10
Crypto Trojaner DRINGEND
Hallo erstmal, wir hatten heute ein verseuchten Rechner mit einem Crypto Trojaner.
Folgendes hab ich getan.
1. PC sofort vom Netzwerk getrennt.
2. Kaspersky Rescue Disk durchlaufen lassen (ohne Bedrohung)
3. Offline msconfig den starteintrage gelöscht ebenso aus der Registry
4. Datei gelöscht
Wie soll ich weiter vorgehen?
Gruß Luciver
Folgendes hab ich getan.
1. PC sofort vom Netzwerk getrennt.
2. Kaspersky Rescue Disk durchlaufen lassen (ohne Bedrohung)
3. Offline msconfig den starteintrage gelöscht ebenso aus der Registry
4. Datei gelöscht
Wie soll ich weiter vorgehen?
Gruß Luciver
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 290349
Url: https://administrator.de/contentid/290349
Printed on: April 18, 2024 at 07:04 o'clock
10 Comments
Latest comment
Prüfen wie der Virus ins Netzwerk gelangen konnte und dann entsprechend die Sicherheitskonfiguration anpassen würde ich sagen.
Hallo,
Woher kam der?
Wie konnte der reinkomen?
Wo hat er auswirkungen (Crypto) gezeigt?
Welche Freigaben hat er nicht gefunden bzw. wo hat sich nicht versteckt/verstecken können?
Welche aandere system sind evtl. infiziert / bedroht?
Sind die sicherungen sauber?
Sicher das es dein Kaspersky Rescue Disk und msconfig reichen?
Wieso hat dein AV nicht angeschlagen bevor er sein Werk tat?
Gruß,
Peter
Woher kam der?
Wie konnte der reinkomen?
Wo hat er auswirkungen (Crypto) gezeigt?
Welche Freigaben hat er nicht gefunden bzw. wo hat sich nicht versteckt/verstecken können?
Welche aandere system sind evtl. infiziert / bedroht?
Sind die sicherungen sauber?
Sicher das es dein Kaspersky Rescue Disk und msconfig reichen?
Wieso hat dein AV nicht angeschlagen bevor er sein Werk tat?
Gruß,
Peter
Hallo, es gibt einige Tools, die bestimmte Crypto Malware entfernen kann. Findest du über Google...
Wichtiger ist es herauszufinden, wer die Dateien verschlüsselt hat. Liegen die in freigegeben Verzeichnissen? Wer hat Zugriff drauf? Prüfe alle Rechner....
Gruß LS
Wichtiger ist es herauszufinden, wer die Dateien verschlüsselt hat. Liegen die in freigegeben Verzeichnissen? Wer hat Zugriff drauf? Prüfe alle Rechner....
Gruß LS
Naja, is wie immer ... wenn du sicher sein willst, plattmachen. Alles andere ist wischiwaschi. Da bleibt ein ungutes Gefühl.
Wichtige Daten? Sauberes Backup?
Gruß
Ankh
Wichtige Daten? Sauberes Backup?
Gruß
Ankh
Guten Morgen,
der Trojaner kam durch eine geöffnete Spammail ins Netzwerk, soweit scheint das er nur lokal verschlüsselt hat.
Er hat sich als Acronis ausgegeben. Aber mein vertrauen in Kaspersky ist weg, hat mit der Rescue Disk nichts gefunden.
der Trojaner kam durch eine geöffnete Spammail ins Netzwerk, soweit scheint das er nur lokal verschlüsselt hat.
Er hat sich als Acronis ausgegeben. Aber mein vertrauen in Kaspersky ist weg, hat mit der Rescue Disk nichts gefunden.
Werden Spammails von eurem Mailserver nicht "entschärft" - sprich als Klartext ohne jegliche Anhänge an den User geschickt??
Oder wurde die Mail vom Server nicht als Spam erkannt?
Oder wurde die Mail vom Server nicht als Spam erkannt?
Bisher war es in meinem Umfeld immer eine vom User ausgeführte Datei (Email-Anhang bzw ext. Link) die dann anfing, die Daten zu verschlüsseln. Das Ganze lief auch nur im Userkontext, also nicht automatisch im Hintergrund o.ä. Nach einem Neustart hatte sich das auch schon erledigt. Man müsste die Datei schon wieder manuell ausführen, damit das Ganze wieterläuft. Wetiere Viren o.ä. wurden offenbar bisher nicht heruntergeladen.
