Im Fall der Düsseldorfer Uniklinik verdichten sich nun die Hinweise auf ein strafrechtlich relevantes Verhalten.
Das war kein typischer Hacker-Angriff in D’dorf, wo man dann Donnerstag nachts gegen 03:00 Uhr das komplette Netzwerk nofallmäßig abgeschaltet hat. Das Szenario, was man mittlerweile innerhalb der letzten 48 Std. dabei feststellen konnte, vom zeitlichen Ablauf und vom logischen Ablaufgeschehen her, sieht eher nach Ransom aus !
Und wenn man den Gerüchten im Dunkelnetz trauen kann, dann gehts hierbei um Erpressung mittels des neuen Tools bzw. Verschlüsselungs-Trojaner „„CONTI““ !! 
Seit einigen Wochen arbeitet EMOTET mit einem neuen, viel besseren / moderneren Trojaner (CONTI) zusammen für die Verschlüsselung…siehe auch hier:
https://tarnkappe.info/forum/t/trickbot-holt-auf-immer-noch-ein-malware-cocktail/6996
Vor knapp zwei Wochen wurde diese neue Kombi vermehrt auch in Europa (DE bevorzugt) analysiert!
Dieses Gespann wurde schon in grossen Infrastrukturen erfolgreich eingesetzt, ist aber auf Grund seiner Komplexität wohl noch so ein wenig im „Feldtest“! 
Die Uni-Kliniken Düsseldorf sind von der Struktur her, ein in allen Belangen lohnenswertes Ziel für den CONTI-Einsatz…
Ganz nach dem „Neusser Klinikum Beispiel“ vor ein paar Jahren, wurde auch seinerzeit das D’dorfer Uni-Klinikum in seiner IT strukturiert - ich habe sogar letztes Jahr noch an einigen Servern dort selber gearbeitet.
Die Struktur, die damals Neuss das Genick mehrfach gebrochen hatte, ist in Düsseldorf nach wie vor vorhanden gewesen - zum Beispiel, dass zwischen den einzelnen Netzen (Patienten / Benutzer, Produktiv, Medizin, Verwaltung) keine wirkliche Trennung vorhanden war. Zusätzlich war an einigen neuralgischen Punkten sogar das interne Netzwerk mit dem Internet 1:1 verbunden…
Nachdem Neuss nun mal monatelang gelitten hat und als Konsequenz alles vollständig neu aufgebaut hatte (neue Struktur) wurde die interne IT Düsseldorfs wach und wollte auch kolossale Veränderungen herbeiführen! Das wurde durch die Betreiber und die Universität bis heute erfolgreich abgeblockt!
Das Ergebnis wird ja quasi grade ausgewertet…! 
Wenn dort also EMOTET & CONTI im Spiel waren, wird das mehr als nur ein sehr böses Erwachen in der Klinik werden!!! Ich hatte damals auch Kontakt zu Mitarbeitern eines Systemhauses, welches dort die (nicht wirklich funktionierenden) Backup-Systeme betreute! Mir schwahnt nun fürchterliches… 
Also, wie schon angesprochen: Das Szenario und die bisher bekannt gewordenen Auswirkungen lassen diese Schlußfolgerung mindestens mal zu 95% zu!! Der Wirkungsgrad war zumindest in den letzten 48 Stunden, wie aus einem Angriffs-Tutorial abgelesen, in seinem Ablauf…