Zum Hauptinhalt springen
Save My Disk
backup-securityTXN

Dateien nach einem Ransomware-Angriff wiederherstellen: Methodik 2026

Was sofort nach einem Ransomware-Angriff zu tun ist: isolieren, die Variante identifizieren, kostenlose Entschlüsseler ausprobieren, aus Backup wiederherstellen, EaseUS Data Recovery für Schattenkopien.

Von Eric Gerard · Éditeur · Save My Disk7 Min. LesezeitPhoto via Unsplash

Eine Vollbildnachricht fordert ein Bitcoin-Lösegeld, deine Dokumente tragen eine seltsame Erweiterung (.locked, .lockbit, .crypt), dein Virenschutz hat sich abgeschaltet oder wurde deaktiviert. Du hast es mit einer Ransomware zu tun. Die nächsten Stunden entscheiden, was du wiederherstellen kannst.

Diese Anleitung fasst die Reaktionsmethodik zusammen, die CSIRTs und Cyberversicherer 2026 anwenden, angepasst an den privaten Fall (ein einzelner Arbeitsplatz, kein Unternehmens-IT-System).

Verstehe genau, was technisch passiert ist

Bevor du handelst, ändert eine Minute, um technisch zu verstehen, was die Ransomware getan hat, die noch offenen Wiederherstellungsoptionen vollständig. Unkenntnis dieser Mechanismen treibt viele Nutzer in den ersten Stunden zu katastrophalen Entscheidungen — sofortige Formatierung, Lösegeldzahlung oder, schlimmer, Neustart des Rechners ohne Vorsichtsmaßnahme.

Moderne Ransomware folgt zum Angriffszeitpunkt im Allgemeinen drei verschiedenen Phasen. Anfangsphase: Sie läuft unauffällig und erkundet das System, um verbundene Laufwerke (lokal, USB, Netzfreigaben) zu identifizieren und das zu verschlüsselnde Volumen abzuschätzen. Verschlüsselungsphase: Sie erzeugt pro Datei (oder pro Ordner, je nach Variante) ein AES-Schlüsselpaar, verschlüsselt jede Datei an Ort und Stelle oder erstellt eine verschlüsselte Kopie und löscht dann das Original, und verschlüsselt anschließend die AES-Schlüssel mit einem RSA-Public-Key vom Server des Angreifers — genau dieser letzte Schritt macht die Entschlüsselung ohne den von den Angreifern gehaltenen privaten Schlüssel unmöglich. Sichtbarkeitsphase: Sie hinterlässt Lösegeldnotizen und ändert das Hintergrundbild, um sichtbar zu sein.

Die entscheidende technische Nuance: Die Verschlüsselung pro Datei mit AES kann auf einem großen Rechner (200.000 Dateien, 2 TB) mehrere Stunden dauern. Wenn du die Infektion vor Abschluss des Prozesses erkennst und den Rechner schnell ausschaltest (Einschaltknopf 10 Sekunden halten, kein sauberes Windows-Herunterfahren), kannst du Dateien retten, die noch nicht bearbeitet wurden. Umgekehrt kann die Ransomware, wenn du den Rechner nach Abschluss der Verschlüsselung neu startest, einen neuen Durchlauf auf den seit dem ersten Durchgang neu erstellten Dateien auslösen. Die richtige Reaktion ist nie der sofortige Neustart.

Die andere wichtige Nuance betrifft die Windows-Volumeschattenkopien. Der Systemmechanismus, der das Zurücksetzen auf frühere Dateiversionen ermöglicht, wird von 95 % der modernen Ransomware vorrangig angegriffen — sie führen in den ersten Sekunden vssadmin delete shadows /all aus, um diesen Wiederherstellungsweg zu beseitigen. Aber manche Varianten scheitern teilweise oder vergessen einige Volumes (insbesondere unverschlüsselte externe Laufwerke). Vor dem Anrühren des Systems auf mögliche überlebende Schattenkopien zu prüfen ist kostenlos und kann Stunden Arbeit sparen.

Schließlich werden auch zum Zeitpunkt des Angriffs verbundene Backups von moderner Ransomware angegriffen und verschlüsselt. Wenn dein externes Backup-Laufwerk per USB angeschlossen war oder dein NAS als Netzlaufwerk eingebunden war, betrachte sie bis zum Beweis des Gegenteils als kompromittiert. Genau das ist die Logik der 3-2-1-Regel mit einer externen oder getrennten Kopie — sie ist es, die dich im Ransomware-Szenario tatsächlich rettet.

Phase 1 — Sofort isolieren (erste 5 Minuten)

Versuche nicht, es sofort zu verstehen. Die Ransomware verschlüsselt wahrscheinlich noch.

