern.
Das Entfernen der Malware ist wichtigerster Schrittum mit diesem Problem umzugehen. Viele zuverlässige Programme funktionieren in diesem Fall, aber nicht jedes Antivirenprogramm ist darauf ausgelegt, die Art von Malware zu entfernen, die Dateien verschlüsselt. Sie können die Wirksamkeit des Malware-Entfernungsprogramms überprüfen, indem Sie dessen Website durchsuchen oder den Kundensupport kontaktieren.
Schritt 2: Versuchen Sie, Ihre Dateien mit einem kostenlosen Ransomware-Entschlüsselungstool zu entschlüsseln
Auch hier sollten Sie alles tun, um die Zahlung eines Lösegelds zu vermeiden. Ihr nächster Schritt wird darin bestehen, ein Ransomware-Entschlüsselungstool auszuprobieren. Leider gibt es keine Garantie dafür, dass es ein Ransomware-Entschlüsselungstool gibt, das mit der Ransomware funktioniert, die Ihr System infiziert. Möglicherweise haben Sie eine Variante, die noch geknackt werden muss
Kaspersky Labs, McAfee und mehrere andere Organisationen betreiben eine Website namens Kein Lösegeld mehr! Hier kann jeder Ransomware-Entschlüsselungsprogramme herunterladen und installieren oder Ransomware identifizieren lassen.
Kaspersky bietet auch an kostenlose Ransomware-Entschlüsseler auf seiner Website.
Zunächst empfehlen wir Ihnen, das zu verwenden Kein Krypto-Sheriff mehr als Lösegelder Tool, um zu beurteilen, welche Art von Ransomware Sie haben und ob derzeit ein Entschlüsselungsprogramm vorhanden ist, das Sie bei der Entschlüsselung Ihrer Dateien unterstützt. Es funktioniert so:
- Wählen Sie zwei verschlüsselte Dateien aus und laden Sie sie von Ihrem PC hoch
- Geben Sie eine Website-URL, E-Mail-Adresse, Onion-Adresse oder Bitcoin-Adresse an, die in der Lösegeldforderung angegeben ist
- Wenn in der Forderung keine Informationen angegeben wurden, laden Sie die TXT- oder HTML-Datei mit der Lösegeldforderung hoch
Der Crypto Sheriff verarbeitet diese Informationen anhand seiner Datenbank, um festzustellen, ob eine Lösung vorhanden ist. Wenn Ihnen kein Vorschlag unterbreitet wird, geben Sie jedoch noch nicht auf. Einer der Entschlüsseler funktioniert möglicherweise noch, Sie müssen jedoch möglicherweise jeden einzelnen herunterladen. Dies wird zugegebenermaßen ein langsamer und mühsamer Prozess sein, aber es könnte sich lohnen, die Dateien entschlüsseln zu sehen.
Die vollständige Suite der Entschlüsselungstools finden Sie unter Registerkarte „Entschlüsselungstools“. auf No More Ransom! Webseite.
Das Ausführen der Dateientschlüsselungsprogramme ist normalerweise einfach. Den meisten Entschlüsselungsprogrammen liegt eine Anleitung des Tool-Entwicklers bei (viele stammen von Emsisoft, Kaspersky Labs, Check Point oder Trend Micro). Jeder Prozess kann etwas anders sein, daher sollten Sie die PDF-Anleitung für jeden einzelnen Prozess lesen, sofern verfügbar.
Hier ist ein Beispiel für den Prozess, den Sie zum Entschlüsseln der Philadelphia-Ransomware anwenden würden:
- Wählen Sie eine verschlüsselte Datei auf Ihrem System und eine Version dieser Datei, die derzeit unverschlüsselt ist (aus einem Backup). Legen Sie diese beiden Dateien in einem eigenen Ordner auf Ihrem Computer ab.
- Laden Sie die herunter Philadelphia-Entschlüsseler und verschieben Sie die ausführbare Datei in denselben Ordner wie Ihre gekoppelten Dateien.
- Wählen Sie das Dateipaar aus und ziehen Sie die Dateien dann per Drag & Drop auf die ausführbare Entschlüsselungsdatei. Der Entschlüsseler beginnt dann damit, die richtigen Schlüssel zu ermitteln, die zum Entschlüsseln der Datei erforderlich sind.
