Bevor Sie irgendetwas versuchen (Zahlung, Entschlüsselung, Teilwiederherstellung), zählt eine Frage vor allem: welche Ransomware genau hat Sie getroffen? Die Antwort entscheidet über alles — Verfügbarkeit eines Entschlüsselers, erwartetes Verhalten, Verweildauer, Risiko der doppelten Erpressung, Rechtsstatus der Gruppe. ID Ransomware, seit 2016 von MalwareHunterTeam betrieben, ist das Referenzwerkzeug, um diese Frage in Minuten zu beantworten.
Dieser Leitfaden beschreibt das genaue Vorgehen, was Sie vor dem Hochladen wissen müssen und wie Sie je nach Ergebnis handeln — egal ob die Variante bekannt oder neu ist.
Warum die genaue Identifikation alles verändert
Viele Betroffene behandeln einen Ransomware-Vorfall, als gehöre er zu einer einzigen Ereigniskategorie, und wenden eine generische Reaktion an, die alle lesen (nicht zahlen, aus Backup wiederherstellen, Anzeige erstatten). Das ist teils richtig, doch wer die spezifische Identifikation der Variante ignoriert, verschenkt in rund 30 % der Fälle echte Wiederherstellungschancen.
Die genaue Identifikation verändert die Strategie an drei kritischen Achsen. Erste Achse: Verfügbarkeit eines kostenlosen Entschlüsselers. Das von Europol, der niederländischen Polizei, Kaspersky und McAfee betriebene Projekt No More Ransom veröffentlicht regelmäßig Entschlüsselungstools, wenn Forscher das kryptografische Schema einer Ransomware-Familie knacken. Im ersten Quartal 2026 verfügen rund 140 verschiedene Familien über mindestens ein veröffentlichtes Tool. Gehört Ihre Variante zu diesen 140, können Sie Ihre Dateien buchstäblich in Stunden kostenlos entschlüsseln. Doch wenn Sie die Variante nicht identifizieren, wissen Sie nicht, dass ein solches Tool existiert.
Zweite Achse: Risiko der doppelten Erpressung. Ransomware-Gruppen sind nicht gleich, was die Exfiltration angeht. Die „Top-Tier"-Akteure (LockBit 3.0, BlackCat/ALPHV, Royal, Akira, Black Basta) betreiben vor der Verschlüsselung systematisch erhebliche Exfiltration und veröffentlichen Daten auf ihren Leak-Seiten, wenn nicht gezahlt wird. „Klassische" Cybercrime-Akteure (Stop/Djvu, GandCrab-Erben, einige Phobos-Varianten) exfiltrieren in der Regel nicht, und das Risiko beschränkt sich auf lokale Verschlüsselung. Die Meldestrategie (Aufsichtsbehörden, Kunden, Lieferanten) und der Druck bei der Lösegeldkalkulation hängen direkt von dieser Unterscheidung ab.
Dritte Achse: Rechtsstatus und OFAC-Sanktionen. Mehrere Ransomware-Gruppen sind vom US-amerikanischen OFAC als sanktionierte Einheiten gelistet (LockBit im Februar 2024, Conti 2022, Black Basta teilweise). Lösegeld an eine OFAC-sanktionierte Gruppe zu zahlen, ist für jede US-Person oder -Firma illegal und stellt selbst für europäische Unternehmen mit US-Geschäft ein erhebliches Rechtsrisiko dar. Die genaue Identifikation der Gruppe zeigt Ihnen, ob eine Zahlung rechtlich überhaupt möglich ist, bevor Sie deren Ethik bedenken.
ID Ransomware: was der Dienst tatsächlich leistet
ID Ransomware ist ein Projekt von Michael Gillespie (alias Demonslay335), einem zentralen Forscher der Ransomware-Community seit Mitte der 2010er-Jahre. Der Dienst ist kostenlos, benötigt kein Konto und akzeptiert zwei Eingabearten: eine verschlüsselte Beispieldatei und den von den Angreifern hinterlassenen Erpresserbrief.
Identifikationslogik
Das Tool gleicht mehrere Signale ab, um zu entscheiden:
- Die angehängte Endung der verschlüsselten Datei (
.lockbit,.djvu,.contiusw.). - Die Binärstruktur der Datei: Header, Marker am Anfang oder Ende der Datei, Algorithmus-Signatur (AES, ChaCha20, Salsa20), manchmal ein Footer mit Metadaten (Version, Opfer-ID, RSA-verschlüsselter Schlüssel).
- Der Hash des Erpresserbriefs: Die meisten Familien verwenden eine stabile Textvorlage, die nur bei dynamischen Feldern variiert (UID, Betrag, Tor-Link). Ein Teil-Hash oder eine lexikalische Signatur ermöglicht eine zuverlässige Identifikation.
- Der Dateiname des Briefs:
README.txt,_readme.txt,HOW_TO_DECRYPT.txt,!!!HELP_FILE!!!.html,restore-my-files.txtusw. - Das Erpresser-Hintergrundbild in manchen Fällen (ein als Desktop-Hintergrund eingesetztes Bild).
Die Triangulation dieser Signale hebt die Identifikationsrate bei indexierten Familien über 95 %. Die Datenbank umfasst 2026 mehr als 1300 Familien, wobei der Dienst rund 1,5 Millionen Einsendungen pro Jahr verarbeitet.
Warum nicht nur die Endung
Etwa ein Dutzend Ransomwares teilen sich generische Endungen wie .locked, .encrypted oder .crypto. Ohne Abgleich von Brief und Binärstruktur wäre die Identifikation regelmäßig falsch — und ein auf die falsche Familie angewandter Entschlüsseler zerstört die Dateien unwiderruflich.
Vollständiges Vorgehen
Schritt 1 — Arbeitsumgebung vorbereiten
Sie benötigen ein nicht infiziertes Gerät: Smartphone, zweiten PC, den Rechner eines Angehörigen. Verwenden Sie für die Identifikation niemals den kompromittierten Rechner — er könnte weiterhin Daten exfiltrieren oder neu erstellte Dateien verschlüsseln.
Bereiten Sie zwei Träger vor:
- Einen USB-Stick zur Übertragung von Erpresserbrief und verschlüsselter Datei.
- Einen Beweisordner (Screenshots, Aufnahmen, Ereignisprotokoll).
Schritt 2 — Beispiel einer verschlüsselten Datei extrahieren
Arbeiten Sie immer mit einer Kopie, niemals mit dem Original. Wenn Sie das Original versehentlich überschreiben oder verändern, verlieren Sie die Wiederherstellungschance, selbst wenn später ein Entschlüsseler erscheint.
Wählen Sie eine kleine verschlüsselte Datei (idealerweise unter 1 MB) — das ist die Upload-Grenze bei ID Ransomware. Ein bescheidenes .docx oder .jpg eignet sich gut. Um die Merkmale der Datei vor dem Hochladen zu untersuchen, hier ein PowerShell-Skript, das die wichtigsten Informationen extrahiert.
# Eine verschlüsselte Datei untersuchen, ohne sie zu verändern
$file = "C:\Path\To\encrypted-sample.docx.lockbit3"
# Größe und Zeitstempel
Get-Item $file | Select-Object FullName, Length, CreationTime, LastWriteTime
# SHA-256-Hash der gesamten Datei
Get-FileHash -Algorithm SHA256 $file
# Erste 256 Bytes (Header) in Hex - nützlich zur Identifikation des Markers
$bytes = [System.IO.File]::ReadAllBytes($file) | Select-Object -First 256
($bytes | ForEach-Object { $_.ToString("X2") }) -join " "
# Letzte 512 Bytes (Footer trägt oft den Marker und den RSA-Schlüssel)
$all = [System.IO.File]::ReadAllBytes($file)
$tail = $all[($all.Length - 512)..($all.Length - 1)]
($tail | ForEach-Object { $_.ToString("X2") }) -join " "
# Nach einer sichtbaren ASCII-Signatur suchen (UID, bekannter Marker)
$content = [System.Text.Encoding]::ASCII.GetString($all)
[regex]::Matches($content, "[A-Za-z0-9]{16,}") | Select-Object -First 5
Dieses Skript verändert die Datei nie (alle Operationen sind schreibgeschützt) und liefert Hash, Header und Footer — nützlich für das BleepingComputer-Forum, falls ID Ransomware die Variante nicht erkennt.
Schritt 3 — Erpresserbrief beschaffen
Der Brief wird typischerweise auf dem Desktop, im Ordner Dokumente und in jedem Ordner mit verschlüsselten Dateien abgelegt. Häufige Dateinamen 2026:
README.txt_readme.txt(STOP/Djvu)HOW_TO_DECRYPT.txt!!!HELP_FILE!!!.htmlrestore-my-files.txt(LockBit)RECOVER_DATA.html(Akira)instructions_read_me.txt(BlackBasta)recover-files.txt(Royal)
Schwärzen Sie vor dem Hochladen persönliche Kennungen. Der Brief enthält fast immer eine UID, TID, Transaktions-ID, persönliche Bitcoin-Adresse oder einen eindeutigen Tor-Link, der Sie gegenüber den Angreifern identifiziert. Ersetzen Sie diese Zeichenketten in einer Kopie des Briefs durch [REDACTED], bevor Sie sie an ID Ransomware senden. Warum: Wenn Sie später einen professionellen Verhandler beauftragen, sollte der Angreifer nicht wissen, dass Sie den Brief öffentlich analysiert haben.
Schritt 4 — Bei ID Ransomware hochladen
Öffnen Sie id-ransomware.malwarehunterteam.com. Die Oberfläche bietet zwei Felder:
- Ransom Note: der Erpresserbrief (Text, HTML, Bild, TTS-Audio bei einigen neueren Varianten).
- Sample Encrypted File: eine verschlüsselte Datei.
Grenze: 1 MB pro Datei. Kein Konto erforderlich, anonyme Übermittlung. Der Dienst verarbeitet die Anfrage in Sekunden.
Schritt 5 — Ergebnis lesen
Drei mögliche Ausgänge:
Positive Identifikation mit verfügbarem Entschlüsseler. Das Ergebnis zeigt den Familiennamen, einen direkten Link zum offiziellen Entschlüsseler (oft Emsisoft, Avast, Kaspersky oder No More Ransom) und einen Link zum passenden BleepingComputer-Thema. Laden Sie den Entschlüsseler nur aus der offiziellen Quelle herunter — präparierte gefälschte Entschlüsseler existieren.
Positive Identifikation ohne Entschlüsseler. Die Variante ist bekannt, aber es gibt kein kostenloses Tool (Fall von LockBit 3.0, neueren Akira, Royal, BlackCat, Play, 8base, BlackBasta). Notieren Sie den genauen Namen für die nächsten Schritte (Verhandlung, Anzeige, Meldung der Datenpanne).
Unsichere oder mehrfache Identifikation. Der Dienst liefert mehrere Kandidaten. Gleichen Sie mit BleepingComputer und No More Ransom ab, um die Entscheidung zu treffen.
Schritt 6 — Mit alternativen Datenbanken abgleichen
ID Ransomware steht nicht allein. Nützliche ergänzende Datenbanken 2026:
- No More Ransom — Crypto Sheriff (nomoreransom.org): gemeinsame Initiative von Europol, der niederländischen Polizei und mehreren Antiviren-Anbietern. Datenbank mit über 200 kostenlosen Entschlüsselern. Ähnliche Oberfläche (Brief + Beispiel hochladen).
- BleepingComputer Ransomware ID (bleepingcomputer.com/forums): Community-Forum mit freiwilligen Analysten. Reaktionsschneller bei neuen Varianten.
- Emsisoft Ransomware Identification (emsisoft.com/ransomware-decryption): in deren Entschlüsseler-Katalog integriert.
- Coveware (coveware.com): kostenlose Identifikation für Unternehmen, die eine bezahlte Reaktions-/Verhandlungsmission beauftragen.
Häufige Ransomware-Familien 2024–2026
| Familie | Typische Endung | Kostenloser Entschlüsseler | Modell |
|---|---|---|---|
| LockBit 3.0 / Black | .lockbit, .HLJkNskOq (zufällig) | Nein (Teilschlüssel über Polizeiaktion 2024) | RaaS — Affiliates |
| LockBit 4.0 | .[zufällig] | Nein | RaaS — Neustart 2024 |
| Akira | .akira, .powerranges | Teilweise (ältere Varianten) | RaaS |
| BlackCat / ALPHV | .[7 zufällige Zeichen] | Nein (FBI-Schlüssel 2023, begrenzt) | RaaS — teilweise zerschlagen |
| Royal | .royal, .royal_w, .royal_u | Nein | Geschlossene Gruppe |
| BlackBasta | .basta | Nein | RaaS |
| Play | .play, .PLAY | Nein | Geschlossene Gruppe |
| 8base | .8base, .id-.8base | Nein | RaaS |
| STOP / Djvu | .djvu, .stop, .pulsar1, .qehu usw. | Teilweise (Emsisoft, nur Offline-Schlüssel) | Solo + Varianten |
| Phobos | .phobos, .eight, .eject, .devos | Teilweise (2024 durchgesickerte Schlüssel) | RaaS |
| Conti (Altlast) | .conti, .[5 zufällig] | Nein (Quellcode 2022 durchgesickert) | Zerschlagen — aktive Varianten |
| Hive (Altlast) | .hive, .[zufällig] | Ja (FBI-Schlüssel 2023) | Zerschlagen Jan. 2023 |
| Babuk (Altlast) | .babuk, .babyk, .NIST_K571 | Teilweise (Code 2021 durchgesickert) | Zerschlagen — aktive Varianten |
| Cl0p | .clop, .C_L_O_P, .cllp | Nein | Geschlossene Gruppe |
| Medusa | .MEDUSA | Nein | RaaS |
Der Status kann sich ändern: Verfolgen Sie regelmäßig No More Ransom und die CISA-Bulletins.
Nach der Identifikation — was je nach Ergebnis zu tun ist
Fall A — Es existiert ein offizieller Entschlüsseler
Ausgezeichnete Nachricht, aber Vorsicht vor Fallstricken.
- Laden Sie den Entschlüsseler nur aus der offiziellen Quelle herunter (Link von ID Ransomware, No More Ransom oder der Anbieterseite).
- Testen Sie zuerst an einer Kopie einer verschlüsselten Datei. Wird die Kopie korrekt entschlüsselt, skalieren Sie auf den gesamten Bestand.
- Bewahren Sie die ursprünglich verschlüsselten Dateien auf, bis Sie eine vollständige und stabile Wiederherstellung bestätigt haben (mindestens 1 bis 2 Wochen).
Siehe unseren Leitfaden Ransomware ohne Zahlung entschlüsseln für die Tool-Liste je Familie.
Fall B — Kein Entschlüsseler verfügbar
Keine Panik — das ist 2026 bei neuen RaaS-Familien der häufigste Fall. Mehrere Hebel bleiben:
- Backup vor dem Angriff: erster Wiederherstellungsversuch. Prüfen Sie Cloud-Backup (OneDrive, Backblaze, iCloud), getrennte externe Festplatte, ausgelagertes NAS.
- Windows-Schattenkopien, noch nicht zerstört — siehe Windows-Schattenkopien-Wiederherstellung.
- EaseUS Data Recovery Wizard, um unverschlüsselte Fragmente zu scannen (Office-Temp-Dateien, Adobe-Autospeicherungen, EXIF-Vorschaubilder). Methode beschrieben in Dateien nach Ransomware wiederherstellen.
- Synology-/QNAP-NAS betroffen: spezifische Verfahren in Ransomware auf Synology- und QNAP-NAS.
Wiederherstellbare Fragmente mit EaseUS scannen
Fall C — Pflicht zur Anzeige und Meldung
Wie auch immer das Ergebnis ausfällt:
- Erstatten Sie Anzeige bei den Strafverfolgungsbehörden. In den USA: IC3.gov. Vereinigtes Königreich: Action Fraud. Deutschland: Zentrale Ansprechstellen Cybercrime (ZAC) der Polizei. Spanien: INCIBE.
- DSGVO-Meldung innerhalb von 72 Stunden, wenn Sie personenbezogene Daten Dritter verarbeiten (Kunden, Mitarbeiter, Kontakte). Pflicht aus Artikel 33 in der EU/EWR. Gleichwertige Pflichten bestehen in Kalifornien (CCPA), Brasilien (LGPD), im Vereinigten Königreich (UK-DSGVO).
- Meldung an die Cyberversicherung, falls abgedeckt — eine Strafanzeige ist in der Regel Voraussetzung für die Erstattung.
Falsch-Positive und häufige Fallstricke
Varianten auf Basis durchgesickerten Quellcodes
Der Quellcode von Conti, LockBit Black, Babuk und HelloKitty ist zwischen 2021 und 2024 durchgesickert. Amateur-Varianten verwenden diese Codebasen mit eigenen Schlüsseln wieder. ID Ransomware kann sie als Mutterfamilie einstufen, doch der Entschlüsseler der Mutterfamilie funktioniert auf diesen Varianten nicht (unabhängige Schlüssel). Testen Sie immer an einer Kopie vor dem Einsatz.
Endungs-Kollisionen
Mehrere Familien verwenden dieselben generischen Endungen:
.locked: von mindestens 12 verschiedenen Familien verwendet (TeslaCrypt, Locked-In, Cerber usw.)..encrypted: 8 bekannte Familien..crypt: 6 Familien.
Ohne den Erpresserbrief ist die Identifikation allein anhand der Endung unzuverlässig. Laden Sie immer beides hoch.
Gefälschte Entschlüsseler
Untergrundforen und einige Black-Hat-SEO-Seiten verbreiten präparierte Entschlüsseler (selbst Ransomwares oder Zugangsdatendiebe). Laden Sie nur herunter von:
- Dem offiziellen Link bei ID Ransomware.
- No More Ransom.
- Anbieterseiten von Antivirenherstellern (Emsisoft, Kaspersky, Avast, Bitdefender, Trend Micro).
Dienst-Sicherheit — zu beachtende Punkte
ID Ransomware legt den Inhalt Ihrer Dateien nicht offen: Eine verschlüsselte Datei ohne Schlüssel ist kryptografisch unbrauchbar, selbst für MalwareHunterTeam. Der Erpresserbrief verdient jedoch Sorgfalt:
- Eindeutige Opferkennungen (UID, TID, Transaktions-ID, persönliche Bitcoin-Adresse, eindeutiger Tor-Link). Maskieren Sie sie vor dem Hochladen.
- Strukturierte Geschäftsdaten, manchmal von Angreifern eingefügt (Organisationsname, konkrete Beträge). Wahren Sie die Vertraulichkeit vor der öffentlichen Übermittlung.
- Aufbewahrungsrichtlinie: ID Ransomware speichert Einsendungen zur Anreicherung der Forschungsdatenbank, veröffentlicht den Inhalt aber nicht. Gehen Sie bei sensiblen Fällen (Behörden, Gesundheitswesen, kritische Infrastruktur) über ein nationales CSIRT statt über das öffentliche Tool.
Zusammengefasst
Die Variante zu identifizieren ist die erste nützliche Handlung nach der Isolierung des Rechners. Das Vorgehen dauert 10 bis 15 Minuten, kostet nichts und bestimmt alles Weitere: verfügbarer Entschlüsseler, Bedrohungsmodell, Rechtspflichten, Wahl des Wiederherstellungstools.
Beginnen Sie mit id-ransomware.malwarehunterteam.com, gleichen Sie mit No More Ransom und BleepingComputer ab und entscheiden Sie dann. Und wenn Sie mitten im Angriff ohne Plan stecken, folgen Sie der vollständigen Methodik in Dateien nach Ransomware wiederherstellen — oder starten Sie eine Diagnose, um die Wiederherstellungschancen abzuschätzen.
Ressourcen
- ID Ransomware — MalwareHunterTeam
- No More Ransom — Kostenlose Entschlüsselungstools
- BleepingComputer — Ransomware Help & Tech Support
- Emsisoft — Ransomware Decryption Tools
- CISA — StopRansomware
- IC3 — Cyberkriminalität melden
Back up now so ransomware can't win → EaseUS Todo Backup
Automatic backups · disk clone · offline copy
