Ransomware entfernen

• Täter:innen kompromittieren häufig zuerst Identitäten, bewegen sich lateral im Netzwerk und greifen anschließend File-Server, Virtualisierung und Back-ups an.
• Isolieren Sie betroffene Systeme, trennen Sie kritische Segmente, sichern Sie Konten und schützen Sie Back-ups, bevor Sie mit der Entfernung der Ransomware beginnen.
• Rekonstruieren Sie Eintrittsweg und Ablauf des Angriffs, sichern Sie Beweise und prüfen Sie konsequent verbliebene Zugriffswege. Sonst findet der Angriff nach der Wiederherstellung erneut statt.
• Stellen Sie Daten bevorzugt aus geprüften Back-ups wieder her und rotieren Sie Passwörter sowie Schlüssel. Erhöhen Sie außerdem die Sicherheitsüberwachung, bevor Systeme wieder online gehen.

• Schadensbegrenzung: Ausbreitung stoppen, privilegierte Zugänge sichern, Back-ups schützen
• Aufklärung: Eintrittsweg und Zeitlinie rekonstruieren, betroffene Assets vollständig erfassen
• Wiederherstellung: Systeme bereinigen oder neu aufsetzen, Daten konsistent wiederherstellen, Überwachung intensivieren

Empfohlene Sofortmaßnahmen:

• Betroffene Systeme isolieren: Netzwerkkabel ziehen, WLAN deaktivieren, VPN trennen
• Segmentierung verschärfen: Server-Netze, Admin-Netze und Back-up-Netze separieren
• Konten absichern: kompromittierte Benutzerkonten sperren, privilegierte Rollen prüfen, Admin-Konten schützen
• Sitzungen beenden: Tokens und Sessions widerrufen, SSO-Zugänge (Single Sign-on) kontrollieren
• Back-ups schützen: Schreibzugriffe stoppen, Back-up-Ziele isolieren, Replikation pausieren

Dokumentieren Sie alle Schritte:

• Incident Lead benennen: eine Stelle priorisiert Maßnahmen und koordiniert Teams
• Sichere Kommunikation festlegen: über Kanäle außerhalb des kompromittierten Umfelds
• Beweise sichern: Screenshots von der Lösegeldforderung, auffällige Dateiendungen, verdächtige Prozesse, Logs, Hashes verdächtiger Dateien (über Systemtools wie „Get-FileHash“ erzeugbar; ermöglichen den Abgleich mit Malware-Datenbanken zur eindeutigen Identifikation)
• Zeitlinie starten: Zeitpunkt erster Auffälligkeiten, erste Isolation, Beginn der Verschlüsselung, weitere Ereignisse zeitlich festhalten

Setzen Sie die Tool-Kette entlang eines klaren Ablaufs ein:

• EDR/XDR für Eindämmung: zur Quarantäne betroffener Hosts, Analyse von Prozessbäumen und Erkennung verdächtiger Skripte
• IOC-Suche im Bestand (Indicators of Compromise): nach Hashwerten, Pfaden, Domains, IPs, Registry-Artefakten und geplanten Aufgaben
• Zentrale Log-Analyse: prüft VPN, E-Mail-Gateway, Proxy, Firewall, Identity-Provider, Admin-Aktionen
• Offline-Scanner bei Bedarf: Rescue-Medien (z.B. bootfähiger USB-Stick mit Antiviren-Tool) für betroffene Rechner/Betriebssysteme, die sich im Live-Betrieb nicht untersuchen lassen, weil sich Schadsoftware dort tarnt oder Sicherheitsprogramme blockiert

Empfohlene Schritte:

• Aktive (in Betrieb befindliche) Komponenten identifizieren: laufende Prozesse, verdächtige Dienste, ungewöhnliche Pfade oder nicht vertrauenswürdig signierte ausführbare Dateien
• Persistenzen prüfen und entfernen (Komponenten, die nach einem Neustart weiterhin eine Rolle spielen): Autostarts, geplante Aufgaben, Run-Keys (Autostart in der Registry), WMI-Trigger (Windows-Automatik), neue Benutzerkonten
• Remote-Zugänge prüfen: RDP-Konfiguration (Remote Desktop Protocol – Einstellungen für den Remote-Zugriff), Remote-Management-Tools, neue Firewall-Regeln, Admin-Freigaben
• Artefakte sichern: Kopien der relevanten Dateien und Konfigurationen, Hashes dokumentieren
• Neuinstallation bevorzugen: wenn Domain Controller, Jump Hosts (gesicherte Zwischensysteme für Serverzugriffe), Back-up-Server, Management-Server oder Hypervisor-Management betroffen sind
• Manuelle Bereinigung eher vertretbar: bei Endpunkten ohne umfassende Rechte, klarem Befund und geringer Ausbreitung

