Erste Hilfe gegen Ransomware

Maßnahmen und Prävention bei Ransomware und anderer Malware

Was ist zu tun, wenn am Rechner eine verdächtige Datei auftaucht, ungewöhnliche Aktivitäten beobachtet werden oder gar eine Lösegeldforderung auftaucht? Die richtige Reaktion kann helfen, die Ausbreitung von Malware-Angriffen zu verhindern und den Schaden zu minimieren.

1. Ruhe bewahren

2. Status Quo erfassen

Verschaffen Sie sich einen validen Überblick über die direkten Auswirkungen, um weitere Maßnahmen abzuleiten und in Angriff nehmen.

  • Welche Systeme Ihres Hauses / Ihrer Netzwerke sind betroffen?
  • Welche Ransomware-Variante wurde gegen sie eingesetzt? https://www.nomoreransom.org/crypto-sheriff.php?lang=de
  • Mit welchen Ausfällen müssen Sie rechnen?
  • Wen müssen Sie wann und wie über Ihre Situation informieren?

3. Bewusstsein schaffen

Machen Sie sich bewusst, dass

  • Ihre IT-Infrastruktur kompromittiert ist.
  • der Angreifer Ihre Schritte und Maßnahmen eventuell mitverfolgen/mitlesen kann.
  • der Angreifer wahrscheinlich seit Tagen oder Wochen in Ihren Netzen aktiv und relativ gut über Ihre Netzwerke, Infrastrukturen und Daten informiert ist.
  • vermutlich Daten gestohlen wurden,

Der Erpresser wird im Regelfall Infrastrukturen gemietet haben. D.h. es sind NICHT die jeweilige Ransomware oder der Diensteanbieter, der Sie angreift – jeder kann diese Werkzeuge nutzen!

4. Befallene Systeme trennen

  • Identifizieren Sie jene Bereiche Ihres Netzwerkes, die noch nicht infiziert wurden
  • Isolieren Sie infizierte Bereiche so schnell wie möglich, um eine Ausbreitung zu verhindern.
  • Denken Sie dabei auch an externe Datenanbindungen wie Festplatten, Cloud-Anbindungen oder andere Schnittstellen.

Beachten Sie, dass auch Maschinen, auf denen keine „Erpresser-Nachricht“ auftaucht, kompromittiert sein können.

5. Ransomware entfernen

  • Starten Sie Ihren Computer im abgesicherten Modus neu, indem Sie während des Starts wiederholt die Taste F8 drücken, bis das Menü „Erweiterte Startoptionen“ erscheint. Wählen Sie den abgesicherten Modus mit Netzwerkbetrieb, damit beim Hochfahren des Computers nicht automatisch auch die Malware gestartet wird.
  • Prüfen Sie Ihr System mit einer vertrauenswürdige und aktuellen Anti-Malware-Software vollständig auf Maware. Löschen Sie gefundene Bedrohungen bzw. ziehen Sie gegebenenfalls Expert*innen hinzu.
  • Überprüfen Sie Ihre Systemdateien: Manche Malware kann Systemdateien beschädigen oder löschen. Öffnen Sie als Administrator die Eingabeaufforderung und geben Sie den Befehl „sfc /scannow“ ein, um
    Ihre Systemdateien zu scannen und gefundene Probleme zu reparieren.

6. Sicherheitslücken schließen

  • Finden Sie – gegebenenfalls mithilfe forensischer Fachkräfte – das Einfallstor, über das die Angreifer in Ihre Systeme gelangt sind.
  • Eruieren Sie, wo und wie sich die Angreifer festgesetzt haben. Dieses Wissen ist für die Wiedererlangung Ihrer Systemintegrität unerlässlich.
  • Vergewissern Sie sich, dass Ihre gesamte Software, einschließlich Ihres Betriebssystems und Ihres Webbrowsers, auf dem neuesten Stand ist und die neuesten Sicherheits-Patches installiert sind. Dies wird dazu beitragen, zukünftige Malware-Infektionen zu verhindern.

7. Backups überprüfen

  • Bevor Sie versuchen, Dateien wiederherzustellen oder zu entfernen, sollten Sie eine Sicherungskopie der verschlüsselten Dateien erstellen, um weitere Schäden oder Verluste zu vermeiden.
  • Achten Sie darauf, dass Sie nur Dateien aus Backups wiederherstellen, die nicht mit der Ransomware infiziert wurden, und dass die Malware restlos aus Ihrem Netzwerk entfernt wurde.
  • Sollte es nicht mehr möglich sein, Ihre verschlüsselten Daten aus Backups zu rekonstruieren, überlegen Sie, welche Daten Sie unbedingt benötigen und ob Sie diese aus anderen Quellen wiederbeschaffen können – etwa von Kunden oder von Systemen, die zum Zeitpunkt des Angriffs nicht am Netz waren (Laptops, ältere Server etc.).

8. Vorfall melden und Anzeige erstatten

  • Beachten Sie die rechtlichen Vorgaben zur Meldung des Vorfalls und Informationen Betroffener.
  • Bei besonders kritischen oder schützenswerten Daten kontaktieren Sie Ihre Partner oder Kunden am besten telefonisch.
  • Informieren Sie auch Ihre Mitarbeitenden über den Vorfall und darüber, welche Informationen sie an Dritte weitergeben können oder sollen.
  • Erstatten Sie außerdem Anzeige bei Ihrer nächsten Polizeidienststelle.

WIR FREUEN UNS AUF SIE!

IKARUS Security Software GmbH
Blechturmgasse 11
1050 Wien

Telefon: +43 1 58995-0
Sales Hotline: +43 1 58995-500
sales@ikarus.at

SUPPORT-HOTLINE:

Support-Infoseite

Support-Hotline:
+43 1 58995-400
support@ikarus.at

Support-Zeiten:
Mo bis Do: 8.00 – 17.00 Uhr
Fr: 8.00 – 15.00 Uhr
24/7 Support nach Vereinbarung

Fernwartung:
AnyDesk Download