academy
Sicherheit
Privatsphäre
Leistung
Sprache auswählen
Avast Academy Sicherheit Ransomware So entfernen Sie Ransomware von Android-Geräten

So entfernen Sie Ransomware von Android-Geräten

Eine Ransomware-Infektion ist mit das Frustrierendste, das Ihnen mit Ihrem Android-Gerät passieren kann. Darum ist die beste Verteidigung, Ransomware erst gar nicht auf Ihr Gerät gelangen zu lassen. Wenn Sie sich gerade mit einer Infektion Ihres Geräts herumschlagen – keine Angst! Wir führen Sie Schritt für Schritt durch die besten Methoden zum Entfernen von Ransomware von Ihrem Gerät.

How_to_remove_Ransomware_from_Android-Hero

Kann Ransomware entfernt werden?

Die Handhabung von Android-Ransomware ist schwieriger als die der meisten anderen Arten von Malware, da das Problem durch Entfernen häufig nicht behoben wird. Dies liegt an der Funktionsweise von Ransomware: In vielen Fällen wird Verschlüsselung verwendet, um Ihre Dateien oder Geräte als Geiseln zu nehmen. Sie können die Verschlüsselung nicht ohne einen speziellen Entschlüsselungsschlüssel rückgängig machen. Selbst wenn Sie die Ransomware erfolgreich entfernen, bleibt die Verschlüsselung und macht den Zugriff auf Ihre Dateien oder Ihr Gerät unmöglich.

Hamburguer menu icon

Dieser Artikel enthält:

    Der Großteil der Ransomware fällt unter die Kategorie der Crypto-Malware, da sie Dateien und Ordner angreift und verschlüsselt. Durch das Entfernen der Crypto-Ransomware (oder „Filecoder“) wird zwar weiterer Schaden abgewendet, die bereits durchgeführte Verschlüsselung aber nicht rückgängig gemacht. Die meisten Crypto-Ransomware-Programme zielen auf PCs ab, und es gibt derzeit nicht viele, die auf mobile Geräte zugeschnitten sind.

    Auf einem Pixel- oder Samsung-Smartphone oder einem Android-Gerät ist es am wahrscheinlichsten, dass Sie von einer Ransomware angegriffen werden, die als „Screenlocker“ oder „Locker“ bekannt ist. Diese hält, wie Sie richtig vermuten, Ihr Gerät hinter einer Lösegeldforderung gefangen. Die gute Nachricht ist, dass diese Forderung entfernt und Ihr Gerät wiederhergestellt werden kann, und dies viel leichter als bei Filecodern. Weiter unten in diesem Artikel stellen wir Ihnen einige detaillierte Anleitungen zum Entfernen von Android-Ransomware zur Verfügung.

    Viele Ransomware-Programme deinstallieren sich, nachdem sie ihre Arbeit abgeschlossen haben, um Experten für Cybersicherheit daran zu hindern, sie zu studieren und ihre Verschlüsselungalgorithmen zu knacken. Wenn sie es nicht selbst tun, ist ein Anti-Malware-Tool wie Avast Mobile Security normalerweise stark genug, um die Malware von Ihrem Gerät zu entfernen. Leider kann eine bereits vollzogene Verschlüsselung nicht mehr rückgängig gemacht werden.

    Fokus auf der Vorbeugung

    Angesichts einer so starken Gefährdung ist die Vorbeugung vor Ransomware die einzige Möglichkeit, Ihre Dateien zu schützen. Wenn Sie warten, bis Sie infiziert sind, ist es vielleicht zu spät, Ihre Daten zu schützen. Führen Sie gründliche Backups all Ihrer wichtigen Informationen durch – entweder in der Cloud oder auf einem externen Speichermedium. Auf diese Weise können Sie Ihr Gerät nach einem Angriff problemlos wiederherstellen.