- Dieser Vorgang kann je nach Komplexität des Programms einige Zeit dauern
- Sobald der Vorgang abgeschlossen ist, erhalten Sie den Entschlüsselungsschlüssel für alle von der Ransomware verschlüsselten Dateien.
- Der Entschlüsseler fordert Sie dann auf, eine Lizenzvereinbarung zu akzeptieren und gibt Ihnen Optionen für die Laufwerke, von denen Dateien entschlüsselt werden sollen. Sie können den Speicherort ändern, je nachdem, wo sich die Dateien derzeit befinden, sowie einige andere Optionen, die je nach Art der Ransomware erforderlich sein können. Eine dieser Optionen umfasst normalerweise die Möglichkeit, die verschlüsselten Dateien aufzubewahren
- Sobald die Dateien entschlüsselt wurden, erhalten Sie eine Meldung in der Benutzeroberfläche des Entschlüsselers
Auch dieser Vorgang funktioniert möglicherweise nicht, da Sie möglicherweise Ransomware haben, für die kein Entschlüsseler verfügbar ist. Da jedoch viele Entschlüsselungsprogramme verfügbar sind, ist es am besten, diesen Weg zu gehen, bevor Sie Geld für Entschlüsselungsdienste bezahlen und lange bevor Sie über eine Lösegeldzahlung nachdenken.
Backup-Option: Löschen Sie Ihr System und führen Sie eine vollständige Datenwiederherstellung aus einer Datensicherung durch
Die Schritte 1 und 2 funktionieren nur zusammen. Wenn beides bei Ihnen nicht funktioniert, müssen Sie diesen Schritt ausführen. Hoffentlich verfügen Sie bereits über eine solide und zuverlässige Datensicherung. Wenn ja, geben Sie nicht der Versuchung nach, das Lösegeld zu zahlen. Lassen Sie Ihre Dateien und Ihr System stattdessen von einem IT-Experten aus der Datensicherung wiederherstellen.
Das ist auch ein Grund dafür Bare-Metal-Backup und -Wiederherstellung sind wichtig. Es besteht eine gute Chance, dass Ihr IT-Experte die vollständige Bare-Metal-Wiederherstellung für Sie durchführen muss. Dazu gehören nicht nur Ihre persönlichen Dateien, sondern auch Ihr Betriebssystem, Ihre Einstellungen und Programme. Windows-Benutzer müssen möglicherweise auch einen vollständigen System-Reset auf die Werkseinstellungen in Betracht ziehen.
Microsoft bietet mit seinem einige Strategien (meist präventiv) für größere Organisationen an Von Menschen betriebenes Projekt zur Eindämmung von Ransomware .
Die Geschichte von Ransomware
Wie bereits erwähnt, ist Ransomware kein neues Konzept und gibt es schon seit vielen Jahren. Auch wenn die folgende Zeitleiste keine erschöpfende Liste von Ransomware darstellt, vermittelt sie Ihnen doch eine gute Vorstellung davon, wie sich diese Angriffsform im Laufe der Zeit entwickelt hat.
- 1989 – Der Trojaner „Aids“, auch PC Cyborg genannt, ist der erste bekannte Fall von Ransomware auf einem Computersystem.
- 2006 – Nach einer jahrzehntelangen Pause kehrt Ransomware mit dem Aufkommen von Gpcode, TROJ.RANSOM.A, Archiveus, Krotten, Cryzip und MayArchive massenhaft zurück. Alle zeichnen sich durch die Verwendung hochentwickelter RSA-Verschlüsselungsalgorithmen aus.
- 2008 – Gpcode.AK kommt am Tatort an. Durch die Verwendung von 1024-Bit-RSA-Schlüsseln ist ein enormer Aufwand erforderlich, der die Mittel der meisten Benutzer übersteigt, um ihn zu knacken.
- 2010 – WinLock greift Nutzer in Russland an, indem es Displays mit Pornos überhäuft, bis der Nutzer für 10 US-Dollar eine Premium-Nummer anruft.
- 2011 – Ein unbenannter Trojaner sperrt Windows-Rechner und leitet Besucher zu gefälschten Telefonnummern weiter, über die sie ihre Betriebssysteme reaktivieren können.
- 2012 – Reveton informiert Benutzer darüber, dass ihr Computer zum Herunterladen von urheberrechtlich geschütztem Material oder Kinderpornografie verwendet wurde, und verlangt die Zahlung einer „Geldstrafe“.
