Malware entfernen und Schäden minimieren
Im IT-Bereich sind Computer, Smartphones oder andere Systeme permanent der Bedrohung durch vielerlei Malware ausgesetzt. Diese werden von Personen programmiert und rund um die Welt verbreitet, die unterschiedliche Interessen haben. Manche wollen lediglich ihre Programmierkenntnisse oder Systeme nach Schwachstellen testen. Andere wollen wiederum Schäden an den Systemen verursachen. Es gibt auch Personen, die die IT-Systeme missbräuchlich verwenden und materielle Vorteile daraus ziehen wollen. Daneben gibt es viele weitere Motive, weshalb Malware verbreitet wird.
Im Idealfall ist man davon nicht betroffen und hält die verwendeten Systeme sauber. Damit das nach Möglichkeit so bleibt, sollte man sich allgemeine Sicherheitsmaßnahmen sowie Maßnahmen zum Schutz vor Social Hacking erarbeiten. Es sollten auch technische Vorkehrungen zum Schutz vor Malware getroffen werden.
Es kann jedoch immer passieren, dass trotz aller Bemühungen ein System von einer Malware befallen wird. Spätestens jetzt sollten aktive Schritte unternommen werden, um die Malware entfernen zu können und die Schäden so gering wie möglich zu halten. Leider gibt es keinen goldenen Weg und die Reihenfolge der notwendigen Schritte kann von Fall zu Fall unterschiedlich sein. Die nachfolgende Vorgehensweise dient als Beispiel und ist effektiv, die Umstände können jedoch auch eine andere Vorgehensweise erfordern.
Schäden eingrenzen und nach Möglichkeit verhindern
Bemerkt man, dass ein Rechner von einer Malware befallen ist, gilt es zunächst, evtl. Schäden nach Möglichkeit zu verhindern oder zumindest einzugrenzen. Hat man z.B. die persönlichen Daten vom System getrennt und sind diese auf einer externen Festplatte gespeichert, sollte man diese sofort ausschalten. Bei externen Festplatten mit Netzwerkanschluss sollte das Netzwerkkabel getrennt werden. So kann man evtl. verhindern, dass die Malware auf die Festplatte übergreift. Auch sollte man die Internetverbindung trennen und alle dazugehörigen Geräte hierzu wie z.B. Modem oder Router ausschalten. Zur Sicherheit sollte auch der Rechner ausgeschaltet und die Festplatte ausgebaut werden.
Zur Schadensbegrenzung gehört auch, Maßnahmen einzuleiten, die nicht nur das infizierte Gerät oder die angeschlossenen Systeme betreffen. Beispielsweise kann es erforderlich sein, Bank- und Kreditkarten, PIN's und TAN's oder die SIM-Karte für das Mobilfunkgerät zu sperren. Es kann auch erforderlich sein, Bezahlsysteme oder sonstige Accounts im Internet sperren zu lassen. Hierbei sollte man jedoch vorher mit den Anbietern genau klären, wie nach der Beseitigung der Malware ein erneuter Zugriff auf die Systeme erfolgen soll. Sonst kann es passieren, dass man sich quasi selbst dauerhaft aussperrt.
Es sollten nach Möglichkeit auch sofort alle Zugangsdaten wie z.B. Passwörter geändert werden. Dabei sollte man darauf achten, dass man sich auf keinen Fall über den infizierten Rechner auf den Systemen anmeldet, um die Passwörter zu ändern. Am besten hat man ein frisches System ohne persönliche Daten, das die aktuellsten Sicherheitsupdates und ein aktuelles Antivirenprogramm enthält. Sonst kann es passieren, dass Hacker die neu vergebenen Passwörter sofort erhalten. Die gesamte IT-Umgebung, die bei diesem Vorgang verwendet wird, sollte sauber und frei von jeglicher Malware oder Manipulation sein. Das kann auch weitere Geräte wie z.B. den Router betreffen, der manipuliert sein kann und ausgetauscht werden muss.
Es sollte auch schnellstmöglich geprüft werden, ob bereits Missbrauch betrieben wurde, z.B. ob Überweisungen bei der Bank getätigt wurden, ob im Internet Waren bestellt oder Bezahlungen durchgeführt wurden und ähnliches, damit man diese Dinge soweit es geht rechtzeitig stoppen bzw. stornieren lassen kann. Jegliche Missbrauchsmöglichkeit sollte unterbunden werden.
Informationen über die Malware einholen
Als nächstes sollte versucht werden, Informationen über die Malware einzuholen. Auch hierbei gilt, dass wenn man hierfür das Internet nutzt, nicht infizierte IT-Systeme ohne persönliche Daten verwendet, das die aktuellsten Sicherheitsupdates und ein aktuelles Antivirenprogramm enthält. Dabei sollte man sich nur bei seriösen Quellen informieren. Denn, es kommt durchaus vor, dass die Urheber der Malware Webseiten vorbereiten und ins Internet stellen, auf denen den Betroffenen eine Lösung für das Problem vorgegaukelt wird. Zum Teil bieten sie auf solchen Webseiten Programme zum Download an, die angeblich die Malware beseitigen sollen, in Wirklichkeit jedoch weitere Malware damit eingeschleust werden. Es kommt auch vor, dass die Urheber der Malware auf solchen Webseiten sich als "Retter" anpreisen und zum Teil gegen überhöhte Gebühren ihre Dienste zum Beseitigen der Malware anbieten, die über anonyme Dienste bezahlbar sind.