    Avast Mobile Security scannt Ihr Gerät regelmäßig, um schädliche Apps aufzuspüren und zu blockieren, einschließlich der Träger von Ransomware. Stoppen Sie Malware, bevor sie Ihr Gerät überhaupt erreicht, mit vorbeugendem Schutz gegen infizierte Links und anfällige WLAN-Netzwerke. Unsere mobile Sicherheitslösung wird durch dasselbe KI-basierte globale Bedrohungserkennungsnetzwerk geschützt wie unsere preisgekrönten PC- oder Mac-Tools. Installieren Sie Avast Mobile Security und schützen Sie Ihre Geräte vor Ransomware.

    Haben Sie es bereits mit einer Infektion zu tun? Befolgen Sie diese drei Schritte zum Entfernen von Android-Malware.

    1. Infizierte Geräte sofort isolieren

    Wenn Ihr Android-Gerät von Ransomware befallen wurde, müssen Sie es als erstes sofort isolieren. Verwenden Sie es nicht mit ihrem Heim-WLAN-Netzwerk oder einem anderen Gerät. Andernfalls kann sich die Ransomware ausbreiten. Trennen Sie infizierte Geräte und isolieren Sie sie. So reduzieren Sie die Gefahr weiterer Infektionen.

    2. Finden Sie heraus, mit welcher Art von Ransomware Sie es zu tun haben

    Nachdem das infizierte Android-Gerät isoliert ist, ist es an der Zeit herauszufinden, mit welcher Art von Ransomware Sie es zu tun haben.

    • Crypto-Ransomware: Häufiger auf PC als auf mobilen Geräten, verschlüsselt dieser Typ von Ransomware Ihre Dateien, verlangt daraufhin eine Lösegeldzahlung im Austausch für den Entschlüsselungsschlüssel – ob dieser nun existiert oder nicht.

      Crypto ransomware encrypts your files.
    • Locker-Ransomware: Oft als „Screenlocker“ bezeichnet, ist dies die am weitesten verbreitete Art von Ransomware für Mobilgeräte. Anstatt Ihre Dateien zu verschlüsseln, werden Sie mit einem Screenlocker vollständig aus Ihrem Gerät ausgesperrt. Obwohl sie unangenehm sind, lassen sich Screenlocker normalerweise leichter entfernen als Verschlüsselungs-Ransomware.

      An example of screenlocker ransomware, disguised as an FBI alert, shown on an Android phone

    • Scareware: Dieser Typ Malware bringt seine Opfer dazu, für unnötige (und oft nutzlose) Software zu zahlen. Scareware versucht, Sie davon zu überzeugen, dass Ihr Android-Gerät mit einem Virus infiziert wurde, und fordert Sie dann auf, eine Virenschutzlösung zu kaufen, mit der Sie alle Ihre Probleme lösen können. Der Nachteil ist, dass die Software, die Sie kaufen, nutzlos oder selbst Malware ist. Einige Scareware-Programme funktionieren wie Malware, aber normalerweise sind sie eine leere Drohung.

    • Doxxing: Dies ist keine Malware. Es wird aber oft ein Lösegeld gefordert, sodass diese Form hier kurz erwähnt werden sollte. Doxxing ist digitale Erpressung – die Drohung der Veröffentlichung persönlicher oder privater Informationen, wenn das Opfer kein Lösegeld zahlt.

    Alle Gerätetypen – PC, Mac, Android und sogar iOS – wurden bereits von mindestens einer der oben genannten Arten von Ransomware angegriffen. Die moderne Cybercrime-Szene ist weitgefächert und flexibel. Sie versorgt Angreifer mit einem breiten Spektrum an Optionen, wenn es darum geht, ihre Opfer zu erpressen.

    Screenlocker machen den größten Teil der Android-Ransomware aus. Cyber Police zum Beispiel, oft fälschlicherweise als Cyber-Police-Virus bezeichnet, für Android o. ä., ist ein Screenlocker-Trojaner, der Geräte infiziert, wenn die Opfer auf eine schädliche Werbung klicken. Cyber Police kann nur Geräte mit den Android-Versionen 4.0.3 bis 4.4.4 infizieren. Wenn Sie Ihre Software also längere Zeit nicht aktualisiert haben, sollten Sie das umgehend nachholen. Der Artikel-161-Screenlocker oder „Koler“ ist ein weiteres Beispiel für diesen Typ.