- 2013 – Die Ankunft des mittlerweile berüchtigten CryptoLocker. Wenn man die Verschlüsselungsstufe erhöht, ist es unglaublich schwer, sie zu umgehen.
- 2013 – Locker taucht auf und verlangt die Zahlung von 150 $ auf eine virtuelle Kreditkarte.
- 2013 – Schwer zu erkennen, CryptoLocker 2.0 fügt die Verwendung von Tor hinzu, um dem kriminellen Programmierer, der es erstellt hat, mehr Anonymität zu verleihen.
- 2013 – Cryptorbit erweitert sein Repertoire auch um die Nutzung von Tor und kodiert die ersten 1.024 Bits jeder Datei. Außerdem wird ein Bitcoin-Miner installiert, um die Opfer zu melken und zusätzlichen Gewinn zu erzielen.
- 2014 – CTB-Locker zielt hauptsächlich auf in Russland ansässige Maschinen ab.
- 2014 – Eine weitere bedeutende Entwicklung: CryptoWall infiziert Computer über infizierte Website-Werbung und schafft es, Milliarden von Dateien weltweit zu beeinträchtigen.
- 2014 – Cryptoblocker ist eine etwas freundlichere Ransomware, die Windows-Dateien vermeidet und auf Dateien mit einer Größe von weniger als 100 MB abzielt.
- 2014 – SynoLocker zielt auf Synology NAS-Geräte ab und verschlüsselt jede darauf gefundene Datei.
- 2014 – TorrentLocker nutzt Spam-E-Mails zur Verbreitung, wobei verschiedene geografische Regionen gleichzeitig angesprochen werden. Es kopiert auch E-Mail-Adressen aus dem Adressbuch der betroffenen Benutzer und versendet Spam auch an diese Parteien.
- 2015 – Eine weitere schwer zu erkennende Ransomware, CryptoWall 2.0, nutzt Tor zur Anonymität und gelangt auf unterschiedliche Weise ins Spiel.
- 2015 – TeslaCrypt und VaultCrypt können als Nischen-Ransomware bezeichnet werden, da sie auf bestimmte Spiele abzielen.
- 2015 – CryptoWall 3.0 verbessert seinen Vorgänger, indem es in Exploit-Kits verpackt ist.
- 2015 – CryptoWall 4.0 fügt seiner Verschlüsselung eine weitere Ebene hinzu, indem es die Namen der verschlüsselten Dateien verschlüsselt.
- 2015 – Die nächste Stufe der Ransomware sieht vor, dass Chimera Dateien nicht nur verschlüsselt, sondern sie auch online veröffentlicht, wenn kein Lösegeld gezahlt wird.
- 2016 – Locky kommt auf den Plan. Der Name kommt vor allem daher, dass alle wichtigen Dateien so umbenannt werden, dass sie die Erweiterung „.locky“ haben.
- 2016 – KeRanger befindet sich auf BitTorrent und ist die erste bekannte Ransomware, die unter Mac OS X voll funktionsfähig ist.
- 2016 – Benannt nach dem Bond-Bösewicht in „Casino Royale“, der Bonds Liebe entführt, um Geld zu erpressen, nutzt das LeChiffre-Programm schlecht gesicherte Remote-Computer in zugänglichen Netzwerken aus. Anschließend wird es auf diesen Systemen angemeldet und manuell ausgeführt.
- 2016 – Jigsaw wird die Dateien nach und nach verschlüsseln und löschen, bis das Lösegeld bezahlt ist. Nach 72 Stunden werden alle Dateien gelöscht.
- 2016 – Die SamSam-Ransomware wird mit einer Live-Chat-Funktion geliefert, um Opfern bei der Lösegeldzahlung zu helfen.
- 2016 – Die Petya-Ransomware nutzt die Beliebtheit von Cloud-Filesharing-Diensten aus, indem sie sich über Dropbox verbreitet.
- 2016 – Der erste Ransomware-Wurm kommt in Form von ZCryptor, der auch an die Maschine angeschlossene externe Festplatten und Flash-Laufwerke infiziert.
- 2017 – Crysis zielt auf Festnetz-, Wechsel- und Netzwerklaufwerke ab und verwendet leistungsstarke Verschlüsselungsmethoden, die mit den heutigen Computerkapazitäten nur schwer zu knacken sind.