Man sollte sich auf keinen Fall darauf einlassen. Denn, es ist fragwürdig, ob sie die Malware tatsächlich entfernen. Es ist nämlich durchaus denkbar, dass die Malware nur vorübergehend deaktiviert wird, um den Anschein der Beseitigung zu wahren, um nach einer gewissen Zeit erneut aktiviert zu werden, um die Betroffenen erneut in die Arme der Urheber zu treiben und erneut Geld zu verdienen. Im schlimmsten Fall schleusen sie sogar eine noch gefährlichere Malware ein oder stehlen Daten und richten einen viel größeren Schaden damit an. Daher sollte man sich nur bei seriösen und renommierten Quellen informieren, unter anderem über folgende Punkte:
- Infektionsweg: Wenn man den Infektionsweg kennt, dann kann das dabei helfen, nach der Beseitigung der Malware eine erneute Infektion zu verhindern. Hierfür sollte man auch Vorfälle aus der jüngsten Vergangenheit beachten, die darauf hindeuten könnten. Das können z.B. seltsame Vorgänge wie Programm- oder Rechnerabstürze sein, die nach einer bestimmten Aktion eingetreten sind, z.B. nach dem Öffnen einer E-Mail oder Besuch einer verdächtigen Webseite.
- Malwaretyp und Schadenspotenzial: Es gibt verschiedene Malwaretypen, die unterschiedliche Schadenspotenziale besitzen. Kenntnisse darüber helfen dabei, die Malware richtig einzuordnen, keine unüberlegten Aktionen durchzuführen und Schäden zu verhindern, die man evtl. nicht beachtet hat.
- Abwehrmaßnahmen: Zu den wichtigsten Informationen gehören natürlich die Abwehrmaßnahmen, die gegen die Malware notwendig sind. Es sollte ermittelt werden, ob ein renommierter Hersteller von Antivirenprogrammen die Malware bereits identifiziert hat und eine Lösung in ihrem Antivirenprogramm implementiert hat. Es ist nämlich nicht so, dass alle Antivirenprogramme jede Malware entdecken und beseitigen.
Auswahl, Installation und Aktualisierung des Antivirenprogramms
Da nicht alle Antivirenprogramme alle Malware beseitigen, sollte man eins wählen, das die betreffende Malware zuverlässig beseitigt. Falls man das Antivirenprogramm über das Internet lädt, sollte man auch hier darauf achten, keine mit Malware infizierte sowie mit Sicherheitsupdates und Antivirenprogramm geschützte IT-Systeme zu verwenden. Etwaiger Bezug von Programmen oder Downloads sollten nur bei seriösen und renommierten Anbietern durchgeführt werden. Insbesondere sollte man nicht auf sogenannte Rogueware oder sonstige zweifelhafte Programme hereinfallen, die in Wirklichkeit selbst Malware sein können.
Nach dem Bezug des neuen Antivirenprogramms kann es sein, dass man etwaige alte Antivirenprogramme zuerst deaktivieren oder gar deinstallieren muss, die bereits auf dem Rechner installiert sind. Es kann nämlich durchaus passieren, dass zwei bzw. mehrere Antivirenprogramme sich nicht vertragen bzw. sich gegenseitig behindern. Ob und welche Antivirenprogramme parallel installiert werden können und welche Probleme dabei evtl. auftreten, sollte bei den Anbietern erfragt werden. Sollte es notwendig sein, dass Antivirenprogramme vorher deinstalliert werden müssen, sollte man den Rechner keinerlei Gefahren aussetzen, da zum Zeitpunkt der Deinstallation dieser ungeschützt ist. Beispielsweise sollte die Internetverbindung getrennt werden. Man sollte auch keine fremden Daten auf den Rechner übertragen.
Danach sollte gemäß der Installationsanleitung des Herstellers das ausgewählte Antivirenprogramm installiert werden. Nach der Installation ist es wichtig, das Antivirenprogramm sofort zu aktualisieren. Denn, die Virendefinitionen ändern sich täglich und damit die Malware entfernt werden kann, sollten die neuesten Virendefinitionen vom Hersteller runtergeladen werden. Zur Sicherheit kann man danach den kompletten Rechner überprüfen.
Anschließen und überprüfen der infizierten Festplatte
Danach kommt der entscheidende Schritt zur Beseitigung der Malware auf der infizierten Festplatte. Es ist zugleich ein sehr kritischer Moment. Denn, einerseits muss man die infizierte Festplatte anschließen, damit man es mit dem Antivirenprogramm überprüfen und die Malware beseitigen kann. Andererseits kann es durchaus passieren, dass das Virus erneut versucht, sich auf dem System auszubreiten. Zum Anschließen der Festplatte muss der Rechner natürlich ausgeschaltet werden. Die Festplatte sollte so angeschlossen werden, dass der Rechner bei einem Start nicht von der infizierten Festplatte startet, sondern von der Festplatte, auf dem das Antivirenprogramm installiert und aktualisiert wurde. Außerdem sollte sicherheitshalber die Internetverbindung getrennt werden.