Also das Risiko, dass hier noch viel Handlungsbedarf besteht, schätze ich als eher gering ein (ohne Gewähr).
Also das Risiko, dass hier noch viel Handlungsbedarf besteht, schätze ich als eher gering ein (ohne Gewähr).
Moin,
meistens sind es professionell gestaltete Mails, die auf eine reele Gegebenheit basieren, also z.B. mit einem Bewerbungsschreiben auf ein Stellenausschreiben antworten. Darin enhalten ist ein Dropbox-Link, der läuft über HTTPS. Da ist die Technik machtlos.
Bis ein lokaler Virenscanner anschlägt, wenn er es überhaupt tut (Trend Micro hats bisher nicht getan), ist ein grooßteil der Dokumente schon versclüsselt.
meistens sind es professionell gestaltete Mails, die auf eine reele Gegebenheit basieren, also z.B. mit einem Bewerbungsschreiben auf ein Stellenausschreiben antworten. Darin enhalten ist ein Dropbox-Link, der läuft über HTTPS. Da ist die Technik machtlos.
Bis ein lokaler Virenscanner anschlägt, wenn er es überhaupt tut (Trend Micro hats bisher nicht getan), ist ein grooßteil der Dokumente schon versclüsselt.
Moin,
Sinnvolle Maßnahmen:
lks
PS: Wer gerne russisch Roulette spielt, kann natürlich auch das System nach einer "Reinigung" weiterbenutzen.
PPS: Diverse AV-Hersteller bieten inzwischen Tools, die bei bekannten Schöüsseln die Dateien wiederherstellen. Alelrdings habeich festegestellt, daß die meist keine Hilfe sind, weil die Schlüssel sich schneller ändern, als die AV-Hersteller ihre Updates liefern.
Sinnvolle Maßnahmen:
- Alle Kisten sofort abschalten.
- von NotfallSystemn booten und alles sichern.
- Anschöließend analysieren, welche Systeme infiziert sind, und zwar mit Hilfe eines Notfallsystems und nicht mit dem installierten OS!
- Infizierte Systeme einstampfen und von Backup vor der Infektion wiederherstellen (oder ggf. frisch aufsetzen).
- Daten die eventuell nicht im Backup waren, aus der obigen Sicherung wieder heraussuchen, dabei aber drauf achten, daß man sich nicht frisch infiziert.
- Auf gar keine Fall zahlen, weil das die pöhsen Purschen dadurch ermutigt werden, weiterzumachen.
lks
PS: Wer gerne russisch Roulette spielt, kann natürlich auch das System nach einer "Reinigung" weiterbenutzen.
PPS: Diverse AV-Hersteller bieten inzwischen Tools, die bei bekannten Schöüsseln die Dateien wiederherstellen. Alelrdings habeich festegestellt, daß die meist keine Hilfe sind, weil die Schlüssel sich schneller ändern, als die AV-Hersteller ihre Updates liefern.
Hallo,
Soviel zum SPAM nicht Schutz
https://blogs.sophos.com/2015/03/03/anatomy-of-a-ransomware-attack-crypt ...
https://www.sophos.com/de-de/support/knowledgebase/120797.aspx
https://blogs.sophos.com/2014/06/03/staying-secure-against-gameover-and- ...
Alternative wäre natürlich noch Kein Internet nutzen
Gruß,
Peter
Soviel zum SPAM nicht Schutz
soweit scheint das er nur lokal verschlüsselt hat.
Scheint wäre mir zu unsicher und viele nehmen alles wo die drauf zugreifen können.Er hat sich als Acronis ausgegeben.
Und dein Kollege hatte sofort geiz ist geil inner Birne?https://blogs.sophos.com/2015/03/03/anatomy-of-a-ransomware-attack-crypt ...
https://www.sophos.com/de-de/support/knowledgebase/120797.aspx
https://blogs.sophos.com/2014/06/03/staying-secure-against-gameover-and- ...
Alternative wäre natürlich noch Kein Internet nutzen
Gruß,
Peter
