Zurück zur Startseite
Zurück zur Startseite

Ransomware-Checkliste

Wie sollen wir vorgehen, wenn die Vermutung besteht, dass das Firmen-Netzwerk von einer Schadsoftware befallen ist, welche sukzessive alle Dateien verschlüsselt?

  • Informieren Sie Ihren IT-Krisenstab, falls im Unternehmen etabliert.

  • Schritt 1: Alle Verbindungen trennen:
    a) Trennen Sie den Computer vom Netzwerk (Stecker ziehen)
    b) Trennen Sie Funkverbindungen (Wlan, Bluetooth, NFC, ...)

  • Schritt 2: Stellen Sie das Ausmaß der Infektion fest, prüfen Sie folgendes:
    a) Netzlaufwerke (mapped oder shared)
    b) Eingebundene Verzeichnisse (mapped oder shared) von anderen Computern
    c) Netzwerkspeicher aller Arten (SAN, NAS, ...)
    d) Externe Festplatten
    e) USB-Speicher jeglicher Art (USB-Sticks, Spicher-Karten, Telefone, Kameras, ...)
    f) Cloud-Speicher (DropBox, Google Drive, OneDrive, ...)

  • Schritt 3: Stellen Sie die Art der Ransomware fest
    a) Um welchen Typ handelt es sich? Beispielsweise Cryptolocker, Teslacrypt, ...

  • Schritt 4: Legen Sie die geeignete Handlung fest:
    In Abhängigkeit der Art der Ransomware können unterschiedliche Handlungen vorgenommen werden.

    Lösung 1: Stellen Sie die Datensicherung wieder her
    1) Suchen Sie ihre Backups
    a) Stellen Sie sicher, dass alle benötigten Dateien vorhanden sind
    b) Stellen Sie sicher, dass das Backup funktional ist (bspw. Medium nicht lesbar, beschädigte Dateien, ...)
    c) Suchen Sie nach versteckten Kopien (nicht mehr bei neueren Ransomware-Arten)
    d) Prüfen Sie führere Versionen in Cloud-Speichern
    2) Entfernen Sie die Ransomware von ihrem infizierten System
    3) Stellen Sie die Dateien aus dem Backup wieder her
    4) Stellen Sie das Ausmaß der Infektion sicher und handeln Sie entsprechend

    Lösung 2: Versuchen Sie eine Entschlüsselung
    1) Stellen Sie fest um welchen Ableger einer Ransomware es sicht handelt
    2) Suchen Sie einen Decryptor für ihre Variante, für neuere kann es u.U. noch keinen geben (bspw. https://bitbucket.org/jadacyrus/ransomwareremovalkit/overview).
    Lassen Sie sich nicht von gefälschten und unseriösen Seiten verleiten unbekannte Software zu installieren. Falls Sie einen gefunden haben:
    3) Verbinden Sie alle Speicher (Festplatten, USB-Sticks, Netzlaufwerke, ...) welche infiziert sind
    4) Entschlüsseln Sie die Dateien
    5) Stellen Sie das Ausmaß der Infektion sicher und handeln Sie entsprechend

    Lösung 3: Nichts tun (und Dateien verlieren)
    1) Entfernen Sie die Ransomware
    2) Sichern Sie die verschlüsselten Dateien um sie ggf. in Zukunft zu entschlüsseln (optional).

  • Schritt 5: Schützen Sie sich in Zukunft
    a) Sichern Sie ihr System so ab, dass eine Infektion nicht mehr stattfindet.

Säuberungsprogramme für unterschiedliche Arten von Ransomware gibt es, unter anderem, hier:

Ansprechpartner

Peter Wilfahrt

Peter Wilfahrt


Bereich Innovation.Unternehmensförderung
Leiter Referat IT-Sicherheit
Kreisgeschäftsführer Wirtschaftsjunioren Bayreuth