Ransomware: Entfernen und ggf. Entschlüsseln

Ransomware beschreibt eine Reihe von unterschiedlichen Trojanern welche Benutzerdaten oder gar den Zugang zum System verschlüsseln. Dabei wird auf ein Schlüssel generiert welcher nach Zahlung per Bitcoins freigeben werden soll um damit wieder Zugriff auf die Betroffenen Daten und Systeme zu erlangen.
  Sollten Sie von einem dieser Schadprogramme betroffen sein empfehlen wir folgende Vorgehensweise: 1. Trojaner entfernen Starten Sie Ihr Betriebssystem im abgesicherten Modus mit Netzwerktreibern Drücken Sie während des Bootvorgangs F8 (bevor das Windows Logo erscheint)

oder

Geben im Windows unter Suchen msconfig ein und drücken Sie “Enter” msconfig Setzen Sie den Haken bei “Abgesicherter Start” und Wählen Sie “Netzwerk” aus.

Im Abgesicherten Modus Laden Sie das Programm “HitmanPro” Wenn Sie nicht wissen ob Sie ein 64-bit System haben, wählen Sie die zweite Variante.

Starten Sie hitmanpro.exe hitmanpro Klicken Sie auf “Weiter” (2x) Suchlauf wird durchgeführt….

Klicken Sie nach Abschluss auf “Weiter”

Geben Sie eine beliebige Email-Adresse an und aktivieren Sie die 30-Tage Testlizenz

Starten Sie den Rechner neu (erneut in den abgesicherten Modus!)

 
  2. Zweiter Suchlauf Wir empfehlen zur Sicherheit einen zweiten Suchlauf durchzuführen. Laden Sie dazu das Progamm Malwarebytes Anti-Malware herunter: Download Installieren und starten Sie das Programm und klicken auf “Jetzt durchsuchen” Malwarebytes Der Suchlauf dauert je nach Größe der Festplatte und Leistung des Systems 30-90min. Starten Sie das System neu (Normaler Systemstart) Der Trojaner sollte jetzt entfernt sein… jetzt geht es an die Daten
  3. Daten Retten Über Dateiversionsverlauf Wenn Sie eine Sicherung mit Windows erstellt haben (ab Windows 7) haben Sie gute Chancen Ihre Daten zurück zu erhalten. Klicken Sie mit der rechten Maustaste auf die Betroffene Datei und wählen Sie “Eigenschaften” -> “Vorgängerversionen” dateiversion Wählen Sie wiederherstellen und ersetzen Sie die verschlüsselte Datei. Sollten Sie keine Sicherung besitzen bleibt Ihnen nur der Versuch Ihre Daten zu entschlüsseln. Leider ist es nicht bei allen Varianten möglich. Da bei aktuelleren Versionen die Verschlüsselungsmethode zu fortgeschritten ist.
  4. Daten entschlüsseln Leider gibt es nicht für alle Ransomware-Trojaner Möglichkeiten zum Entschlüsseln. Für die Varianten Coinvault und Bitcryptor gibt es mitlerweile von Kaspersky ein Tool zum Entschlüsseln unter: https://noransom.kaspersky.com Klicken Sie auf Download, entpacken Sie die .zip Datei und führen Sie das Programm aus (CoinVaultDecryptor.exe). Um einen bestimmten Ordner zu entschlüsseln klicken Sie auf “Change parameters” noransom Setzen Sie den Haken bei “Folder with encrypted files” und klicken Sie auf “OK” Kopieren Sie nun alle Verschlüsselten Daten eines Ordners in einen neuen Ordnen und wählen Sie dann “Start scan” Klicken Sie auf “Continue” und wählen Sie den gerade erstellten Ordner. Kaspersky bietet für andere Ramsomware ebenfalls Tools an unter: http://support.kaspersky.com/de/viruses/disinfection Sollte keine Möglichkeit funktionieren empfehlen wir Ihnen die verschlüsselten Daten extern zu sichern um diese evtl. zu einem späteren Zeitpunkt wiederherstellen zu können. Bisher sind von vergangenen Versionen des Trojaners immer wieder Schlüssel öffentlich womit dann die Entschlüsselung möglich wurde.