Wir entschlüsseln LockBit 3.0 Ransomware

Die Rettung von durch LockBit 3.0 Ransomware verschlüsselte Dateien ist durch die von uns selbst entwickelten Lösungen möglich

400 +
Unternehmen mit senisblen Daten, die uns vertraut haben
0 PB+
Daten enstschlüsselt und wiederhergestellt
0 Mrd
Lösegeld, das nicht an Hacker gezahlt wurde

Kanada

Brasilien

Peru

Argentinien

Chile

Venezuela

Vereinigtes Königreich

Frankreich

Spanien

Schweiz

Südafrika

Indien

Vereinigte Arabische Emirate

China

Australien

Marokko

Nigeria

Ägypten

Mexiko

Türkei

Ukraine

Lettland

Indonesien

Iran

Israel

Japan

Taiwan

Vietnam

Singapur

USA

Deutschland

Italien

  • Standorte
  • Projekte

Entschlüsselung von durch LockBit 3.0 verschlüsselte Dateien

Was ist LockBit 3.0? 

LockBit 3.0 (auch LockBit Black genannt) ist der Nachfolger von LockBit 2.0, der Trojaner der LockBit Gruppe, einer der aktivsten Ransomware Hacker Gruppen der letzten Jahre mit vielen Hundert Angriffen in kurzer Zeit.

Wie geht LockBit 3.0 vor?

Seit 2021 (Damals noch LockBit 2.0) setzen die Hacker auf die so genannte „double extortion“ Methode, bei der die Daten nicht nur auf dem ursprünglichen Medium verschlüsselt werden, sondern auch vom Medium gestohlen.
Dabei geht die Gruppe folgendermaßen vor:
1 LockBit 3.0 infiziert das Gerät seines Opfers und verändert die Datei Endungen zu einem zufällig generiertem Kauderwelsch wie z.B. „LwQnJFskm“. 
2 LockBit verhindert oder löscht Verteidigungsmaßnahmen der Maschine.
3 Der Desktophintergrund des Opfers wird verändert und so auf die Attacke aufmerksam gemacht, es wird eine Datei mit dem Namen [Kauderwelsch].README.text platziert.

Wie stark ist LockBit 3.0 verbreitet?

LockBit 3.0 ist in verschiedenen Ländern auf der ganzen Welt aktiv, z.B. in den USA, Groß Britannien, der Ukraine und weiteren. Verstärkt wird die Verbreitung der Trojaner durch ein so genanntes RaaS Angebot (Ransomware as a Service), bei dem die Gruppe anderen Hackern gegen Bezahlung den LockBit 3.0 Trojaner zur Verfügung stellt und im Falle der Lösegeldzahlung einen Anteil kassiert.

Wie einige andere große Hackergruppen schleust auch die LockBit Gruppe Maulwürfe in Unternehmen ein, um an Daten, Passwörter, andere Zugänge und Informationen über die IT Infrastruktur zu gelangen. Diese machen selbst augenscheinlich gut gesicherte Unternehmen doch zu Opfern, da ein Angriff aus dem Inneren seltener erwartet wird und auch schwerer abzuwehren ist.

Allein im Juni 2022 war LockBit 3.0 für über 60 Angriffe verantwortlich, was fast ein Drittel aller gemeldeten Vorfälle in diesem Monat ausmachte, die Dunkelziffer liegt wahrscheinlich noch viel höher. Unter dem Slogan „Make Ransomware Great Again“ hegen sie den Anspruch, mit LockBit 3.0 zumindest nach oben in der Hackordnung der Cyber Kriminalität zu gelangen, wenn nicht sogar an die Spitze der Nahrungskette. Mit dem Einbeziehen externer Hacker als Spürhunde für mögliche Ziele könnte ihnen das auch gelingen.

Gibt es Möglichkeiten, durch LockBit 3.0 verschlüsselte Dateien wiederherzustellen?

