Die Rettung von durch Hive Ransomware verschlüsselte Dateien ist durch die eigens von RansomHunter entwickelten Lösungen möglich
Kanada
Brasilien
Peru
Argentinien
Chile
Venezuela
Vereinigtes Königreich
Frankreich
Spanien
Schweiz
Südafrika
Indien
Vereinigte Arabische Emirate
China
Australien
Marokko
Nigeria
Ägypten
Mexiko
Türkei
Ukraine
Lettland
Indonesien
Iran
Israel
Japan
Taiwan
Vietnam
Singapur
USA
Deutschland
Italien
- Standorte
- Projekte
Entschlüsselung von durch Hive verschlüsselte Dateien
Hive Ransomware ist eine Hacker Gruppe, die im Juni 2021 durch erste Angriffe auffiel. Als sich eine größere Ransomware Gruppe (Conti) trennte, gingen einige ihrer Hacker zu Hive, wodurch sich dort Know How und der Fundus an Malware steigerten. Seitdem ist Hive weltweit auf dem Vormarsch.
Greift Hive auch deutsche Unternehmen an?
Ja. Ein prominenter Fall von Hive war der Angriff auf die deutsch holländische MediaMarkt Saturn Gruppe: November 2021 drangen die Hacker in 3.100 Server und das Kassensystem des Konzerns ein und zwangen ihn so, sein gesamtes IT System herunterzufahren, um eine weitere Verbreitung der Ransomware zu verhindern. Damit konnten die IT Techniker jedoch nicht verhindern, dass unter einigen anderen Services z.B. die Zahlung mit EC Karte oder das Ausdrucken einer Rechnung für über eine Woche nicht möglich war. Der finanzielle Schaden für das Unternehmen war immens.
Wie erkenne ich die Drohbotschaft von Hive?
Bei einem anderen Angriff durch Hive erhielt ein deutsches Unternehmen folgende Nachricht der Erpresser mit der Aufforderung, die „Entschlüsselungssoftware“ kaufen zu müssen:
Follow the guidelines below to avoid losing your data:
- Do not shutdown or reboot your computers, unmount external storages.
- Do not try to decrypt data using third party software. It may cause irreversible damage.
- Do not fool fool yourself. Encryption has perfect secrecy and it’s impossible to decrypt it without knowing the key.
- Do not modify rename or delete *.key. + config.extensions + files. Your data will be undecryptable.
- Do not report to authorities. The negotiation process will be terminated immediately and the key will be erased.
- Do not reject to purchase. Your sensitive data will be publicly disclosed at http://hiveleak…
Konnten die Daten wiederhergestellt werden?
Das Unternehmen kontaktierte unverzüglich die Spezialisten von RansomHunter und konnte so in kurzer Zeit nach einer Entschlüsselung der Schadsoftware ohne Lösegeldzahlung wieder auf ihre gesamten Daten zugreifen.
Über welche Mittel und technischen Möglichkeiten verfügt Hive?
International bekannt wurde Hive durch die Attacke auf das Netzwerk der öffentlichen Gesundheitsbehörde Costa Ricas (Costa Rican Social Security Fund oder CCCS) am 31.05.22. Nachdem Hive in das Netzwerk eingedrungen war, meldeten Mitarbeiter, dass alle Drucker der Behörde auf einmal ASCII Kauderwelsch druckten. Sie wurden daraufhin aufgefordert, ihre Computer auszuschalten und sie vom Netzwerk zu trennen, doch der Schaden war bereits angerichtet.
Die bisherigen Fälle zeigen, dass Hive über die nötigen Mittel verfügt, um große Ziele wie Regierungsbehörden oder große Konzerne anzugreifen, bei der Wahl seiner Opfer jedoch nicht wählerisch ist: Selbst kleine oder mittlere deutsche Unternehmen befinden sich im Fadenkreuz der Hacker. Im Gegensatz zu den meisten anderen Ransomware Gruppen, die auf den Angriff von Regierungs- und Gesundheitsbehörden, Altersheimen oder sonstigen lebenswichtigen Einrichtungen verzichten, hat Hive nicht die geringsten Skrupel bei der Auswahl seiner Ziele.
Sie sind Opfer einer Attacke von Hive geworden?
Falls Sie Opfer einer Attacke von Hive Ransomware wurden, sollten Sie sich informieren, ob die Entschlüsselung der Daten möglich ist und die zuständige Behörde informieren (in Deutschland: BSI). RansomHunter hat bereits erfolgreich Hive Ransomware Dateien entschlüsselt und steht 24/7 für eine Diagnose der betroffenen Speichermedien zur Verfügung.
Wiederherstellungsprozess für von Hive Ransomware verschlüsselte Dateien
Alle unsere Datenrettungsprojekte stehen unter dem Motto „Keine Daten, keine Kosten“. Wir bieten die Erstdiagnose vollständig kostenlos an.
Die Bezahlung erfolgt erst, wenn die wiederhergestellten Dateien durch den Kunden überprüft wurden.
