Gridinsoft Logo

Was ist Ransomware?

By Brendan Smith, Cybersicherheitsanalyst bei Gridinsoft (15+ Jahre Malware-Forschung)
Last updated: April 29, 2026

Ransomware blockiert Dateien, Systeme oder Daten und fordert Geld für die Wiederherstellung. Diese Anleitung erklärt Ablauf, erste Schritte und Schutz vor erneuter Infektion.

  • Springen zu:
» Ransomware
Ransomware einfach erklärt

Ransomware einfach erklärt

Ransomware ist Schadsoftware, die Dateien, Geräte oder Unternehmenssysteme sperrt und Geld für einen Entschlüsselungsschlüssel oder das Stoppen einer Datenveröffentlichung verlangt.

Wer nach Ransomware sucht, braucht meist eine von zwei Antworten: eine klare Erklärung der Bedrohung oder Hilfe, weil Dateien bereits gesperrt werden. Diese Seite verbindet beides, ohne in einen Nachrichtenrückblick abzudriften.

Was ist Ransomware?

Ransomware ist Malware zur Erpressung. Sie kann Dokumente, Fotos, Datenbanken und Backups verschlüsseln, den Bildschirm sperren oder Daten stehlen, bevor Geld verlangt wird. Die Lösegeldforderung behauptet oft, Zahlung sei der einzige Weg zur Wiederherstellung. Das stimmt nicht immer, und Zahlung garantiert trotzdem keine Rückgabe.

Moderne Angriffe bestehen häufig aus mehr als Verschlüsselung. Täter stehlen Dateien, drohen mit Veröffentlichung, kontaktieren Mitarbeiter oder Kunden und setzen Opfer unter Zeitdruck. Bei Privatnutzern sind meist persönliche Dateien betroffen. In Unternehmen kommen Ausfallzeiten, Datenabfluss, Meldepflichten und Wiederherstellungskosten hinzu.

Wenn Sie glauben, dass Ransomware gerade aktiv ist

  • Gerät vom Netzwerk trennen. Ethernet abziehen und WLAN ausschalten, um Ausbreitung zu begrenzen.
  • Verschlüsselte Dateien nicht löschen. Dateibeispiele, Lösegeldnotizen und Erweiterungen für die Identifikation aufbewahren.
  • Nicht vorschnell zahlen. Zahlung kann scheitern, Kriminelle finanzieren und Sie erneut zum Ziel machen.
  • Sichere Backups prüfen. Offline- oder Cloud-Versionen nutzen, die während der Infektion nicht verbunden waren.
  • Vor der Wiederherstellung scannen. Aktive Malware entfernen, bevor Dateien zurückgespielt werden, sonst kann die Verschlüsselung erneut beginnen.

Wie Ransomware funktioniert

Ein Ransomware-Vorfall hat meistens mehrere Phasen. Die sichtbare Lösegeldnotiz ist das Ende, nicht der Anfang des Angriffs.

  1. Erster Zugriff. Der Angreifer gelangt über einen bösartigen Anhang, Fake-Download, offenen Fernzugriff, ein gestohlenes Passwort oder eine Schwachstelle hinein.
  2. Ausführung. Ein Loader, Skript oder Trojaner startet den Ransomware-Prozess oder lädt die finale Nutzlast nach.
  3. Vorbereitung. Die Malware kann Sicherheitsprogramme deaktivieren, Schattenkopien löschen, Dienste stoppen oder nach Freigaben und Backups suchen.
  4. Verschlüsselung oder Sperre. Dateien werden verschlüsselt oder das Gerät wird gesperrt. Häufig erscheinen Lösegeldnotizen in betroffenen Ordnern.
  5. Erpressung. Kriminelle verlangen Zahlung und drohen mit Veröffentlichung gestohlener Daten oder Preiserhöhung nach Ablauf einer Frist.

Warnzeichen für Ransomware

Manche Angriffe wirken plötzlich, aber oft gibt es frühe Hinweise, dass etwas nicht stimmt.

  • Dateien haben plötzlich fremde Erweiterungen oder lassen sich nicht öffnen.
  • Ordner enthalten Hinweise wie README.txt, RECOVER-FILES.html oder ähnliche Meldungen.
  • Sicherheitssoftware, Backup-Programme oder Systemwiederherstellung funktionieren nicht mehr.
  • Der Computer wird langsam, während die Festplattenaktivität ungewöhnlich hoch bleibt.
  • Unbekannte Prozesse laufen aus temporären Ordnern, Downloads oder Benutzerprofilen.
  • Remote-Access-Tools, Skripte oder geplante Aufgaben tauchen unerwartet auf.
  • Freigegebene Ordner oder Netzlaufwerke ändern sich gleichzeitig.

