19.08.2019 Ransomware

Ransomware namens Sodinokibi im Umlauf

Seit Sommer 2019 werden auch in der Schweiz Unternehmen von der Ransomware Sodinokibi angegriffen. Diese Malware verschlüsselt Dateien, Server, Netzlaufwerke etc. der Geschädigten. Für das Entschlüsseln der Daten wird eine Geldsumme gefordert. Sodinokibi verbreitet sich u.a. via schädliche E-Mail-Anhänge.

  • Ransomware
  • Malware
  • Mail

Verbreitung der Ransomware

Haben Sie ein E-Mail des Absenders HelloFax erhalten mit dem Betreff "Sie haben ein Fax von Bluewin erhalten"? Öffnen Sie in diesem Falle auf keinen Fall den Anhang. Dies ist nämlich eine der Varianten, wie sich die Ransomware Sodinokibi verbreitet. Das .ZIP-File im Anhang, welches u.a. auch als Bewerbungsschreiben getarnt und mit einem Personennamen betitelt daherkommt, enthält eine JavaScript-Datei. Nach einem Doppelklick auf diese Datei wird die Verschlüsselung ausgelöst.

Weitere mögliche Arten, wie man sich Sodinokibi einfangen kann, sind z.B. manipulierte Websites oder offene RDP-Ports (Remote Desk Protocol).

Was muss ich tun

  • Anhang auf keinen Fall öffnen.
  • E-Mail löschen.
  • Generell: keine Dateien herunterladen, Links anwählen oder Anhänge öffnen von nicht vertrauenswürdigen Quellen.
  • Externe Backups erstellen, welche nicht mit dem Computer bzw. Unternehmensnetzwerk verbunden sind.
  • Systeme, Programme, Virenschutz etc. auf dem neusten Stand halten.

Mein System wurde verschlüsselt

  • Infizierte Geräte von Netzwerken trennen und ausser Betrieb nehmen.
  • Nach einer allfälligen Beweissicherung Geräte säubern und neu aufsetzen.
  • Falls möglich sollen die verschlüsselten Daten aufbewahrt werden. Oftmals werden nach einiger Zeit Verfahren bekannt, mit welchen die Verschlüsselung geknackt werden kann.
  • Vorfall dem Bundesamt für Cybersicherheit BACS melden.
  • Es wird empfohlen, den geforderten Betrag nicht zu bezahlen. Man hat keine Garantie, dass die Lösegeldzahlung die Verschlüsselung der Daten tatsächlich beheben wird.
  • Falls Ihnen ein Schaden entstanden ist, dann melden Sie sich (bzw. der juristische Vertreter Ihrer Unternehmung) persönlich bei Ihrer örtlichen Polizeistelle der Kantonspolizei und erstatten Sie eine Strafanzeige.

Über "No More Ransom Project"

Strafverfolgungsbehörden und IT Sicherheitsfirmen haben sich zusammengeschlossen um das Geschäft von Cyberkriminellen zu stören.

Die “No More Ransom” Webseite ist eine Initiative der Nationalen High Tech Crime Einheit der Niederländischen Polizei, dem Europäischen Europol Cybercrime Center, den IT Sicherheitsfirmen Kaspersky und McAfee mit dem Ziel, den Opfern von Ransomware zu helfen, ihre verschlüsselten Daten wiederzuerlangen, ohne Lösegeld an die Kriminellen zu zahlen.

https://www.nomoreransom.org/de/index.html