{"id":257739,"date":"2021-09-17T03:21:11","date_gmt":"2021-09-17T01:21:11","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=257739"},"modified":"2023-07-28T18:25:17","modified_gmt":"2023-07-28T16:25:17","slug":"bitdefender-stellt-universellen-revil-decryptor-bereit","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/09\/17\/bitdefender-stellt-universellen-revil-decryptor-bereit\/","title":{"rendered":"Bitdefender stellt universellen REvil-Decryptor bereit"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Hoffnung f\u00fcr Opfer von REvil\/Sodinokibi-Ransomware-Angriffen, die den Zugriff auf verschl\u00fcsselte Daten verloren haben. Dem Sicherheitsanbieter Bitdefender ist es in Kooperation mit Strafverfolgern einen universellen REvil-Decryptor zu entwickeln. Der REvil-Decryptor hilft bei allen Dateien, die bis zum 13. Juli 2021 verschl\u00fcsselt wurden. Das Tool ist kostenlos verf\u00fcgbar. Erg\u00e4nzung:<\/strong> Aktuell sollte mit dem Einsatz noch abgewartet und nur mit Sicherungskopien der verschl\u00fcsselten Dateien gearbeitet werden.<\/p>\n

<\/p>\n

R\u00fcckblick auf die REvil-Gruppe<\/h2>\n

Die REvil-Ransomware-Gang<\/a> (auch\u00a0 unter dem Namen Sodinokibi bekannt) ist eine der aggressivsten\u00a0 Cyber-Akteure der letzten Zeit, die \u201eRansomware as a Service\" anboten. Zur Vermarktung verwendet die Gruppe eine Art Affiliate-Programm<\/i>, bei dem Dritte ihre Malwareprogramme f\u00fcr kriminelle Zwecke benutzen d\u00fcrfen. Von den erpressten Geldern erh\u00e4lt die Gruppe dann einen Teil als Provision.<\/p>\n

Der Angriff auf den Fleischverpacker JBS<\/a> und zuletzt der Lieferkettenangriff auf den US-Hersteller Kaseya (siehe Kaseya-Hack betrifft weltweit 1.500 Firmen, auch in Deutschland<\/a>) hat jede Menge Staub aufgewirbelt. Aber auch kleinere Firmen wurden Opfer der Gang (siehe diesen Tweet)<\/a>. Mitte Juli 2021 wurden die Webseiten der REvil-Gruppe sowie deren Payment-Server sowie die Infrastruktur abgeschaltet (ich hatte im Blog-Beitrag Server und Infrastruktur der REvil Ransomware-Gruppe ist abgeschaltet<\/a> berichtet).<\/p>\n

Nachdem die REvil-Infrastruktur am 13. Juli dieses Jahres teilweise offline gegangen war, konnten Opfer, die bis dahin kein L\u00f6segeld bezahlt hatten, ihre verschl\u00fcsselten Daten nicht mehr wiederherstellen. Die zust\u00e4ndigen Strafverfolgungsbeh\u00f6rden ermitteln weiter nach den Akteuren hinter REvil.\u00a0 Sicherheitsspezialisten wie Bitdefender vermuten dass der Ransomware-as-a-Service (RaaS)-Anbieter REvil wahrscheinlich aus einem Land der ehemaligen Gemeinschaft Unabh\u00e4ngiger Staaten (GUS) operiert.<\/p>\n

Die Gruppe trat 2019 als Nachfolgerin der inzwischen nicht mehr existierenden GandCrab-Gruppe auf und ist eine der produktivsten Ransomware-Schmieden im Dark Web. Partner der Gruppe haben seitdem Tausende von Technologieunternehmen, Managed Service Provider und Einzelh\u00e4ndler auf der ganzen Welt erfolgreich ins Visier genommen. Nach dem erfolgreichen Verschl\u00fcsseln der Daten eines Unternehmens forderten REvil-Partner bisher hohe L\u00f6segelder von bis zu 70 Millionen US-Dollar im Austausch f\u00fcr einen Entschl\u00fcsselungskey und die Gew\u00e4hr, dass die w\u00e4hrend des Angriffs exfiltrierten internen Daten nicht ver\u00f6ffentlicht w\u00fcrden.<\/p>\n

