Ransomware entschlüsseln

So entfernen Sie (fast) jeden Erpresser-Trojaner

10.06.2016 von Hans-Christian Dirscherl
Wir sagen, wie Sie sich gegen Erpresser-Trojaner wehren. Und mit welchen cleveren Tools Sie Ihre Dateien entschlüsseln, wenn die fiese Ransomware zugeschlagen hat.

Ransomware ist ein echtes Ärgernis und je nach Art der verschlüsselten Daten sogar eine Katastrophe für die Opfer. Die Angreifer verschlüsseln die Dateien von Anwendern und geben den Zugriff erst nach einer Zahlung wieder frei. Aber durch die Zahlung ist keinesfalls sichergestellt, dass sich die verschlüsselten Daten danach auch wieder nutzen lassen. Es gibt für betroffenen Anwender aber Tools und Vorgehensweisen, um seinen Rechner und die Daten zu retten.

Ransomware: Verschiedene Spielarten

Generell gibt es verschiedene Arten von Ransomware. „Lock Screen“-Angreifer sperren einfach den kompletten Zugriff auf das System. Diese Angreifer sind relativ einfach loszuwerden, zumindest sind die Daten nicht beeinträchtigt. Gefährlicher sind dagegen die Crypto-Angreifer. Diese verschlüsseln komplett alle Daten auf dem System. Es gibt aber bereits einige Tools, die gegen die Angreifer helfen können, auch gegen hartnäckige Angreifer wie Locky. Das kostenlose Tool Anti-Ransomware von Malwarebytes soll gegen solche Erpressersoftware wie Locky, aber auch CryptoWall4, CryptoLocker, Tesla und CTB-Locker schützen.

Vorgehensweise beim Befall mit Ransomware

Sobald ein Rechner mit Ransomware befallen ist, sollten Sie folgende Vorgehensweise wählen:

1. Trennen Sie den Rechner sofort vom Netzwerk.

2. Schalten Sie den Rechner aus.

3. Sichern Sie die komplette Festplatte des Rechners auf einen externen Datenträger, zum Beispiel mit einer Image-Sicherung. Weiter unten stellen wir Ihnen die dafür erforderlichen Tools vor.

4. Blockiert Sie die Ransomware komplett, können Sie mit dem kostenlosen Tool Kaspersky WindowsUnlocker zumindest den generellen Zugriff auf den Rechner freischalten.

5. Versuchen Sie den Rechner mit einem herkömmlichen Virenscanner zu bereinigen. Hier stellen viele Antiviren-Hersteller kostenlose Live-CDs wie AVG zur Verfügung, die häufig auch solche Angreifer entfernen können. Im nächsten Abschnitt finden Sie eine Liste der wichtigsten Antiviren-Scanner dafür.

6. Starten Sie den Rechner in den abgesicherten Modus.

7. Versuchen Sie, ob Sie den letzten Wiederherstellungspunkt aktivieren können, und dadurch die Verunreinigung entfernt werden kann.

8. Starten Sie die Befehlszeile, und versuchen Sie mit einem der nachfolgenden Tools eine Bereinigung durchzuführen.

Vor einer Bereinigung erst Rechner sichern

Vor einer Bereinigung sollte der Rechner immer auf eine externe Festplatte gesichert werden, damit der Ursprungszustand erhalten bleibt. Auch Desinfektionstools können Probleme verursachen. Liegen alle Daten als Sicherung vor, können Sie diese wiederherstellen.

Clonezilla ist eine der bekanntesten Lösungen für das Klonen von kompletten Festplatten. Booten Sie einen Rechner mit der Live-CD, lassen sich alle Festplatten, inklusive aller Partitionen, sichern und wiederherstellen.

Clonezilla ist auch Bestandteil der Ultimate Boot CD. Über den Menüpunkt HDD\Disk Cloning steht auf der CD auch die Freeware HDClone zur Verfügung. Wer nur HDClone testen will, ohne die weiteren Werkzeuge der Ultimate Boot CD, kann auch nur dieses Produkt herunterladen.

Mit Live-CDs zuerst scannen

Eine der bekanntesten und sichersten Live-CDs zum Entfernen von Viren ist die kostenlose Kaspersky Live-CD. Diese laden Sie als ISO-Datei herunter und brennen Sie auf CD. Weitere Rettungs-CDs finden sich auf folgenden Seiten:
BitDefender
F-Secure
AVG Rettungs-CD

Tools, die beim Kampf gegen Ransomware helfen

Bekannte Hersteller wie Kaspersky bieten ebenfalls Werkzeuge an, mit denen sich Ransomware-verseuchte Rechner bereinigen lassen. Ein Beispiel dafür ist CoinVaultDecryptor. Auch beim Entschlüsseln von Dateien helfen Tools von Kaspersky, zum Beispiel Decryptor. Das Tool wird zusammen mit der niederländischen Polizei angeboten.

Zusätzlich bietet Kaspersky noch das RakhniDecryptor tool for removing Trojan-Ransom.Win32.Rakhni malicious software (.oshit and others).

Trend Micro Anti-Ransomware Tool


Das kostenlose Trend Micro Anti-Ransomware Tool bietet Unterstützung bei Lock-Screen-Ransomware und gegen Crypto-Ransomware. Sie können das Tool auch im abgesicherten Modus von Windows nutzen, auch in der Befehlszeile des abgesicherten Modus. Der Hersteller bietet für beide Angriffsmöglichkeiten umfassende Anleitungen.

Trend Micro bietet ebenfalls ein kostenloses Tool für die Beseitigung von Ransomware.

Bitdefender Crypto-Ransomware Vaccine

BitDefender bietet das kostenlose Tool Crypto-Ransomware Vaccine an. Auch dieses kann zuverlässig Rechner bereinigen und Dateien entschlüsseln. Das Tool ist besonders gegen Crypto-Ransomware hilfreich, also gegen die gefährliche Variante. Das Tool schützt nicht befallene Rechner vor den gefährlichen Angreifern.

Mit Bitdefender Crypto-Ransomware Vaccine schützen Sie Rechner gegen Ransomware

Windows Defender Offline

Microsoft bietet mit Windows Defender Offline ein bootfähiges Windows-System an, das bei der Bereinigung von Ransomware helfen kann.

Microsoft bietet mit Windows Defender Offline ein kostenloses Tool zum Bereinigen von Viren

Über einen Assistenten erstellen Sie entweder eine bootfähige CD, eine ISO-Datei oder einen USB-Stick mit den notwendigen Dateien.

Über einen Assistenten erstellen Sie einen bootfähigen USB-Stick zum Bereinigen eines Rechners.

Nachdem Sie den bootfähigen Datenträger ausgewählt haben, lädt Windows Defender die notwendigen Dateien aus dem Internet und erstellt das bootfähige System.

ESET Decryptor for TeslaCrypt Ransomware

Die Ransomware „TeslaCrypt“ lässt sich derzeit nur schwer bekämpfen. Mit dem kostenlosen Tool von ESET lassen sich TeslaCrypt-verseuchte Rechner bereinigen und die Dateien wieder freigeben. Die Entwickler stellen auch eine Anleitung zur Verfügung.

Mit ESET Decryptor for TeslaCrypt Ransomware lässt sich TeslaCrypt vom Rechner entfernen.

CryptInfinite entfernen

Wer sich einen CryptInfinite-Ransomware-Angreifer eingefangen hat, kann auf das Emisoft-Tool DecryptInfinite Utility zurückgreifen. Das Tool entschlüsselt Dateien, wenn andere Tools nicht mehr helfen können. Andere Angreifer lassen sich mit dem Tool leider nicht bekämpfen.