Zum Hauptinhalt springen
Save My Disk
security-ransomwareTOFU

Meine Dateien sind durch Ransomware verschlüsselt: was JETZT zu tun ist

Dateien durch Ransomware verschlüsselt? Echter Notfall-Leitfaden: Rechner isolieren, die Variante kostenlos identifizieren, retten was möglich ist ohne zu zahlen, und wann EaseUS wirklich hilft.

Von Eric Gerard · Éditeur · Save My Disk6 Min. LesezeitPhoto via Unsplash

Sie öffnen Ihren PC und sehen die Nachricht: Ihre Dateien wurden verschlüsselt. Die Erweiterungen Ihrer Dokumente haben sich in etwas Unkenntliches verwandelt — .locked, .crypt, .blackcat, egal welche. Das Antivirenprogramm schweigt oder ist deaktiviert. Eine Bitcoin-Adresse steht auf dem Bildschirm.

Der Instinkt ist, in Panik zu geraten und dann herauszufinden, wie man zahlt. Genau darauf setzen die Angreifer.

Hier die Wahrheit: Zuerst zu zahlen ist fast nie die richtige Entscheidung. Es gibt Schritte, die davor zu gehen sind — und einige davon können einen erheblichen Teil Ihrer Daten kostenlos retten. Dieser Leitfaden kommt zur Sache.

NOCH NICHT ZAHLEN — hier ist warum und was zuerst zu tun ist

Das Lösegeld zu zahlen, ist keine Garantie, dass Sie Ihre Dateien zurückbekommen. Manche Opfer erhalten ein defektes Entschlüsselungstool. Andere erhalten gar nichts. Und wer einmal zahlt, wird zum bevorzugten Ziel — kriminelle Gruppen tauschen diese Listen aktiv aus.

Die Behörden — das FBI, die CISA, Europol und das britische NCSC — raten alle vom Zahlen ab, zumindest bis Sie:

  1. Geprüft haben, ob für Ihre Variante ein kostenloser Entschlüsseler existiert
  2. Den Zustand Ihrer Backups bewertet haben
  3. Versucht haben zu retten, was sich retten lässt

Das ist kein Optimismus. Es ist Methode.

Schritt 1 — Den Rechner isolieren (tun Sie das jetzt, bevor Sie weiterlesen)

Ein aufgeklappter Laptop auf einem Schreibtisch
Ein aufgeklappter Laptop auf einem Schreibtisch

Bevor irgendetwas anderes, falls noch nicht geschehen:

  • Ziehen Sie das Ethernet-Kabel
  • Aktivieren Sie den Flugmodus (oder deaktivieren Sie WLAN manuell)
  • Entfernen Sie alle externen Laufwerke, USB-Sticks, SD-Karten
  • Sind Sie in einem gemeinsamen Netzwerk (NAS, Windows-Freigaben): warnen Sie andere Nutzer sofort

Moderne Ransomware — LockBit, BlackCat/ALPHV, Conti, Akira — verschlüsselt in Kaskaden: zuerst lokale Dateien, dann Netzwerkfreigaben, dann verbundene Backups. Jede Sekunde, die der Rechner online bleibt, vergrößert den Schaden.

Nicht neu starten. Kein erzwungenes Herunterfahren. Der RAM kann den Verschlüsselungsschlüssel enthalten, der in seltenen, aber realen Fällen von forensischen Tools nutzbar ist. Und ein Neustart auf einem noch aktiven System kann einen zweiten Verschlüsselungsdurchlauf für Dateien auslösen, die seit dem ersten Lauf erstellt wurden.

Schritt 2 — Die Variante identifizieren (5 Minuten, kostenlos)

Die Ransomware zu identifizieren, ist der Schritt, den die meisten überspringen — und der, der alles verändert.