\"Revil<\/a><\/p>\n

Vor einigen Tagen tauchten die Webserver der REvil-Ransomware-Gang aber wieder im Internet auf – heise berichtete hier<\/a> und von Bleeping Computer gibt es diesen Artikel<\/a>. Sicherheitsanbieter Bitdefender geht davon aus, dass neue REvil-Angriffe unmittelbar bevorstehen, nachdem die Server und die unterst\u00fctzende Infrastruktur der Ransomware-Bande nach einer zweimonatigen Ruhephase vor Kurzem wieder online gegangen sind. Bitdefender r\u00e4t Organisationen dringend, in h\u00f6chster Alarmbereitschaft zu sein und die notwendigen Vorsichtsma\u00dfnahmen zu treffen.<\/p>\n

REvil-Decryptor verf\u00fcgbar<\/h2>\n

Nun hat mich Bitdefender informiert, dass man einen kostenlosen Decryptor f\u00fcr Revil-verschl\u00fcsselte Dokumentdateien bereitstellt. Das neue, universelle Bitdefender Dekryptor-Tool erm\u00f6glicht Opfern aller REvil\/Sodinokibi-Ransomware-Attacken vor dem 13. Juli, ihre Daten wiederherzustellen und wieder verf\u00fcgbar zu machen. Das kostenlose Tool entwickelte Bitdefender in Zusammenarbeit mit einem anerkannten Strafverfolgungspartner.<\/p>\n

Die Partner, die das Tool entwickelten, sind sich einig, dass es wichtig ist, den universellen Decryptor bereits zu ver\u00f6ffentlichen, bevor die Ermittlungen abgeschlossen sind, um so vielen Opfern wie m\u00f6glich zu helfen. N\u00e4here Details zu den noch laufenden Untersuchungen k\u00f6nnen zurzeit nicht gegeben werden.<\/strong><\/p>\n

\"REvil-Decryptor<\/a><\/p>\n

Der REvil-Decryptor steht kostenlos zum Download<\/a> bereit. Eine Schritt-f\u00fcr-Schritt-Anleitung zum Verwenden des Dekryptor findet sich als PDF-Version. Lawrence Abrams hat gem\u00e4\u00df obigem Tweet<\/a> bereits erfolgreiche Testl\u00e4ufe durchgef\u00fchrt und hat auch diesen Beitrag<\/a> publiziert.<\/p>\n

\"REvil<\/a><\/p>\n

Wichtig:<\/strong> Zum 17.9.2021 gibt es diesen Tweet<\/a>, der auf einen Bug im Decryptor hinweist. Das Tool soll bald aktualisiert werden.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nServer und Infrastruktur der REvil Ransomware-Gruppe ist abgeschaltet<\/a>
\nCoop-Schweden schlie\u00dft 800 Gesch\u00e4fte nach Kaseya VSA-Lieferkettenangriff durch REvil-Gang<\/a>
\nREvil Ransomware-Befall bei 200 Firmen \u00fcber Kaseya VSA und Management Service Provider (MSP)<\/a>
\nREvil Ransomware-Befall bei Acer? (M\u00e4rz 2021)<\/a>
\nSpanische Staatsbahn, ADIF, von Revil Ransomware befallen<\/a>
\nNeues zum Kaseya VSA-Lieferkettenangriff und zum Coop-Schweden-Fall<\/a>
\nKaseya-Hack betrifft weltweit 1.500 Firmen, auch in Deutschland<\/a>
\nNachbereitung zum Kaseya-Lieferkettenangriff<\/a>
\nRevil Ransomware-Hacker ver\u00f6ffentlichen erste Trump-Files<\/a>
\nRansomware, Datenlecks, Hacks, Schwachstellen (Juni 2021)<\/a>
\nRansomware-Angriffe: Tegut, Madsack und mehr \u2026 (26.4.2021)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Hoffnung f\u00fcr Opfer von REvil\/Sodinokibi-Ransomware-Angriffen, die den Zugriff auf verschl\u00fcsselte Daten verloren haben. Dem Sicherheitsanbieter Bitdefender ist es in Kooperation mit Strafverfolgern einen universellen REvil-Decryptor zu entwickeln. Der REvil-Decryptor hilft bei allen Dateien, die bis zum 13. Juli 2021 verschl\u00fcsselt … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4715,4328],"class_list":["post-257739","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-ransomware","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/257739","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=257739"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/257739\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=257739"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=257739"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=257739"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}