Das Schlimmste ist eingetreten. Ihr Computer wurde von einem Ransomware-Angriff infiziert. Jetzt können Sie nicht mehr auf Ihre Daten zugreifen. Die einzige Möglichkeit, diese Daten „freizuschalten“, ist die Zahlung des Lösegelds, das von dieser Malware gefordert wird.
Zumindest sieht es auf den ersten Blick so aus.
In Wirklichkeit müssen Sie den Cyberkriminellen kein Geld überweisen. Wir alle wissen, wie wichtig Zeit sein kann. Wenn Sie beispielsweise ein Unternehmen führen, müssen Sie so schnell wie möglich auf Ihre Daten zugreifen können, da Sie sonst offline bleiben – und das bedeutet, dass Sie sich von potenziellen Kunden verabschieden müssen.
Die Zahlung des Lösegelds sollte jedoch nur Ihr letzter Ausweg sein. Die Angreifer schalten Ihren Computer oder Ihre Daten oft selbst dann nicht frei, wenn Sie bezahlt haben. Hier erfahren Sie, wie Sie auf einen Ransomware-Angriff richtig reagieren.
Vermeiden Sie die Zahlung des Lösegelds
Sobald die Ransomware auf Ihrem System aktiviert wurde, zeigt sie einen Bildschirm an, auf dem die verschlüsselten Dateien und das geforderte Lösegeld aufgelistet sind. Wird das Lösegeld nicht bezahlt, bleiben die Dateien gesperrt. Um zusätzlichen Druck auszuüben, könnten die Angreifer Ihnen auch mit einer Frist drohen, bevor das Lösegeld erhöht wird oder sie Informationen über den Ransomware-Angriff veröffentlichen.
Lassen Sie sich dadurch nicht zu der voreiligen Entscheidung drängen, das Lösegeld zu bezahlen. Selbst wenn Sie dem Angreifer das Geld senden, gibt es keine Garantie, dass Sie den Zugriff auf Ihre verschlüsselten Daten zurückbekommen.
Bestimmen Sie die Auswirkungen des Angriffs
Wie in Proofpoints Leitfaden zu Ransomware-Angriffen beschrieben, wird empfohlen, zunächst festzustellen, wie stark sich die Malware auf Ihre Systeme ausgewirkt hat. Wenn Sie nur ein einziges System in Ihrem Netz haben, können Sie dies leicht herausfinden. Wenn Sie jedoch ein Unternehmen mit mehreren Systemen betreiben, könnte sich die Ransomware schnell ausbreiten.
Sobald Sie festgestellt haben, welche Systeme betroffen sind, sollten Sie diese vom Rest Ihres Netzwerks isolieren.
Schalten Sie die betroffenen Systeme ab
Nachdem Sie Ihre Systeme isoliert haben, müssen Sie sie so schnell wie möglich abschalten. Es ist kein Geheimnis, dass sich Ransomware schnell über ein Netzwerk verbreiten kann, also geben Sie ihr niemals eine Chance dazu.
Es gibt zwei Möglichkeiten, wie Sie ein betroffenes System abschalten können. Eine Möglichkeit ist, das Gerät einfach auszuschalten. Eine andere Möglichkeit besteht darin, den Netzzugang zum System zu deaktivieren.
Führen Sie eine Systemwiederherstellung durch
Wie Sie das System wiederherstellen, hängt weitgehend von einem Aspekt ab: Ihren Daten-Backups. Wenn Sie über aktuelle Daten-Backups verfügen, kann der durch die Ransomware verursachte Schaden minimal sein. Sie können das System – und die vorhandene Ransomware – einfach löschen und das neueste Backup installieren.
Wenn mehrere Systeme von der Ransomware betroffen sind, ist es wichtig, dass Sie Prioritäten setzen, welche Systeme zuerst wiederhergestellt werden. Natürlich sollten Sie die kritischsten Systeme – d. h. diejenigen, die die meisten Einnahmen bringen und am meisten zur Produktivität beitragen – zuerst wiederherstellen.
Entfernen Sie die Ransomware
Wenn ein komplettes Zurücksetzen auf die Werkseinstellungen keine Option ist oder wenn mehrere Systeme betroffen sind, benötigen Sie die Hilfe von Experten, um die Ransomware zu beseitigen. Der Grund dafür ist, dass die Angreifer möglicherweise Hintertüren verwendet haben, die beseitigt werden müssen, bevor ein System wieder an das Netz angeschlossen werden kann.
Prüfen Sie Ihr Sicherheitssystem
Warum waren Sie überhaupt von einem Ransomware-Angriff betroffen? Warum wurden Ihre Sicherheitsvorkehrungen umgangen? Das sind die Fragen, die Sie beantworten müssen. Darüber hinaus sollten Sie die Situation bewerten und dafür sorgen, dass sich so etwas nicht wiederholt.
Letzten Endes ist es immer wahrscheinlicher, dass jemand, der schon einmal Opfer eines Ransomware-Angriffs war, in Zukunft erneut davon betroffen sein wird. Wird die Schwachstelle jedoch gefunden und entfernt, kann dies verhindern, dass Ihr System in Zukunft erneut von Cyberkriminellen ausgenutzt wird.