Solara Ransomware

Solara ist eine kürzlich beobachtete Ransomware-Variante, die laut Forschern auf dem öffentlich verbreiteten Code der Chaos-Familie basiert. Ransomware wie Solara verschlüsselt Benutzerdateien, verlangt Zahlungen und kann den Zugriff auf wichtige Daten dauerhaft unterbrechen. Daher ist der Schutz von Geräten und Backups unerlässlich.

WAS SOLARA MACHT

Bei der Analyse wurde beobachtet, dass Solara Dateien verschlüsselt und die Zeichenfolge „.solara“ an Dateinamen anhängt (z. B. „1.png“ → „1.png.solara“). Die Malware hinterlässt außerdem eine Lösegeldforderung namens „read_it.txt“, in der behauptet wird, das Opfer habe einen Anti-Cracking-Schutz aktiviert, und die Opfer aufgefordert werden, ein Entschlüsselungstool von einem Online-Akteur zu besorgen. Mehrere Berichte und Beispielanalysen bringen Solara mit der Chaos-Ransomware-Familie in Verbindung und beschreiben ein ähnliches Verhalten (Verschlüsselung, Erweiterungsaustausch und eine Lösegeldforderung im Klartext).

LÖSEGELD & ZAHLUNGSANSPRÜCHE

Die von Analysten untersuchte Lösegeldforderung behauptet, dass eine Wiederherstellung der Dateien ohne das Entschlüsselungstool des Angreifers „nahezu unmöglich“ sei. Die Nachricht fordert die Opfer auf, einen Discord-Benutzer (xenqxd) zu kontaktieren und schlägt Zahlungsoptionen wie Paysafecard (in Polen) oder einen kleinen Bitcoin-Betrag vor. Auffällig ist, dass in einigen Beispielen aussagekräftige Kontaktkanäle fehlen, was auf eine unreife oder scherzhafte Kampagne oder auf Betreiber hindeuten kann, die schlicht nicht mit Verhandlungen rechnen. Begegnen Sie allen derartigen Forderungen mit äußerstem Misstrauen.

KÖNNEN SIE DATEIEN WIEDERHERSTELLEN, OHNE ZU BEZAHLEN?

Im Allgemeinen können von Bedrohungen der Chaos-Familie verschlüsselte Dateien ohne den richtigen Entschlüsselungsschlüssel nicht wiederhergestellt werden. Wenn Sie über saubere Offline-Backups aus der Zeit vor der Infektion verfügen, ist deren Wiederherstellung der sicherste Weg. Von der Zahlung wird abgeraten, da Kriminelle oft keine brauchbaren Entschlüsseler liefern und die Zahlung von Geldern kriminelle Aktivitäten fördert.

HÄUFIGE INFEKTIONSVEKTOREN

• Raubkopien von Software, Keygens und „geknackte“ Dienstprogramme, getarnt mit Malware.
• Schädliche E-Mail-Anhänge und Links (Office-Makros, Skripte, EXEs).
• Infizierte Anzeigen, kompromittierte oder inoffizielle Download-Sites, P2P-/Torrent-Netzwerke, USB-Laufwerke und Downloadprogramme von Drittanbietern.

SOFORTIGE MASSNAHMEN BEI VERDACHT AUF EINE INFEKTION

Isolieren Sie die Maschine sofort : Trennen Sie die Verbindung zu Netzwerken (kabelgebunden/WLAN) und heben Sie die Bereitstellung aller freigegebenen/Netzwerklaufwerke auf, um eine seitliche Ausbreitung zu verhindern.

Sichern Sie Beweise : Führen Sie keinen Neustart durch, wenn Sie Speicher- oder forensische Artefakte sammeln. Erfassen Sie stattdessen Speicher- und Festplattenabbilder, wenn Sie dazu in der Lage sind, oder rufen Sie die Notfallreaktion an.

Verwenden Sie Backups : Stellen Sie die Daten aus vertrauenswürdigen Backups wieder her, sobald die Malware entfernt und die Systeme neu erstellt wurden. Stellen Sie keine Backups wieder her, die zum Zeitpunkt der Infektion möglicherweise verbunden waren.

Zahlen Sie nicht, bevor ein Incident-Response-Team alle Optionen und Konsequenzen geprüft hat. Es gibt keine Garantie für den Erfolg einer Zahlung und sie könnte zukünftige Angriffe fördern.

BESTE SICHERHEITSPRAKTIKEN

Sorgen Sie für eine aktuelle, mehrschichtige Verteidigung, die die folgenden Praktiken im täglichen Betrieb umfasst:

Patch-Management : Wenden Sie Sicherheitsupdates für Betriebssystem und Anwendungen umgehend an. Viele Ransomware-Varianten nutzen bekannte und gepatchte Schwachstellen aus.

Geringste Privilegien und Kontohygiene : Führen Sie Benutzer mit Nicht-Administratorkonten aus, erzwingen Sie eine starke Multifaktor-Authentifizierung für Remotezugriff und privilegierte Konten und überwachen Sie ungewöhnliches Anmeldeverhalten.

Backup-Strategie : Erstellen Sie regelmäßig Backups und bewahren Sie diese getrennt vom Netzwerk auf. Backups sind die effektivste Methode zur Wiederherstellung gegen Verschlüsselungsangriffe.

Endpunktschutz und EDR : Setzen Sie zuverlässige Lösungen zur Endpunkterkennung und -reaktion ein, die Ausführungsanomalien erkennen, schädliche Nutzdaten blockieren und eine schnelle Eindämmung ermöglichen. Aktivieren Sie Signaturen und Telemetrie.

Benutzerschulung und Phishing-Resistenz : Trainieren Sie Benutzer, Cracks/Keygens zu vermeiden, E-Mail-Absender und Links zu überprüfen und unerwarteten Anhängen mit Misstrauen zu begegnen. Simuliertes Phishing und Sensibilisierungskampagnen reduzieren den menschlichen Risikofaktor.

Anwendungssteuerungen und Makrobeschränkungen : Deaktivieren Sie Office-Makros standardmäßig, blockieren Sie die Ausführung von häufigen Missbrauchsorten (z. B. %AppData%, temporäre Ordner) und verwenden Sie nach Möglichkeit Anwendungs-Whitelists.

ABSCHLIESSENDE ANMERKUNGEN

Solara veranschaulicht die üblichen Risiken öffentlich zugänglicher Ransomware-Builder: Forks und Varianten breiten sich aus, und Angreifer passen ihre Verbreitungsmethoden kontinuierlich an bestimmte Communities an (Berichte heben Gaming-Foren und Kanäle für Raubkopien als mögliche Köder hervor). Die besten Abwehrmaßnahmen sind Prävention, starke Backups, schnelle Eindämmung und die Zusammenarbeit mit geschulten Reaktionsteams – nicht die Zahlung von Lösegeld. Wenn Sie einen Angriff vermuten und Hilfe bei der schrittweisen Bereinigung benötigen, sammeln Sie Beispielindikatoren (Dateinamen, Hashes, Lösegeldforderungstext) und wenden Sie sich an einen vertrauenswürdigen Incident-Response-Anbieter oder Ihren Sicherheitsanbieter, um Anleitungen zur Eindämmung und Wiederherstellung zu erhalten.