Viren

Sodinokibi Ransomware Entschlüsselung und Entfernung

Sodinokibi Ransomware Entschlüsselung und Entfernung

In einem cleveren Zug haben Cyberkriminelle Sodinokibi Ransomware veröffentlicht, die eine kürzlich belegte Sicherheitslücke in einer beliebten Serversoftware nutzt.

Was ist Sodinokibi Ransomware?

Die wichtigste Nachricht des Tages im InfoSec-Bereich ist die Entstehung eines neuen Erpressungstrojaners mit dem Codenamen Sodinokibi. Die überwiegende Mehrheit der modernen Ransomware ist ziemlich langweilig und wird es vermutlich nicht weit bringen, aber diese hier ist etwas Besonderes. Die Betreiber dieser zwielichtigen Kampagne haben eine Schwachstelle im Oracle WebLogic Server behoben, der als CVE-2019-2725 katalogisiert ist und Ende April vom Hersteller gepatcht wurde. Auch wenn diese Lücke nur von kurzer Dauer war, sind die Serverbesitzer, die das kritische Update noch nicht durchgeführt haben, weiterhin anfällig für diesen Angriff. Im Wesentlichen nutzen Kriminelle diesen Fehler, um die Authentifizierung zu umgehen und in einer ungesicherten IT-Infrastruktur Fuß zu fassen, damit sie aus der Ferne einen schädlichen Code ausführen können, ohne dass die Alarmglocken läuten. Seitdem der Bug entdeckt wurde, haben verschiedene Bedrohungsakteure ihn Berichten zufolge ausgenutzt, um Botnet-Malware und Kryptojacking-Viren auf den Hosts zu installieren. Die neueste Ergänzung dieser Liste ist die oben erwähnte Sodinokibi-Ransomware.

Sodinokibi Ransomware befällt verschlüsselte Dateien mit zufälliger alphanumerischer Erweiterung

Als erstes ruft diese fiese Dateiverschlüsselungseinheit innerhalb einer beschädigten Umgebung mehrere Befehle auf, um den VSS (Volume Snapshot Service) und die Startup Repair-Funktion zu deaktivieren. Dies ist eine typische Taktik für einen bösartigen Code dieser Art, um Opfer daran zu hindern, die nachfolgenden Änderungen am System und an den Daten zu korrigieren. Auch die nächste Phase ist durchaus vorhersehbar – Sodinokibi durchsucht das betroffene Netzwerk nach wertvollen Informationen, die zum zentralen Gegenstand der Erpressung werden sollen. Nach Abschluss der vollständigen Durchsuchung verzerrt der Täter dann die Dateien mittels Kryptographie. Das Ergebnis: unzugängliche Daten, die nur von den Kriminellen wieder freigegeben werden können. Jede Geiseldatei erhält zudem auch noch eine opferspezifische Zufallserweiterung zum Dateinamen – So wird Stats.xlsx z.B. zu Stats.xlsx.1r3n5ts, wobei die Länge der Erweiterung variieren kann, aber in der Regel aus 6-8 alphanumerischen Zeichen besteht.

Dokument mit Lösegeldanweisung vom Sodinokibi-Virus

Sodinokibi passt auch in die Form der alltäglichen Ransomware, da eine Lösegeldforderung gestellt wird. Diese gibt es in Form eines Dokuments namens [random]-HOW-TO-DECRYPT.txt, wobei der Teil in Klammern mit der Erweiterung übereinstimmt, die mit allen betroffenen Dateien auf einem Server verknüpft ist. In diesem Dokument sprechen die Übeltäter das Opfer mit „Dear friend“ an, was recht ironisch ist. In dieser Nachricht wird verlangt, den Tor-Browser zu installieren und damit eine bestimmte Seite zu besuchen, die eine zentrale Anlaufstelle für Zahlungen ist. Die .onion-Seite mit dem Titel „Your computer have [sic] been infected!“ gibt an, dass die Höhe des Lösegelds für die ersten 3 Tage bei 2.500$ in Bitcoin liegt und sich nach Ablauf der Frist verdoppeln wird. Das Opfer soll die Kryptowährung an eine in der Zahlungsseite angegebene BTC-Empfangsadresse senden.

Ende Juni 2019 verfeinerten die Betreiber von Sodinokibi Ransomware dann ihr Repertoire mit einem cleveren Verteilungstrick. Die neue Technik basiert auf der Kompromittierung der Kaseya RMM-Software (Remote Monitoring and Management), um Endpunkte mit der dateiverschlüsselnden Infektion zu kontaminieren. Diese Unterkampagne soll den RMM-Hack genutzt haben, um den Schutz mehrerer MSPs (Managed Service Provider) zu umgehen und dadurch Hunderte von Hosts mit Sodinokibi zu infizieren. Die Anbieter haben Behauptungen über eingetretene Verstöße durch Sicherheitsschwachstellen jedoch zurückgewiesen und behaupten, dass die Betrüger stattdessen in der Lage waren, die Anmeldeinformationen der Kunden zu gefährden.

So viel zum Verhalten der Sodinokibi-Pest. Es gibt allerdings auch noch eine weitere Facette dieses Ausbruchs, die wirklich beunruhigend ist: Berichten zufolge werden Folgedrohungen verschickt, die ein Beispiel von Mainstream-Ransomware mit dem Namen GandCrab 5.2 ist. Ein solcher mehrstufiger Angriff ist sicherlich ein großes Problem, sowohl für die kontaminierten Personen als auch für die Serveradministratoren. Diese sind zwar allgemein geschützt, haben die Schwachstelle aber noch nicht gepatcht. Die folgenden Tipps geben Aufschluss über eine erlösungsfreie Wiederherstellung, die zwar nicht immer funktionieren, aber sicherlich einen Versuch wert sind.

