Ransomware entfernen und das System wiederherstellen

Gilt für: WatchGuard Advanced EPDR Dieses Thema betrifft das WatchGuard Advanced EPDR Endpoint Security-Produkt., WatchGuard EPDR Dieses Thema betrifft das WatchGuard EPDR Endpoint Security-Produkt., WatchGuard EDR Dieses Thema betrifft das WatchGuard EDR Endpoint Security-Produkt.,WatchGuard EDR Core Dieses Thema betrifft das WatchGuard EDR Core Endpoint Security-Produkt., WatchGuard EPP Dieses Thema betrifft das WatchGuard EPP Endpoint Security-Produkt.

Die verfügbaren Funktionen unterscheiden sich je nach Produkt. Dieses Thema führt Funktionen auf, die in Ihrem Endpoint Security-Produkt nicht verfügbar sein könnten.

Ransomware-Bedrohungen verschlüsseln Inhalte von Dateien auf Ihren Workstations und Servern. Die Bedrohungen fordern daraufhin ein monetäres Lösegeld von dem entsprechenden Unternehmen, um die verschlüsselten Informationen wieder zugänglich zu machen. Diese Bedrohungen sind aufgrund der potenziellen Beeinträchtigung der Geschäftstätigkeit extrem gefährlich. WatchGuard Endpoint Security beinhaltet mehrere Funktionen, die Organisationen sowohl bei der Erkennung als auch Behebung von Ransomware-Angriffen unterstützen können.

• Wenn Sie Shadow Copies bzw. Schattenkopien aktivieren, wird täglich eine Kopie der Computerdateien gemacht. Maximal sind sieben tägliche Kopien möglich. Vergewissern Sie sich, eine saubere Kopie der verschlüsselten Dateien innerhalb von sieben Tagen nachdem der Angriff stattgefunden hat, wiederherzustellen. Nach sieben Tagen sind alle Shadow Copies Kopien von verschlüsselten Dateien. Informationen zum Konfigurieren von Shadow Copies finden Sie unter Schattenkopien (Shadow Copies) konfigurieren.
• Mithilfe der Funktion Computer isolieren können Sie von einem Ransomware-Angriff betroffene Windows-Computer isolieren. Wenn Sie einen Computer isolieren, könnte dies die normale Funktionsfähigkeit des Computers beeinträchtigen. Im Falle von Servern könnte dies die ordnungsgemäße Funktion anderer Computer im Netzwerk verhindern. Weitere Informationen finden Sie unter Einen Computer isolieren.
• Verifizieren Sie die Funktionsfähigkeit der Endpoint Security-Software auf allen Computern:
  • Um den Arbeitsstatus der Endpoint Security-Software auf Ihren Computern zu bestätigen, prüfen Sie die Kachel Schutzstatus auf dem Dashboard.
  • Installieren Sie die Schutzsoftware auf Computern mit dem Schutzstatus Fehler.
  • Finden Sie Computer ohne installierte Schutzsoftware. Weitere Informationen zum Auffinden ungeschützter Computer finden Sie unter Erkennungscomputeraufgaben planen und ausführen.
• Konfigurieren Sie den erweiterten Schutz mit diesen Einstellungen:
  • Setzen Sie den Betriebsmodus auf Sperren.
  • Setzen Sie Erweiterte Sicherheitsrichtlinien auf Blockieren. (Nur Advanced EPDR)
  • Setzen Sie den Anti-Exploit-Schutz auf Blockieren.
  • Codeeinfügung mit Anti-Exploit-Schutz aktivieren
    Weitere Informationen finden Sie unter Erweiterter Schutz.
• Aktivieren und konfigurieren Sie den Virenschutz für Dateien, E-Mail und Webbrowsing, um alle Arten von Bedrohungen zu erkennen. Weitere Informationen finden Sie unter Virenschutz-Scanning konfigurieren.
• Konfigurieren Sie den Manipulationsschutz und legen Sie ein Kennwort fest, um die unbefugte Deinstallation der Schutzsoftware zu verhindern. Weitere Informationen finden Sie unter Schutz vor Manipulation konfigurieren (Windows- und Linux-Computer).
• Verifizieren Sie, dass der maximale Speicherplatz für Shadow Copies zwischen 10 % und 20 % beträgt, sodass genügend Platz für Kopien vorhanden ist. Weitere Informationen finden Sie unter Schattenkopien (Shadow Copies) konfigurieren.

So entfernen Sie Ransomware und stellen das System wieder her:

1. Installieren Sie Patches, die kritische, erkannte Schwachstellen reparieren.
   Weitere Informationen finden Sie unter Verfügbare Patches überprüfen.
2. Führen Sie einen On-Demand-Scan durch.
   Weitere Informationen finden Sie unter Geplante Scan-Aufgabe erstellen.
3. Starten Sie alle betroffenen Computer neu, um jegliche ausgeführte Remote-Verbindung zu schließen.
   Weitere Informationen finden Sie unter Computer neu starten (Windows-Computer). Ist die Ransomware nach dem Neustart immer noch aktiv, kontaktieren Sie den technischen Support von WatchGuard.
4. Stellen Sie die verschlüsselten Dateien auf jedem Computer mit Windows Shadows Copies wieder her oder folgen Sie dem Datenwiederherstellungsverfahren Ihres Unternehmens.
5. Setzen Sie die Sicherheitseinstellungen, die Sie geändert haben, wieder auf Ihre vorherigen Einstellungen zurück.

Ähnliche Themen

Computerspezifische Einstellungen konfigurieren

Schattenkopien (Shadow Copies) konfigurieren