Erpressungstrojaner bzw. Verschlüsselungstrojaner befallen Computer und Smartphones und verschlüsseln dabei sämtliche Dateien. Sie verbreiten sich zudem auf externe Festplatten sowie weitere Geräte im Netzwerk und zielen auch auf mögliche Backups. Eine Entschlüsselung der Daten ist nur mit einem speziellen Programm möglich, welches Sie nach Zahlung eines Lösegelds an die Cyberkriminellen erhalten.
Ruhe bewahren
Ein Erpressungstrojaner verschlüsselt nach und nach sämtliche Dateien auf Ihrem Computer. Sollten Sie bemerken, dass so ein Prozess startet, trennen Sie umgehend die Netzwerk/WLAN-Verbindung und entfernen Sie externe Festplatten oder USB-Sticks. So können Sie unter Umständen noch verhindern, dass sich die Schadsoftware auf andere Geräte weiterverteilt.
Manche Erpressungstrojaner drohen auch damit, bei Nichtzahlung Ihre persönlichen Daten wie Fotos oder Videos nach Ablauf einer Frist im Internet zu veröffentlichen. Bisher ist allerdings kein Fall bekannt geworden, wo Daten tatsächlich veröffentlicht wurden.
Andere Erpressungstrojaner geben wiederum vor, dass es sich um eine Polizei-oder BKA Maßnahme handelt, da angeblich bei Ihnen illegale Inhalte wie z.B. kinderpornographisches Material gefunden wurde. Auch dieses trifft nicht zu. Die Meldungen und Botschaften der Cyberkriminellen dienen bloß dazu, dass Sie ein Lösegeld bezahlen.
Bezahlen Sie niemals Lösegeld!
Bezahlen Sie unter keinen Umständen Lösegeld an Cyberkriminelle. Dies ist eine generelle Handlungsempfehlung der Strafverfolgungsbehörden wie des BKA, aber auch von sämtlichen IT-Sicherheitsexperten.
Unternehmen und Privatpersonen sollten sich bei einem erfolgreichen Angriff mit einem Erpressungstrojaner an die Polizei wenden, da hier eine Straftat nach §253 StGB vorliegt.
Sollten Sie als Unternehmen erpresst werden:
Landeskriminalamt NRW
Das Cybercrime-Kompetenzzentrum beim Landeskriminalamt NRW ist rund um die Uhr erreichbar:
Zentrale Ansprechstelle Cybercrime / Single Point of Contact
E-Mail: cybercrime.lka@polizei.nrw.de
Telefon: +49 211 939-4040
Staatsanwaltschaft Köln:
Die ZAC NRW, die Oberstaatsanwalt Markus Hartmann leitet, ermittelt auch selbst und nimmt innerhalb der Justiz in Nordrhein-Westfalen einige spezielle Funktionen wahr
Email: zac@sta-koeln.nrw.de
Telefon: +49 221 477 4922 (24/7-Hotline für Unternehmen und kritische Infrastrukturen).
Sollten Sie als Privatperson erpresst werden:
Zuständige Fachkommissariate für Köln:
Computerkriminalität: Kriminalkommissariat 35, Telefon + 49 221 229 8355
Allgemeiner Computerbetrug: Kriminalkommissariat 33, Telefon +49 221 229 8335
Computerkriminalität Prävention: Kriminalkommissariat Prävention/Opferschutz, Telefon +49 221 229 8655,
E-Mail: poststelle.koeln@polizei.nrw.de
Die Dienststellen sind wochentäglich in der Zeit von 07:30 Uhr – 16:00 Uhr erreichbar.
Alternativ können Sie auch eine Online-Strafanzeige bei der Polizei stellen.
Nehmen Sie niemals direkt und ohne die Abstimmung mit dem LKA Kontakt mit den Erpressern auf.
Schaden ermitteln
Prüfen Sie auch Ihr gesamtes Netzwerk auf weitere Infektionen auf anderen Geräten oder Systemen, ggf. mit Hilfe von externen Experten.
Nehmen Sie zunächst keine eigenständigen Versuche zur Entfernung der Schadsoftware vor. Nur so ist es möglich, dass die Polizei Beweise sichern und Ermittlungen einleiten kann.
Die Experten der Polizei werden Ihnen weitere Handlungsempfehlungen geben.
Generell sollten Sie bei einem größeren Befall in Ihrem Unternehmen zusätzlich externe Experten mit einbeziehen.
Erpressungstrojaner entfernen
Es gibt inzwischen einige Erpessungstrojaner, bei denen es IT-Sicherheitsexperten gelungen ist, einen Decryptor zur Entschlüsselung der Daten bereitzustellen, bei anderen jedoch nicht.
Ob es für eine bestimmte Variante eines Erpressungstrojaner einen Decryptor gibt, zeigt Ihnen die Ransomware-Galerie auf Botfrei.de. Dort sind auch die Anleitungen hinterlegt, wie sich ggf. der Erpressungstrojaner entfernen lässt.
Eine weitere Variante zur Systemwiederherstellung ist das Einspielen der letzten Datensicherung – sofern diese nicht mit verschlüsselt wurde.
Entfernung nicht möglich
Viele Varianten von Erpressungstrojanern setzen inzwischen auf komplexe Verschlüsselungen und gelten oft als „unknackbar“. Es kommt jedoch immer wieder vor, dass es nach einer gewissen Zeit dennoch jemanden gelingt, einen Decryptor zu entwickeln. Dies kann auch mehrere Monate oder Jahre dauern.
Nutzern bleibt deshalb oft nur die Möglichkeit, das System neu aufzusetzen oder ein Backup einzuspielen.
Es empfiehlt sich trotzdem, die verschlüsselten Daten vor einer Neuinstallation abzuspeichern und zu sichern. Wenn zu einem späteren Zeitpunkt ein Decryptor bereitgestellt wird, lassen sich die Daten dann auch wieder entschlüsseln.
Schadenursache ermitteln
Insbesondere Unternehmen sollten nach einem Befall mit Ransomware die Ursache ermitteln, interne Prozesse und Sicherheitseinstellungen prüfen und mögliche Schwachstellen beseitigen.
Unternehmen sollten zudem die Schulung und Sensibilisierung ihrer Mitarbeiter im Bereich der IT-Sicherheit nicht vernachlässigen.
Cyberkriminelle suchen sich oft gezielt das schwächste Glied in einem Unternehmen, deshalb betrifft das Thema jeden Ihrer Mitarbeiter.
Weiterführende Links
Botfrei.de: Themenportal Ransomware
Botfrei-Forum: Kostenfreies Support-Forum für die schnelle und individuelle Hilfe durch die Botfrei-Community
BSI für Bürger: Information des BSI zu Ramsomware
Heise.de: Themenportal Ransomware bei Heise
ID Ransomware: Alternative zur Ransomware-Galerie von Botfrei
nomoreransom.org: Hilfe-Seite von Europol und intl. AV-Unternehmen