- 2017– WannaCry wird über Phishing-E-Mails und über vernetzte Systeme verbreitet. Einzigartig ist, dass WannaCry eine gestohlene NSA-Hintertür verwendet, um Systeme zu infizieren, sowie eine weitere Schwachstelle in Windows, die über einen Monat vor der Veröffentlichung der Malware behoben wurde (weitere Details unten).
- 2018– Die Ryuk-Ransomware taucht auf und wird schnell zur schlimmsten Ransomware, die es auf dem Markt gibt. Sie wird größer und verheerender als WannaCry. Laut Trend Micro hatte Ryuk das größte Lösegeldforderung aller Verschlüsselungsgeräte, bei 12,5 Millionen US-Dollar.
- 2019– Die Stadt Baltimore wird im Mai von einer Ransomware-Variante namens RobinHood heimgesucht. Fast jeder von der Stadt genutzte Server wurde offline geschaltet. Hacker forderten 13 Bitcoin, was damals etwa 76.000 US-Dollar kostete, aber zum Zeitpunkt des Verfassens dieses Artikels (Juli 2021) einen Wert von über 428.000 US-Dollar hat. Das System der Stadt wurde erst Ende des Monats vollständig wiederhergestellt. Zu seiner Ehre muss man sagen, dass Baltimore das Lösegeld nicht gezahlt hat, aber später erklärt hat, dass die Ransomware behoben werden soll kostete die Stadt 18 Millionen Dollar .
- 2020– Im Mai 2020 wurde der IT-Dienstleister Cognizant von einem Ransomware-Angriff heimgesucht, der so groß war, dass das Unternehmen Kosten verursachte 50 bis 70 Millionen US-Dollar an Einnahmen. Dabei handelte es sich insbesondere um eine „Maze“-Doppeldrohung, da die Hacker nicht nur die Daten verschlüsselten, sondern auch eine Kopie der Daten von Cognizant erstellten und dann damit drohten, die Daten preiszugeben, wenn ihren Forderungen nicht nachgekommen würde.
- 2021– In diesem Jahr ist eine neue Bedrohung aufgetaucht. Im Mai wurde Colonial Pipeline, ein Unternehmen, das für den Treibstofftransport für einen Großteil der US-Ostküste verantwortlich ist, von einem Ransomware-Angriff heimgesucht kompromittiertes Passwort . Der Angriff führte zu einer Verringerung der Treibstoffkapazität in über einem Dutzend Staaten und zu mehr als zweiwöchigem Treibstoffmangel für Millionen von Menschen. Es war das erste Mal, dass eine wichtige Infrastruktur eines Landes unter einem Ransomware-Angriff litt. Colonial Pipeline gab später zu, das Lösegeld gezahlt zu haben, doch in seltenen Fällen erholte sich die US-Regierung später wieder Großteil des Lösegelds .
Häufig gestellte Fragen zu Ransomware
Kann man Ransomware entfernen?
Ja, Sie können Ransomware entfernen. Antivirensoftware kann Ransomware von Ihrem Computer oder System löschen. Durch das Entfernen der Ransomware werden jedoch keine Dateien entschlüsselt, die mit dem Ransomware-Virus verschlüsselt wurden, der Ihr System infiziert hat.
Wie gelangt Ransomware auf Ihren Computer?
Ransomware kann auf die gleiche Weise wie andere Malware auf Ihren Computer gelangen. Zu den häufigsten Angriffsvektoren gehören:
- Infizierte Dateien installieren
- Klicken auf Links auf infizierten Websites
- Unbekannte USB-Laufwerke an Ihren Computer anschließen
- Konto- oder System-Hacking aufgrund mangelnder Passwortsicherheit
- Brute-Force-Angriffe von Hackern
Sollten Sie Ransomware bezahlen?
Nein, Sie sollten das Lösegeld nicht zahlen, wenn Sie mit Ransomware infiziert werden. Die Zahlung von Lösegeldern fördert nicht nur diese Art von Angriff, sondern führt möglicherweise auch nicht zur Freigabe Ihrer Dateien. Es kann auch außergewöhnlich teuer sein.
Was passiert, wenn ich Ransomware bekomme?
Wenn Ransomware auf Ihren Computer oder Ihr Netzwerk gelangt, beginnt die Malware mit der Verschlüsselung Ihrer Dateien. Letztendlich werden Sie von Ihrem System ausgeschlossen und eine Zahlung (häufig in Kryptowährung) für die Freigabe der Dateien über einen Entschlüsselungsschlüssel verlangt.