Ransomware entfernen und Daten wiederherstellen

Die sichere Reihenfolge lautet: zuerst eindämmen, dann bereinigen, danach wiederherstellen. Wer vor der Bereinigung zurückspielt, riskiert eine erneute Verschlüsselung.

  1. Betroffenes Gerät isolieren. Internet und lokales Netzwerk trennen. Sind mehrere Computer betroffen, schnell voneinander separieren.
  2. Beweise sichern. Lösegeldnotizen, verschlüsselte Beispiele, verdächtige E-Mails und Screenshots aufbewahren. Sie helfen bei der Identifikation.
  3. Variante bestimmen. Dateierweiterungen, Notiznamen und Scanner-Ergebnisse nutzen, um mögliche Entschlüsseler zu prüfen.
  4. Malware entfernen. Einen vollständigen Scan mit einem vertrauenswürdigen Tool ausführen und Autostart, geplante Aufgaben, Dienste und Fernzugriff prüfen.
  5. Entschlüsseler prüfen. Reputierte Decryptor-Quellen durchsuchen, bevor drastische Wiederherstellungsschritte folgen.
  6. Aus sauberen Backups wiederherstellen. Erst nach der Bereinigung wiederherstellen, idealerweise in einer frischen oder geprüften Umgebung.
  7. Offengelegte Zugangsdaten ändern. Passwörter von einem sauberen Gerät aus erneuern, besonders für E-Mail, Cloud, VPN, RDP und Administratorkonten.

Für Windows-Bereinigung und Prävention starten Sie mit dem Anti-Ransomware-Ablauf. Bei breiteren Malware-Symptomen zuerst den Malware-Entfernungsablauf nutzen.

Können Ransomware-Dateien entschlüsselt werden?

Manchmal, aber nicht immer. Kostenlose Entschlüsselung ist möglich, wenn Forscher einen Fehler finden, Strafverfolger Schlüssel sichern oder die Malware einen Offline- beziehungsweise wiederverwendeten Schlüssel nutzte. Bei korrekt eingesetzter starker Verschlüsselung mit eindeutigem Online-Schlüssel gibt es oft keinen freien Decryptor.

Vor Zahlung oder Neuinstallation sollten vertrauenswürdige Quellen wie No More Ransom geprüft und verschlüsselte Beispiele behalten werden. Auch wenn heute kein Werkzeug existiert, können für manche Familien später Schlüssel oder Tools erscheinen.

Häufige Arten von Ransomware

Typ Was sie macht
Verschlüsselnde Ransomware Verschlüsselt Dateien und fordert Geld für einen Entschlüsselungsschlüssel.
Locker-Ransomware Sperrt Gerät oder Bildschirm, ohne zwingend jede Datei zu verschlüsseln.
Leakware oder Doxware Stiehlt Daten und droht mit Veröffentlichung, wenn nicht gezahlt wird.
Ransomware-as-a-Service Infrastruktur, die an Partner vermietet wird, die Angriffe durchführen und Gewinne teilen.
Wiper-ähnliche Ransomware Sieht wie Ransomware aus, dient aber vor allem Datenzerstörung oder Betriebsstörung.

Wie sich Ransomware verbreitet

Ransomware erscheint selten ohne Einstiegspunkt. Die häufigsten Wege sind bekannt, deshalb wirkt Prävention weiterhin.

  • Phishing-E-Mails: Anhänge, Links, falsche Rechnungen, Lieferhinweise oder Dokumentaufforderungen.
  • Bösartige Downloads: Cracks, Keygens, gefälschte Installer, falsche Browserupdates und neu verpackte Software.
  • Gestohlene Zugangsdaten: wiederverwendete Passwörter für E-Mail, Cloud, VPN oder Remote Desktop.
  • Offener Fernzugriff: schlecht geschütztes RDP, VPN, Remote-Monitoring oder Admin-Tools.
  • Ungepatchte Software: verwundbare Server, Plugins, CMS-Installationen und Netzwerkgeräte.
  • Andere Malware: Trojaner, Dropper, Spyware oder Botnets, die später Ransomware nachladen.

