luciver1981
Goto Top

Crypto Trojaner DRINGEND

Hallo erstmal, wir hatten heute ein verseuchten Rechner mit einem Crypto Trojaner.

Folgendes hab ich getan.

1. PC sofort vom Netzwerk getrennt.
2. Kaspersky Rescue Disk durchlaufen lassen (ohne Bedrohung)
3. Offline msconfig den starteintrage gelöscht ebenso aus der Registry
4. Datei gelöscht
Wie soll ich weiter vorgehen?

Gruß Luciver

Content-ID: 290349

Url: https://administrator.de/contentid/290349

Ausgedruckt am: 14.11.2024 um 01:11 Uhr

122501
122501 07.12.2015 um 22:12:16 Uhr
Goto Top
Prüfen wie der Virus ins Netzwerk gelangen konnte und dann entsprechend die Sicherheitskonfiguration anpassen würde ich sagen.
Pjordorf
Pjordorf 07.12.2015 um 22:27:33 Uhr
Goto Top
Hallo,

Zitat von @Luciver1981:
Wie soll ich weiter vorgehen?
Woher kam der?
Wie konnte der reinkomen?
Wo hat er auswirkungen (Crypto) gezeigt?
Welche Freigaben hat er nicht gefunden bzw. wo hat sich nicht versteckt/verstecken können?
Welche aandere system sind evtl. infiziert / bedroht?
Sind die sicherungen sauber?
Sicher das es dein Kaspersky Rescue Disk und msconfig reichen?
Wieso hat dein AV nicht angeschlagen bevor er sein Werk tat?

Gruß,
Peter
laster
laster 07.12.2015 um 22:35:28 Uhr
Goto Top
Hallo, es gibt einige Tools, die bestimmte Crypto Malware entfernen kann. Findest du über Google...
Wichtiger ist es herauszufinden, wer die Dateien verschlüsselt hat. Liegen die in freigegeben Verzeichnissen? Wer hat Zugriff drauf? Prüfe alle Rechner....
Gruß LS
AnkhMorpork
AnkhMorpork 08.12.2015 um 08:03:56 Uhr
Goto Top
Naja, is wie immer ... wenn du sicher sein willst, plattmachen. Alles andere ist wischiwaschi. Da bleibt ein ungutes Gefühl.
Wichtige Daten? Sauberes Backup?

Gruß

Ankh
Luciver1981
Luciver1981 08.12.2015 um 08:34:52 Uhr
Goto Top
Guten Morgen,

der Trojaner kam durch eine geöffnete Spammail ins Netzwerk, soweit scheint das er nur lokal verschlüsselt hat.

Er hat sich als Acronis ausgegeben. Aber mein vertrauen in Kaspersky ist weg, hat mit der Rescue Disk nichts gefunden.
122501
122501 08.12.2015 um 08:38:23 Uhr
Goto Top
Werden Spammails von eurem Mailserver nicht "entschärft" - sprich als Klartext ohne jegliche Anhänge an den User geschickt??
Oder wurde die Mail vom Server nicht als Spam erkannt?
ArnoNymous
ArnoNymous 08.12.2015 aktualisiert um 08:43:57 Uhr
Goto Top
Bisher war es in meinem Umfeld immer eine vom User ausgeführte Datei (Email-Anhang bzw ext. Link) die dann anfing, die Daten zu verschlüsseln. Das Ganze lief auch nur im Userkontext, also nicht automatisch im Hintergrund o.ä. Nach einem Neustart hatte sich das auch schon erledigt. Man müsste die Datei schon wieder manuell ausführen, damit das Ganze wieterläuft. Wetiere Viren o.ä. wurden offenbar bisher nicht heruntergeladen.
Also das Risiko, dass hier noch viel Handlungsbedarf besteht, schätze ich als eher gering ein (ohne Gewähr).
ArnoNymous
ArnoNymous 08.12.2015 um 08:53:34 Uhr
Goto Top
Moin,

meistens sind es professionell gestaltete Mails, die auf eine reele Gegebenheit basieren, also z.B. mit einem Bewerbungsschreiben auf ein Stellenausschreiben antworten. Darin enhalten ist ein Dropbox-Link, der läuft über HTTPS. Da ist die Technik machtlos.
Bis ein lokaler Virenscanner anschlägt, wenn er es überhaupt tut (Trend Micro hats bisher nicht getan), ist ein grooßteil der Dokumente schon versclüsselt.
Lochkartenstanzer
Lochkartenstanzer 08.12.2015 um 10:50:48 Uhr
Goto Top
Moin,

Sinnvolle Maßnahmen:

  • Alle Kisten sofort abschalten.
  • von NotfallSystemn booten und alles sichern.
  • Anschöließend analysieren, welche Systeme infiziert sind, und zwar mit Hilfe eines Notfallsystems und nicht mit dem installierten OS!
  • Infizierte Systeme einstampfen und von Backup vor der Infektion wiederherstellen (oder ggf. frisch aufsetzen).
  • Daten die eventuell nicht im Backup waren, aus der obigen Sicherung wieder heraussuchen, dabei aber drauf achten, daß man sich nicht frisch infiziert.
  • Auf gar keine Fall zahlen, weil das die pöhsen Purschen dadurch ermutigt werden, weiterzumachen.


lks


PS: Wer gerne russisch Roulette spielt, kann natürlich auch das System nach einer "Reinigung" weiterbenutzen.

PPS: Diverse AV-Hersteller bieten inzwischen Tools, die bei bekannten Schöüsseln die Dateien wiederherstellen. Alelrdings habeich festegestellt, daß die meist keine Hilfe sind, weil die Schlüssel sich schneller ändern, als die AV-Hersteller ihre Updates liefern.
Pjordorf
Pjordorf 08.12.2015 um 11:14:18 Uhr
Goto Top
Hallo,

Zitat von @Luciver1981:
der Trojaner kam durch eine geöffnete Spammail ins Netzwerk
Soviel zum SPAM nicht Schutz

soweit scheint das er nur lokal verschlüsselt hat.
Scheint wäre mir zu unsicher und viele nehmen alles wo die drauf zugreifen können.

Er hat sich als Acronis ausgegeben.
Und dein Kollege hatte sofort geiz ist geil inner Birne?

https://blogs.sophos.com/2015/03/03/anatomy-of-a-ransomware-attack-crypt ...
https://www.sophos.com/de-de/support/knowledgebase/120797.aspx
https://blogs.sophos.com/2014/06/03/staying-secure-against-gameover-and- ...

Alternative wäre natürlich noch Kein Internet nutzen

Gruß,
Peter