Πριν αρκετούς μήνες είχε έρθει στην εταιρία μας μια πολύ μεγάλη εταιρία η οποία είχε κολλήσει τον ιό Sodinokibi Ransomware.
Το συγκεκριμένο Ransomware κρυπτογραφεί τα δεδομένα σε Servers και Workstations και όπου αλλού έχει πρόσβαση.
Επίσης είναι μέσα στα πιο “ακριβά” Ransomware μαζί με τον Ryuk και χτυπάει συνήθως μεγάλες εταιρίες, ενώ τα λύτρα που ζητάει ξεκινάνε απο 15.000$ ανα Workstation ή Server.
Ο συγκεκριμένος πελάτης ήρθε στην εταιρία μας αλλά δυστυχώς παρόλη την έρευνα που κάναμε, προς το παρόν δεν είχε λύση.
Είχε ήδη αποπειραθεί να ανοίξει την ιστοσελίδα του Ransomware και του δώσανε διορία μερικές ημέρες για να κάνει την πληρωμή.
Απο τη μεριά του δεν έγινε η πληρωμή και η τιμή του Ransom διπλασιάστηκε μετά το προκαθορισμένο διάστημα, όπως του είχαν υποσχεθεί οι επιτιθέμενοι.
Εξετάσαμε αν υπάρχουν αδυναμίες στον κώδικα του αλλά κάτι τέτοιο δεν έχει δημοσιοποιηθεί.
Επίσης προσπαθήσαμε να αναλύσουμε τα αρχεία συστήματος αλλά και πάλι αυτό στάθηκε αδύνατο καθώς ο πελάτης είχε ήδη καθαρίσει τον ιό Sodinokibi Ransomware οπότε δεν βρήκαμε αρκετό υλικό για ανάλυση.
Τέλος εξετάσαμε τα μέσα για τυγχόν ευρήματα τα οποία διεγράφησαν και παρατηρήσαμε οτι ούτε απο εκεί θα μπορούσαμε να αντλήσουμε δεδομένα.
Λόγω του τεράστιου ποσού που ζητούσαν οι χακερ ο πελάτης αρνήθηκε να συνεργαστεί μαζί τους και συνέχισε χωρίς τα δεδομένα.
Δυστυχώς αυτό δεν κράτησε πολύ, καθώς τα δεδομένα αυτά ήταν κρίσιμα για την εργασία του προσωπικού και στάθηκε αδύνατο να συνεχίσει η λειτοτουργία της επιχείρησης.
Μετά απο 6 μήνες περίπου ο ίδιος πελάτης απευθύνθηκε στην ομάρα Ransomware Incident Response της Tictac Data Recovery & Cyber Security και βρήκαμε εναλλακτικούς τρόπους να τον βοηθήσουμε να πάρει πίσω τα δεδομένα του με πολύ πιο οικονομικά βιώσιμο τρόπο.