Falls Sie Opfer einer Attacke von Lockbit 3.0 Ransomware wurden, sollten Sie sich auf jeden Fall informieren, ob die Entschlüsselung der Daten möglich ist. Das Bezahlen des Lösegelds ist nicht Ihre einzige Option! In vielen Fällen war RansomHunter in der Lage, die durch Ransomware verschlüsselten Daten zu entschlüsseln. RansomHunter steht 24/7 für eine Diagnose der betroffenen Speichermedien zur Verfügung.

recover-ransomware-on-servers
blackcat

ALPHV BlackCat

Die ALPHV BlackCat Ransomware ist aktuell eine der ausgefeiltesten Malware. Die Gruppe stellt ihre Malware in Darkweb-Foren zum Verkauf zur Verfügung.
lockbit

LockBit 3.0

LockBit ist eine der größten Ransomware Gruppen und weltweit tätig. Mit ihrer Ransomware LockBit 2.0 führte sie in der vergangenen Jahren viele Hundert Angriffe aus. 2022 wurden die ersten Angriffe durch den Nachfolger der LockBit 2.0 Verschlüsselung gemeldet: LockBit 3.0.
redalert-n13v

RedAlert (N13V)

RedAlert ist eine Ransomware der N13V Gruppe. Sie verschlüsselt Daten virtueller Linux und Windows Maschinen und wird seit Anfang Juli 22 von N13V eingesetzt.
hive

Hive

Bekannt wurde die Hive Ransomware der Attica Gruppe durch ihre Attacke auf die Mediamarkt Saturn Gruppe. Als die Conti Gruppe (150€ Millionen in Lösegeldern von 2020 bis 2022) ihre Aktivitäten einstellte, wechselten ehemalige Hacker zu Attica und greifen seitdem mit Hive weiter Unternehmen an. Diese Entwicklung begünstigte den vermehrten Einsatz von Hive durch Manpower und Know-how.
lv

LV

Die LV Ransomware wird von der Gold Northfield Gruppe eingesetzt und hat 2022 z.B. bereits die Firma Semikron getroffen. Die Malware basiert auf dem REvil binary code und wurde weiterentwickelt.
ico-royal

Royal

Royal ist eine schnell wachsende Ransomware-Gruppe, die es auf große Unternehmen abgesehen hat und Lösegeldforderungen von 250.000 bis über 2 Millionen US-Dollar stellt.
Ransomware Entschlüsselungs-Dienste für jede Variante
Kontaktieren Sie uns

Wiederherstellungsprozess für von LockBit 3.0 Ransomware verschlüsselte Dateien

Alle unsere Datenrettungsprojekte stehen unter dem Motto „Keine Daten, keine Kosten“. Wir bieten die Erstdiagnose vollständig kostenlos an.

Die Bezahlung erfolgt erst, wenn die wiederhergestellten Dateien vom Kunden überprüft wurden.

Wir können die Datenrettung auch aus der Ferne durchführen und bieten Support auf Deutsch, Englisch Italienisch und Französisch an.

Unsere Prozesse werden so präzise auf jeden Kunden angepasst, dass sie zu jedem spezifischen Fall passen. Unser Portfolio zeigt Erfolge bei der Wiederherstellung unterschiedlicher Ransomware Verschlüsselungen in den schwierigsten Szenarien auf.

Wir verhandeln nicht mit den Kriminellen, und wir empfehlen keine Zahlung oder irgendeinen Kontakt mit ihnen. Wir stellen die Dateien ohne den Entschlüsselungscode wieder her.

Von der ersten Kontaktaufnahme bis zur Lieferung der wiederhergestellten Dateien werden Sie von unseren Spezialisten beraten, die Ihnen in jeder Phase der Datenwiederherstellung ständig Feedback geben.

Wir garantieren die Vertraulichkeit und Sicherheit aller Daten durch ein Non-Disclosure Agreement (NDA).

Gerne prüfen und unterzeichnen wir auch ein von Ihrem Team ausgearbeitetes NDA, wenn Sie das bevorzugen.

