Manche Schadprogramme nehmen so tiefgreifende Veränderungen am Betriebssystem von Desktop-Computern, Laptops oder Notebooks vor, dass sie selbst mit hochentwickelten Sicherheitslösungen nicht zu reparieren sind. Die beste Methode zur Infektionsbeseitigung besteht daher in der Neuformatierung des Systemlaufwerks und dem Rückspielen vorab gesicherter Systemabbilddateien.

Im Falle einer Ransomware-Infektion folgt die Rekonstruktion der Daten und gegebenenfalls von Anwenderprogrammen aus Sicherungskopien. Dieses Vorgehen ist in vielen Situationen weniger aufwändig und daher einfacher als eine komplette Neuinstallation. Zugleich ist es deutlich sicherer als jeder Bereinigungsversuch.

Allerdings setzt diese vom BSI empfohlene Methode zur Infektionsbeseitigung die Verfügbarkeit aktueller Back-ups voraus – sowohl Ihres Betriebssystems als auch aller Daten und Programme. Das BSI rät deshalb dringend zu regelmäßigen Datensicherungen. Aktuelle Back-ups sind nicht nur eine wirksame Prävention gegen die um sich greifenden Erpressungsversuche mit Ransomware, sondern beugen auch Datenverlusten bei Hardware-Defekten vor.

Infektionsbeseitigung in zehn Schritten

1. Bei Verdacht auf einen Schadprogrammbefall sollten Sie die Arbeit schnell, aber wie gewohnt beenden. Vor allem gilt: Keine Panik!
2. Schalten Sie den Computer aus.
3. Wenn Sie kein Experte sind, holen Sie sich am besten fachlichen Rat. Denn die Beseitigung eines Schadprogramms kann mitunter ein trickreiches, technisch anspruchsvolles Unterfangen sein. Verwenden Sie dafür am besten eine sogenannte Rescue-Lösung, die viele Anbieter von Antivirus-Software kostenlos zum Download anbieten. Solche Lösungen werden oft als sogenannte ISO-Datei angeboten, die an einem anderen, infektionsfreien Computer heruntergeladen und auf eine CD gebrannt beziehungsweise auf einem USB-Stick gespeichert werden sollte. Damit verfügen Sie über ein sauberes Boot-Medium, um Ihren Rechner ohne Rückgriff auf das infizierte Betriebssystem zu starten.
4. Nachdem Sie die CD eingelegt beziehungsweise den USB-Stick eingesteckt haben, schalten Sie Ihren Rechner wieder an und rufen unmittelbar nach dem Start beim Hochfahren die Firmware des Computers (das sogenannte UEFI oder BIOS) auf. Wählen Sie hier den Menüpunkt BOOT und stellen Sie in der Bootreihenfolge als erste Position entweder das CD-Laufwerk oder den USB-Port ein – je nachdem, auf welchem Datenträger Sie die Rescue-Lösung gespeichert haben. Wenn Sie nun die BIOS- oder UEFI-Einstellungen über die EXIT-SAVE-Option verlassen, lädt der Computer das Betriebssystem nicht von der potenziell verseuchten Festplatte, sondern vom sauberen CD-Laufwerk beziehungsweise dem USB-Stick.
5. Falls noch nicht geschehen: Sichern Sie wichtige Daten. Die meisten Rescue-Lösungen halten dafür ein entsprechendes Tool bereit.
6. Überprüfen Sie den PC oder Laptop mit der Scan-Funktion der Rescue-Lösung.
7. Sollte bei dem Scan ein Schadprogramm identifiziert worden sein, wählen Sie in der Rescue-Lösung nun die Option zum Entfernen der detektierten Malware. Sollte dies nicht automatisch funktionieren, finden Sie auf der Webseite des Herstellers eventuell Handlungsanweisungen anhand einer Malware-Datenbank, die das empfohlene Vorgehen für den konkreten Fall meist Schritt für Schritt beschreiben.
8. Überprüfen Sie noch einmal sämtliche Datenträger einschließlich der Systemfestplatte, um sicherzugehen, dass die Schadsoftware auch wirklich restlos entfernt wurde. Wenn dem so ist, fahren Sie den Rechner herunter und setzen Sie nach einem Neustart Ihre Systemfestplatte wie in Punkt 4 beschrieben wieder auf die erste Bootposition.
9. Falls das Schadprogramm Daten oder Programme gelöscht, verschlüsselt oder verändert hat, können Sie diese aus Sicherungskopien – sofern vorhanden – rekonstruieren.
10. Abschließend sollten Sie nun versuchen, dem Ursprung der Schadprogramminfektion auf den Grund zu gehen: Kommt als Quelle nur ein Original-Datenträger infrage, informieren Sie bitte umgehend den Hersteller und das BSI. Kam das Schadprogramm hingegen über eine Datei oder E-Mail auf Ihr System, sollten Sie prüfen, ob Sie den Ersteller der Datei beziehungsweise den Absender der E-Mail kennen und ihn in diesem Fall benachrichtigen. Haben Sie in der Zwischenzeit selbst Daten von einem infizierten Computer verschickt oder weitergegeben, dann warnen Sie alle Empfänger.