Gehen Sie auf einem sauberen Gerät (Smartphone, zweiter PC) zu id-ransomware.malwarehunterteam.com. Laden Sie hoch:

  • Die von den Angreifern hinterlassene README- oder HOW_TO_DECRYPT-Datei
  • Eine verschlüsselte Datei (irgendeine)

Die Datenbank erkennt über 1.300 Varianten innerhalb von Sekunden. Sie identifiziert die Ransomware-Familie und — entscheidend — sagt Ihnen, ob ein kostenloser offizieller Entschlüsseler existiert.

Prüfen Sie dann nomoreransom.org — das offizielle Portal, gemeinsam betrieben von Europol, der niederländischen Nationalpolizei, Kaspersky und McAfee. Über 160 kostenlose Entschlüsselungstools decken etwa 200 Familien ab. Große Varianten wie STOP/Djvu (Offline-Schlüssel), GandCrab, Shade, Avaddon, einige REvil-Varianten und Babuk-Schlüssel, die nach Server-Beschlagnahmungen geleakt wurden, sind alle kostenlos entschlüsselbar.

Für einen tieferen Einblick in diesen Schritt führt Sie unser vollständiger Leitfaden zur Identifizierung mit ID Ransomware durch das Lesen der Ergebnisse und was bei jedem Varianten-Ergebnis zu tun ist.

Schritt 3 — Retten, was sich retten lässt

Existiert für Ihre Variante kein Entschlüsseler, gibt es vor der Erwägung einer Zahlung oder der Hinnahme des Verlusts dennoch konkrete Optionen.

Vorgängerversionen und Windows-Schattenkopien

Windows pflegt stille Momentaufnahmen, die Volume-Schattenkopien (VSS) genannt werden. Moderne Ransomware versucht, sie automatisch mit vssadmin delete shadows /all zu löschen — aber dieser Befehl schlägt manchmal teilweise fehl, besonders auf sekundären Volumes oder kürzlich verbundenen Laufwerken.

Zum Prüfen: Rechtsklick auf einen betroffenen Ordner > Eigenschaften > Registerkarte Vorgängerversionen. Erscheinen Versionen, stammen sie aus der Zeit vor der Verschlüsselung.

Unverschlüsselte Originale im freien Speicherplatz

Hier der Mechanismus, den die meisten nicht kennen: Ransomware verschlüsselt jede Datei typischerweise, indem sie eine verschlüsselte Kopie erstellt und dann das Original löscht. Aber das Löschen auf einem mechanischen oder SSD-Laufwerk zerstört die Daten nicht sofort — es markiert den Platz nur als verfügbar. Solange an diesen Ort noch nichts geschrieben wurde, sind die Originale rettbar.

Genau hier hilft Datenrettungssoftware legitim. Unser Vergleich von Datenrettungssoftware behandelt die für Post-Ransomware-Szenarien am besten geeigneten Tools — speziell jene mit Tiefenscan-Modi, die Originale im freien Speicherplatz auf NTFS-Volumes erreichen.

Temporäre Anwendungsdateien

Office (Word, Excel) und Photoshop erstellen beim Bearbeiten Temp-Dateien (.tmp, .psb, .asd). Diese werden von Ransomware häufig übersehen, weil ihre Erweiterungen nicht zu den primären Verschlüsselungszielen passen. Ein Tiefenscan kann sie finden.

Wie man EaseUS verwendet

Schließen Sie das infizierte Laufwerk schreibgeschützt an einen sauberen PC an (über USB, ohne dass Windows es im Lese-Schreib-Modus einbindet). Starten Sie EaseUS Data Recovery Wizard, wählen Sie das Laufwerk aus und führen Sie einen Tiefenscan durch. Das Tool sucht nach gelöschten Originalen im freien Speicherplatz, teilweisen Schattenkopien und intakten Temp-Dateien.

Sehen Sie die Ergebnisse vor dem Kauf in der Vorschau an. Erscheinen Ihre wichtigen Dateien in der Liste, ist eine Rettung realistisch. Wurde auf das Laufwerk seit dem Angriff erheblich geschrieben (mehrere Neustarts, neue Installationen), sinken die Chancen.

