Eine Bekannte kam ganz aufgelöst bei mir an -
Sie erhielt eine Mail mit einer Rechnung für eine Webspace. Da sie sich tatsächlich kürzlich für so etwas interessierte und auf mehreren Internetseiten nachschaute, staunte sie zwar, wurde aber nicht mißtrauisch.
Kurz - sie öffnete die Rechung - und kann nichts mehr auf dem PC machen.
Alle Dateien haben vorn ein "locket" stehen und am Ende eine vierstellige Endung. "rwnf", "pnie" usw.
Ich hab mal mit einer paldo- CD gebootet und mir das angeschaut.
Bevor ich da weiter arbeite - was ratet ihr?
Ich installiere sowieso alles neu bei einem solchen Befall - aber die Dateien, ihre Bilder, sind die noch zu retten?
Es war eine eMail mit Dateianhang. Schimpfen nützt nichts mehr.
Die Images waren auf einer zweiten Festplatte gespeichert - wurden aber ebenfalls beschädigt.
Neuer Name: "locked-System_05.04.2012.tib.xyzd"
Hab die per paldo wieder umbenannt - wurde aber anscheinend beschädigt. "Archiv defekt".
Ich habe von allen von mir installierten PCs und Schleppis Images auf einer eigens dazu gekauften festplatte - also das ist nicht das Problem.
Und die Bilder sind auch wieder verwendbar, wenn ich sie umbenenne. (kein Problem mit dem Mehrfachumbenenntool von Totalcommander. (Ob alles so einfach ist, weiß ich noch nicht!)
Mich interessiert aber brennend, wie man da vorzugehen hat. Ob das ohne Zahlung an diese ganoven möglich ist.
Die verwanzten Bilder + Daten vorerst auf einem externen Datenträger zwecks späterer Bearbeitung sichern.
System neu machen, wie schon von Dir erwähnt.
Zahlung an die Ganoven?
Vergiß es!
Geld weg + Daten immer noch kaputt.
Evtl. ist das eine Variation des beliebten BKA-Trojaners.
Bei mir liegt die neue Desinfec't aus der c't 09/12.
Nagelneu, da für mein BS nicht erforderlich.
Deine Adresse via PN + ich schicke Dir das Ding.
Nur so als Vorschlag...
So, der PC läuft erst mal wieder.
Ich speichere mir, wie schon gesagt, von allen Systemen, die ich installiere, Images ab.
Jeweils von der Systempartition C und von der Programmepartition D.
Die Dateien lagere ich allesamt in die Datenpartition E aus.
Ich habe nun mit Acronis DiskDirektor C und D formatiert und mit TrueImage wieder hergestellt.
Die (gestern) frisch heruntergeladene Rescue- CD von Avira Prof zeigt in der Datenpartition nichts an.
Jetzt mache ich mich an die Umbenennungen.
Scheißspiel.
Verdammich, wie oft soll ich denen noch sagen, das keine Dateianhänge geöffnet werden sollen! Da kann man sich das Maul fusselig reden - bringt nichts.
Noch alles umständlich da wohl alles noch mehr oder weniger beta, mal schauen wann etwas für Otto-Normal User rauskommt. Ich würde die Dateien jedenfalls noch etwas aufheben.
Eigentlich schade, denn derartige "Schäden" sind so herrlich geeignet, dem Klickdau die Notwendigkeit von Backups und einem vernünftigen Sicherheitskonzept nahezubringen.
Da kann man sich das Maul fusselig reden - bringt nichts.
Aus diesem Grund ist mir dies mittlerweile egal, ich helfe auch nicht mehr in der Verwandschaft, sollen die schauen, wer Ihnen hilft, zur Not einen den man für den Service bezahlen muss.
Der Schieb in einer Fernsehsendung* wollte neulich mal wieder zeigen wie leicht man doch in einen alltäglichen Internet Rechner reinkommt..
*(Die mit dem Internetanwalt)
Ist aber fehlgeschlagen, die "Firewall" hat natürlich artig "angeschlagen" und den "per E-Mail Webcam Trojaner" mit zornig aufploppenden Fenster gebLOCKt ;-)
Erst nachdem dieser "Schutz" vorübergehend deaktiviert war,
kam der Webcam Hacker vom Fernsehen rein.
Fazit, nicht der User ist der DAU die Technik ist es die einen doofen Browser die Rechte gibt, im Hintergrund was zu installieren :-)
Aber zurück zu Backup oder Images.
-- Die wird ein normal User nie machen
-- zu umständlich und komplex, soll heißen nicht praktikabel für StandardUser..
PS:
Allein die Frage was wann gesichert werden soll .......
Noch einmal - herzlichen Dank für die Kommentare.
Ich habe nun ein Ergebnis:
Immerhin konnte ich dank eines (fast aktuellen) Images das System komplett wieder herstellen.
Mit den Daten sah es bescheidener aus:
An Videos (selbst aufgenommene TV- Sendungen) war alles zerstört.
Ebenso alle gespeicherten pdf und doc der ersten Ordner.
Als sie bemerkte, das da etwas läuft, schaltetet sie den PC hart aus.
Anscheinend geht der Trojaner alphabetisch vor - es waren nur die ersten Ordner betroffen.
Das Gleiche traf auf die Bilder zu - auch hier nur die ersten Ordner (Jahreszahlen, die ältesten betraf es)
Eine Rückbenennung brachte nur bei ca. 25% der Bilder etwas. Bei allen anderen kommt eine Fehlermeldung. Die sind wohl erst mal verloren.
Ich habe einen ersten versuch mit PhotoRescue gemacht - da werden nur Thumbnails wieder hergestellt.