Methoden zur Entschlüsselung:

• Klären Sie die Ransomware-Variante. Nutzen Sie dafür die Art der Lösegeldnotiz, neu hinzugekommene Dateiendungen, Hashwerte aus dem Arbeitsspeicher des Rechners und einen Abgleich mit Threat Intelligence (aktuelle Infos zu bekannten Tätergruppen und Schadsoftware).
• Nutzen Sie Entschlüsselungstools nur aus vertrauenswürdigen Quellen. Testen Sie diese immer an Kopien befallener Dateien und halten Sie Ergebnisse nachvollziehbar fest.
• Sichern Sie die Datenqualität nach der Wiederherstellung. Arbeiten Sie mit Stichproben, Anwendungsprüfungen und Integritätschecks.

So bereinigen Sie betroffene Systeme:

• Eintrittsweg(e) schließen: Patches installieren, Konfigurationshärtung vornehmen, unnötige Dienste abschalten
• Multi-Faktor-Authentifizierung verpflichtend umsetzen: für privilegierte Konten, Remote-Zugänge und Cloud-Administrationen
• Least Privilege durchsetzen: Admin-Nutzung reduzieren, getrennte Admin-Konten nutzen, klare Rollenmodelle implementieren
• Netzwerk segmentieren: Admin- und Back-up-Netze voneinander trennen und interne Verbindungen zwischen Systemen auf das Notwendige begrenzen
• Back-ups robust machen: Offline-Kopien anlegen, unveränderliche Speicher nutzen, regelmäßige Restore-Tests durchführen

• Erneute Prüfung nach Wiederherstellung: EDR- und Offline-Checks für kritische Systeme durchführen
• Monitoring schärfen: Anomalien bei Anmeldungen feststellen, neue Admin-Aktionen erkennen, Massenänderungen bemerken
• Beobachtung fortführen: mehrere Wochen lang ein erhöhtes Alarmniveau aufrechterhalten, klare Eskalationspfade kennen und nutzen

• Zu frühe Wiederanbindung: Systeme gehen wieder online, bevor Sie versteckte Startpunkte entfernt und den Eintrittspunkt (oder mehrere) geschlossen haben.
• Back-up-Schäden durch Automatismen: Neue Datensicherungen überschreiben saubere Stände, weil geplante Jobs weiterlaufen.
• Zu enger Blick auf Verschlüsselung: Teams behandeln nur die Verschlüsselung, obwohl Identitäten kompromittiert sind und Datenabfluss droht.
• Beweismittelverlust: Logs oder Spuren verschwinden, weil Teams zu früh bereinigen oder Systeme ungeplant neu starten.
• Unkoordinierte Parallelmaßnahmen: Mehrere Teams ändern gleichzeitig Konten und Systeme, ohne zentrale Steuerung und ohne gemeinsame Prioritäten.
• Unsichere Kommunikation: Incident-Details laufen über unsichere oder kompromittierte Kanäle und erhöhen das Risiko weiterer Schäden.
• Ungesicherte Mobilgeräte: Wenn Sie betroffene Mobilgeräte wie Smartphones und Tablets nicht prüfen und absichern, bleibt ein realistischer Rückweg für Angreifer:innen bestehen. Mobile Security umfasst z.B. Geräteschutz, Updates und Zugriffskontrollen für Mobilgeräte.

Beziehen Sie professionelle Hilfe ein, wenn folgende Situationen vorliegen:

• Kernsysteme sind betroffen: Domain Controller, Back-up-Server, Virtualisierungsumgebungen oder zentrale Admin-Werkzeuge sind möglicherweise oder tatsächlich kompromittiert.
• Der Einstieg bleibt unklar: Sie können Eintrittspunkt und Angriffsverlauf nicht belastbar rekonstruieren und erkennen seitliche Ausbreitung nur lückenhaft.
• Es gibt Hinweise auf Datenabfluss: Sie sehen auffällige Uploads, finden Exfiltrationstools oder erhalten Drohungen, dass sensible Daten veröffentlich werden könnten.
• Die Wiederherstellung kommt nicht voran: Abhängigkeiten blockieren den Restore, Prioritäten kollidieren oder Anomalien treten weiterhin auf.
• Die Dokumentationsanforderungen sind hoch: Versicherer, Aufsicht oder Datenschutzstellen verlangen belastbare Nachweise, oder es drohen rechtliche Auseinandersetzungen.