Ermittlung bei Erpressungstrojanern

Fallbeschreibung:
Ein Unternehmen wurde von einem Erpressungstrojaner betroffen, der sensible Daten verschlüsselte und eine Zahlung forderte, um die Daten wiederherzustellen.

Zielsetzung der Untersuchung:
Ermittlung der Herkunft der Ransomware, Analyse ihrer Funktionsweise und Wiederherstellung der verschlüsselten Daten, falls möglich.

Vorgehensweise und Methodik:
Untersuchung des infizierten Systems, Rückverfolgung der Herkunft des Trojaners, Analyse der verwendeten Verschlüsselungsmethoden und Prüfung, ob Sicherheitslücken im System ausgenutzt wurden.

Feststellungen und Ergebnisse:
Die Untersuchung ergab, dass die Ransomware über einen Phishing-Angriff in das System gelangte. Die verwendete Verschlüsselungsmethode war gängiger Standard, und es war möglich, die Daten mit spezialisierten Tools teilweise wiederherzustellen.

Schlussfolgerungen und Empfehlungen:
Es wurde empfohlen, die Systeme mit aktuellen Sicherheitspatches zu versorgen, eine kontinuierliche Backup-Strategie zu implementieren und Mitarbeitern eine Schulung im sicheren Umgang mit E-Mails und Anhängen anzubieten.

Besondere Herausforderungen:
Die Verschlüsselung der Daten war stark, und einige Dateien konnten nicht wiederhergestellt werden. Die Täter verlangten eine hohe Zahlung, was die Verhandlungen erschwerte.