Maßnahmen gegen Malware-Befall

Erste Hilfe und Prävention bei Ransomware und anderen Schädlingen

Was ist zu tun, wenn am Rechner eine verdächtige Datei auftaucht, ungewöhnliche Aktivitäten beobachtet werden oder gar eine Lösegeldforderung auftaucht? Die richtige Reaktion kann helfen, die Ausbreitung von Malware-Angriffen zu verhindern und den Schaden zu minimieren.

1. Ruhe bewahren

Angreifer vorerst ignorieren: Nehmen Sie keinen Kontakt auf, solange Sie Ihre Optionen nicht kennen bzw. das nicht unbedingt erforderlich ist.
Notfallteam / Hilfe organisieren, um die aktuelle Situation korrekt einzuschätzen und einen Plan für Gegenmaßnahmen auszuarbeiten.
Alternativ wenden Sie sich sofort an eine dieser Stellen:

https://bundeskriminalamt.at/602/
https://www.onlinesicherheit.gv.at/Themen/Erste-Hilfe/Meldestellen.html
https://www.wko.at/Content.Node/kampagnen/cyber-security-hotline/index.html

2. Status Quo erfassen

Verschaffen Sie sich einen validen Überblick über die direkten Auswirkungen, um weitere Maßnahmen abzuleiten und in Angriff nehmen.

Welche Systeme Ihres Hauses / Ihrer Netzwerke sind betroffen?
Welche Ransomware-Variante wurde gegen sie eingesetzt? https://www.nomoreransom.org/crypto-sheriff.php?lang=de
Mit welchen Ausfällen müssen Sie rechnen?
Wen müssen Sie wann und wie über Ihre Situation informieren?

3. Bewusstsein schaffen

Machen Sie sich bewusst, dass

Ihre IT-Infrastruktur kompromittiert ist.
der Angreifer Ihre Schritte und Maßnahmen eventuell mitverfolgen/mitlesen kann.
der Angreifer wahrscheinlich seit Tagen oder Wochen in Ihren Netzen aktiv und relativ gut über Ihre Netzwerke, Infrastrukturen und Daten informiert ist.
vermutlich Daten gestohlen wurden,

Der Erpresser wird im Regelfall Infrastrukturen gemietet haben. D.h. es sind NICHT die jeweilige Ransomware oder der Diensteanbieter, der Sie angreift – jeder kann diese Werkzeuge nutzen!

4. Befallene Systeme trennen

Identifizieren Sie jene Bereiche Ihres Netzwerkes, die noch nicht infiziert wurden
Isolieren Sie infizierte Bereiche so schnell wie möglich, um eine Ausbreitung zu verhindern.
Denken Sie dabei auch an externe Datenanbindungen wie Festplatten, Cloud-Anbindungen oder andere Schnitt stellen.

Beachten Sie, dass auch Maschinen, auf denen keine „Erpresser-Nachricht“ auftaucht, kompromittiert sein können.

5. Ransomware entfernen

Starten Sie Ihren Computer im abgesicherten Modus neu, indem Sie während des Starts wiederholt die Taste F8 drücken, bis das Menü „Erweiterte Startoptionen“ erscheint. Wählen Sie den abgesicherten Modus mit Netzwerkbetrieb, damit beim Hochfahren des Computers nicht automatisch auch die Malware gestartet wird.
Prüfen Sie Ihr System mit einer vertrauenswürdige und aktuellen Anti-Malware-Software vollständig auf Maware. Löschen Sie gefundene Bedrohungen bzw. ziehen Sie gegebenenfalls Expert*innen hinzu.
Überprüfen Sie Ihre Systemdateien: Manche Malware kann Systemdateien beschädigen oder löschen. Öffnen Sie als Administrator die Eingabeaufforderung und geben Sie den Befehl „sfc /scannow“ ein, um
Ihre Systemdateien zu scannen und gefundene Probleme zu reparieren.

6. Sicherheitslücken schließen

Finden Sie – gegebenenfalls mithilfe forensischer Fachkräfte – das Einfallstor, über das die Angreifer in Ihre Systeme gelangt sind.
Eruieren Sie, wo und wie sich die Angreifer festgesetzt haben. Dieses Wissen ist für die Wiedererlangung Ihrer Systemintegrität unerlässlich.
Vergewissern Sie sich, dass Ihre gesamte Software, einschließlich Ihres Betriebssystems und Ihres Webbrowsers, auf dem neuesten Stand ist und die neuesten Sicherheits-Patches installiert sind. Dies wird dazu beitragen, zukünftige Malware-Infektionen zu verhindern.

7. Backups überprüfen

Bevor Sie versuchen, Dateien wiederherzustellen oder zu entfernen, sollten Sie eine Sicherungskopie der verschlüsselten Dateien erstellen, um weitere Schäden oder Verluste zu vermeiden.
Achten Sie darauf, dass Sie nur Dateien aus Backups wiederherstellen, die nicht mit der Ransomware infiziert wurden, und dass die Malware restlos aus Ihrem Netzwerk entfernt wurde.
Sollte es nicht mehr möglich sein, Ihre verschlüsselten Daten aus Backups zu rekonstruieren, überlegen Sie, welche Daten Sie unbedingt benötigen und ob Sie diese aus anderen Quellen wiederbeschaffen können – etwa von Kunden oder

8. Vorfall melden und Anzeige erstatten

Beachten Sie die rechtlichen Vorgaben zur Meldung des Vorfalls und Informationen Betroffener.
Bei besonders kritischen oder schützenswerten Daten kontaktieren Sie Ihre Partner oder Kunden am besten telefonisch.
Informieren Sie auch Ihre Mitarbeitenden über den Vorfall und darüber, welche Informationen sie an Dritte weitergeben können oder sollen.
Erstatten Sie außerdem Anzeige bei Ihrer nächsten Polizeidienststelle.

Kurzversion des Ransomware-Notfallplans zum Abspeichern und Ausdrucken