Die Datenrettung von Ransomware kann schwierig sein, da Ransomware-Angriffe darauf ausgelegt sind, die Zugriffsmöglichkeit auf die betroffenen Daten zu verhindern oder zu beschränken. Ransomware ist eine Art von Malware, die dafür entwickelt wurde, um die Zugriffsmöglichkeit auf bestimmte Daten oder Systeme zu blockieren und den Benutzer aufzufordern, ein Lösegeld zu bezahlen, um die Sperre aufzuheben.
Maßnahmen bei einem Ransomware-Angriff
- Internetverbindung trennen: Trennen Sie das System vom Internet, um die Ausbreitung der Ransomware zu stoppen.
- Sicherungskopie erstellen: Sichern Sie Ihre Daten, um Zugriff zu behalten, falls die Ransomware nicht entfernt werden kann.
- Security-Software nutzen: Verwenden Sie bekannte Entschlüsselungssoftware und konsultieren Sie bei Unklarheiten unsere Spezialisten.
- Professionelle Hilfe: Wenn die oben genannten Schritte nicht erfolgreich sind oder das Risiko zu hoch ist, wenden Sie sich an DATA REVERSE® Kundenberater.
Es ist wichtig zu beachten, dass die Datenentschlüsselung bei Ransomware-Befall manchmal nicht möglich ist, insbesondere wenn der Schaden zu groß ist oder die Ransomware nicht erfolgreich entfernt werden kann. In solchen Fällen können möglicherweise keine Daten wiederhergestellt werden.
10 Tipps für den Notfall – Was ist zu tun bei einem Ransomware-Befall?
Neben unseren Erste Hilfemaßnahmen haben wir noch eine Checkliste für die 10 wichtigsten Punkte bei einem Datenvorfall durch Ransomware Angreifer zusammengestellt.
Preise zur Entschlüsselung und Datenrettung
Die Kosten für die Datenrettung von Ransomware können je nach Schwere des Schadens, der Art der Ransomware und den verfügbaren Tools und Fähigkeiten stark variieren. Der Aufwand entsteht je nach Leistung. Unter anderem gehören dazu die Diagnose des Schadens, die Entfernung der Ransomware, die Wiederherstellung der Daten und die Bereitstellung von Beratung und Unterstützung.
Die Kosten für seriöse Ransomware Datenrettungen liegen meist im 4 oder 5-stelligen Bereich und sind vor allem für Unternehmen ohne funktionelles Backup sinnvoll.
Weitere Informationen zu unseren Datenrettungskonditionen finden Sie hier.
Ablauf der Datenrettung bei Ransomware
Häufige Fragen & Antworten
Es ist wichtig zu beachten, dass die Bezahlung von Lösegeld in der Regel nicht empfohlen wird, da es keine Garantie dafür gibt, dass die Ransomware tatsächlich entfernt wird und die Daten wiederhergestellt werden. In vielen Fällen ist es besser, sich an einen professionellen Dienstleister zu wenden oder alternative Methoden der Datenrettung zu versuchen.
Ransomware ist eine Art von Malware, die den Zugriff auf die Daten eines Nutzers oder die Funktionen eines Systems sperrt, bis ein Lösegeld (Ransom) gezahlt wird. Angreifer verschlüsseln die Dateien des Opfers und verlangen eine Zahlung, meist in Kryptowährung, für den Entschlüsselungsschlüssel. Ransomware verbreitet sich oft durch Phishing-E-Mails, infizierte Software-Downloads oder Ausnutzung von Netzwerkschwachstellen.
Zuerst sollten Sie Ihren Computer sofort vom Netzwerk trennen, um die Ausbreitung der Infektion zu stoppen. Informieren Sie dann Ihren IT-Sicherheitsberater oder das IT-Support-Team. Führen Sie keine Zahlungen durch, da dies keine Garantie für die Wiederherstellung Ihrer Daten bietet und zukünftige Angriffe fördern kann. Stattdessen sollten Sie eine Bewertung der Situation vornehmen und prüfen, ob Backups Ihrer Daten verfügbar sind, die nicht betroffen sind.
Die Datenwiederherstellung hängt von der Verfügbarkeit und Integrität von Backups ab. Wenn Sie regelmäßige Backups haben, die sicher und getrennt von Ihrem Netzwerk gespeichert wurden, können Sie diese verwenden, um Ihre Dateien wiederherzustellen, nachdem Sie das betroffene System vollständig gereinigt haben. In einigen Fällen können Entschlüsselungstools verfügbar sein, die spezifisch für die Ransomware-Variante entwickelt wurden, die Ihre Daten verschlüsselt hat. Außerdem besteht natürlich die Möglichkeiten des Reverse Engineering und des Auffindens von Schwachstellen der Ransomware durch DATA REVERSE®. Wenden Sie sich für spezialisierte Hilfe bitte an unseren Kundendienst.