Remote recovery
Wir sind rund um die Uhr online

Füllen Sie das Formular aus und starten direkt den Entschlüsselungsprozess.

recover-ransomware-remote

Übertragung von Dateien via Fernzugriff

Die Dateien werden in eine kontrollierte und absolut sichere virtuelle Umgebung übertragen.

diagnose-ransomware

Fortschrittlichste Diagnostik

Wir bewerten das Ausmaß des durch die Ransomware verursachten Schadens.

decrypt-ransomware

Wiederherstellung der Daten

Wir entschlüsseln die Dateien mit unserer selbst entwickelten Technologie.

data-retrieved-from-ransomware

Überprüfung und Zurücksetzen

Sie als Kunde überprüfen den Zustand und die Richtigkeit der wiederhergestellten Daten.

Was bei einer Ransomware Attacke zu tun ist
1

Isolation des betroffenen Geräts vom Rest des Netzwerks – Viele Ransomware-Programme können sich weiter im gehackten System bewegen und möglicherweise auch andere interne Server erreichen.

2

Backup überprüfen  Wenn das Backup aktuell ist und nicht von der Ransomware erreicht wurde, können die Daten schnell und ohne weiteren Schaden wiederhergestellt werden.

3

Kontakt mit den Erpressern vermeiden – Hacker setzen psychologische Taktiken ein, um ihre Opfer unter Druck zu setzen, die durch den Angriff bereits in einer Notlage befinden. Die Hacker nutzen diese Schwäche, um ihre Opfer leichter erpressen zu können.

4

Nicht mit den Verbrechern verhandeln – Die Behörden raten dringend von Zahlungen ab, da diese Beträge die Gruppe für weitere Angriffe finanzieren und es nie eine Garantie dafür gibt, dass der Dekodierungsschlüssel auch tatsächlich übermittelt wird.

5

Die Behörden einschalten  –  In Deutschland ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) zuständig für Cyber-Angriffe auf digitale Infrastruktur. 

6

Ein Unternehmen einschalten, das sich auf die Entschlüsselung von Ransomware Dateien spezialisiert hat – Der Schaden durch eine Betriebsunterbrechung übersteigt sehr schnell den Wert des Lösegelds, so dass die Beauftragung eines Unternehmens wie RansomHunter zur Entschlüsselung der Dateien die Option ist mit den höchsten Erfolgschancen ist.