Redaktionelle Empfehlung
4.5 / 5

Mein Laufwerk mit EaseUS Data Recovery Wizard scannen

Gegründet 200430 Tage GarantieKostenlose 2-GB-Version
Das Angebot ansehen

Cloud-Backups mit Versionierung

Wenn Sie zum Zeitpunkt des Angriffs OneDrive, Google Drive, Backblaze oder iDrive nutzten, prüfen Sie Ihren Versionsverlauf. Diese Dienste behalten je nach Tarif typischerweise 30 bis 365 Tage frühere Versionen. Die verschlüsselten Dateien wurden synchronisiert, aber die vorherigen unverschlüsselten Versionen sind über die Weboberfläche zugänglich.

FAQ

Soll ich das Lösegeld zahlen?

Nein — nicht als ersten Schritt. Das FBI, die CISA, Europol und das NCSC raten alle davon ab. Zahlen ist keine Garantie für eine Wiederherstellung — manche, die zahlen, bekommen ein defektes Tool oder nichts zurück. Eine Zahlung finanziert künftige Angriffe und signalisiert Sie als verlässlichen Zahler. Arbeiten Sie zuerst die kostenlosen Rettungsoptionen oben ab.

Wie verhindere ich den nächsten Ransomware-Angriff?

Wirksamer Schutz beruht auf drei Säulen. Regelmäßige getrennte Backups nach der 3-2-1-Regel — eine nach jedem Backup getrennte externe Festplatte ist gegen jede Ransomware immun. Schnell eingespielte Updates — viele Ransomware-Angriffe nutzen Schwachstellen aus, für die bereits ein Patch verfügbar war. Vorsicht bei E-Mails — Office-Anhänge mit Makros und gefälschte Paketverfolgungs-Links bleiben die dominanten Einfallstore. Unsere Anleitung zur 3-2-1-Backup-Strategie zeigt Ihnen, wie Sie das dauerhaft einrichten.

Meine lokalen Backups sind ebenfalls verschlüsselt. Ist wirklich alles weg?

Nicht zwangsläufig. Prüfen Sie zwei Dinge: erstens Cloud-Backups mit Versionierung, falls Sie eines aktiv hatten (Versionen von vor der Verschlüsselung bleiben über die Weboberfläche zugänglich). Zweitens Windows-Schattenkopien wie oben beschrieben. Sind beide nicht verfügbar und existiert kein Entschlüsseler, ist eine teilweise Rettung per Software für Originale, die vor dem Schreiben der verschlüsselten Kopien gelöscht wurden, dennoch möglich.

Soll ich Anzeige erstatten?

Ja, immer. In den USA: IC3.gov (Internet Crime Complaint Center des FBI). In Großbritannien: actionfraud.police.uk. In Deutschland: die Online-Wache der Polizei Ihres Bundeslands oder Ihre örtliche Polizeidienststelle. Diese Meldungen fließen in laufende Ermittlungen ein und haben direkt zu Server-Beschlagnahmungen beigetragen, die später kostenlose Entschlüsselungsschlüssel freischalteten — Hive, Ragnar Locker und mehrere Conti-Varianten wurden so ausgehoben.

Für eine vollständige Aufschlüsselung der verfügbaren Entschlüsseler Variante für Variante lesen Sie unseren vollständigen Leitfaden zum Entschlüsseln von Ransomware ohne zu zahlen.

Redaktionelle Empfehlung
4.5 / 5

Meine Dateien mit EaseUS retten

Gegründet 200430 Tage GarantieKostenlose 2-GB-Version
Das Angebot ansehen
Redaktionelle Empfehlung
4.5 / 5

Back up now so ransomware can't win → EaseUS Todo Backup

Automatic backups · disk clone · offline copy

Gegründet 200430 Tage GarantieKostenlose 2-GB-Version
Das Angebot ansehen
Verwandte Artikel

Weiterlesen