Crypto Trojaner DRINGEND

Hallo erstmal, wir hatten heute ein verseuchten Rechner mit einem Crypto Trojaner.

Folgendes hab ich getan.

1. PC sofort vom Netzwerk getrennt.
2. Kaspersky Rescue Disk durchlaufen lassen (ohne Bedrohung)
3. Offline msconfig den starteintrage gelöscht ebenso aus der Registry
4. Datei gelöscht
Wie soll ich weiter vorgehen?

Gruß Luciver

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 290349

Url: https://administrator.de/contentid/290349

Ausgedruckt am: 14.11.2024 um 01:11 Uhr

10 Kommentare

Neuester Kommentar

Prüfen wie der Virus ins Netzwerk gelangen konnte und dann entsprechend die Sicherheitskonfiguration anpassen würde ich sagen.

Hallo,

Zitat von @Luciver1981:
Wie soll ich weiter vorgehen?

Woher kam der?
Wie konnte der reinkomen?
Wo hat er auswirkungen (Crypto) gezeigt?
Welche Freigaben hat er nicht gefunden bzw. wo hat sich nicht versteckt/verstecken können?
Welche aandere system sind evtl. infiziert / bedroht?
Sind die sicherungen sauber?
Sicher das es dein Kaspersky Rescue Disk und msconfig reichen?
Wieso hat dein AV nicht angeschlagen bevor er sein Werk tat?

Gruß,
Peter

Hallo, es gibt einige Tools, die bestimmte Crypto Malware entfernen kann. Findest du über Google...
Wichtiger ist es herauszufinden, wer die Dateien verschlüsselt hat. Liegen die in freigegeben Verzeichnissen? Wer hat Zugriff drauf? Prüfe alle Rechner....
Gruß LS

Naja, is wie immer ... wenn du sicher sein willst, plattmachen. Alles andere ist wischiwaschi. Da bleibt ein ungutes Gefühl.
Wichtige Daten? Sauberes Backup?

Gruß

Ankh

Guten Morgen,

der Trojaner kam durch eine geöffnete Spammail ins Netzwerk, soweit scheint das er nur lokal verschlüsselt hat.

Er hat sich als Acronis ausgegeben. Aber mein vertrauen in Kaspersky ist weg, hat mit der Rescue Disk nichts gefunden.

Werden Spammails von eurem Mailserver nicht "entschärft" - sprich als Klartext ohne jegliche Anhänge an den User geschickt??
Oder wurde die Mail vom Server nicht als Spam erkannt?

Bisher war es in meinem Umfeld immer eine vom User ausgeführte Datei (Email-Anhang bzw ext. Link) die dann anfing, die Daten zu verschlüsseln. Das Ganze lief auch nur im Userkontext, also nicht automatisch im Hintergrund o.ä. Nach einem Neustart hatte sich das auch schon erledigt. Man müsste die Datei schon wieder manuell ausführen, damit das Ganze wieterläuft. Wetiere Viren o.ä. wurden offenbar bisher nicht heruntergeladen.
Also das Risiko, dass hier noch viel Handlungsbedarf besteht, schätze ich als eher gering ein (ohne Gewähr).

Moin,

meistens sind es professionell gestaltete Mails, die auf eine reele Gegebenheit basieren, also z.B. mit einem Bewerbungsschreiben auf ein Stellenausschreiben antworten. Darin enhalten ist ein Dropbox-Link, der läuft über HTTPS. Da ist die Technik machtlos.
Bis ein lokaler Virenscanner anschlägt, wenn er es überhaupt tut (Trend Micro hats bisher nicht getan), ist ein grooßteil der Dokumente schon versclüsselt.

Moin,

Sinnvolle Maßnahmen:

Alle Kisten sofort abschalten.
von NotfallSystemn booten und alles sichern.
Anschöließend analysieren, welche Systeme infiziert sind, und zwar mit Hilfe eines Notfallsystems und nicht mit dem installierten OS!
Infizierte Systeme einstampfen und von Backup vor der Infektion wiederherstellen (oder ggf. frisch aufsetzen).
Daten die eventuell nicht im Backup waren, aus der obigen Sicherung wieder heraussuchen, dabei aber drauf achten, daß man sich nicht frisch infiziert.
Auf gar keine Fall zahlen, weil das die pöhsen Purschen dadurch ermutigt werden, weiterzumachen.

lks

PS: Wer gerne russisch Roulette spielt, kann natürlich auch das System nach einer "Reinigung" weiterbenutzen.

PPS: Diverse AV-Hersteller bieten inzwischen Tools, die bei bekannten Schöüsseln die Dateien wiederherstellen. Alelrdings habeich festegestellt, daß die meist keine Hilfe sind, weil die Schlüssel sich schneller ändern, als die AV-Hersteller ihre Updates liefern.