Der Schaden ist passiert: Ransomware hat Ihr System befallen, nichts geht mehr. Ein Entschlüsselungsprogramm aus dem Internet verspricht schnelle Hilfe. Allerdings sollten Sie sich besser nicht auf seine Dienste verlassen.
Wir erklären, was ein Entschlüsselungsprogramm ist und warum Sie die Finger davon lassen sollten.
Ransomware legt das System lahm? Ein Entschlüsselungsprogramm hilft leider nicht immer. Bild: Pixabay/mohamed Hassan
Wie infiziert man sich mit Ransomware?
Es ist schnell passiert: Ihr System ist mit Ransomware infiziert. Aber wie konnte das passieren? Eine von Cyberkriminellen besonders gern genutzte Infektionsmethode ist das Versenden von E-Mails mit manipulierten Anhängen. Über PDFs, Word- oder Excel-Dokumente schleusen sie die Schadsoftware auf dem System des Empfängers ein – sofern dieser beispielsweise der Aufforderung folgt, ein Makro zu installieren, um den Dateiinhalt ansehen zu können. Eines der jüngsten Beispiele dafür sind angebliche 1&1-Mails, die die Ransomware Hakbit im Gepäck haben.
Auch das sogenannte Malvertising ist bei Internetkriminellen beliebt. Dabei versteckt sich ein Erpressertrojaner hinter Werbeanzeigen auf Internetseiten. Der Klick darauf öffnet eine Webseite, die das Gerät dann mit der Schadsoftware infiziert. Noch schlimmer: Inzwischen kommen oft auch unsichtbare Webseiten-Elemente zum Einsatz, in denen der Download vom Benutzer unbemerkt abläuft.
Einmal im System, beginnt die Ransomware, die Dateien zu verschlüsseln. Es folgt die Aufforderung zur Zahlung von Lösegeld, meist in Form von Bitcoins. Warum Sie dieser Aufforderung nicht folgen sollten, lesen Sie in unserem Beitrag Lösegeld zahlen? Keine gute Idee!.
Entschlüsselungsprogramm verspricht schnelle Lösung
Wenn ein Verschlüsselungstrojaner einen Rechner oder gar ein ganzes Netzwerk lahmlegt, ist das für Unternehmen und Einrichtungen gleichermaßen ein gewaltiges Problem. Nicht nur, weil Arbeitsprozesse zum Erliegen kommen, sondern auch, weil die DSGVO hier ein Wörtchen mitzureden hat. Meistens ist der Befall durch Ransomware nämlich meldepflichtig.
Denn: Zu den IT-Schutzzielen der DSGVO gehört auch die Verfügbarkeit von Daten – und die wird durch einen Ransomware-Angriff eingeschränkt. Es liegt nach Interpretation der DSGVO also eine Datenschutzverletzung vor. Das wiederum kann ein Risiko für betroffenen Personen bedeuten. Bestes Beispiel dafür ist eine Arztpraxis. Stehen hier wichtige Gesundheitsdaten eines Patienten nicht zur Verfügung, besteht Gefahr für die Behandlung.
Es gilt also, schnell zu reagieren und das befallene System vom Erpressertrojaner zu befreien. Eine schnelle Lösung versprechen Entschlüsselungsprogramme aus dem Internet.
Wettrennen zwischen Forschern und Kriminellen
Eines vorweg: Diverse Entschlüsselungstools gibt es tatsächlich. Sicherheitsforscher befinden sich in einem ständigen Wettlauf mit den Cyberkriminellen. Sie versuchen, schnellstmöglich entsprechende Entschlüsseler für neue Ransomware zu entwickeln, was ihnen auch immer wieder gelingt. Auf der anderen Seite entwickeln die Kriminellen ihre Schadsoftware so weiter, dass die Entschlüsselungstools nicht mehr greifen. Und schon sind die Forscher wieder am Zug.