    So identifizieren Sie Ihre Ransomware

    Um herauszufinden, von welcher Art Ransomware Ihr Smartphone befallen ist, besuchen Sie den Hub No More Ransom von Europol. Der Dienst Crypto Sheriff hilft Ihnen, die Ransomware zu identifizieren, von der Sie befallen sind. Wenn Sie den Typ kennen, finden Sie detaillierte Anleitungen für weitere Schritte.

    Wenn dies nicht hilfreich ist, ist der Besuch von Cybersicherheitsforen wie Bleeping Computer eine gute Maßnahme. Die Communitys auf diesen Foren helfen in vielen Fällen bei der Identifizierung von PC-Ransomware, indem sie die Erweiterungen der verschlüsselten Dateien untersuchen.

    3. Entfernen Sie Ransomware

    Sobald Sie die Art der Infektion identifiziert haben, mit der Sie es zu tun haben, ist es Zeit zu lernen, wie Sie Ransomware von Android entfernen:

    Option A: Die Ransomware löscht sich selbst

    Wie bereits erwähnt, löschen sich viele Arten von Ransomware selbst, nachdem sie ein Gerät oder die darauf befindlichen Dateien gesperrt haben. Dies soll verhindern, dass Cybersicherheitsexperten die Ransomware untersuchen und möglicherweise ihre Verschlüsselungsalgorithmen knacken. Wenn sich der Strang auf Ihrem Android-Gerät selbst automatisch löscht, müssen Sie ihn nicht mehr entfernen. (Ihre Dateien bleiben jedoch verschlüsselt).

    Option B: Verwenden Sie Avast Mobile Security zum Entfernen von Ransomware

    Avast Mobile Security entfernt ein breites Spektrum an Malware von Ihrem Android-Gerät, einschließlich vieler Arten von Ransomware. Starten Sie die Software einfach und lassen Sie sie Ihr Gerät scannen, um die Bedrohung zu beseitigen. Avast Mobile Security kann Ransomware auch erkennen und blockieren, bevor sie Ihr Gerät infizieren kann.

    The main menu on Avast Mobile Security for Android, showing the Scan button

    Option C: Die Ransomware manuell entfernen

    Wenn Sie Zeit und Lust haben, ist es immer eine gute Idee, DIY-Methoden auszuprobieren, bevor Sie jemanden bezahlen, der Ihnen hilft. Führen Sie die folgenden Schritte aus, um die Android-Ransomware selbst zu entfernen. Starten Sie Ihr Gerät im gesicherten Modus neu. Dadurch verhindern Sie, dass Apps von Drittanbietern gestartet werden. Im Idealfall ist die Ransomware darunter.

    Schritt 1: Starten Sie Ihr Smartphone im gesicherten Modus neu

    Dieses Verfahren kann je nach Gerät und Android-Version variieren. Aber die meisten Geräte erlauben einen Neustart direkt im gesicherten Modus.

    Halten Sie die Ein-/Aus-Taste für ein paar Sekunden gedrückt, als wollten Sie Ihr Telefon ausschalten.

    img_04Halten Sie die Option Ausschalten gedrückt. Tippen Sie dann auf OK.

    Rebooting to safe mode from the Power menu in Android 7.0Ihr Telefon wird jetzt im abgesicherten Modus neu gestartet. Sie erkennen es dadurch, dass auf Ihrem Startbildschirm „Abgesicherter Modus“ angezeigt wird.

    img_06Lassen Sie uns jetzt nach Ihrer Malware suchen.

    Schritt 2: Prüfen Sie Ihre Apps

    Navigieren Sie zu Einstellungen > Apps und suchen Sie nach Programmen, die nicht dazugehören. Wenn Sie ein Programm sehen, bei dem Sie sich nicht daran erinnern können, es selbst installiert zu haben, ist das ein zu beachtendes Alarmsignal. Beginnen Sie mit den zuletzt von Ihnen installierten Apps, da diese am wahrscheinlichsten für Ihr Ransomware-Problem verantwortlich sind, und gehen Sie dann in der Zeit zurück.

