Schalten Sie die betroffenen Geräte sofort aus. Am besten durch das Trennen der Stromverbindung. Ein angefanger Verschlüsselungsvorgang kann hierdurch gestoppt werden. Hierdurch trennen Sie das betroffene System (PC/Server etc.) physikalisch vom Netzwerk um eine weitere Verbreitung auf andere Systeme zu vermeiden. Sollte es aus bestimmten Gründen nicht möglich sein, dass Gerät auszuschalten, so ziehen Sie umgehend alle Netzwerkkabel von dem Gerät ab. Sind Sie per WLAN mit Ihrem Netzwerk verbunden, sollten Sie Ihren WLAN-Router ausschalten. Ein ziehen des Netzsteckers reicht in der Regel aus. Haben Sie Backup-Systeme wie z.B. eine NAS oder andere Speichermedien, so trennen Sie auch diese umgehend vom Netzwerk oder von dem betroffenen System, um eine vorhandene Datensicherung nicht weiter zu gefährden.
Nun sollten Sie einen Experten zu Rate ziehen. Es empfiehlt sich, ein 1:1-Image des betroffenen Datenträgers als auch der (wenn vorhandenen) Sicherung zu erstellen. Erst dann sollte mit weiteren Analysen begonnen werden. So ist sichergestellt, dass der Datenbestand zum Zeitpunkt des Ausschaltens erhalten bleibt und auch nachträglich noch einmal betrachtet werden kann.
Prüfen Sie Ihre Datensicherung. Haben Sie noch eine Datensicherung, sollte mit Ihrem IT-Dienstleister das weitere Vorgehen besprochen werden. Eine allgemeingültige Vorgehensweise gibt es in dieser Situation nicht, da dies von vielen Faktoren wie z.B. der Art des Backups, des Aufbau des Netzwerkes wie auch der Anzahl der (betroffenen) Systemen und Art des Trojaners abhängig ist. Können die Daten aus der Datensicherung wiederhergestellt werden, kann das größte Übel meist abgewendet werden.
Aufgrund von Programmierfehlern konnten bereits diverse Verschlüsselungen umgangen werden und es ist unter Umständen möglich, die Daten auch ohne Zahlung des Lösegelds (Ransom) wieder lesbar zu machen. Die meisten Trojaner verschlüsseln Ihre Daten mit Datei-Endungen wie z.B. ".zzz" ".crypt". Anhand dieser Endungen kann eine grobe Klassifizierung der Schadsoftware erfolgen, welche für das weitere Vorgehen von entscheidender Bedeutung sein kann. Eine falsche Klassifizierung und der Einsatz der falschen Entschlüsselungs-Software kann die Daten ansonsten unwiederbringlich zerstören. Antiviren-Hersteller und Sicherheitsexperten konnten mittlerweile eine Vielzahl an Kryptotrojanern analysieren und aufgrund von Programmierfehlern die Verschlüsselung brechen. Als nächstes sollte der Ursprung der Infektion lokalisiert und der Hergang rekonstruiert werden.
Als erster deutscher, auf Ransomware spezialisierter Anbieter für Datenrettung und Wiederherstellung, bearbeiten wir jedes Jahr unzählige Fälle. Von diesem Wissen und unseren langjährigen Erfahrungen profitieren unsere Kunden.
Für die gesamte Abwicklung Ihres Falls erhalten Sie einen persönlichen Ansprechpartner der Sie durch den gesamten Prozess der Wiederherstellung Ihrer Daten führt.
Krypto-Trojaner.de ist eine Marke der ProNet Systems - Einem erfahrenen Systemhaus aus dem Sauerland. Wir betreuen hunderte mittelständische Unternehmen in ganz Europa.
Durch unseren 24/7 Service stehen wir Ihnen Rund um die Uhr zur verfügung. Erst recht dann, wenn es besonders schnell gehen muss.
Wir wurden kurz vor Weihnachten Opfer einer Ransomware die mehrere unserer virtualisierten Server verschlüsselte. Durch die Hilfe der ProNet Systems konnten wir auch ohne Zahlung des Lösegeld die Daten vollständig wiederherstellen. Vielen Dank noch einmal für den tollen Service, auch während der Feiertage.
Stephan M.
Automobilindustrie