  1. Ziehe das Ethernet-Kabel und deaktiviere WLAN (Flugmodus).
  2. Entferne alle externen Laufwerke und USB-Sticks. Moderne Ransomware (Conti, LockBit, BlackCat) zielt aktiv auf verbundene Medien.
  3. Wenn du in einem gemeinsamen Netzwerk (NAS, Windows-Freigabe) bist, warne andere Nutzer und trenne auch sie. Ransomware kann sich über SMB verbreiten.
  4. Schalte den PC nicht hart aus. Der Speicher kann den Verschlüsselungsschlüssel enthalten, der von manchen Forensik-Tools nutzbar ist.

In diesem Stadium stoppt die aktive Verschlüsselung (Ransomware braucht Netzwerk oder Datenträger, um fortzufahren). Hol Luft.

Phase 2 — Für Anzeige und Entschlüsseler dokumentieren

Erstelle mit einem anderen Gerät (Handy, zweiter PC) eine Beweismappe:

  • Foto des Lösegeldbildschirms.
  • Aufnahme des README-Dateinamens, den die Angreifer hinterlassen haben (oft README.txt, HOW_TO_DECRYPT.html usw.) und seines vollständigen Inhalts.
  • Notiere die an verschlüsselte Dateien angehängte Erweiterung (.locked, .lockbit3, .crypt usw.).
  • Ungefährer Entdeckungszeitpunkt.
  • Liste der Programme, die gerade liefen.
  • Wahrscheinliche Herkunft (E-Mail-Anhang, verdächtiger Link, geknackte Software-Aktualisierung).

Diese Elemente stützen die Anzeige (erforderlich, um die Cyberversicherung zu aktivieren) und die Identifizierung der Variante.

Phase 3 — Die Variante identifizieren

Ein aufgeklappter Laptop auf einem Schreibtisch
Ein aufgeklappter Laptop auf einem Schreibtisch

Gehe auf dem anderen Gerät zu id-ransomware.malwarehunterteam.com (Projekt, das seit 2016 von Michael Gillespie betreut wird). Lade eine verschlüsselte Datei + die README hoch. Das Tool erkennt die meisten Varianten innerhalb von Sekunden. Für die vollständige Anleitung und die Fallstricke der Identifizierung siehe unseren Leitfaden zur Identifizierung mit ID Ransomware.

Sobald identifiziert, prüfe auf einen kostenlosen Entschlüsseler bei No More Ransom — eine gemeinsame Initiative von Europol, der niederländischen Nationalpolizei und mehreren Antiviren-Anbietern. Die Datenbank deckt 2026 mehr als 200 Varianten ab, darunter einige weit verbreitete Familien (Phobos, STOP/Djvu — teilweise, Avaddon, REvil). Existiert noch kein öffentlicher Entschlüsseler, bewahre die verschlüsselten Dateien auf: unsere vollständige Methodik in Ransomware entschlüsseln, ohne zu zahlen listet die verbleibenden Wege auf (Schlüsselleaks, Schwachstellen, öffentliche Freigabefenster).

Wenn ein Entschlüsseler existiert: folge seinen Anweisungen genau, teste zuerst an einer kopierten Datei (nie am Original).

Phase 4 — Aus einem sauberen Backup wiederherstellen

Der zuverlässigste Wiederherstellungsweg, wenn du ein Backup hattest.

Fall 1 — Cloud-Backup mit Versionierung

OneDrive, Google Drive, Dropbox, Backblaze, IDrive und Vergleichbare bewahren frühere Versionen von Dateien auf. Konkret:

  • OneDrive: Web → Datei → Drei-Punkte-Menü → Versionsverlauf. Erlaubt die Wiederherstellung der Version vor der Verschlüsselung.
  • Google Drive: Web → Datei → Rechtsklick → Versionen verwalten.
  • Backblaze Computer Backup: Web-Oberfläche → Schaltfläche Restore → ein Datum vor dem Angriff wählen.
  • iCloud: begrenzt, speichert nicht alle Versionen; prüfe die iCloud-Drive-Website.

Stelle Datei für Datei oder in großem Umfang über die APIs der Dienste wieder her. Verbinde den infizierten Rechner nicht mit deinem Cloud-Konto, bis er bereinigt ist.

Fall 2 — Lokales Backup (externes Laufwerk / NAS)

Wenn du das Laufwerk zwischen den Backups getrennt hattest, ist es wahrscheinlich sicher. Zum Prüfen:

  1. An einem anderen, sauberen PC das Laufwerk schreibgeschützt anschließen (USB-Lesegerät mit Schreibschutzschalter, wenn möglich).
  2. Öffne aktuelle Dateien — öffnen sie normal, ist das Backup intakt.
  3. Lösche und installiere das Betriebssystem auf dem infizierten PC sauber neu.
  4. Stelle aus dem Backup wieder her, sobald das System neu aufgesetzt ist.

Wenn das externe Laufwerk während des Angriffs verbunden war, behandle es als möglicherweise verschlüsselt. Scanne seinen Inhalt — aktuelle Dateien tragen wahrscheinlich dieselbe Erweiterung.

