Sodinokibi Ransomware Entfernen und Entschlüsseln

Wurde Ihr System von Sodinokibi Ransomware infiziert? Wenn Dateien verschlüsselt wurden und keine Backups vorhanden sind, handelt es sich um einen unternehmensweiten Notfall. Diese Seite bietet alle wichtigen Informationen über die Sodinokibi Ransomware (a.k.a REvil und Sodin) selbst, die Entschlüsselung, Wiederherstellung, Entfernung der Malware und nützliche Statistiken. Lassen Sie sich in einem unverbindlichen Telefonat kostenfrei beraten.

Warten Sie nicht, bis noch mehr Schaden in Ihrem Netwerk entsteht.

REvil-sodinokibi-Ransomware

Wie erkenne ich, ob mein System von Sodinokibi Ransomware infiziert wurde?

Ein Sodinokibi Verschlüsselungstrojaner ist ein sogenannter Ransomware-Trojaner, der den gesamten PC oder einzelne Daten verschlüsselt. Der Ransomware-Trojaner fordert Sie dann auf, ein Lösegeld zu zahlen, um die Daten wieder zu entschlüsseln.

Zuerst identifiziert wurde Sodinokibi ca. am 17. April 2019, die Bande hinter diesem Virus ist angeblich die GOLD SOUTHFIELD Gruppe. Diese verwendet ein Ransomware-as-Service-Modell, um Exploit-Kits zu verteilen, ungeschützte RDP-Server angreifen und Backdoor-Zugänge in Unternehmen zu installieren. Einige Forscher vermuten, dass Sodinokibi / ReVil eng mit der GandCrab Ransomware verwandt ist.

  • Es gibt eine Reihe von Anzeichen für eine Sodinokibi-Ransomware-Infektion:
  • Sie erhalten eine Nachricht, dass Ihre Daten verschlüsselt sind und Sie Lösegeld zahlen müssen.
  • Sodinokibi ändert die Dateinamenerweiterungen z.B. in *.686l0tek69
  • Das Desktop-Hintergrundbild ist plötzlich verschwunden
  • Sie finden eine Textdatei mit dem Namen 686l0tek69-HOW-TO-DECRYPT.txt, die Anweisungen zur Entschlüsselung der Daten enthält
  • Die CPU-Auslastung beträgt 100%, obwohl keine Anwendungen laufen
  • Ihre Festplatten verarbeiten weiterhin Daten im Hintergrund, was Ihr System extrem träge macht
  • Sie sind kaum in der Lage, eine Anwendung zu öffnen und ihre Antiviren-Software wurde deaktiviert

Was soll ich tun, wenn meine Daten vom Sodinokibi Verschlüsselungstrojaner verschlüsselt wurden?

  1. Trennen Sie Ihre Systeme sofort und isolieren Sie alle zugehörigen Backup-Festplatten und Datenspeicher vom Netzwerk, um die weitere Verbreitung der Ransomware-Verschlüsselung zu verhindern. Weitere Informationen finden Sie auf der Ransomware-Informationsseite.
  2. Versuchen Sie nicht selbständig Kontakt zu den Cyberkriminellen aufzunehmen. Dies macht die Situation lediglich komplizierter.
  3. Ziehen Sie umgehend Experten hinzu, um den Gesamtschaden zu bewerten und mögliche Wiederherstellungsoptionen zu überprüfen und gleichzeitig kostspielige Folgefehler zu vermeiden.

Bewahren Sie Ruhe! Kontaktieren Sie uns, wir können Ihnen helfen!

Ransomware Recovery Ransomware Decryption

SODINOKIBI RANSOMWARE STATISTIK UND FAKTEN

Im Vergleich zu anderen Ransomware-Varianten, können die geforderten Lösegeldbeträge von Sodinokibi Angreifern stark variieren. Nach jeder Verschlüsselung erzeugen die Cyber-Angreifer automatisch eine einzigartige Website im Darknet, auf die man in der Regel mit einem Darknet Brower wie z.B. TOR Zugriff hat. Dadurch senken die Cyber-Angreifer Ihre Kosten und bieten gleichzeitig eine einheitliche und einfache Oberfläche für Opfer an.

Aber das bedeutet nicht, dass die Hacker dadurch geringere Lösegelder verlangen. Die Erfahrung zeigt, dass die geforderte Lösegeldsumme oft anhand der Organisationsgröße, Anzahl der Computer im Netzwerk und Daten aus dem Bundesanzeiger festgesetzt wird. Der durchschnittliche Sodinokibi Lösegeldbetrag liegt irgendwo zwischen 2.500 und 260.000 Euro, wobei einige Opfer im Enterprise Bereich oft Forderungen im Millionenbereich gegenüberstehen. Aber der Schaden ist nicht nur auf das geforderte Lösegeld beschränkt.