Unternehmen vertrauen uns - in Deutschland und auf der ganzen Welt

Sebastian Brandl
Brandl Systems
Read More
Bei einem unseren Neukunden wurden wir nach einer Ransomware Attacke gerufen, um die neue Infrastruktur aufzubauen. Alle Daten, die noch vorhanden waren, wurden von Ransomware verschlüsselt. Nach intensiver Suche, um dem Kunden zumindest einen Teil seiner Daten wiederbeschaffen zu können, sind wir auf das RansomHunter Team von Digital Recovery aufmerksam geworden. Nach einem kurzen Gespräch haben wir die Datenträger zusammengepackt und diese noch um 23:00 Uhr vor Ort abgegeben. Nach intensiver Analyse der Experten konnten auch tatsächlich innerhalb von kürzester Zeit ein Teil der Daten wiederhergestellt werden. Alles in allem: kompetentes Team und sehr netter Umgang, Preise waren sehr fair. Besonderen Dank in diesem Falle an Herrn Demiriz, der während der ganzen Phase erreichbar war und uns wunderbar unterstützt hat. Trotzdem hoffe ich, dass wir die Dienstleistung nicht mehr in Anspruch nehmen müssen 🙂
Monika Braun
Read More
Die Rettung aller Daten war möglich, obwohl andere Dienstleister gescheitert sind. Die Firma war jederzeit persönlich erreichbar und allen Aussagen immer zielführend.
Dirk Ehlig-MacLeod
Read More
Wir hatten einen Randsomware Virus, der unsere sämtlichen Dateien verschlüsselt hat. Dank des RansomHunter Teams von Digital Recovery konnten unsere Datenbanken wiederhergestellt werden, obwohl dies ein anderer IT Experte nicht für möglich gehalten hätte. Die Dienstleistung wird nur bei Erfolg gezahlt, das ist fair und transparent. Der Service war schnell, professionell, super hilfsbereit und freundlich. Sehr empfehlenswert!
Walter Behrend
Read More
Ich bin auf das Unternehmen gestoßen, als ich eine unschöne Begegnung mit Ransomware hatte. Nachdem ich das Problem bemerkte, kontaktierte ich das RansomHunter Team von Digital Recovery. Die Kommunikation war sehr freundlich, schnell, zuvorkommend und zu jedem Zeitpunkt absolut transparent. Der Kontakt professionell und die Geschwindigkeit - absolut zügig. In meinem Fall war die Bepreisung und das Angebot absolut fair, weshalb ich das auch angenommen habe und die RansomHunter Mitarbeiter schlussendlich ein positives Ergebnis erzielen konnten. Diesen Kontakt im Hinterkopf zu behalten ist es absolut wert, für den Fall der Fälle... Vielen Dank!
Mirko Scherf
Alpha PC
Read More
Aufgrund einer übersehenden Sicherheitslücke war es Angreifern möglich in unsere Systeme einzudringen und zwei unserer Server zu verschlüsseln. Leider wurde auch unsere Datensicherung verschlüsselt und war auch nicht mehr lesbar. RansomHunter konnte die Dateien der Virtuellen Maschine entschlüsseln und wiederherstellen und wir dadurch unsere Arbeit wieder aufnehmen.
Anonym
Mittelständiges Unternehmen in NRW
Read More
Wir wurden komplett gehackt, alles wurde verschlüsselt, auch das Back-Up auf dem Netzwerk. Trotz der kompletten Verschlüsselung konnte Ransomhunter von Digital Recovery Daten wiederherstellen. Positiv aufgefallen sind mir der Kontakt mit dem Kundenbetreuer und die Erstellung eines guten und transparenten Angebots. Wir waren am Anfang sehr skeptisch, weil wir noch nie Kontakt mit einer Firma in der Branche Cyber Kriminalität hatten. Digital Recovery hat uns diese Zweifel genommen, wenn wir einen Hacking Fall in unserem Umfeld haben, werden wir sie ganz sicher empfehlen.
light-soon
oriente-soon
afigec-soon
cedar-valley-medical-soon
fideuro-soon
centuriallabs

Häufig gestellte Fragen über LockBit 3.0 Entschlüsselung

Jeden Tag werden Ransomware Angriffe weiter entwickelt. Nach einem erfolgreichen Angriffsversuch ordnet die Ransomware schnell die relevantesten Dateien des Datenträgers und beginnt mit der Verschlüsselung. Microsoft Office Dateien, Datenbanken, PDFs und Bilder sind die Hauptziele der Kriminellen.

Ja, allerdings ist LockBit 3.0 so konzipiert, dass die Erkennung durch die Firewall sehr unwahrscheinlich ist, so dass sie in das interne System des Datenträgers eindringen und die Verteidigungssysteme ausschalten kann, sich „seitlich“ bewegt und die Backup Routinen schlussendlich abschaltet.

Der Benutzer kann theoretisch die Ransomware Bewegungen bemerken, auch wenn die Firewall sie nicht erkennen kann. Die Malware verwendet die systemeigenen Ressourcen für die Verschlüsselung und reagiert wahrscheinlich nur verzögert auf Befehle.

Die Datei Endungen werden geändert und es wird eine eigene Erweiterung hinzugefügt, in der die Angreifer Gruppe genannt wird. Halten Sie Ausschau nach diesen Anzeichen.

Ja, das ist prinzipiell möglich. Dabei besteht allerdings das Risiko, dass einige Daten unbrauchbar gemacht werden. Sobald Sie die Aktivität von LockBit 3.0 auf dem System bemerkt haben, sollten Sie das Gerät vom Internet isolieren. Dadurch wird die Gruppenkommunikation mit dem Malware Server unterbrochen. Manche Ransomware Typen können die Verschlüsselung aber auch ohne Internetzugang fortsetzen.

