Ein Erpressungstrojaner verschlüsselt nach und nach sämtliche Dateien auf Ihrem Computer. Sollten Sie bemerken, dass so ein Prozess startet, trennen Sie umgehend die Netzwerk/WLAN-Verbindung und entfernen Sie externe Festplatten oder USB-Sticks. So können Sie unter Umständen noch verhindern, dass sich die Schadsoftware auf andere Geräte weiterverteilt.

Manche Erpressungstrojaner drohen auch damit, bei Nichtzahlung Ihre persönlichen Daten wie Fotos oder Videos nach Ablauf einer Frist im Internet zu veröffentlichen. Bisher ist allerdings kein Fall bekannt geworden, wo Daten tatsächlich veröffentlicht wurden.

Andere Erpressungstrojaner geben wiederum vor, dass es sich um eine Polizei-oder BKA Maßnahme handelt, da angeblich bei Ihnen illegale Inhalte wie z.B. kinderpornographisches Material gefunden wurde. Auch dieses trifft nicht zu. Die Meldungen und Botschaften der Cyberkriminellen dienen bloß dazu, dass Sie ein Lösegeld bezahlen.

Bezahlen Sie unter keinen Umständen Lösegeld an Cyberkriminelle. Dies ist eine generelle Handlungsempfehlung der Strafverfolgungsbehörden wie des BKA, aber auch von sämtlichen IT-Sicherheitsexperten.

Unternehmen sollten bei einem Befall mit einem Erpressungstrojaner sich stets an die Polizei wenden, da hier eine Straftat nach §253 StGB vorliegt.

Das Cybercrime-Kompetenzzentrum beim Landeskriminalamt NRW ist rund um die Uhr erreichbar:
Zentrale Ansprechstelle Cybercrime / Single Point of Contact
E-Mail: cybercrime.lka@polizei.nrw.de
Telefon: +49 211 939-4040

Nehmen Sie auch niemals direkt und ohne die Abstimmung mit dem LKA Kontakt mit den Erpressern auf.

Prüfen Sie auch Ihr gesamtes Netzwerk auf weitere Infektionen auf anderen Geräten oder Systemen, ggf. mit Hilfe von externen Experten.

Nehmen Sie zunächst keine eigenständigen Versuche zur Entfernung der Schadsoftware vor. Nur so ist es möglich, dass die Polizei Beweise sichern und Ermittlungen einleiten kann.

Die Experten der Polizei werden Ihnen weitere Handlungsempfehlungen geben.

Generell sollten Sie bei einem größeren Befall in Ihrem Unternehmen zusätzlich externe Experten mit einbeziehen.

Es gibt inzwischen einige Erpessungstrojaner, bei denen es IT-Sicherheitsexperten gelungen ist, einen Decryptor zur Entschlüsselung der Daten bereitzustellen, bei anderen jedoch nicht.

Ob es für eine bestimmte Variante eines Erpressungstrojaner einen Decryptor gibt, zeigt Ihnen die Ransomware-Galerie auf Botfrei.de. Dort sind auch die Anleitungen hinterlegt, wie sich ggf. der Erpressungstrojaner entfernen lässt.

Eine weitere Variante zur Systemwiederherstellung ist das Einspielen der letzten Datensicherung - sofern diese nicht mit verschlüsselt wurde.

Viele Varianten von Erpressungstrojanern setzen inzwischen auf komplexe Verschlüsselungen und gelten oft als "unknackbar". Es kommt jedoch immer wieder vor, dass es nach einer gewissen Zeit dennoch jemanden gelingt, einen Decryptor zu entwickeln. Dies kann auch mehrere Monate oder Jahre dauern.

Nutzern bleibt deshalb oft nur die Möglichkeit, das System neu aufzusetzen oder ein Backup einzuspielen.
Es empfiehlt sich trotzdem, die verschlüsselten Daten vor einer Neuinstallation abzuspeichern und zu sichern. Wenn zu einem späteren Zeitpunkt ein Decryptor bereitgestellt wird, lassen sich die Daten dann auch wieder entschlüsseln.

Insbesondere Unternehmen sollten nach einem Befall mit Ransomware die Ursache ermitteln, interne Prozesse und Sicherheitseinstellungen prüfen und mögliche Schwachstellen beseitigen.

Unternehmen sollten zudem die Schulung und Sensibilisierung ihrer Mitarbeiter im Bereich der IT-Sicherheit nicht vernachlässigen.

Cyberkriminelle suchen sich oft gezielt das schwächste Glied in einem Unternehmen, deshalb betrifft das Thema jeden Ihrer Mitarbeiter.

Botfrei.de: Themenportal Ransomware
Botfrei-Forum: Kostenfreies Support-Forum für die schnelle und individuelle Hilfe durch die Botfrei-Community
BSI für Bürger: Information des BSI zu Ramsomware
Heise.de: Themenportal Ransomware bei Heise
ID Ransomware: Alternative zur Ransomware-Galerie von Botfrei
nomoreransom.org: Hilfe-Seite von Europol und intl. AV-Unternehmen