Ruhige Schritt-für-Schritt-Anleitung im Ernstfall: Was sofort hilft, was Sie vermeiden sollten und wann professionelle Hilfe nötig ist. Unabhängig, ohne Software-Verkauf.
Unabhängiges Angebot. BKA-Trojaner.de ist keine Behördenseite und verkauft keine Software. Diese Inhalte sind eine ruhige Orientierung und ersetzen keine professionelle Incident-Response-, Forensik-, Rechts- oder IT-Beratung.
Diese Reihenfolge ist eine bewährte Orientierung. Wenn Sie an einem Punkt unsicher sind, holen Sie professionelle Hilfe, statt zu improvisieren.
Sperrmeldungen, Warntöne und Countdowns sind bewusst so gestaltet, dass sie Druck erzeugen. Treffen Sie keine Entscheidung im Affekt. Wer kurz innehält, trifft fast immer die besseren Schritte.
WLAN deaktivieren, LAN-Kabel ziehen, mobile Daten ausschalten. Damit verhindern Sie, dass sich Schadcode weiter ausbreitet oder zusätzliche Daten abfließen. Das Gerät selbst muss dafür nicht heruntergefahren werden.
Fotografieren Sie die Sperrmeldung mit dem Smartphone, falls das Gerät blockiert ist. Notieren Sie Datum, Uhrzeit und ungewöhnliche Beobachtungen. Diese Beweise sind später wichtig für Anzeige und Analyse.
Geben Sie weder Kreditkartendaten noch Online-Banking-Daten ein und kaufen Sie keine Gutschein- oder Paysafecards. Echte Behörden fordern so etwas nicht, und auch bei echter Ransomware ist eine Zahlung selten der richtige Weg.
Im akuten Moment locken viele zweifelhafte Tools mit Versprechen wie sofortige Entfernung. Solche Downloads installieren oft selbst Schadcode oder verschlimmern die Situation. Bleiben Sie bei etablierten Anbietern und bei professioneller Hilfe.
Viele Sperrmeldungen sind reine Browser-Tricks. Lässt sich das Problem durch Beenden des Browsers über den Task-Manager und einen sauberen Neustart lösen, war es vermutlich Scareware. Bleibt die Sperrung danach bestehen, betrifft sie das System.
Wenn Dateien plötzlich unbrauchbar wirken, fremde Endungen tragen oder Erpresserschreiben auftauchen, beenden Sie alle weiteren Aktionen am Gerät. Keine Reparaturversuche, keine Umbenennungen, keine Neuinstallation auf eigene Faust.
Im Privatumfeld hilft eine vertrauenswürdige IT-Werkstatt. Im Unternehmen läuft alles Weitere über den Notfallplan, die IT-Sicherheit und gegebenenfalls einen spezialisierten DFIR-Dienstleister. Anzeige bei der Polizei gehört dazu.
Für viele Ransomware-Familien gibt es kostenfreie Entschlüsselungstools über No More Ransom. BSI und Polizei bieten zusätzlich Hinweise und Anlaufstellen. Bevorzugen Sie diese Quellen gegenüber beliebigen Foren-Anleitungen.
Nach dem akuten Vorfall: Passwörter wichtiger Konten von einem sauberen Gerät aus ändern, Mehrfaktor-Authentifizierung aktivieren, Updates einspielen und ein belastbares Backup-Konzept einrichten - idealerweise mit Kopien, die offline gehalten werden.
Spätestens wenn Dateien verschlüsselt erscheinen, mehrere Geräte betroffen sind oder sensible Daten im Spiel sind, gehört ein Vorfall in fachkundige Hände. Im Unternehmen ist das fast immer der Fall, da zusätzlich Datenschutz- und Meldepflichten greifen können.
Bundesamt für Sicherheit in der Informationstechnik. Allgemeine Hinweise, Warnungen und Empfehlungen.
Strafanzeige bei der örtlichen Polizei oder über die Online-Wache des jeweiligen Bundeslandes.
Internationales Projekt mit kostenfreien Entschlüsselungstools für viele Ransomware-Familien.
Ruhe bewahren, ein Foto der Meldung machen, das Gerät bei Verdacht auf echten Befall vom Netzwerk trennen, nicht zahlen und keine fragwürdigen Tools installieren. Im Zweifel professionelle Hilfe einbeziehen.
Kein Lösegeld zahlen, keine Bank- oder Kreditkartendaten in die Meldung eingeben, keine unbekannten Reinigungs-Tools laden, keine Telefonnummern aus der Sperrmeldung anrufen und nichts überstürzt löschen oder neu installieren.
Wenn die Meldung nur im Browser-Fenster erscheint, sich nach Beenden des Browsers über den Task-Manager und einen Neustart nicht wieder zeigt und keine Dateien auf dem System verschlüsselt sind.
Wenn die Sperrung nach einem Neustart bleibt, das gesamte System betrifft, Dateien plötzlich fremde Endungen tragen oder Erpresserschreiben auftauchen. Auch ungewöhnliche Festplattenaktivität und nicht mehr öffenbare Dokumente sind Warnzeichen.
BSI, BKA und andere Strafverfolgungsbehörden raten davon ab. Es gibt keine Garantie auf Entschlüsselung, Zahlungen finanzieren die nächsten Angriffe und können rechtlich problematisch sein. Details unter Lösegeld zahlen.
Foto oder Screenshot der Meldung, Erpresserschreiben, Dateinamen und -endungen verschlüsselter Dokumente, Zeitstempel, ungewöhnliche Vorfälle vor dem Befall und betroffene Geräte. Diese Informationen brauchen Polizei und Dienstleister.
Sobald Dateien verschlüsselt erscheinen, mehrere Geräte betroffen sind, sensible Daten betroffen sein könnten oder Sie sich bei den nächsten Schritten unsicher fühlen. Im Unternehmen immer, da ein Vorfall meist auch Datenschutz- und Meldepflichten auslöst.
Das BSI bietet allgemeine Hinweise und Warnungen. Die Polizei (örtlich oder über die Online-Wache) nimmt Anzeigen entgegen. Das internationale Projekt No More Ransom stellt freie Entschlüsselungstools bereit. Für Unternehmen sind zusätzlich spezialisierte Incident-Response- und DFIR-Dienstleister sinnvoll.