Sie können auch Gegenmaßnahmen Ihres Antivirus Programms einleiten, um die Malware zu isolieren und zu löschen, sofern das Antivirus Programm nicht schon von der Ransomware außer Gefecht gesetzt wurde.

Die Verschlüsselung zu stoppen ist extrem komplex, da die Ransomware so programmiert ist, dass sie alle potentiellen Maßnahmen des Systems oder des Anwenders verhindert, so, dass die Wahrscheinlichkeit sinkt, dass der Prozess durch die Maßnahmen unterbrochen wird.

Die Attacken erfolgen normalerweise dann, wenn möglichst wenige Benutzer online sind. Das führt zu den meisten Attacken an Wochenenden und Feiertagen und in den frühen Morgenstunden.

Es gibt unzählige Verschlüsselungen, aber die am häufigsten benutzten sind RSA [Rivest-Shamir-Adleman]-2048 und AES [Advanced Encryption Standard].

Bleiben Sie zunächst gefasst, denn die Hacker Gruppen setzen auf die Verzweiflung des Opfers. Befolgen Sie diese Tipps:

  • Isolieren Sie das infizierte System – Die Malware kann sich lateral durch das System bewegen und andere Speichermedien erreichen, daher ist es wichtig, ihren Einflussbereich zu isolieren.
  • Überprüfen Sie ihr Backup – Wenn ihr Backup nicht von LockBit 3.0 Ransomware infiziert wurde, können die Dateien mit hoher Wahrscheinlichkeit unmittelbar und ohne größere Probleme wiederhergestellt werden.
  • Vermeiden Sie die Kommunikation mit den Hackern – Erpresser nutzen psychologische Strategien, um in kürzester Zeit so viel Geld wie möglich zu erpressen; die Tatsache, dass das Opfer emotional mit dem Vorfall verbunden ist, macht es oft zu einem leichten Ziel.
  • Verhandeln Sie unter keinen Umständen mit den Hackern – Die Hacker Gruppe gibt keine wirkliche Garantie, dass der Schlüssel zum Retten der Daten nach Bezahlung des Lösegelds freigegeben wird, oft geschieht genau das leider nicht. Außerdem wird die Zahlung die Gruppe für weitere Angriffe finanzieren – vielleicht auch erneut auf Sie.
  • Wenden Sie sich an die Regierungsbehörden – Die Regierung hat auf die Bekämpfung von IT Angriffen spezialisierte Einrichtungen (BSI, die den Angriff untersuchen werden.
  • Wenden Sie sich an ein Unternehmen, das sich auf die Entschlüsselung von Ransomware Daten fokussiert hat – RansomHunter ist in der Lage, LockBit 3.0 Ransomware Daten zu entschlüsseln, ohne dass der Schlüssel der Kriminellen benötigt wird.

Ja, in der überwiegenden Mehrheit der Fälle ist RansomHunter dazu fähig, die Ransomware Dateien zu entschlüsseln, ohne das Lösegeld zu bezahlen. Dies ist technisch nur möglich durch eine von uns selbst entwickelte Technologie, die der LockBit 3.0 überlegen ist und mit der die Daten vollständig und geordnet wiederhergestellt werden können.

Nach dem ersten Kontakt und der Übermittlung der Daten diagnostizieren wir die Dateien, um das Ausmaß des durch die LockBit 3.0 Ransomware verursachten Schadens zu prüfen, damit wir die Dauer des Prozesses hochrechnen und einen Kostenvoranschlag erstellen können.

Nachdem unser Kunde dem Kostenvoranschlag zustimmt, beginnen wir mit dem Prozess der Entschlüsselung, für den wir über eine von uns selbst entwickelte Software verfügen, mit deren Hilfe unsere Spezialisten die Daten rekonstruieren kann.

Nach Abschluss des Prozesses führen wir eine doppelte Prüfung durch, damit der Kunde die Vollständigkeit und Unversehrtheit der wiederhergestellten Daten überprüfen kann (in der Regel in einer Fernsitzung).

Die Bezahlung geschieht erst nach der Überprüfung der Daten durch den Kunden.

Die neusten Einblicke unserer Experten

Alle Beiträge