Die Opfer sind mit unerwarteten Kosten beim Kauf und Transfer von Kryptowährungen konfrontiert, meist fallen hier zusätzliche Erwerbskosten in Höhe von 10% für Schnellkaufoptionen über PayPal und/oder Kreditkarten an. Zusätzlich besteht ein Risiko, dass Sodinokibi bei ausbleibender Lösegeldzahlung, die Daten der betroffenen Unternehmen im Internet veröffentlicht und somit erheblichen Schaden am Unternehmen auslösen kann.

Die Ausfallzeiten, verursacht durch Sodinokibi Ransomware, sind deutlich kürzer als die durch andere Arten von Ransomware. Grund dafür ist, dass die Erpresser automatisierte TOR-Sites für Zahlungen verwenden, was den Prozess beschleunigt.

Je nach Unternehmensgröße und wie oft Sie IT-Systeme in Ihrem Tagesgeschäft einsetzen, ist dies der kostspieligste Teil des Angriffs. Zusätzlich zum Ausfall Ihrer IT-Systeme, kann ein Ausfall des Betriebs dem Ruf Ihres Unternehmens erheblichen Schaden zufügen.

Ihr Ziel sollte es sein, Ihre Systeme so schnell wie möglich wieder in einen produktiven Zustand zu bringen. Der beste Weg, Ihre IT-Systeme wieder zum Laufen zu bringen, ist Experten im Bereich Sodinokibi Ransomware zurate zu ziehen.

Die Wahrscheinlichkeit ist sehr hoch, nach der Lösegeldzahlung, einen funktionierenden Sodinokibi Decryptor zu erhalten. Grund dafür ist, dass die Angreifer einen automatisierten Prozess verwenden, um Zahlungen zu akzeptieren und das Entschlüsselungstool auszuliefern. Aber leider gibt es dafür keine Garantie.

Die Sodinokibi Gruppe genießt eine hohe Reputation, nach der Zahlung der Lösegelds einen funktionerenden Decryptor zur Verfügung zu stellen.

Ungesicherte Remotedesktopprotokolle, Phishing-E-Mails und die Ausführung schädlicher Dateien. Gefolgt von Social Engineering Angriffen und allgemeinen ungepatchen Sicherheitslücken.

SODINOKIBI / REVIL RANSOMWARE SUMMARY
NameSodinokibi / REvil Virus - Sodinokibi / REvil Ransomware
Danger levelVery High. Advanced Ransomware which makes system changes and encrypts files
Release dateMarch 31st, 2019
OS affectedMicrosoft Windows
Appended file extensionsUses random 6-character extensions
Ransom note"[000000]-HOW-TO-DECRYPT.txt" or "[000000]-readme.txt"
Contact email addressPayment is accepted through automated TOR site

WIE SIE DEN SODINOKIBI VERSCHLÜSSELUNGSTROJANER IDENTIFIZIEREN

Sodinokibi Ransomware Hinweis #1: TOR Website

Sodinokibi-REvil-RansomnoteTOR

Dies ist eine durchschnittliche Sodinokibi / REvil Ransomware Lösegeldforderung.

Sodinokibi Ransomware Hinweis #2: Textdatei

Sodinokibi-REvil-ransomnote-txt

—=== Hello. Again. ===—

[+] Was ist passiert? [+]

Ihre Dateien sind verschlüsselt und derzeit nicht verfügbar. Sie können es überprüfen: jede Datei auf Ihrem Computer hat Erweiterung XXX000.
Es ist natürlich möglich, die Dateien wiederherzustellen, aber dafür müssen Sie unsere Anweisungen befolgen. Andernfalls können Sie Ihre Daten nicht (NIE) zurückerhalten.

[+] Welche Garantien habe ich? [+]

Es ist nur geschäftlich. Sie und Ihre Angelegenheiten sind uns egal, wir sind nur auf unseren Vorteil aus. Wenn wir unsere Versprechungen nicht einhalten, wird niemand mit uns kooperieren. Dies ist nicht in unserem Interesse.
Um sich zu vergewissern, dass die Dateien wiederherstellbar sind, sollten Sie auf unsere Website gehen. Dort können Sie eine Datei kostenlos entschlüsseln. Das ist unsere Garantie.
Wenn Sie nicht mit uns zusammenarbeiten möchten – für uns spielt es keine Rolle. Aber Sie werden Ihre Zeit und Daten verlieren, weil nur wir den Schlüssel zu Ihren Dateien haben. Zeit ist viel wertvoller als Geld.

