LEGALAUDIT
Cyber Coach

Ransomware

Ransomware: Opfer-Playbook für Verbraucher und KMU

Dateien sind verschlüsselt, README mit englischen Anweisungen. Was in ersten 60 Minuten und nächsten 72 Stunden tun.

15 Min LesezeitExperte

Warnzeichen

  • Dateien mit neuen Endungen (.locked, .encrypted, .lockbit, .akira, .blackcat)
  • README in jedem Ordner mit Bitcoin- oder Monero-Zahlungsanweisungen
  • Wallpaper mit Countdown geändert
  • Netzwerk-Backups nicht erreichbar (moderne Ransomware verschlüsselt auch verbundene Backups)
  • Windows Defender und Volume Shadow Copies deaktiviert
  • Tor-Site der Gruppe droht mit Veröffentlichung exfiltrierter Daten
  • Lateral Movement: mehrere Workstations gleichzeitig verschlüsselt

Was jetzt tun

  • Infizierte Geräte vom Netz trennen (Kabel + WLAN) aber nicht ausschalten
  • KEINE Lösegeldzahlung: finanziert Kriminelle und Daten oft nicht wiederherstellbar
  • No More Ransom prüfen: für viele Stämme gibt es kostenlose Decryptors
  • Volatilen Speicher und Logs sichern: wichtig für Forensik und Attribution
  • Nationales CSIRT kontaktieren
  • Datenschutzbehörde in 72h bei personenbezogenen Daten benachrichtigen (DSGVO)
  • Kunden und Lieferanten gemäß Vertragspflichten benachrichtigen
  • Aus sauberem Offline-Backup nach vollständiger Bereinigung wiederherstellen

Echter Fall

LockBit-Ransomware bei Industrie-KMU, Emilia 2025

Ein Metallverarbeitungs-KMU in Modena mit 42 Mitarbeitern wacht Montagmorgen mit 78 verschlüsselten PCs auf. Englisches README fordert 320.000 USD in Bitcoin in 72 Stunden, sonst Veröffentlichung von 240GB exfiltrierter Daten auf der LockBit-Tor-Site.

Der CEO zahlt nicht. Er aktiviert CSIRT, benachrichtigt Datenschutzbehörde, ruft Kunden. Mythos analysiert Endpoint-Forensikbild: Einstiegspunkt exponierter RDP ohne MFA, Zugangsdaten aus 2023-Datenleck nie geändert. Lateral Movement mit BloodHound, Exfiltration über Rclone zu Mega-Konto.

Der KMU stellt Produktion in 14 Tagen aus Offline-Backup wieder her. Exfiltrierte Daten werden trotzdem veröffentlicht. Mythos generierte Dossier für Anzeige, DSGVO-Meldung und technische Rekonstruktion für Klage gegen IT-Lieferanten. No More Ransom bestätigte keinen Decryptor für Variante.

Was Mythos in diesem Fall kann

  • Ransomware-Stamm-Identifikation aus verschlüsselten Dateien und README
  • Decryptor-Verfügbarkeitsprüfung auf No More Ransom
  • Einstiegspunkt-Analyse (RDP, Phishing, Schwachstellen)
  • Lateral-Movement- und Exfiltrationsrekonstruktion
  • Dossier für CSIRT/Datenschutzmeldung und Versicherungsanspruch
  • Forensische Beweiskette für eventuelle zivil-/strafrechtliche Schritte

Nächste Schritte

Jetzt mit Mythos sprechenDecryptor auf No More Ransom prüfen