    Abhängig von Ihrem Gerät und Ihrer Android-Version kann dieses Verfahren wie gesagt ein wenig variieren.

    The Apps menu in Android 7.0

    Schritt 3: Bösartige Apps deinstallieren

    Wenn Sie eine App finden, die nicht dazugehört, deinstallieren Sie sie! Tippen Sie auf die App und anschließend auf Deinstallieren.

    The App info menu in Android 7.0Einige Ransomware-Programme gewähren sich Geräteadministrator-Berechtigungen und können so die Schaltfläche zum Deinstallieren deaktivieren. So können Sie dies umgehen:

    Schritt 4: Entziehen Sie unerwünschten Apps die Geräteadministrator-Berechtigung

    Gehen Sie zu den Sicherheitseinstellungen Ihres Telefons und suchen Sie nach einer Liste von Apps mit Administratorrechten. Ihr Pfad sieht wahrscheinlich etwa wie folgt aus: Einstellungen > Sicherheit > Geräteadministratoren. Wenn Sie unerwünschte Apps in dieser Liste sehen, entfernen Sie deren Berechtigungen, indem Sie die entsprechenden Kontrollkästchen deaktivieren und Deaktivieren dieses Geräteadministrators auswählen.

    The Device Administrators menu in Android 7.0Kehren Sie ab Schritt 3 zu Ihrer Liste der Apps zurück. Dann sollten Sie diese schädliche App deinstallieren können.

    Öffnen Sie als letzten Schritt den Ordner Downloads und löschen Sie die .apk-Installationsdatei der Malware, falls Sie sie dort finden.

    Sie können Ihr Telefon jetzt im normalen Betriebsmodus neu starten. Wenn jedoch eine Ihrer Dateien von der Ransomware verschlüsselt wurde, sind sie jetzt noch verschlüsselt. Wenn Ihr Gerät mit Screenlocker-Malware infiziert war, sollte es nach dem Entfernen mit den oben genannten Schritten und dem Neustart wie neu sein.

    Verschlüsselte Dateien wiederherstellen

    Wenn ein Filecoder erst seine Krallen in Ihr Telefon geschlagen hat, lassen sich Ihre Dateien auch durch das Entfernen nicht mehr entschlüsseln. Sie müssen sie entweder selbst entschlüsseln oder – besser noch – alle Ihre Dateien aus einem kürzlich erstellten Backup wiederherstellen. Da es sich bei Android-Ransomware meist um Screenlocker handelt, ist die Wiederherstellung der Dateien für Sie wahrscheinlich kein Problem.

    Wenn Sie es jedoch mit mehreren verschlüsselten Dateien zu tun haben, erfahren Sie hier, wie Sie diese wiederherstellen können, ohne ein Lösegeld zu zahlen.

    A. Aus Backup wiederherstellen

    Sie können sowohl Ransomware von Ihrem Android-Telefon entfernen als auch Ihre verschlüsselten Dateien wiederherstellen, indem Sie ein Zurücksetzen auf Werkseinstellungen durchführen, wenn Ihre Dateien sicher in einem Backup gespeichert sind. Ein Zurücksetzen auf die Werkseinstellungen löscht alles auf Ihrem Telefon – alle Ihre Apps, Dateien und Einstellungen – und ermöglicht Ihnen dann, alles aus einem aktuellen Backup wieder zu importieren.

    Genau deswegen müssen Sie unbedingt regelmäßig Backups für all Ihre Geräte machen. Wenn Sie eine unverschlüsselte Kopie aller Ihrer wichtigen Dateien haben, stellt selbst der raffinierteste Filecoder keine Bedrohung mehr dar. Wenn Sie immer noch kein Backup für Ihr System erstellt haben, ist diese Methode für Sie vollkommen nutzlos, und Sie möchten wahrscheinlich nicht alles auf Ihrem Telefon löschen.

    Schritt 1: Setzen Sie Ihr Gerät auf die Werkseinstellungen zurück

    Gehen Sie in Ihren Einstellungen zu Sicherung & Zurücksetzen > Auf Werkseinstellungen zurücksetzen.