Wie man sich vor Ransomware schützt

Guter Schutz ist kein einzelnes Produkt und keine einzelne Einstellung. Es ist ein Schichtmodell: Einstiegspunkte reduzieren, Backups außerhalb der Reichweite halten und verdächtiges Verhalten früh erkennen.

  1. Offline- oder unveränderbare Backups nutzen. Backups sollten nicht dauerhaft vom potenziell infizierten Gerät beschreibbar sein.
  2. Software schnell aktualisieren. Windows, Browser, Dokumentreader, VPN-Clients und internetnahe Systeme patchen.
  3. Starke Authentifizierung verwenden. MFA für E-Mail, Cloud, VPN, Remote Desktop und Administratorkonten aktivieren.
  4. Fernzugriff begrenzen. Öffentliches RDP möglichst deaktivieren und Admin-Tools auf vertrauenswürdige Netze beschränken.
  5. Riskante Downloads blockieren. Cracks, Raubkopien, unbekannte Download-Manager und Fake-Updates vermeiden.
  6. Frühes Verhalten beobachten. Massenhafte Dateiänderungen, deaktivierte Sicherheit und gelöschte Schattenkopien sind dringende Signale.
  7. Anti-Malware-Schutz einsetzen. Einen Scanner für vollständige Systemprüfungen und Bereinigung nach verdächtiger Aktivität bereithalten.

Müssen Sie einen Windows-PC prüfen?

Gridinsoft Anti-Malware sucht nach Ransomware, Trojanern, Spyware, Droppern und Persistenz-Komponenten, die eine Infektion am Leben halten.

Scannen Sie mit Gridinsoft Anti-Malware oder folgen Sie dem Anti-Ransomware-Ablauf.

Ransomware-Familien und Beispiele

Familien ändern sich mit der Zeit, aber viele Techniken wiederholen sich. Diese Beispiele helfen bei Identifikation und Recherche:

  • LockBit - eine bekannte Ransomware-as-a-Service-Familie.
  • Conti und Ryuk - historisch wichtige Enterprise-Ransomware-Operationen.
  • Dharma - häufig mit offenem Fernzugriff und schwachen Zugangsdaten verbunden.
  • Magniber, MedusaLocker und Snatch - Beispiele mit erkennbaren Lösegeldnotizen und Dateiverhalten.

Aktuelle Ransomware-Recherchen

Häufig gestellte Fragen

Was ist Ransomware?
Ransomware ist Malware, die Dateien, Geräte oder Systeme blockiert und Geld für die Wiederherstellung verlangt. Sie kann Dateien verschlüsseln, den Bildschirm sperren oder mit Datenveröffentlichung drohen.
Was sollte ich nach einem Ransomware-Angriff zuerst tun?
Trennen Sie das Gerät vom Netzwerk, bewahren Sie Lösegeldnotizen und verschlüsselte Beispiele auf und stellen Sie Backups erst nach der Bereinigung wieder her.
Sollte ich das Lösegeld zahlen?
Sicherheitsbehörden raten meist davon ab. Zahlung garantiert keine Wiederherstellung, kann kriminelle Aktivitäten finanzieren und das Opfer erneut interessant machen.
Können Ransomware-Dateien kostenlos entschlüsselt werden?
Manchmal. Ein kostenloser Decryptor kann möglich sein, wenn Forscher einen Fehler finden, Behörden Schlüssel erhalten oder ein Offline-Schlüssel genutzt wurde. Eine Garantie gibt es nicht.
Wie infiziert Ransomware Computer?
Typische Wege sind Phishing-E-Mails, gefälschte Downloads, Fake-Updates, gestohlene Passwörter, offener Fernzugriff, ungepatchte Software und andere Malware.
Kann sich Ransomware im Netzwerk verbreiten?
Ja. Nach einem ersten Einbruch können Angreifer Freigaben, gestohlene Zugangsdaten, Remote-Tools oder Administratorrechte nutzen, um weitere Systeme zu erreichen.
Kann Antivirus Ransomware entfernen?
Anti-Malware kann aktive Ransomware und zugehörige Komponenten entfernen, entschlüsselt Dateien aber normalerweise nur, wenn ein passender Decryptor existiert.
Wie schütze ich mich vor Ransomware?
Nutzen Sie offline oder unveränderbare Backups, installieren Sie Updates, aktivieren Sie MFA, begrenzen Sie Fernzugriff, vermeiden Sie riskante Downloads und verwenden Sie Anti-Malware-Schutz.

References