Verdacht auf Ransomware oder aktiven Angriff? Jede falsche Handlung kann die Datenverschlüsselung beschleunigen oder eine spätere Rettung unmöglich machen.
Trennen Sie alle LAN-Kabel am betroffenen Gerät und am Server/Switch. Ransomware sucht aktiv im Netzwerk nach weiteren Zielen (Shares, Backups).
Schalten Sie WLAN am Gerät aus (Flugmodus) oder ziehen Sie im Notfall den Stromstecker des Routers, um den Datenabfluss (Exfiltration) zu stoppen.
Unterbrechen Sie die Stromversorgung nicht gewaltsam, sofern nicht anders angewiesen. Ein harter Abbruch kann das Dateisystem beschädigen und eine spätere Entschlüsselung unmöglich machen.
Fotografieren Sie Fehlermeldungen und Erpresser-Notizen ("Readme.txt") mit dem Handy ab.
Erstellen Sie keine Screenshots am PC! Das Speichern ist ein Schreibzugriff, der Beweise zerstört.
Loggen Sie sich nicht ein, um "nachzusehen". Angreifer nutzen oft Keylogger, um Ihre Admin-Passwörter abzufangen und Rechte auszuweiten.
Informieren Sie sofort Ihre IT (telefonisch!). Diese muss zentrale Konten (Active Directory) sperren und globale Passwort-Resets vorbereiten.
Gehen Sie davon aus, dass der Angreifer mitliest. Nutzen Sie für die Alarmierung von Geschäftsführung und IT ausschließlich externe Wege (Handy, Signal/WhatsApp).
Bei Ransomware fließen oft Daten ab. Die 72-Stunden-Frist für die Meldung nach DSGVO beginnt ab Kenntnisnahme.