[+] Wie bekomme ich Zugang auf die Website? [+]

Sie haben zwei Möglichkeiten:

1) [Recommended]
a) Laden Sie den TOR-Browser von dieser Website herunter und installieren Sie diesen: https://torproject.org/
b) Öffnen Sie unsere Website: http://aplebzu47wgazapdqks6vrcv6zcnjpp453534556nf6aq2342nmyoyd.onion/XXXXXXXXX

2) Wenn TOR in Ihrem Land blockiert ist, versuchen Sie VPN zu verwenden! Oder Sie können unsere sekundäre Website nutzen. Dazu:
a) Öffnen Sie Ihren Browser (Chrome, Firefox, Opera, IE, Edge)
b) Öffnen Sie unsere sekundäre Website: http://decryptor.top/934324XXXXX

Warnung: Die sekundäre Website kann blockiert werden, deshalb ist erste Variante viel besser.

Wenn Sie unsere Website öffnen, geben Sie die folgenden Daten in das Eingabeformular ein:
Schlüssel:

<unique-ID>

Erweiterungsname:

XXX000

—————————————————————————————–

!!! Achtung!!!
Versuchen Sie nicht, die Daten selbst zu verändern oder Software von Drittanbietren für die Wiederherstellung Ihrer Daten oder Antivirus-Lösungen zu verwenden – dies kann zur Schädigung des Decryptors und als Folge zum Verlust Ihrer Daten führen.
!!! !!! !!!
NOCHMALS: Es liegt in Ihrem Interesse, Ihre Dateien zurückzubekommen. Von unserer Seite aus machen wir (die besten Spezialisten) alles für die Wiederherstellung, aber bitte stören Sie uns nicht dabei.
!!! !!! !!!

Fast immer gibt es in jedem verschlüsselten Ordner eine *.txt-Datei. Die Textdatei hat in der Regel den Namen „[000000]-HOW-TO-DECRYPT.txt“ oder „[000000]-readme.txt“ und enthält alle notwendigen Informationen, um die Sodinokibi / REvil Ransomware Angreifer zu kontaktieren, um Ihre Daten zurückzubekommen. Es ist in der Regel sicher diese Datei zu öffnen, solange es sich dabei um eine Textdatei handelt (*.txt Dateiendung).

Sodinokibi Ransomware Hinweis #3: Keine Ransom Note vorhanden

Sodinokibi-REvil-ransomnote-datei

Manchmal hinterlassen die Angreifer lediglich die verschlüsselten Dateien ohne Sodinokibi Ransomware Lösegeldforderung. Der Dateiname selbst wird in der Regel nicht verändert, lediglich die Dateierweiterung wird durch 6 zufällige Zeichen ersetzt.

„Dateiname.pdf.XXX000“

DEMONSTRATION EINES SODINOKIBI-RANSOMWARE-ANGRIFFS

Sie sehen gerade einen Platzhalterinhalt von Youtube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen

Dies ist ein typischer Sodinokibi / REvil Ransomware Angriff. Copyright von Siam Alam

SODINOKIBI DECRYPTOR DEMONSTRATION

Sie sehen gerade einen Platzhalterinhalt von Youtube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen

Dies ist eine Demonstration der Sodinokibi Ransomware Decryptor Software. Copyright von BeforeCrypt

HÄUFIG GESTELLTE FRAGEN

  1. Backups, Backups, Backups! Verwenden Sie eine externe Backup-Möglichkeit, z.B. einen sicheren Cloudspeicheranbieter oder ein lokales Sicherungsmedium, das nach einem erfolgreichen Sicherungslauf physisch getrennt wird.
  2. Installieren Sie einen Next-Gen-Antivirus. Das Programm kombiniert ein klassisches Antivirenprogramm mit leistungsstarkem Exploit-Schutz, Ransomware-Schutz und Endpunkterkennung und -antwort (EDR).
  3. Installieren Sie eine Next-Gen-Firewall. Eine Next-Gen-Firewall wird auch als Unified Threat Management (UTM)-Firewall bezeichnet. Es fügt eine Sicherheitsebene an jedem Ein- und Ausstiegspunkt Ihrer Unternehmensdatenkommunikation hinzu. Es kombiniert klassische Netzwerksicherheit mit Intrusion Detection, Intrusion Prevention, Gateway Antivirus, E-Mail-Filterung und vielem mehr.
  1. Wir können die Ausfallzeiten Ihres Systems, verursacht durch Ransomware deutlich reduzieren. Wir behandeln jährlich hunderte von Fällen. Wir wissen, was zu tun ist, um die Ausfallzeiten für Ihr Unternehmen auf ein absolutes Minimum zu reduzieren. Sie können von unserem Expertenwissen profitieren und müssen nicht selbst zeitintensiv recherchieren.