Phase 5 — Schattenkopien und Restdateien wiederherstellen

Ohne Backup und ohne Entschlüsseler bleiben zwei Wege:

Windows-Schattenkopien

Windows erstellt manchmal Schattenkopien (Volume-Snapshots), die Ransomware mit vssadmin delete shadows /all zu löschen versucht. Aber viele übersehen einige Partitionen oder werden unterbrochen.

Zum Prüfen:

  1. Öffne eine Admin-Eingabeaufforderung → vssadmin list shadows. Werden Kopien aufgelistet, gibt es Hoffnung.
  2. Nutze ShadowExplorer (kostenlos, Open Source) oder EaseUS Data Recovery Wizard, um Schattenkopien zu durchsuchen und Dateien von vor der Infektion wiederherzustellen.

Wiederherstellung von temporären Dateien und Binärsignaturen

EaseUS Data Recovery Wizard kann auch freie Datenträgersektoren nach unverschlüsselten Fragmenten durchsuchen: Office-.tmp-Dateien, Adobe-Autospeicherungen, Photoshop-Scratch (.psb), EXIF-Miniaturansichten von Fotos.

Vorgehen:

  1. Installiere EaseUS Data Recovery Wizard auf einem USB-Stick oder einem anderen PC (nicht auf dem infizierten System).
  2. Schließe das infizierte Laufwerk schreibgeschützt am sauberen PC an (oder boote von einem Recovery-Live-USB).
  3. Führe einen Tiefenscan durch.
  4. Filtere nach Dateityp (.docx, .jpg, .xlsx) und nach Datum vor der Infektion.
  5. Stelle auf einem sauberen Laufwerk wieder her.

In den letzten sechs durch Support-Community-Fälle dokumentierten Tests stellte diese Methode 15 bis 40 % des Inhalts wieder her — nicht ideal, aber oft besser als null.

Redaktionelle Empfehlung
4.5 / 5

Einen Scan mit EaseUS Data Recovery Wizard durchführen

Gegründet 200430 Tage GarantieKostenlose 2-GB-Version
Das Angebot ansehen

Phase 6 — Meldung, Benachrichtigung und Härtung

Anzeige erstatten

DSGVO-Meldung

Wenn du personenbezogene Daten Dritter verarbeitest (Kunden, Mitarbeiter, Kontakte), ist eine DSGVO-Meldung innerhalb von 72 Stunden bei wahrscheinlichem Datenabfluss verpflichtend. In Deutschland erfolgt die Meldung bei der zuständigen Datenschutzaufsichtsbehörde.

Neu aufsetzen und härten

Verbinde nach dem Vorfall nie ein infiziertes System ohne saubere Neuinstallation. Und vor der Wiederinbetriebnahme:

  • Betriebssystem-Patches aktuell, EDR aktuell.
  • 3-2-1-Backups streng durchgesetzt, einschließlich einer unveränderlichen externen Kopie.
  • Mehrfaktor-Authentifizierung überall (Mail, Cloud, Fernzugriff).
  • Office-Makros standardmäßig deaktiviert.
  • Riskante Erweiterungen (.exe, .scr, .js, .vbs, .iso, .img) am Mail-Gateway gefiltert.

Siehe unseren Leitfaden Automatisches Backup Windows / Mac 2026 zur Einrichtung einer ransomware-resistenten Backup-Strategie. Für einen Unternehmenskontext (KMU, Mehrplatz, NAS, Veeam-Backups) deckt unser Beitrag Ransomware-Schutz für Unternehmen 2026 die zusätzlichen Kontrollen ab (Segmentierung, Unveränderlichkeit, EDR, Wiederherstellungsübungen).

Nicht zahlen: warum

Die Behörden (ANSSI, FBI, CISA, Europol) raten einstimmig vom Zahlen ab. Gründe:

  • Keine Wiederherstellungsgarantie: 1 von 4 Opfern erhält nach der Zahlung keinen funktionierenden Schlüssel (Sophos State of Ransomware 2024).
  • Finanzierung der Cyberkriminalität: deine Zahlung finanziert die nächste Kampagne.
  • Als lohnenswertes Ziel markiert: Akteure teilen Listen von Zahlern. Reinfektionen sind innerhalb von 18 Monaten häufig.
  • Sanktionen: das Zahlen an bestimmte Gruppen (auf OFAC-, EU-, UN-Listen) kann eine Straftat darstellen.

Richtiger Reflex: aus Backup oder Entschlüsseler wiederherstellen, härten, die Lehren ziehen.

Ressourcen

Redaktionelle Empfehlung
4.5 / 5

Back up now so ransomware can't win → EaseUS Todo Backup

Automatic backups · disk clone · offline copy

Gegründet 200430 Tage GarantieKostenlose 2-GB-Version
Das Angebot ansehen
Verwandte Artikel

Weiterlesen