Schützen Sie sich vor Ransomware durch regelmäßige Software-Updates, starke und einzigartige Passwörter, Vorsicht bei unbekannten E-Mails oder Anhängen und umfassende Sicherheitslösungen wie Antivirus- und Anti-Malware-Software. Wichtig ist auch die regelmäßige Erstellung von Backups, die getrennt von Ihrem Netzwerk aufbewahrt werden. Schulen Sie Ihre Mitarbeiter im Umgang mit Phishing-Angriffen und halten Sie Ihre Sicherheitsprotokolle auf dem neuesten Stand.
Ein effektiver IT-Notfallplan für Ransomware sollte Verfahren zur sofortigen Isolation betroffener Systeme, Kommunikationsrichtlinien für die Benachrichtigung des Sicherheitsteams und relevanter Behörden, Schritte zur Bewertung und Eindämmung des Schadens sowie einen detaillierten Wiederherstellungsplan enthalten. Er sollte auch regelmäßige Schulungen für Mitarbeiter, Simulationen von Ransomware-Angriffen und Überprüfungen der Backup- und Wiederherstellungsverfahren umfassen.
Case Study: Daten nach Befall von CrySIS Ransomware erfolgreich entschlüsselt
Betroffenes System: RAID5 auf Fileserver mit 12 Terabyte Daten
Der Windows Server verfügte über ein separates RAID 5 Array, auf dem sämtliche Daten des Verbandes im Netzwerk gespeichert und archiviert wurden. Dabei sorgten vier Seagate Festplatten vom Typ ST4000VN000 für insgesamt 12 Terabyte verfügbaren Datenspeicher. Über Nacht waren plötzlich sämtliche Daten der Netzwerk-Shares verschlüsselt worden und somit nicht mehr verwendbar. Ein nachträglich durchgeführter Antivirentest durch „Malwarebytes Anti-Malware“ konnte keinen Befall von Schadsoftware feststellen. Nach der Feststellung des katastrophalen Zustandes des Dateiservers wandte sich die IT-Abteilung des Sportverbandes an DATA REVERSE.
Case Study: Daten nach Befall von CrySIS Ransomware erfolgreich entschlüsselt
Betroffenes System: RAID5 auf Fileserver mit 12 Terabyte Daten
Der Windows Server verfügte über ein separates RAID 5 Array, auf dem sämtliche Daten des Verbandes im Netzwerk gespeichert und archiviert wurden. Dabei sorgten vier Seagate Festplatten vom Typ ST4000VN000 für insgesamt 12 Terabyte verfügbaren Datenspeicher. Über Nacht waren plötzlich sämtliche Daten der Netzwerk-Shares verschlüsselt worden und somit nicht mehr verwendbar. Ein nachträglich durchgeführter Antivirentest durch „Malwarebytes Anti-Malware“ konnte keinen Befall von Schadsoftware feststellen. Nach der Feststellung des katastrophalen Zustandes des Dateiservers wandte sich die IT-Abteilung des Sportverbandes an DATA REVERSE.
Express Diagnose: starke Verschlüsselung und logische Beschädigungen
Per Direktkurier wurden noch am selben Tag sämtliche Serverfestplatten in das Zentrallabor nach Leipzig gebracht. Dort erfolgte die Datenträgeranalyse in Quarantäne. Es wurden schwerwiegende Schäden am Dateisystem festgestellt sowie die komplexe Verschlüsselung durch die Ransomware CrySIS. Nachdem die Diagnose des schadhaften verschlüsselten Systems abgeschlossen war, wurde unmittelbar mit der Datenwiederherstellung und Entschlüsselung der Daten begonnen.
Erfolgreiche Datenrettung: Entschlüsselung zweier Trojaner + Logische Rekonstruktion im Dateisystem
Die Kryptografie Spezialisten bei DATA REVERSE übernahmen die Entschlüsselung der Dateien. Bei der aufwändigen Ermittlung des zugrundeliegenden Schlüssels wurde festgestellt, dass es sich nicht nur um eine Verschlüsselung handelte, sondern gleich zwei Trojaner desselben Typs zugeschlagen hatten. Es galt somit zwei Schlüssel herauszufinden. Dazu kamen die bereits in der Diagnose festgestellten logischen Beschädigungen. Diese waren in der Folge des gleichzeitigen Zugriffs verschiedener Ransomware (beide vom Typ CrySIS) entstanden. Ettliche Dateien wurden teilweise überschrieben oder verfügten über Schäden in den Metainformationen. Die Datenwiedeherstellung erfolgte somit in drei Schritten.
- Entschlüsselung der Daten durch den ersten Trojaner
- Entschlüsselung mit zweitem Schlüssel durch Ransomware 2 verschlüsselter Daten
- Rekonstruktion und Reparatur von beschädigten Daten die durch den zeitgleichen Zugriff zweier Ransomware entstanden waren
Fazit: Es konnten alle Daten erfolgreich und vollständig lesbar wiederhergestellt werden. Der Geschäftsbetrieb konnte unmittelbar danach wieder aufgenommen werden.