19.08.19
Ransomware namens Sodinokibi im Umlauf
Seit Sommer 2019 werden auch in der Schweiz Unternehmen von der Ransomware Sodinokibi angegriffen. Diese Malware verschlüsselt Dateien, Server, Netzlaufwerke etc. der Geschädigten. Für das Entschlüsseln der Daten wird eine Geldsumme gefordert. Sodinokibi verbreitet sich u.a. via schädliche E-Mail-Anhänge.
Verbreitung der Ransomware
Haben Sie ein E-Mail des Absenders HelloFax erhalten mit dem Betreff "Sie haben ein Fax von Bluewin erhalten"? Öffnen Sie in diesem Falle auf keinen Fall den Anhang. Dies ist nämlich eine der Varianten, wie sich die Ransomware Sodinokibi verbreitet. Das .ZIP-File im Anhang, welches u.a. auch als Bewerbungsschreiben getarnt und mit einem Personennamen betitelt daherkommt, enthält eine JavaScript-Datei. Nach einem Doppelklick auf diese Datei wird die Verschlüsselung ausgelöst.
Weitere mögliche Arten, wie man sich Sodinokibi einfangen kann, sind z.B. manipulierte Websites oder offene RDP-Ports (Remote Desk Protocol).
Warnmeldung von MELANI
Die Melde- und Analysestelle Informationssicherung MELANI (GovCERT.ch) warnt auf Twitter vor der Ransomware Sodinokibi
Was muss ich tun
- Anhang auf keinen Fall öffnen
- E-Mail löschen
- Generell: keine Dateien herunterladen, Links anwählen oder Anhänge öffnen von nicht vertrauenswürdigen Quellen
- Externe Backups erstellen, welche nicht mit dem Computer bzw. Unternehmensnetzwerk verbunden sind
- Systeme, Programme, Virenschutz etc. auf dem neusten Stand halten
Mein System wurde verschlüsselt
- Infizierte Geräte von Netzwerken trennen und ausser Betrieb nehmen
- Nach einer allfälligen Beweissicherung Geräte säubern und neu aufsetzen
- Falls möglich sollen die verschlüsselten Daten aufbewahrt werden. Oftmals werden nach einiger Zeit Verfahren bekannt, mit welchen die Verschlüsselung geknackt werden kann.
- Vorfall der Melde- und Analysestelle Informationssicherung MELANI melden
- Es wird empfohlen, den geforderten Betrag nicht zu bezahlen. Man hat keine Garantie, dass die Lösegeldzahlung die Verschlüsselung der Daten tatsächlich beheben wird.
- Falls Ihnen ein Schaden entstanden ist, dann melden Sie sich (bzw. der juristische Vertreter Ihrer Unternehmung) persönlich bei Ihrer örtlichen Polizeistelle und erstatten Sie eine Strafanzeige.
Screenshot Readme.txt
Erpresserschreiben
Weiterführende Informationen
- MELANI: Verschlüsselungstrojaner
- MELANI: Neue Vorgehensweisen bzgl. Verschlüsselungstrojaner
- Entschlüsselungswerkzeuge von nomoreransom.org