Automatische Entfernung des Sodinokibi Ransomware

Die Ausrottung dieser Verschlüsselungstrojaner kann mit zuverlässiger Sicherheitssoftware effizient erreicht werden. Wenn Sie sich an die automatische Reinigungstechnik halten, wird sichergestellt, dass alle Komponenten der Infektion gründlich von Ihrem System ausgelöscht werden.

1. Laden Sie das empfohlene Sicherheitsprogramm herunter und lassen Sie Ihren PC auf böswillige Objekte überprüfen, indem Sie die Option Computer Jetzt Scannen auswählen

2. Der Scan zeigt eine Liste der erkannten Objekte. Klicken Sie auf Bedrohungen Beheben, um den Virus und die damit verbundenen Infektionen von Ihrem System zu entfernen. Diese Phase des Säuberungsprozesses fertig zu stellen wird höchstwahrscheinlich zur vollständigen Beseitigung der eigentlichen Pest führen. Jetzt stehen Sie vor einer größeren Herausforderung – versuchen Sie Ihre Daten zurück zu bekommen.

Dateien wiederherstellen, die von der Sodinokibi Ransomware verschlüsselt wurden

Problemlösung 1: Verwenden Sie Datei Wiederherstellungs-Software

Es ist wichtig zu wissen, dass der Sodinokibi Virus Kopien Ihrer Dateien erstellt und verschlüsselt. Inzwischen werden die Originaldateien gelöscht. Es gibt Anwendungen da draußen, welche die entfernten Daten wiederherstellen können. Hierzu können Sie Tools wie Data Recovery Pro nutzen. Die neueste Version der besagten Ransomware neigt dazu, sichere Löschung mit mehreren Überschreibungen anzuwenden, aber auf jeden Fall ist diese Methode einen Versuch wert.

DownloadLaden Sie Data Recovery Pro herunter

Problemlösung 2: Nutzen Sie Backups

In erster Linie ist dies eine gute Möglichkeit, Ihre Dateien wiederherzustellen. Es ist jedoch nur anwendbar, wenn Sie die auf Ihrem Computer gespeicherten Informationen gesichert haben. Wenn ja, versäumen Sie nicht, von Ihrer Voraussicht zu profitieren.

Problemlösung 3: Verwenden Sie Shadow Volume Kopien

Falls Sie es nicht wissen, das Betriebssystem erstellt so genannte Shadow Volume Kopien jeder Datei, solange die Systemwiederherstellung auf dem Computer aktiviert ist. Da Wiederherstellungspunkte in bestimmten Intervallen erstellt werden, werden Schnappschüsse von Dateien, die zu diesem Zeitpunkt erscheinen, ebenfalls erzeugt. Sie sollten aber wissen, diese Methode sichert nicht die Wiederherstellung der neuesten Versionen Ihrer Dateien. Es ist jedoch sicherlich einen Versuch wert. Dieser Weg einer Problemlösung ist auf zwei Arten möglich: manuell und durch die Verwendung einer automatischen Lösung. Werfen wir zunächst einen Blick auf den manuellen Prozess.

  • Verwenden Sie die Funktion Vorgängerversionen

    Das Windows Betriebssystem bietet die eingebaute Möglichkeit, die vorherige Version von Dateien wiederherzustellen. Dies lässt sich auch auf Ordner anwenden. Rechtsklicken Sie einfach auf eine Datei oder einen Ordner, wählen Sie Eigenschaften und wechseln Sie auf den Vorgängerversionen genannten Tab. Innerhalb dieses Versionsbereiches sehen Sie die Liste der gesicherten Kopien der Datei/des Ordners mit den dazugehörigen Zeit- und Datumsangaben. Wählen Sie den aktuellsten Eintrag und klicken Sie auf Kopieren, falls Sie das Objekt an einen neuen Ort wiederherstellen wollen, den Sie angeben können. Wenn Sie auf den Wiederherstellen-Knopf klicken, wird das Objekt an seinem ursprünglichen Ort wiederhergestellt.vorherige-versionen

  • Nutzen Sie das Shadow Explorer-Werkzeug

    Dieser Weg erlaubt es Ihnen, vorherige Versionen von Dateien und Ordnern auf automatische Weise statt von Hand wiederherzustellen. Laden Sie dafür die Shadow Explorer-Anwendung herunter und installieren Sie sie. Nachdem Sie sie gestartet haben, wählen Sie den Laufwerksnamen und das Datum der angelegten Dateiversionen. Rechtsklicken Sie auf den betroffenen Ordner oder die Datei und wählen Sie die Export-Option. Geben Sie dann einfach den Ort an, an welchen die Daten wiederhergestellt werden sollen.shadow-explorer-export

Verifizieren Sie, ob die Sodinokibi Ransomware vollständig entfernt worden ist

Noch einmal, Malware Entfernung allein führt nicht zur Entschlüsselung Ihrer persönlichen Dateien. Die oben genannten Methoden zur Datenwiederherstellung können zum gewünschten Ergebnis führen oder auch nicht, aber die Verschlüsselungstrojaner selbst gehört nicht auf Ihren Computer. Übrigens kommt es oft zusammen mit anderer Malware, weshalb es definitiv Sinn macht, Ihr System mit automatischer Sicherheitssoftware wiederholt zu scannen, um sicherzustellen, dass keine schädlichen Überreste dieses Virus und damit verbundenen Bedrohungen in der Windows Registrierung und anderen Stellen bleiben.

Laden Sie Sodinokibi Ransomware Scanner und Entferner herunter

Leave a Comment (0) ↓

Leave a Comment