Die Datenrettung von Ransomware kann schwierig sein, da Ransomware-Angriffe darauf ausgelegt sind, die Zugriffsmöglichkeit auf die betroffenen Daten zu verhindern oder zu beschränken. Ransomware ist eine Art von Malware, die dafür entwickelt wurde, um die Zugriffsmöglichkeit auf bestimmte Daten oder Systeme zu blockieren und den Benutzer aufzufordern, ein Lösegeld zu bezahlen, um die Sperre aufzuheben.
Hilfe / Erste Schritte bei Angriff durch Ransomware
- Unterbrechen Sie die Internetverbindung zum Gerät: Durch das Trennen des Systems von der Internetverbindung können Sie verhindern, dass die Ransomware weitere Schäden anrichtet oder sich ausbreitet.
- Machen Sie eine Sicherungskopie Ihrer Daten: Wenn möglich, sollten Sie eine Sicherungskopie Ihrer Daten erstellen, um sicherzustellen, dass Sie immer noch Zugriff auf Ihre Daten haben, selbst wenn die Ransomware nicht entfernt werden kann.
- Verwenden Sie spezielle Security-Software, sofern die Ransomware bereits bekannt und entschlüsselbar ist. Bei Unklarheiten empfehlen wir sicherheitshalber Rücksprache mit unseren Spezialisten zu halten.
- Wenden Sie sich an einen professionellen Dienstleister: Wenn Sie keinen Erfolg mit den oben genannten Schritten haben oder wenn der Schaden durch die Ransomware zu groß ist, kann es sinnvoll sein, sich an einen professionellen Dienstleister zu wenden, der Erfahrung in der Datenrettung hat. Wir von DATA REVERSE haben spezielle Tools und Techniken, um auch schwerwiegende Schäden durch Ransomware zu beheben.
Es ist wichtig zu beachten, dass die Datenrettung von Ransomware manchmal nicht möglich ist, insbesondere wenn der Schaden zu groß ist oder die Ransomware nicht erfolgreich entfernt werden kann. In solchen Fällen können möglicherweise keine Daten wiederhergestellt werden.
Preise zur Entschlüsselung und Datenrettung
Die Kosten für die Datenrettung von Ransomware können je nach Schwere des Schadens, der Art der Ransomware und den verfügbaren Tools und Fähigkeiten stark variieren. Der Aufwand entsteht je nach Leistung. Unter anderem gehören dazu die Diagnose des Schadens, die Entfernung der Ransomware, die Wiederherstellung der Daten und die Bereitstellung von Beratung und Unterstützung.
Die Kosten für seriöse Ransomware Datenrettungen liegen meist im 4 oder 5-stelligen Bereich und sind vor allem für Unternehmen ohne funktionelles Backup sinnvoll.
Weitere Informationen zu unseren Datenrettungskonditionen finden Sie hier.
Ablauf der Datenrettung bei Ransomware
Häufige Fragen & Antworten
Es ist wichtig zu beachten, dass die Bezahlung von Lösegeld in der Regel nicht empfohlen wird, da es keine Garantie dafür gibt, dass die Ransomware tatsächlich entfernt wird und die Daten wiederhergestellt werden. In vielen Fällen ist es besser, sich an einen professionellen Dienstleister zu wenden oder alternative Methoden der Datenrettung zu versuchen.
Case Study: Daten nach Befall von CrySIS Ransomware erfolgreich entschlüsselt
Betroffenes System: RAID5 auf Fileserver mit 12 Terabyte Daten
Der Windows Server verfügte über ein separates RAID 5 Array, auf dem sämtliche Daten des Verbandes im Netzwerk gespeichert und archiviert wurden. Dabei sorgten vier Seagate Festplatten vom Typ ST4000VN000 für insgesamt 12 Terabyte verfügbaren Datenspeicher. Über Nacht waren plötzlich sämtliche Daten der Netzwerk-Shares verschlüsselt worden und somit nicht mehr verwendbar. Ein nachträglich durchgeführter Antivirentest durch „Malwarebytes Anti-Malware“ konnte keinen Befall von Schadsoftware feststellen. Nach der Feststellung des katastrophalen Zustandes des Dateiservers wandte sich die IT-Abteilung des Sportverbandes an DATA REVERSE.
Express Diagnose: starke Verschlüsselung und logische Beschädigungen
Per Direktkurier wurden noch am selben Tag sämtliche Serverfestplatten in das Zentrallabor nach Leipzig gebracht. Dort erfolgte die Datenträgeranalyse in Quarantäne. Es wurden schwerwiegende Schäden am Dateisystem festgestellt sowie die komplexe Verschlüsselung durch die Ransomware CrySIS. Nachdem die Diagnose des schadhaften verschlüsselten Systems abgeschlossen war, wurde unmittelbar mit der Datenwiederherstellung und Entschlüsselung der Daten begonnen.
Erfolgreiche Datenrettung: Entschlüsselung zweier Trojaner + Logische Rekonstruktion im Dateisystem
Die Kryptografie Spezialisten bei DATA REVERSE übernahmen die Entschlüsselung der Dateien. Bei der aufwändigen Ermittlung des zugrundeliegenden Schlüssels wurde festgestellt, dass es sich nicht nur um eine Verschlüsselung handelte, sondern gleich zwei Trojaner desselben Typs zugeschlagen hatten. Es galt somit zwei Schlüssel herauszufinden. Dazu kamen die bereits in der Diagnose festgestellten logischen Beschädigungen. Diese waren in der Folge des gleichzeitigen Zugriffs verschiedener Ransomware (beide vom Typ CrySIS) entstanden. Ettliche Dateien wurden teilweise überschrieben oder verfügten über Schäden in den Metainformationen. Die Datenwiedeherstellung erfolgte somit in drei Schritten.
- Entschlüsselung der Daten durch den ersten Trojaner
- Entschlüsselung mit zweitem Schlüssel durch Ransomware 2 verschlüsselter Daten
- Rekonstruktion und Reparatur von beschädigten Daten die durch den zeitgleichen Zugriff zweier Ransomware entstanden waren
Fazit: Es konnten alle Daten erfolgreich und vollständig lesbar wiederhergestellt werden. Der Geschäftsbetrieb konnte unmittelbar danach wieder aufgenommen werden.
Johannes Hoffmeister ist schon immer Nerd und begeistert von Technik. Angefangen hat alles im Alter von 8 Jahren in der Freizeitgruppe Elektronik. Das Demontieren und Herausfinden der eingesetzten Technologie war und ist eine der größten Herausforderungen. Im Reverse Engineering des 21. Jahrhunderts angekommen ist ihm kaum ein Datenträger fremd noch dessen Technologie und die jeweils erforderliche Strategie zur Datenrettung.
Niox
