Crypto Trojaner DRINGEND
Hallo erstmal, wir hatten heute ein verseuchten Rechner mit einem Crypto Trojaner.
Folgendes hab ich getan.
1. PC sofort vom Netzwerk getrennt.
2. Kaspersky Rescue Disk durchlaufen lassen (ohne Bedrohung)
3. Offline msconfig den starteintrage gelöscht ebenso aus der Registry
4. Datei gelöscht
Wie soll ich weiter vorgehen?
Gruß Luciver
Folgendes hab ich getan.
1. PC sofort vom Netzwerk getrennt.
2. Kaspersky Rescue Disk durchlaufen lassen (ohne Bedrohung)
3. Offline msconfig den starteintrage gelöscht ebenso aus der Registry
4. Datei gelöscht
Wie soll ich weiter vorgehen?
Gruß Luciver
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 290349
Url: https://administrator.de/contentid/290349
Ausgedruckt am: 14.11.2024 um 01:11 Uhr
10 Kommentare
Neuester Kommentar
Prüfen wie der Virus ins Netzwerk gelangen konnte und dann entsprechend die Sicherheitskonfiguration anpassen würde ich sagen.
Hallo,
Woher kam der?
Wie konnte der reinkomen?
Wo hat er auswirkungen (Crypto) gezeigt?
Welche Freigaben hat er nicht gefunden bzw. wo hat sich nicht versteckt/verstecken können?
Welche aandere system sind evtl. infiziert / bedroht?
Sind die sicherungen sauber?
Sicher das es dein Kaspersky Rescue Disk und msconfig reichen?
Wieso hat dein AV nicht angeschlagen bevor er sein Werk tat?
Gruß,
Peter
Woher kam der?
Wie konnte der reinkomen?
Wo hat er auswirkungen (Crypto) gezeigt?
Welche Freigaben hat er nicht gefunden bzw. wo hat sich nicht versteckt/verstecken können?
Welche aandere system sind evtl. infiziert / bedroht?
Sind die sicherungen sauber?
Sicher das es dein Kaspersky Rescue Disk und msconfig reichen?
Wieso hat dein AV nicht angeschlagen bevor er sein Werk tat?
Gruß,
Peter
Werden Spammails von eurem Mailserver nicht "entschärft" - sprich als Klartext ohne jegliche Anhänge an den User geschickt??
Oder wurde die Mail vom Server nicht als Spam erkannt?
Oder wurde die Mail vom Server nicht als Spam erkannt?
Bisher war es in meinem Umfeld immer eine vom User ausgeführte Datei (Email-Anhang bzw ext. Link) die dann anfing, die Daten zu verschlüsseln. Das Ganze lief auch nur im Userkontext, also nicht automatisch im Hintergrund o.ä. Nach einem Neustart hatte sich das auch schon erledigt. Man müsste die Datei schon wieder manuell ausführen, damit das Ganze wieterläuft. Wetiere Viren o.ä. wurden offenbar bisher nicht heruntergeladen.
Also das Risiko, dass hier noch viel Handlungsbedarf besteht, schätze ich als eher gering ein (ohne Gewähr).
Also das Risiko, dass hier noch viel Handlungsbedarf besteht, schätze ich als eher gering ein (ohne Gewähr).
Moin,
meistens sind es professionell gestaltete Mails, die auf eine reele Gegebenheit basieren, also z.B. mit einem Bewerbungsschreiben auf ein Stellenausschreiben antworten. Darin enhalten ist ein Dropbox-Link, der läuft über HTTPS. Da ist die Technik machtlos.
Bis ein lokaler Virenscanner anschlägt, wenn er es überhaupt tut (Trend Micro hats bisher nicht getan), ist ein grooßteil der Dokumente schon versclüsselt.
meistens sind es professionell gestaltete Mails, die auf eine reele Gegebenheit basieren, also z.B. mit einem Bewerbungsschreiben auf ein Stellenausschreiben antworten. Darin enhalten ist ein Dropbox-Link, der läuft über HTTPS. Da ist die Technik machtlos.
Bis ein lokaler Virenscanner anschlägt, wenn er es überhaupt tut (Trend Micro hats bisher nicht getan), ist ein grooßteil der Dokumente schon versclüsselt.
Moin,
Sinnvolle Maßnahmen:
lks
PS: Wer gerne russisch Roulette spielt, kann natürlich auch das System nach einer "Reinigung" weiterbenutzen.
PPS: Diverse AV-Hersteller bieten inzwischen Tools, die bei bekannten Schöüsseln die Dateien wiederherstellen. Alelrdings habeich festegestellt, daß die meist keine Hilfe sind, weil die Schlüssel sich schneller ändern, als die AV-Hersteller ihre Updates liefern.
Sinnvolle Maßnahmen:
- Alle Kisten sofort abschalten.
- von NotfallSystemn booten und alles sichern.
- Anschöließend analysieren, welche Systeme infiziert sind, und zwar mit Hilfe eines Notfallsystems und nicht mit dem installierten OS!
- Infizierte Systeme einstampfen und von Backup vor der Infektion wiederherstellen (oder ggf. frisch aufsetzen).
- Daten die eventuell nicht im Backup waren, aus der obigen Sicherung wieder heraussuchen, dabei aber drauf achten, daß man sich nicht frisch infiziert.
- Auf gar keine Fall zahlen, weil das die pöhsen Purschen dadurch ermutigt werden, weiterzumachen.
lks
PS: Wer gerne russisch Roulette spielt, kann natürlich auch das System nach einer "Reinigung" weiterbenutzen.
PPS: Diverse AV-Hersteller bieten inzwischen Tools, die bei bekannten Schöüsseln die Dateien wiederherstellen. Alelrdings habeich festegestellt, daß die meist keine Hilfe sind, weil die Schlüssel sich schneller ändern, als die AV-Hersteller ihre Updates liefern.
Hallo,
Soviel zum SPAM nicht Schutz
https://blogs.sophos.com/2015/03/03/anatomy-of-a-ransomware-attack-crypt ...
https://www.sophos.com/de-de/support/knowledgebase/120797.aspx
https://blogs.sophos.com/2014/06/03/staying-secure-against-gameover-and- ...
Alternative wäre natürlich noch Kein Internet nutzen
Gruß,
Peter
Soviel zum SPAM nicht Schutz
soweit scheint das er nur lokal verschlüsselt hat.
Scheint wäre mir zu unsicher und viele nehmen alles wo die drauf zugreifen können.Er hat sich als Acronis ausgegeben.
Und dein Kollege hatte sofort geiz ist geil inner Birne?https://blogs.sophos.com/2015/03/03/anatomy-of-a-ransomware-attack-crypt ...
https://www.sophos.com/de-de/support/knowledgebase/120797.aspx
https://blogs.sophos.com/2014/06/03/staying-secure-against-gameover-and- ...
Alternative wäre natürlich noch Kein Internet nutzen
Gruß,
Peter