Inzwischen haben sich die Forscher sogar mit Polizeibehörden, darunter Europol, zusammengeschlossen, um der Bedrohung durch Ransomware besser begegnen zu können. Auf der Webseite nomoreransom.org veröffentlichen sie die bereits entwickelten Entschlüsseler. Sollten Sie sich einen Erpressertrojaner eingefangen haben, könnten Sie auf dieser Seite fündig werden.
Wichtig ist: Sollten Sie sich selbst an eine Entschlüsselung Ihrer Daten wagen, achten Sie auf der Seriosität der Quelle des Entschlüsselungstools! Ansonsten laufen Sie Gefahr, alles nur noch schlimmer zu machen.
Die Entschlüsselung für Ransomware auf dem Serviertablett? Eher unwahrscheinlich. Bild: Pixabay/Peggy und Marco Lachmann-Anke
Zorab-Ransomware tarnt sich als Entschlüsselungsprogramm
Das kann zum Beispiel passieren, wenn Sie einen Entschlüsseler für die Ransomware STOP/Djvu suchen. Diese verschlüsselt die Dateien ihrer Opfer und weist ihnen je nach Version eine Erweiterung zu (.djvu, .djvus, .djvuu, .tfunde und .uudjvu). Das berichtet Kaspersky. Es gibt tatsächlich ein anerkanntes Entschlüsselungstool von Emisoft. Allerdings ist es gegen neuere Versionen von STOP/Djvo machtlos.
Bei dem Tool, das aktuell per Link in einigen Foren verbreitet wird, handelt es sich dagegen nicht um einen Entschlüsseler. Vielmehr tarnt sich hier die Ransomware Zorab als Entschlüsselungsprogramm. Anstatt die bereits verschlüsselten Daten zu entschlüsseln, verschlüsselt sie sie erneut. Nutzen Sie dieses Programm, stehen sie am Ende noch schlechter dar als vorher.
Sie sollten sich folgendes bewusst machen: Dass anonyme Samariter ein Entschlüsselungsprogramm erstellen und veröffentlichen, ist eher unwahrscheinlich. Sie sollten sich daher nur auf vertrauenswürdige Portale verlassen – oder direkt auf die Hilfe eines Profis setzen.
Experte hilft bei Entschlüsselung
So einen Profi finden Sie auch unter den Experten aus dem IT-SERVICE.NETWORK. Er hilft Ihnen bei der Suche nach einem sicheren Entschlüsselungstool und führt die Entschlüsselung anschließend durch – sofern bereits ein passendes Tool existiert. Gibt es so ein Programm noch nicht, existiert in Ihrem Unternehmen hoffentlich ein lückenloses Backup, durch das sich die Daten – nach der Entfernung der Ransomware – vergleichsweise einfach wieder aufspielen lassen. Ansonsten haben Sie schlechte Karten.
Warten Sie nicht erst, bis das Kind in den Brunnen gefallen ist, sondern sorgen Sie rechtzeitig dafür, dass Ransomware Ihrem Unternehmen nichts anhaben kann. Das erreichen Sie einerseits durch die Einführung des besagten Backups, andererseits dadurch, dass Ihre Mitarbeiter verdächtige Links und Dateien erst gar nicht öffnen. Dabei helfen spezielle Security-Awareness-Schulungen.
Unsere Experten vermitteln Ihnen gern eine solche Schulung und übernehmen zudem das Backup-Management für Ihr Unternehmen. Nehmen Sie Kontakt auf und lassen Sie sich unverbindlich informieren.
Geschrieben von
Seit Anfang 2019 ist Janina Kröger für den Blog des IT-SERVICE.NETWORK verantwortlich – anfangs in der Position der Online-Redakteurin und inzwischen als Content Marketing Managerin. Die studierte Germanistin/Anglistin und ausgebildete Redakteurin behält das Geschehen auf dem IT-Markt im Blick, verfolgt gespannt neue Trends und Technologien und beobachtet aktuelle Bedrohungen im Bereich des Cybercrime. Die relevantesten… Weiterlesen
Schreiben Sie einen Kommentar
* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung