Funktionieren kostenlose Ransomware-Entschlüsselungstools wirklich?

Ja. Das Portal No More Ransom (Partnerschaft aus Europol EC3 + niederländischer Nationalpolizei + Kaspersky + McAfee) katalogisiert über 160 offizielle Entschlüsselungstools, die rund 200 Ransomware-Stämme abdecken. Seit 2016 hat das Projekt mehr als 1,8 Millionen Opfern geholfen und Lösegeldzahlungen in Höhe von Hunderten Millionen Euro verhindert. Emsisoft, Avast, Bitdefender und Kaspersky veröffentlichen ihre Entschlüsselungstools kostenlos, sobald ein kryptografischer Fehler gefunden wird oder eine Server-Beschlagnahmung Hauptschlüssel freigibt.

Wie hoch ist die Erfolgsquote beim Versuch einer kostenlosen Entschlüsselung?

Das hängt vollständig vom Stamm ab. Bei Familien, die von einem offiziellen Entschlüsselungstool abgedeckt sind (STOP/Djvu Offline-ID, Crysis/Dharma, GandCrab, Shade, Avaddon, frühes REvil, geleakte Babuk-Schlüssel), liegt die Wiederherstellung bei über 90 % der verschlüsselten Dateien, sofern Sie die richtige Version haben. Bei aktiven, ungebrochenen Stämmen (LockBit 3.0, BlackCat/ALPHV, Akira, Royal, aktuelles Conti) ist die Quote null — kein kostenloses Tool funktioniert 2026.

Lassen sich REvil, Conti und LockBit entschlüsseln?

Teilweise und unter Bedingungen. REvil/Sodinokibi: Ein kostenloses Bitdefender-Tool (über No More Ransom verfügbar) existiert für Angriffe vor Juli 2021. Conti: kein öffentliches Tool, aber das Quellcode-Leak von 2022 ermöglichte in einigen Fällen eine Wiederherstellung von Fall zu Fall. LockBit: Die Beschlagnahmung im Rahmen der Operation Cronos der NCA im Februar 2024 lieferte einige Schlüssel, die heute in No More Ransom integriert sind — doch das moderne LockBit 3.0/Black bleibt ohne den privaten Schlüssel der Betreiber unentschlüsselbar.

Warum raten CISA und das FBI von Zahlungen ab?

Das BSI in Deutschland, CISA, FBI und Europol sind sich hier einig. Erstens garantiert eine Zahlung nichts: Viele Opfer, die zahlen, erhalten überhaupt keinen Schlüssel oder ein fehlerhaftes bzw. unvollständiges Entschlüsselungstool und stellen nie alles wieder her. Zweitens finanziert eine Zahlung das kriminelle Ökosystem und markiert das Opfer als lohnend, sodass ein erheblicher Teil der Zahlenden erneut angegriffen wird. Drittens fallen einige Transaktionen unter die US-amerikanischen OFAC-Sanktionen, wenn die Gruppe gelistet ist.

Wie lange sollte ich auf ein Entschlüsselungstool für meinen Stamm warten?

Das ist unterschiedlich. Manche Tools erscheinen wenige Wochen nach einer Server-Beschlagnahmung (LockBit, Hive 2023 über das FBI). Andere Stämme bleiben jahrelang oder sogar für immer unentschlüsselbar, wenn die Kryptografie korrekt umgesetzt ist. Pragmatische Regel: Bewahren Sie die verschlüsselten Dateien auf einer sauberen externen Festplatte auf. Prüfen Sie No More Ransom alle drei bis sechs Monate. Mehrere Opfer aus den Jahren 2018-2019 stellten ihre Daten nach 2 bis 4 Jahren Wartezeit wieder her.

Was sollte man unmittelbar nach einem Ransomware-Angriff tun?

Sofort: (1) das infizierte Gerät isolieren — Ethernet abziehen, WLAN deaktivieren, externe Laufwerke trennen; (2) die Lösegeldforderung und die Dateiendung der verschlüsselten Dateien fotografieren; (3) auf einem sauberen Gerät eine Probe auf id-ransomware.malwarehunterteam.com hochladen, um den Stamm zu identifizieren; (4) auf nomoreransom.org nach einem kostenlosen Tool suchen; (5) NICHT zahlen — viele Opfer, die zahlen, stellen nie alle ihre Dateien wieder her.

Ransomware ohne Lösegeld entschlüsseln: der komplette Leitfaden 2026

Ransomware hat soeben Ihre Dateien verschlüsselt und die Forderung verlangt Bitcoin. Bevor Sie eine Entscheidung treffen, sollten Sie wissen, dass Zahlen weder die einzige noch die zuverlässigste Option ist. Für etwa jede dritte Ransomware-Familie existiert ein offizielles kostenloses Entschlüsselungstool — veröffentlicht von Strafverfolgungsbehörden, Antiviren-Herstellern oder unabhängigen Forschern. Dieser Leitfaden führt Sie durch das vollständige Vorgehen, um Ihren Stamm zu identifizieren, zu prüfen, ob ein Schlüssel verfügbar ist, und eine Wiederherstellung zu versuchen, ohne einen Cent zu zahlen.

Der Inhalt stützt sich auf öffentliche Ressourcen von Europol, dem No More Ransom-Projekt, MalwareHunterTeam, den Empfehlungen von CISA / FBI / BSI und dem Entschlüsselungstool-Katalog von Emsisoft — dem Rückgrat der Ransomware-Reaktion im Jahr 2026.

So entschlüsseln Sie Ransomware-Dateien ohne Lösegeldzahlung

So entschlüsseln Sie Ransomware ohne Zahlung: (1) Identifizieren Sie den Stamm über ID Ransomware (id-ransomware.malwarehunterteam.com — deckt mehr als 1.300 Familien ab); (2) prüfen Sie das No-More-Ransom-Portal (nomoreransom.org — 160+ offizielle kostenlose Tools für rund 200 Familien, darunter STOP/Djvu, GandCrab, Crysis/Dharma, Babuk); (3) laden Sie ausschließlich von offiziellen Herstellerseiten herunter (Emsisoft, Avast, Bitdefender, Kaspersky); (4) testen Sie zuerst an einer Kopie, niemals an Originalen. Für ungebrochene Stämme (LockBit 3.0, BlackCat) ist der einzige Weg ein Backup von vor dem Angriff oder die Wiederherstellung über Schattenkopien.

So funktioniert moderne Ransomware-Verschlüsselung

Das Verständnis der Kryptografie macht deutlich, warum manche Ransomware entschlüsselbar ist und andere Stämme nicht.

Hybride AES-+-RSA-Verschlüsselung

Aktuelle Ransomware (LockBit, BlackCat, Akira, Royal, Play) verwendet ein hybrides Verfahren:

Ein symmetrischer AES-256-Schlüssel (manchmal ChaCha20 oder Salsa20) wird zufällig pro Datei oder pro Datei-Stapel erzeugt.
Dieser AES-Schlüssel verschlüsselt den eigentlichen Dateiinhalt — schnell, mehrere Gigabyte pro Minute.
Der AES-Schlüssel selbst wird mit einem öffentlichen RSA-2048-Schlüssel (oder elliptischen Kurven Curve25519) verschlüsselt, der in der Schadsoftware eingebettet ist.
Der passende private RSA-Schlüssel verbleibt auf dem Server des Angreifers: Ohne ihn lassen sich die AES-Schlüssel nicht wiederherstellen und die Entschlüsselung ist mathematisch unmöglich.

Dieses Design macht eine Brute-Force-Entschlüsselung 2026 undurchführbar: RSA-2048 zu brechen erfordert Ressourcen, die jenseits der großen öffentlichen Clouds liegen. Ein Quantenangriff nach Shor würde einen fehlertoleranten Quantencomputer mit rund 20 Millionen physischen Qubits benötigen — unerreichbar frühestens vor 2035.

Warum manche Stämme trotzdem entschlüsselbar sind

Kostenlose Tools setzen nicht auf Brute Force, sondern auf Implementierungsfehler, Schlüssel-Leaks oder Server-Beschlagnahmungen:

Fehlerhafte kryptografische Umsetzung: vorhersehbarer Pseudozufallsgenerator (Fall STOP/Djvu Offline-ID, bei dem derselbe Schlüssel wiederverwendet wird, wenn die Infektion ohne C2-Kontakt erfolgt), Nonce-Wiederverwendung, verwundbarer Chiffriermodus.
Hauptschlüssel-Leak: Veröffentlichung von Quellcode, Infiltration durch Strafverfolgungsbehörden, Überlaufen von Affiliates. Siehe Babuk (Juni 2021), Conti (März 2022), LockBit (Operation Cronos 2024).
C2-Server-Beschlagnahmung: Europol-/FBI-Operationen, die die Datenbank der privaten Schlüssel sicherstellen. Siehe GandCrab (2019), teilweise REvil (2021), Hive (Januar 2023), LockBit (Februar 2024).
Design-Fehler: Der Schlüssel wird lokal in einer Protokolldatei, in der Registry oder im Klartext übertragen gespeichert. Mehrere preisgünstige Familien machten diese Fehler.

Bei korrekt implementierten Spitzen-Stämmen (LockBit 3.0/Black, BlackCat/ALPHV, Akira nach 2024) wurde keiner dieser Fehler öffentlich gefunden. Sie bleiben ohne den privaten Schlüssel der Betreiber unentschlüsselbar.

Das Projekt No More Ransom: ein unverzichtbarer Dreh- und Angelpunkt

Im Juli 2016 von Europol EC3 (European Cybercrime Centre), der niederländischen Nationalpolizei, Kaspersky und McAfee gestartet, ist das Portal nomoreransom.org in zehn Jahren zur weltweiten Referenz für kostenlose Entschlüsselung geworden.

Wichtige Zahlen 2026

Mehr als 160 offizielle Entschlüsselungstools zum Download verfügbar.
Abdeckung von rund 200 Ransomware-Familien und Unterfamilien.
Mehr als 1,8 Millionen unterstützte Opfer seit 2016 (Europol-Jahresbericht 2025).
188 Partner weltweit: Strafverfolgungsbehörden, CERTs, Antiviren-Hersteller, Universitäten.
Verfügbar in 37 Sprachen, darunter Englisch, Französisch, Spanisch, Deutsch, Japanisch.

Der Crypto-Sheriff-Dienst

Im Zentrum des Portals identifiziert Crypto Sheriff den Stamm automatisch anhand von zwei verschlüsselten Dateien (jeweils unter 1 MB) und entweder der Lösegeldforderung oder einer darin enthaltenen URL. Das Tool vergleicht Endungen, Dateistrukturen, Header-Muster und Zahlungsadressen mit einer internen Datenbank. Bei einem Treffer leitet es zum passenden Tool und dessen Anleitung weiter.

Existiert kein Tool für den Stamm, sagt der Dienst dies klar und schlägt vor, später erneut zu prüfen — die Datenbank wird wöchentlich aktualisiert.

Zu beachtende Grenzen

Das Portal entschlüsselt nicht online. Es stellt herunterladbare Tools zur lokalen Ausführung bereit. Es wird keine sensible Datei auf deren Server hochgeladen, abgesehen von dem, was zur Identifizierung nötig ist. Die Tools sind von Partner-Herstellern signiert: Avast, Bitdefender, Emsisoft, Kaspersky, Trend Micro, Tesorion, AVG.

ID Ransomware: der andere Baustein der Identifizierung

Der Dienst id-ransomware.malwarehunterteam.com, seit 2016 von Michael Gillespie (mit Unterstützung von MalwareHunterTeam) gepflegt, deckt eine breitere Basis ab: über 1.300 Familien und Varianten im Jahr 2026, mehr als No More Ransom (das sich auf verfügbare Entschlüsselungstools konzentriert).

So nutzen Sie ihn

Auf der Startseite:

Laden Sie eine verschlüsselte Datei hoch (max. 100 MB, aber 1-10 MB genügen reichlich).
Und/oder laden Sie die Lösegeldforderung hoch (TXT, HTML, HTA).
Und/oder fügen Sie eine E-Mail-Adresse oder Tor-URL ein, die in der Forderung erwähnt wird.

Der Dienst vergleicht den Datei-Header, die Endung, den Inhalt der Forderung und Netzwerk-Indikatoren mit der Datenbank. Er liefert zurück:

Den kanonischen Familiennamen (z. B. Phobos, STOP/Djvu, MedusaLocker).
Die genaue Variante, sofern identifizierbar.
Einen direkten Link zu bestehenden Wiederherstellungsressourcen.
Einen Vermerk „DECRYPTABLE" oder „NO DECRYPTOR AVAILABLE".

Für höhere Genauigkeit bei Varianten siehe unseren Leitfaden zur Identifizierung von Ransomware mit ID Ransomware, der die Fallstricke von Fehlalarmen und die Unterscheidungsmerkmale zwischen Phobos, Dharma und Crysis erläutert.

Familien, die 2026 kostenlos entschlüsselbar sind

Ein auf einem Schreibtisch geöffneter Laptop

Die folgende Tabelle fasst die wichtigsten Stämme mit einem offiziellen Tool, den Hersteller und die beobachtete Erfolgsquote zusammen.

Familie	Typische Endung	Tool	Hersteller	Erfolgsquote
STOP/Djvu (Offline-ID)	.djvu, .stop, .promorad	STOPDecrypter	Emsisoft	70-90 % (nur Offline-ID)
Crysis / Dharma	.crysis, .dharma, .wallet	Crysis Decryptor	Avast / Kaspersky	95 %
GandCrab v1-v5.2	.gdcb, .crab, .krab	GandCrab Decryptor	Bitdefender	99 %
Shade / Troldesh	.crypted, .breaking_bad	Shade Decryptor	Kaspersky	95 %
Avaddon	.avdn	Avaddon Decryptor	Bitdefender	99 %
REvil vor Juli 2021	.revil, .sodinokibi	REvil Universal Decryptor	Bitdefender	90 % (zeitlich begrenzte Schlüssel)
Babuk (geleakte Schlüssel)	.babuk, .babyk	Babuk Decryptor	Avast	99 %
LockBit (Cronos-Beschlagnahmung)	.lockbit	LockBit Decryptor	NCA / FBI / Europol	Teilweise, variantenabhängig
Conti (Quellcode-Leak)	.conti	Conti Decryptor (begrenzt)	Mehrere Forscher	Von Fall zu Fall
Hive	.hive	Hive Decryptor	FBI / Europol	Teilweise (Beschlagnahmung 2023)
AES_NI, Jaff, Crysis	verschiedene	Spezialtools	Kaspersky	90 %+
TeslaCrypt	.vvv, .ecc, .ezz, .exx	TeslaDecoder	BloodDolly	100 % (Hauptschlüssel freigegeben)
WannaCry	.wncry, .wcry	wanakiwi / wannakey	Adrien Guinet / Benjamin Delpy	Abhängig vom erhaltenen RAM

Im Fokus: STOP/Djvu, der Stamm der Privatanwender

STOP/Djvu bleibt 2025-2026 die gegen Privatanwender aktivste Familie (Berichte von Emsisoft und MalwareHunterTeam). Sie verbreitet sich über Software-Cracks, Keygens und trojanisierte Installationsprogramme, die von Warez-Seiten heruntergeladen werden.

Zwei Verschlüsselungsmodi:

Offline-ID: keine Verbindung zum C2-Server während der Infektion. Derselbe Schlüssel wird für alle Opfer desselben Builds wiederverwendet. Emsisoft besitzt diese Datenbank und kann 70-90 % der Offline-Fälle entschlüsseln.
Online-ID: erfolgreiche C2-Verbindung, eindeutiger Schlüssel pro Opfer. Unentschlüsselbar ohne den privaten Schlüssel der Angreifer.

Der Emsisoft STOPDecrypter meldet nach dem Hochladen der Referenzdatei personal.txt, die die Schadsoftware auf der Festplatte ablegt, automatisch den ID-Typ.

Unentschlüsselbare Familien 2026

Umgekehrt haben mehrere aktive Stämme kein öffentliches Entschlüsselungstool. Verschwenden Sie keine Zeit mit der Suche: Bewahren Sie die verschlüsselten Dateien auf und wechseln Sie zur Wiederherstellung über Backup oder Schattenkopien.

LockBit 3.0 / Black (nach 2022, außerhalb der aus Cronos stammenden Schlüssel) — korrekte Kryptografie, dominantes RaaS.
BlackCat / ALPHV — in Rust geschrieben, Multi-OS, bis Mitte 2024 betrieben, dann zerstreut. Keine öffentlich nutzbare Beschlagnahmung.
Akira — seit 2023 aktiv, zielt auf KMU und Krankenhäuser, kein veröffentlichter Fehler.
Royal / BlackSuit — Conti-Nachfolger, solide hybride Kryptografie.
Play (PlayCrypt) — seit 2022 aktiv.
Medusa, MedusaLocker — aktiv, voneinander verschieden.
8Base — seit 2022 aktiv.
Cactus, Rhysida — neu, öffentlich unentschlüsselbar.

Für diese Familien ist der einzig gangbare Weg sauberes Backup, nicht zerstörte Schattenkopien oder unverschlüsselte Restdateien. Siehe unseren Pfeiler-Leitfaden zur Wiederherstellung von Dateien nach Ransomware für die vollständige Methodik.

Schritt für Schritt: ein offizielles Entschlüsselungstool testen

Hier ist die empfohlene Abfolge, sobald der Stamm identifiziert und ein Tool gefunden wurde.

1. Eine Testumgebung vorbereiten

Arbeiten Sie an einer Kopie einer verschlüsselten Datei, niemals am Original. Ein Fehler des Tools kann die Datei unwiederbringlich überschreiben.
Legen Sie einen isolierten Ordner auf einer sauberen externen Festplatte an und kopieren Sie 5-10 verschlüsselte Dateien unterschiedlicher Formate (DOCX, JPG, PDF, MP4, ZIP).
Pausieren Sie die Cloud-Synchronisierung vorübergehend, um die Verbreitung teilweise beschädigter entschlüsselter Dateien zu vermeiden.

2. Die Echtheit des Tools überprüfen

Laden Sie nur von offiziellen Seiten herunter:

Emsisoft: decrypter.emsisoft.com
Avast: avast.com/ransomware-decryption-tools
Bitdefender: bitdefender.com/blog/labs/
Kaspersky: noransom.kaspersky.com
No More Ransom: nomoreransom.org/de/decryption-tools.html

Prüfen Sie die digitale Signatur der ausführbaren Datei (Rechtsklick → Eigenschaften → Digitale Signaturen) und den SHA-256-Hash, sofern veröffentlicht. Mehrere gefälschte Bitdefender- und Avast-Tools kursieren in Untergrundforen mit einer zusätzlichen Schadlast.

3. Den Stamm mit einem Antiviren-Scan bestätigen

Scannen Sie das Gerät vor dem Ausführen des Tools mit einem aktuellen AV (ESET, Malwarebytes, Bitdefender free) im Offline-Modus über einen Rettungs-USB-Stick. Bestätigen Sie die erkannte Familie. Zeigt der Scan einen anderen Stamm als den von ID Ransomware identifizierten, führen Sie das Tool nicht aus — es könnte die Dateien beschädigen.

4. An der Kopie ausführen

Starten Sie das Tool, zeigen Sie es auf den Testordner und stellen Sie die erforderlichen Dateipaare bereit (eine verschlüsselte Datei plus eine originale, unverschlüsselte Version derselben Datei, bei Tools, die danach fragen — typischerweise Avast).

Aktivieren Sie stets:

Die Option verschlüsselte Dateien erhalten (falls die Entschlüsselung sie beschädigt).
Testmodus oder Dry-Run, sofern verfügbar.

5. Die entschlüsselten Dateien überprüfen

Öffnen Sie jede Datei in ihrer nativen Anwendung:

DOCX / XLSX: Word/Excel muss sie ohne Reparaturdialog öffnen.
JPG / PNG: Bildbetrachter, das vollständige Erscheinungsbild prüfen.
PDF: Acrobat oder Browser, Paginierung intakt.
ZIP / 7z: Integritätstest über die integrierte Prüfung des Archivers.

Vergleichen Sie die Größen der entschlüsselten Dateien mit den erwarteten Werten (sofern Sie Duplikate im Cloud-Speicher haben). Ein Unterschied von wenigen Bytes ist normal (Verschlüsselung entfernt/fügt Padding und einen Marker-Header hinzu), eine erhebliche Abweichung signalisiert jedoch ein Problem.

6. Die vollständige Entschlüsselung starten

Sobald das Vorgehen an den 5-10 Testdateien validiert ist, wählen Sie die vollständigen Volumes aus und starten. Rechnen Sie mit mehreren Stunden für einige Hundert Gigabyte. Überwachen Sie die Protokolle: Manche Dateien können als teilweise beschädigt markiert werden (oft, weil die Ransomware während der Verschlüsselung unterbrochen wurde und halb verarbeitete Dateien hinterließ).

Alternativen, wenn kein Tool existiert

Steht der Stamm auf der Liste der Unentschlüsselbaren, verschwenden Sie keine Zeit. Verbleibende Wiederherstellungswege:

Aus dem Backup wiederherstellen

Dies ist der zuverlässigste Weg, sofern Sie ein Backup von vor dem Angriff haben, das zum Zeitpunkt der Verschlüsselung getrennt war. Moderne Ransomware zielt aktiv auf angeschlossene Backup-Laufwerke und Netzwerkfreigaben. Siehe die 3-2-1-1-0-Best-Practices in unserem Wiederherstellungs-Leitfaden.

Windows-Schattenkopien

Windows erstellt im Hintergrund Volume-Schattenkopien (VSS). Ransomware versucht, sie über vssadmin delete shadows /all zu löschen, übersieht aber häufig bestimmte Volumes oder scheitert an Berechtigungsproblemen. Unser Leitfaden Windows-Schattenkopien und Wiederherstellung erläutert ShadowExplorer, vssadmin und den Reiter „Vorgängerversionen" zur Wiederherstellung, selbst wenn VSS leer erscheint.

File Carving

Wiederherstellungstools wie PhotoRec (kostenlos), R-Studio oder EaseUS Data Recovery Wizard durchsuchen den freien Festplattenspeicher nach Dateisignaturen. Wenn Ransomware eine Datei verschlüsselt, schreibt sie die verschlüsselte Version und löscht dann das Original — das Original ist oft wiederherstellbar, solange die Blöcke nicht überschrieben wurden.

Führen Sie den Scan unmittelbar nach dem Isolieren des Geräts durch, um die Chancen zu maximieren. Je länger die Festplatte nach dem Angriff läuft, desto mehr freie Blöcke werden überschrieben.

Unverschlüsselte Restdateien

Mehrere Dateikategorien entgehen oft der Verschlüsselung und enthalten nutzbare Daten:

Office-.tmp-Dateien in %APPDATA%\Microsoft\Word\ und Entsprechungen für Excel/PowerPoint — automatisch gespeicherte Versionen.
Windows-Miniaturansichten in thumbcache_*.db — mit ThumbCache Viewer für Fotovorschauen einsehbar.
Browser-Verlauf: Chrome/Firefox/Edge-Caches für kürzlich angesehene Bilder.
Nicht synchronisierte OneDrive-Dateien, die sich noch im lokalen Cache befinden und je nach Zeitpunkt noch nicht verschlüsselt wurden.

Um Ihre Wiederherstellungschancen je nach Szenario schnell einzuschätzen (Stamm, verfügbare Backups, Medientyp), nutzen Sie unsere kostenlose Diagnose.

Warum Sie das Lösegeld NICHT zahlen sollten

Über das ethische Argument hinaus stützen mehrere technische und rechtliche Gründe die offizielle Haltung von CISA / FBI / Europol / BSI.

Zahlung garantiert keine Wiederherstellung

Das Lösegeld zu zahlen garantiert nichts:

Manche zahlenden Opfer erhalten nach der Zahlung überhaupt keinen Schlüssel.
Andere erhalten ein fehlerhaftes oder unvollständiges Tool (ungültiger Schlüssel bei manchen Dateien, Tool-Abstürze, inakzeptable Leistung).
Viele stellen ihre Dateien wieder her, aber mit Teilverlusten (einige Dateien bleiben nicht wiederherstellbar).
Ein erheblicher Anteil der zahlenden Opfer stellt nie die Gesamtheit seiner Daten wieder her.

Verglichen mit einer Wiederherstellung, die Sie selbst überprüfen können, wenn ein offizielles Tool existiert, ist das Risiko-Nutzen-Verhältnis einer Zahlung ungünstig.

Zahlung finanziert und fördert das Ökosystem

Die weltweiten Ransomware-Einnahmen sind rückläufig, da mehr Opfer die Zahlung verweigern — doch jede Zahlung stärkt weiterhin das kriminelle Geschäftsmodell. Eine Zahlung markiert Sie zudem als lohnendes Ziel und lädt zur erneuten Infektion ein: Ein erheblicher Teil der Zahlenden wird innerhalb von Monaten erneut angegriffen.

Rechtsrisiko — OFAC-Sanktionen

In den USA verbietet das OFAC (Office of Foreign Assets Control) jede Transaktion mit sanktionierten Einrichtungen. Mehrere Ransomware-Gruppen sind gelistet: Evil Corp (Sanktionen 2019), Conti-/Trickbot-Betreiber (2023), einzelne LockBit-Betreiber (2024). Eine mit diesen Gruppen verbundene Ransomware zu bezahlen, ist ein Verstoß, der die zahlende Einrichtung oder den Vermittler (einschließlich Verhandlungsfirmen) zivil- und strafrechtlichen Verfahren aussetzt.

Die EU und Großbritannien nähern sich vergleichbaren Regeln an. In Deutschland kann die Zahlung an eine Tätergruppe je nach Konstellation straf- und außenwirtschaftsrechtliche Folgen haben, etwa wenn die Gruppe mit einem sanktionierten oder feindlichen Staat verbunden ist (Fall mehrerer nordkoreanischer und russischer Gruppen).

Offizielle Haltung von CISA / FBI

Das FBI vertritt seit 2016 über seine IC3-Hinweise dieselbe Botschaft. CISA (Cybersecurity and Infrastructure Security Agency) koordiniert StopRansomware.gov, das Warnungen und Tools in den Vereinigten Staaten bündelt. Das britische NCSC veröffentlicht nahezu identische Empfehlungen, ebenso wie das australische ACSC. In Deutschland warnt das BSI mit gleichlautender Linie vor Zahlungen.

Wichtige Eckpunkte zum Merken

Einige qualitative Erkenntnisse rahmen die Ransomware-Landschaft 2025-2026:

Kostenlose Entschlüsselungsressourcen decken einen großen Katalog von Familien ab — No More Ransom listet über 160 offizielle Tools für rund 200 Familien, und ID Ransomware indexiert mehr als 1.300 Familien und Varianten.
Der Anteil der zahlenden Opfer ist im Lauf der Jahre deutlich gesunken, da sich mehr Organisationen auf saubere Backups und kostenlose Tools verlassen.
Die weltweiten Ransomware-Einnahmen sind in den letzten Jahren zurückgegangen — ein Zeichen, dass die Verweigerung einer Zahlung — wenn ein Backup oder Tool existiert — zunehmend zur Norm wird.

Um Angriffen vorzubeugen, statt sie hinzunehmen, senkt ein modernes Antivirenprogramm mit Anti-Ransomware-Modul (automatischer Rollback, verhaltensbasierte Erkennung) das Risiko drastisch. Unser Vergleich der besten Anti-Ransomware-Software 2026 behandelt Bitdefender, Norton, Kaspersky, Malwarebytes und Acronis mit ihren Blockier-Werten aus den unabhängigen Tests von AV-Test und AV-Comparatives.

Zusammenfassung: Ihr Entscheidungsweg

Isolieren Sie das Gerät, fotografieren Sie die Lösegeldforderung, notieren Sie die Endung.
Identifizieren Sie den Stamm über ID Ransomware (id-ransomware.malwarehunterteam.com).
Prüfen Sie auf No More Ransom (nomoreransom.org), ob ein Tool existiert.
Wenn ein Tool existiert: Laden Sie es von der offiziellen Quelle herunter, testen Sie es an einer Kopie und führen es dann aus.
Wenn kein Tool existiert: Stellen Sie aus einem sauberen Backup wieder her oder versuchen Sie Schattenkopien und File Carving an Restdateien. Unser Leitfaden zu Datenrettungssoftware listet die Tools, die sich am besten eignen, um Originale nach der Verschlüsselung aus dem freien NTFS-Speicher zu schnitzen.
Bewahren Sie die verschlüsselten Dateien auf einer externen Festplatte auf: Ein Tool kann Monate oder Jahre später auftauchen.
Zahlen Sie nicht: hohes Risiko unvollständiger Wiederherstellung, Finanzierung von Kriminalität, OFAC-Exponierung und eine reale Chance, erneut angegriffen zu werden.
Erstatten Sie Anzeige bei den Behörden (IC3 in den USA, NCSC/Action Fraud in Großbritannien, in Deutschland die Polizei über die Zentrale Ansprechstelle Cybercrime des jeweiligen Landes) und benachrichtigen Sie Ihre Datenschutzaufsicht, wenn personenbezogene Daten Dritter betroffen sind.

Kostenlose Entschlüsselung funktioniert tatsächlich für Hunderttausende Opfer jedes Jahr. Der Reflex muss stets sein: Identifizierung, Prüfung bei No More Ransom, Test an einer Kopie und erst dann die Entscheidung über Alternativen.

Redaktionelle Empfehlung

4.5 / 5

Back up now so ransomware can't win → EaseUS Todo Backup

Automatic backups · disk clone · offline copy

Gegründet 200430 Tage GarantieKostenlose 2-GB-Version

Das Angebot ansehen