Danach kann der Rechner gestartet werden. Nach der Anmeldung sollte man das Antivirenprogramm starten und die angeschlossene, infizierte Festplatte komplett nach Malware durchsuchen. Werden infizierte Dateien gefunden, blenden Antivirenprogramme normalerweise Fenster ein, über die entschieden wird, was mit den Dateien geschehen soll. Man kann diese z.B. in die Quarantäne verschieben oder gleich löschen. Falls man Löschen auswählt, sollte man sicher sein, dass die Datei tatsächlich gelöscht werden kann. Es kann z.B. vorkommen, dass eine Datei irrtümlicherweise als infiziert gemeldet wird, obwohl es nicht infiziert ist und man diese Datei in Zukunft benötigt. Für solche Fälle bietet sich die Quarantäne an, in die man die Datei verschieben und bei Bedarf wieder herausholen kann.
Kopieren und Migrieren benötigter Daten
Sind alle infizierten Dateien in die Quarantäne verschoben oder gelöscht, müssen benötigte Dateien von der ehemals infizierten Festplatte kopiert und in das neue System migriert werden. Im Idealfall benötigt man keinerlei Daten davon. Denn, es ist immer mit einem gewissen Risiko verbunden, Daten von einer ehemals infizierten Festplatte zu entnehmen. Zu den benötigten Daten gehören nicht nur persönliche Dateien, sondern auch Programmdateien. Viele Programme haben z.B. Datenbankdateien, die gesichert und nach der Installation des Programms auf dem neuen System migriert werden müssen. Auch E-Maildateien müssen häufig gesichert und in das neue System migriert werden. Solche Migrationstätigkeiten sind nicht immer einfach zu bewerkstelligen. Bei Bedarf sollte man sich fachkundige Hilfe holen.
Ehemals infizierte Festplatte nicht verwenden
Nachdem man alle benötigten Daten gesichert hat, sollte die ehemals infizierte Festplatte abgeklemmt und nicht mehr verwendet werden. Man sollte diese eine gewisse Zeit an einem sicheren Ort aufbewahren. Es kann nämlich nach einer gewissen Zeit vorkommen, dass man einige Daten benötigt, die man zunächst nicht berücksichtigt hatte.
Entsorgen der ehemals infizierten Festplatte
Stellt man nach einer gewissen Zeit fest, dass man keine Daten von der ehemals infizierten Festplatte mehr benötigt und entschließt man sich dazu, diesen zu entsorgen, sollte man vorher alle enthaltenen Daten löschen. Hierzu reicht es nicht aus, lediglich die Festplatte zu formatieren. Es gibt Schredderprogramme, die zumindest angeben, alle Daten auf einer Festplatte zu schreddern. Nach dem Schreddervorgang sollte die Festplatte von einem Anbieter der Wahl physisch zerstört und entsorgt werden. Denn, nur eine physische Zerstörung bietet einen größtmöglichen Schutz davor, dass Daten von der Festplatte ausgelesen werden. Man sollte alte Festplatte nicht an anderen Personen geben oder verkaufen.
Fazit zu dieser Vorgehensweise
Diese Vorgehensweise ist zwar effektiv und bietet ein hohes Maß an Schutz. Allerdings hat sie auch einige Nachteile. Beispielsweise wird vorausgesetzt, dass das Betriebssystem nicht mehr von der ehemals infizierten Festplatte gestartet wird. Es setzt auch voraus, dass benötigte Daten auf das neue System migriert werden müssen. Das kann in manchen Fällen zu Problemen führen, z.B. wenn auf dem ehemals infizierten System Programme enthalten sind, die nicht mehr erhältlich sind. Auch die Migration von Daten kann unter Umständen schwierig oder gar unmöglich sein. Die beste Methode, um derlei Unannehmlichkeiten aus dem Weg zu gehen ist daher, ein wirklich gutes Antivirenprogramm zu haben, das möglichst jede Malware erkennt und den Rechner effektiv schützt.
Infektionen, die nicht mit einem Antivirenprogramm beseitigt werden können
Diese Vorgehensweise ist nur als Beispiel anzusehen, weil IT-Systeme auf vielerlei Wegen mit Malware infiziert oder manipuliert werden. Daher könnte in manchen Fällen eine andere Vorgehensweise erforderlich sein. Beispielsweise kann es passieren, dass mittels sogenannter DNS-Changer die DNS-Server am Router manipuliert worden sind. In solchen Fällen hilft kein Antivirenprogramm, da hierbei nicht die Rechner betroffen sind. Es könnte auf Windows-Systemen z.B. die Datei hosts manipuliert worden sein, das von Antivirenprogrammen nicht unbedingt erkannt wird. Die Bedrohungen und Angriffe sind vielfältig. Ist man sich unsicher bzgl. der notwendigen Schritte, sollte man einen vertrauenswürdigen IT-Sicherheitsexperten beauftragen.