  2. Beschäftigen Sie sich nicht direkt mit Kriminellen. Die meisten Unternehmen fühlen sich nicht wohl im Umgang mit Cyber-Kriminellen. Dies kann zusätzlichen Stress in diesem unternehmensweiten Notfall verursachen. Wir kümmern uns um die gesamte Kommunikation mit den Erpressern für Sie und stellen alle notwendigen Informationen im Voraus zur Verfügung, um Ihre Daten so schnell wie möglich wiederherzustellen.

  3. Ransomware-Zahlung. Wir empfehlen, keine Lösegeldzahlungen an die Erpresser zu leisten.
    Doch leider ist dies manchmal unumgänglich, insbesondere, wenn Backups und normale Wiederherstellungsmethoden fehlschlagen. Wir begleiten Sie durch den gesamten Prozess der Erstellung einer Kryptowährungs-Wallet und des Kaufs von Kryptowährung. Dafür haben wir verschiedene Kooperationspartner, um Ihre Wallet vorzubereiten und die Transaktion so schnell und einfach wie möglich mit Ihnen durchzuführen.

  4. Ihre Daten werden während der Wiederherstellung nicht beschädigt. In jedem Fall verwenden wir Best-Practice-Methoden, um zuerst Ihre verschlüsselten Daten zu sichern, die Trojaner Ransomware zu entfernen und dann Ihre Daten mit den üblichen Methoden wiederherzustellen, oder die Daten mit offizieller Software zu entschlüsseln. Dieser standardisierte Prozess stellt sicher, dass Ihre Daten nicht beschädigt werden und dass die Ransomware sich nicht mehr auf Ihrem Netzwerk verbreitet.

  5. Einfacher Versicherungsbericht: Sie erhalten einen ausführlichen Bericht und einen Musterbrief, um den Schaden einfach an Ihre Cyber-Versicherung zu melden. Cyber-Versicherungen decken in der Regel einen großen Teil der mit Ransomware-Vorfällen verbunden Kosten ab.

Sodinokibi Ransomware verschlüsselt Dateien mit einem Salsa20 Stream-Verschlüsselungsalgorithmus. Der Schlüssel wird mit dem AES-256-CTR-Algorithmus (curve25519) verschlüsselt.

Der häufigste Angriffsvektor für Sodinokibi Ransomware sind Phishing-E-Mails mit gefährlichen Anhängen. Gefolgt von ungesicherten RDP-Verbindungen (Remote Desktop Protocol) und Sicherheitslücken im System.

Sodinokibi Ransomware erstellt mehrere Windows-Registrierungseinträge, erstellt versteckte ausführbare Dateien und öffnet manchmal eine Hintertür in Firewalls für weitere Zugriffe. Es sind mehrere Schritte notwendig, einschließlich der Bereinigung der Windows-Registrierung, Scannen für Malware und die manuelle Bereinigung der Sodinokibi Ransomware. Je nach Systemumgebung ist es manchmal sicherer und schneller, das Betriebssystem komplett neu zu installieren.

Sie erhalten eine ausführbaren Decryptor, meist unter dem Namen „000XXX-Decryptor.exe“. Der Decryptor kann einzelne Dateien, Ordner oder den gesamten Computer einschließlich Netzlaufwerke, externe Festplatten und andere Wechselmedien entschlüsseln. Sie haben auch die Möglichkeit, eine Sicherung der Dateien zu erstellen, bevor Sie den Entschlüsselungsprozess starten.

Der Sodinikibi Decryptor ist nur individuell für eine betroffene ID einsetzbar.Sollten Sie also z.B. eine decryptor.exe von einem anderen Geschädigten erhalten, der seine Daten mit diesem Decryptor entschlüsseln konnte, wird dieser nicht für Ihr System funktionieren.

Abhängig von der Variante von Sodinokibi Ransomware, kann es vorkommen, dass bereits eine öffentlich zugängliche Entschlüsselungsmethode vorhanden ist. Bitte nutzen Sie unser Anfrageformular hierzu – wir prüfen dies gerne kostenlos für Sie. Sie können auch kostenlose Websites verwenden, um dies selbst zu überprüfen.

Benötigen Sie schnelle Hilfe bei der Entschlüsselung des Sodinokibi Verschlüsselungstrojaners? Kontaktieren Sie uns und lassen Sie sich umgehend von unseren Ransomware-Experten helfen.

Kontaktieren Sie unsere Ransomware- und Cybersecurity-Experten

Wir werden uns so schnell wie möglich bei Ihnen melden!

Ransomware Datenwiederherstellung