Wir können die Datenrettung auch aus der Ferne durchführen und bieten Support auf Deutsch, Englisch Italienisch und Französisch an.
Unsere Prozesse werden so präzise auf jeden Kunden zugeschnitten, dass sie zu jedem spezifischen Fall passen. Unser Portfolio zeigt Erfolge bei der Wiederherstellung verschiedener Ransomware Verschlüsselungen in den schwierigsten Szenarien auf.
Wir verhandeln nicht mit den Kriminellen, und wir empfehlen keine Zahlung oder sonstigen Kontakt mit ihnen. Wir stellen die Daten ohne den Entschlüsselungscode wieder her.
Von der ersten Kontaktaufnahme bis zur Lieferung der wiederhergestellten Dateien werden Sie von unseren Experten beraten, die Ihnen in jeder Phase der Datenrettung ständig Rückmeldungen geben.
Wir garantieren die Vertraulichkeit und Sicherheit aller Daten durch ein Non-Disclosure Agreement (NDA).
Gerne prüfen und unterzeichnen wir auch ein von Ihrem Team ausgearbeitetes NDA, wenn Sie das bevorzugen.
Füllen Sie das Formular aus und starten direkt den Entschlüsselungsprozess.
Übertragung von Dateien via Fernzugriff
Die Dateien werden in eine kontrollierte und absolut sichere virtuelle Umgebung übertragen.
Fortschrittlichste Diagnostik
Wir bewerten das Ausmaß des durch die Ransomware verursachten Schadens.
Wiederherstellung der Daten
Wir entschlüsseln die Dateien mit unserer selbst entwickelten Technologie.
Überprüfung und Zurücksetzen
Sie als Kunde überprüfen den Zustand und die Richtigkeit der wiederhergestellten Daten.
Isolation des betroffenen Geräts vom Rest des Netzwerks – Viele Ransomware-Programme können sich weiter im gehackten System bewegen und möglicherweise auch andere interne Server erreichen.
Backup überprüfen – Wenn das Backup aktuell ist und nicht von der Ransomware erreicht wurde, können die Daten schnell und ohne weiteren Schaden wiederhergestellt werden.
Kontakt mit den Erpressern vermeiden – Hacker setzen psychologische Taktiken ein, um ihre Opfer unter Druck zu setzen, die durch den Angriff bereits in einer Notlage befinden. Die Hacker nutzen diese Schwäche, um ihre Opfer leichter erpressen zu können.
Nicht mit den Verbrechern verhandeln – Die Behörden raten dringend von Zahlungen ab, da diese Beträge die Gruppe für weitere Angriffe finanzieren und es nie eine Garantie dafür gibt, dass der Dekodierungsschlüssel auch tatsächlich übermittelt wird.
Die Behörden einschalten – In Deutschland ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) zuständig für Cyber-Angriffe auf digitale Infrastruktur.
Ein Unternehmen einschalten, das sich auf die Entschlüsselung von Ransomware Dateien spezialisiert hat – Der Schaden durch eine Betriebsunterbrechung übersteigt sehr schnell den Wert des Lösegelds, so dass die Beauftragung eines Unternehmens wie RansomHunter zur Entschlüsselung der Dateien die Option ist mit den höchsten Erfolgschancen ist.
Unternehmen vertrauen uns - in Deutschland und auf der ganzen Welt
Häufig gestellte Fragen über Hive Entschlüsselung
Jeden Tag werden Ransomware Angriffe ausgeklügelter. Nach einem erfolgreichen Angriffsversuch ordnet die Ransomware schnell die relevantesten Dateien des Unternehmens und beginnt mit der Kodierung. Microsoft Office Dateien, Datenbanken, PDFs und Bilder sind die Hauptziele der Erpresser.
Kann man eine laufende Hive Ransomware Attacke erkennen?
Ja, allerdings ist Hive so konzipiert, dass die Erkennung durch die Firewall höchst unwahrscheinlich ist, so dass sie in das System des Benutzers eindringen und die Verteidigung ausschalten kann, sich „seitlich“ bewegt und die Backup Routinen schlussendlich ausschaltet.
Der Benutzer kann theoretisch die Ransomware Aktivitäten identifizieren, auch wenn die Firewall sie nicht erkennen kann. Die Malware verwendet die systemeigenen Ressourcen für den Verschlüsselungsprozess und reagiert wahrscheinlich nur langsam auf Benutzeranfragen.
Die Datei Endungen werden verändert und es wird eine spezielle Erweiterung hinzugefügt, in der die Angreifer Gruppe erwähnt wird. Halten Sie Ausschau nach diesen Anhaltspunkten.
Ist es möglich, den Verschlüsselungsprozess zu stoppen, wenn er bereits begonnen hat?
Ja, das ist prinzipiell möglich. Dabei besteht allerdings die Gefahr, dass einige Dateien beschädigt werden. Sobald Sie die Aktivität von Hive in Ihrem System bemerkt haben, sollten Sie das Gerät vom Internet trennen. Dadurch wird die Gruppenkommunikation mit der Malware unterbunden. Manche Ransomware Typen können die Verschlüsselung aber auch offline fortführen.