    The Backup & reset menu in the Settings of Android 7.0

    Tippen Sie Gerät zurücksetzen als ersten Schritt.

    The Factory data reset screen in Android 7.0

    Schritt 2: Geben Sie Ihren PIN ein

    Bestätigen Sie das Zurücksetzen mit Ihrer PIN und tippen Sie anschließend auf Alles löschen.

    The password confirmation screen to reset a device using Android 7.0

    Schritt 3: Sicherung und Wiederherstellung

    Ihr Telefon wird neu gestartet und führt Sie durch die ersten Schritte für den Start.

    The Welcome screen in Android 7.0 on an Asus phoneBald können Sie alle Ihre alten Dateien aus dem – hoffentlich aktuellen – Backup wiederherstellen, das Sie vor dem Angriff erstellt haben. Wählen Sie Behalten Sie Ihre App&-Daten.

    The setup menu in Android 7.0 on an Asus phone

    B. Tools zur Entschlüsselung verwenden

    Nachdem Sie den Typ der Ransomware auf Ihrem Telefon identifiziert haben, können Sie möglicherweise den passenden Entschlüsselungsschlüssel finden. Wenn Cybersicherheitsforscher die Verschlüsselungsalgorithmen eines Filecoders knacken, stellen sie die Entschlüsselungsschlüssel kostenlos zur Verfügung.

    Die neuesten Ransomware-Programme wurden noch nicht entschlüsselt, da die Ransomware nach Erhalt eines Entschlüsselungsschlüssels keine Bedrohung mehr darstellt. Es ist nicht einfach, Android-Entschlüsseler online zu finden – selbst unsere eigene Liste von Entschlüsselungsprogrammen ist derzeit auf PC-Lösungen beschränkt.

    Wenn Sie kein Backup zur Hand haben, sitzen Sie fest und müssen darauf warten, dass ein mutiger Forscher die Ransomware knackt, mit der Ihre Dateien gesperrt wurden.

    C. Nicht verhandeln

    Ransomware ist für seine Opfer unglaublich frustrierend, und wir sympathisieren mit allen, denen ihre wertvollen Dateien gewaltsam vorenthalten wurden. Die Versuchung, „einfach das Lösegeld zu zahlen und es hinter sich zu bringen“ ist groß und wir verstehen dieses Gefühl. Aber es ist wichtig, dass Sie sich widersetzen. Verhandeln Sie nicht mit Cyberkriminellen und kommen Sie niemals ihren Lösegeldforderungen nach.

    Wenn Sie sich entscheiden, das Lösegeld zu zahlen, finanzieren Sie damit direkt zukünftige kriminelle Aktivitäten. Sie senden auch das Signal, dass Ransomware ein wirksames Tool für Cyberkriminalität ist und ermutigen Cyberkriminelle, sich weitere Opfer zu suchen. Außerdem ist die Zahlung keine Garantie dafür, dass Sie Ihre Dateien zurückerhalten oder dass die Ransomware entfernt wird.

    Zu zahlen ist immer eine schlechte Idee.

    Wie erhält Ransomware Zugriff auf ein Android-Gerät?

    Viele Stränge von PC-Ransomware infiltrieren die Computer ihrer Opfer, indem sie Schwachstellen in älteren Betriebssystemen ausnutzen. Bei den meisten Android-Ransomware-Programmen hingegen müssen Sie selbst die Installation durchführen. Cyberkriminelle verleiten ihre Opfer dazu, ihre Ransomware zu installieren. Sie erreichen dies durch Phishing-E-Mails, Social-Engineering-Tricks und Werbekampagnen.

    Cyberkriminelle lieben es, ihre Ransomware als scheinbar harmlose Apps zu tarnen. Genau das ist 2017 bei einem Ransomware-Angriff auf mobile Geräte in China mit einer als Gaming-App getarnten Android-Crypto-Ransomware passiert. Sobald Sie die App heruntergeladen und ihr die angeforderten Berechtigungen erteilt haben, zeigt die Ransomware ihr wahres Gesicht. Sie werden aus Ihrem Android-Gerät ausgesperrt. Alles was Sie sehen ist eine Lösegeldforderung. Ransomware kann auch über gespoofte System- oder Softwareupdateanforderungen auf Ihr Gerät zugreifen.