Sie können auch Gegenmaßnahmen Ihres Antivirus Programms einleiten, um die Ransomware zu isolieren und zu löschen, sofern das Antivirus Programm nicht schon von der Ransomware deaktiviert wurde.
Die Verschlüsselung zu stoppen ist extrem anspruchsvoll, da die Ransomware so programmiert ist, dass sie alle möglichen Maßnahmen des Systems oder des Benutzers verhindert, so, dass die Wahrscheinlichkeit sinkt, dass der Prozess durch die Maßnahmen gestoppt wird.
Gibt es einen Tag und eine Uhrzeit, an denen Ransomware Attacken häufiger vorkommen?
Die Attacken erfolgen normalerweise dann, wenn die wenigsten Nutzer am Computer sind. Das führt zu den meisten Attacken an Wochenenden und Feiertagen und in den frühen Morgenstunden.
Welche Arten der Verschlüsselung benutzen Hacker Gruppen?
Es gibt unzählige Verschlüsselungen, aber die am häufigsten eingesetzten sind AES [Advanced Encryption Standard] und RSA [Rivest-Shamir-Adleman]-2048.
Wie sollte man auf einen Ransomware-Angriff reagieren?
Bleiben Sie zunächst gefasst, denn die Hacker Gruppen setzen auf die Verzweiflung des Opfers. Beachten Sie diese Tipps:
- Isolieren Sie das betroffene Gerät – Die Malware kann sich „seitlich“ durch das System bewegen und andere Speichermedien erreichen, daher ist es wichtig, ihren Einflussbereich zu isolieren.
- Überprüfen Sie das Backup – Wenn das Backup nicht von Hive Ransomware erreicht wurde, können die Dateien wahrscheinlich unmittelbar und ohne größere Hindernisse wiederhergestellt werden.
- Vermeiden Sie die Kommunikation mit den Hacker Kollektiven – Kriminelle nutzen psychologische Taktiken, um schnellstmöglich so viel Geld wie möglich zu erpressen; die Tatsache, dass das Opfer emotional mit dem Vorfall verbunden ist, macht es oft zu einem leichten Ziel.
- Verhandeln Sie nicht mit den Hackern – Die Hacker Gruppe gibt keine wirkliche Garantie, dass der Schlüssel zum Wiederherstellen der Daten nach Zahlung des Lösegelds freigegeben wird, oft geschieht genau das leider nicht. Außerdem wird die Zahlung die Gruppe für weitere Angriffe finanzieren – vielleicht auch erneut auf Ihr Unternehmen.
- Wenden Sie sich an die Regierungsbehörden – Die Regierung hat auf die Bekämpfung von Cyber Angriffen spezialisierte Einrichtungen (BSI, die die Attacke untersuchen werden.
- Wenden Sie sich an ein Unternehmen, das sich auf die Entschlüsselung von Ransomware Dateien fokussiert hat – RansomHunter ist in der Lage, Hive Ransomware Daten zu entschlüsseln, ohne dass der Schlüssel der Erpresser benötigt wird.
Kann ich von Hive verschlüsselte Daten retten, ohne das Lösegeld zu bezahlen?
Ja, in der überwiegenden Mehrheit der Szenarien ist RansomHunter dazu fähig, die Ransomware Daten zu entschlüsseln, ohne das Lösegeld zu zahlen. Dies ist technisch nur möglich durch eine eigens von uns entwickelte Technologie, die der Hive überlegen ist und mit der die Dateien komplett und strukturiert wiederhergestellt werden können.
Wie funktioniert der Entschlüsselungsprozess von RansomHunter?
Nach dem ersten Kontakt und der Übersendung der Daten diagnostizieren wir die Dateien, um das Ausmaß des durch Hive verursachten Schadens zu überprüfen, damit wir die Dauer des Prozesses berechnen und einen Kostenvoranschlag erstellen können.
Nachdem unser Kunde dem Kostenvoranschlag zustimmt, beginnen wir mit dem Entschlüsselungsprozess, für den wir über eine exklusive Software verfügen, mit deren Hilfe unsere Spezialisten die Daten wiederherstellen kann.
Nach Abschluss des Prozesses führen wir eine doppelte Prüfung durch, damit der Kunde die Vollständigkeit und Unversehrtheit der wiederhergestellten Dateien überprüfen kann (in der Regel in einer Fernsitzung).
Eine Zahlung geschieht erst nach der Überprüfung der Daten durch den Kunden.
Die neusten Einblicke unserer Experten
Die häufigsten Ransomware Strategien
Ransomware kann über verschiedene Wege in die Daten des Opfers eindringen.
Was passiert bei einem Ransomware Angriff durch Hacker?
Bei einem Ransomware Angriff nutzen Hacker nutzen ihr Wissen, um an Daten mit mit dem Potential einer Erpressung zu gelangen.