    Wie sehe ich, dass mein Smartphone infiziert wurde?

    Es wird viel über Ransomware auf Android-Geräten geredet. Aber wie genau sieht so eine Infektion aus? Finden Sie heraus, wie Sie auf Ihrem Telefon Ransomware finden können, indem Sie auf diese beiden verräterischen Anzeichen achten:

    • Sie sind ausgesperrt: Screenlocker-Ransomware hindert Sie am Zugriff auf Ihr Gerät. Anstelle Ihres vertrauten Sperrbildschirms erscheint eine Benachrichtigung, die Sie darauf hinweist, dass der Zugriff auf Ihr Telefon gesperrt ist. Diese Apps verschlüsseln Ihre Dateien nicht, machen Ihr Telefon jedoch praktisch unbrauchbar.

    • Sie erhalten Lösegeldforderungen: Was ist Ransomware ohne eine Lösegeldforderung? Viele Stränge von Ransomware haben ihre eigene Lösegeldforderung, eine eigene Visitenkarte, mit drei wesentlichen Nachrichten an die Opfer:

      • Entweder ist Ihr Gerät gesperrt (Screenlocker) oder Ihre Dateien sind verschlüsselt (Crypto-Ransomware).

      • Der geforderte Lösegeldbetrag.

      • Wie Opfer bezahlen können – häufig mit Crypto-Währung und dem Tor-Browser, um die Zahlung vorzunehmen.

    Cyberkriminelle möchten, dass Sie wissen, dass Ihr Gerät infiziert ist, und sie möchten, dass Sie den Zwang zur Zahlung spüren. Sie machen das sehr deutlich, indem sie Ihnen die Lösegeldforderung mit Pop-ups direkt unter die Nase reiben.

    Können auch Android-Tablets betroffen sein?

    Android-Tablets sind genauso anfällig für Ransomware wie Android-Smartphones. Cyber Police kommt beispielsweise auf Tablets und Smartphones gleichermaßen vor. Es ist tatsächlich der am weitesten verbreitete Ransomware-Strang.

    Da das zugrunde liegende Betriebssystem dasselbe ist, funktionieren die hier beschriebenen Techniken zum Entfernen von Ransomware auf Ihrem Tablet genauso effektiv wie auf einem Smartphone. Wenn Ihre Sicherheits-App die Ransomware nicht entfernen oder isolieren kann, und wenn Sie nicht in den gesicherten Modus wechseln können, holen Sie sich Rat bei einem Experten für Cybersicherheit.

    Vorsorge ist die beste Strategie

    Inzwischen sollte klar sein, wie unangenehm es werden kann, wenn Ihr Gerät sich eine Infektion mit Ransomware einfängt. Aus diesem Grund ist die einzig wahre Methode zur Abwehr von Ransomware die Prävention, und dann eher als das Entfernen. Avast Mobile Security arbeitet rund um die Uhr daran, Malware von Ihrem Android-Handy oder -Tablet fernzuhalten. Dabei werden Ihr Gerät und Ihre Apps sowie Weblinks und WLAN-Netzwerke gründlich gescannt.

    Wenn Sie nicht bereits regelmäßig Backups Ihres Geräts durchführen, wäre genau jetzt der richtige Zeitpunkt. Viele Android-Smartphones bieten eine Option zur automatischen Erstellung von Backups. Mit einem wirkungsvollen Tool für mobile Sicherheit und einem aktuellen Backup Ihres Systems sowie Ihrer Dateien haben Sie nichts zu befürchten.

    Schützen Sie Ihr iPhone vor Bedrohungen mit dem
    kostenlosen Avast Mobile Security

    KOSTENLOSE INSTALLATION

    Schützen Sie Ihr Android-Gerät vor Bedrohungen
    mit dem kostenlosen Avast Mobile Security

    KOSTENLOSE INSTALLATION