Pech für die Betroffenen.
Eines sollte sicher sein: Sie wird nie wieder in eine Mail unbekannter Herkunft schauen - und Mirco Böer hat einen neuen Kunden für seinen SSPK.
Und eine neue Festplatte für Sicherungen wird sich auch zugelegt.
Zusammenfassend kann man sagen - das ist wohl einer der teuflischten Trojaner der letzten Jahre.
Zumindest was die Konsequenzen für Otto Normaluser betrifft.
Es kann einen schon Bange machen was allein ein Browser mit einem System machen kann (anscheinend leider darf) -auch wenn es aktuell ist.
Die neuen nur scheinbar smarten BIOS Versionen machen mir Sorgen.
Wenn die nur annähernd so sind wie smart? Handys, na dann gute Nacht.
Dann gibt es garkeinen Schutz mehr.
PS:
Die gesamte Internet basierte Netzwerk Technik ist Schwund.
Zusammenfassend kann man sagen - das ist wohl einer der teuflischten Trojaner der letzten Jahre. Zumindest was die Konsequenzen für Otto Normaluser betrifft.
Sehe ich anders. Fremdüberweisungen sind teuflischer, aber da bei Befall ja nicht sofort ein Schaden ersichtlich ist, wie in diesem Fall, meint ONU, Löschen sei schlimmer als ferngelenkt zu werden.
Aber wie schon weiter oben angedeutet, wünsche ich mir mehr solche Malware, die so richtig schön die Daten shreddert. Vielleicht wachen dann ja einige auf. Aber das ist wohl nur ein frommer Wunsch. Die installieren sich dann ja doch nur wieder ein anderes und vermeintlich besseres AV.
Eine recht harte Art zu lernen mit Sicherheit nicht phlegmatisch umzugehen.
Aber der Gedanke wichtige Daten könnten wegen besinnungsloses oder auch nur bequemes Verhalten im Internet verschlüsselt werden erzeugt Adrenalin.
Wenn man zum Beispiel stundenlang an Statistik gearbeitet hat und es ist dann weg, verschlüsselt..
Nur ein Beispiel, aber das tut dann noch mehr weh als ein Video oder Bilder.
Obwohl selbst da, wenn es privates und unwiderbringliches ist.
Herzlichen Dank, Iron - ich bin gerade unterwegs. Wenn ich wieder daheim bin, werde ich mir das genauer anschauen.
Ich habe mir den Trojaner "gefangen" und auf einer dafür vorgesehenen Frstplatte gespeichert.
Kommende Woche werde ich diesen Trojaner mal starten und die Sache im Rahmen meiner Möglichkeiten / meines Wissenstandes untersuchen.
Ich berichte über die Ergebnisse.
Es soooo einfach einen zerrödelten Rechner wieder herzustellen. Externe FP und regelmäßige Sicherungen, schon ist alles erledigt, hat mir schon mehrfach geholfen. Sicherungen mache ich je nach Lust 1-2mal pro Woche für jedes LW.
Gruß
Waldschrat
Wenn du jetzt noch den ultimativen Weg kannst alle PC-Laien zu Backups zu überreden hätten wir alle viele Probleme weniger.
BTW: ich kenne mittlerweile ein paar Leute, die HABEN regelmässige Backups aufs NAS geschoben - dumm nur das dieser kleine Virus auch die Dateien auf dem NAS verschlüsselt hat...
Die von Dir, Waldschrat, beschriebene Sicherung ist nichts wirklich Neues.
Ich mache das sicher schon seit 8, 9 Jahren so - seit Acronis TrueImage v6.
Auch die Lady hat das so gemacht - in eine extra Partition ihres PCs.
Die Images wurden effektvoll mit verschlüsselt und zerstört.
Alles, was da sozusagen "im Eingriff" war, war futsch.
In diesem Zusammenhang würde mich interessieren - auch ein RAID- Verbund dürfte da wohl keinen Schutz bieten, oder?
Wieso sollte ein Raid vor Viren schützen? Ein Raid kann lediglich vor Hardwareausfall schützen, für das Betriebssystem ist ein Raid ein Datenspeicher wie jede andere Festplatte auch...
für das Betriebssystem ist ein Raid ein Datenspeicher wie jede andere Festplatte auch...
Das vermutete ich auch - da ich aber selbst noch niemalsnich mit RAID gearbeitet habe, mußten meine Vermutungen nicht unbedingt korrekt sein.
Denn es kam im Zuge dieses Trojaners (vor dem ich nun alle Freunde und bekannten warnte) zu einem Gespräch darüber.
Wieso??? Das Dingens ist nur am Rechner, wenn Sicherungen durchgeführt werden, ansonsten brav in der Schublade. Ich sehe, so richtig will das wohl Keiner begreifen. Da ich mich schon einige Jahre mit der Problematik befassen mußte, weiß ich wohl, wovon ich rede.
Backups auf externen Festplatten nützen Dir auch nichts, da der Trojaner ALLE an den PC in welcher Form auch immer angeschlossenen Festplatten zerstört.
Ergo: Backups gehören auf externe Festplatten, die nicht an den PC angeschlossen sind und nur für den Zweck der Synchronisierung angeschlossen werden.
Uns dies mach mal einem normalen User begreiflich.
Ich habe am 27.04.2012, 20:34 Uhr großmäulig behauptet, mir diesen Trojaner zum Zwecke der Untersuchung sichergestellt ("gefangen") zu haben - war wohl nichts.
Anscheinend hat mein Avira Antivir den sogleich zerstört - also nichts mit Untersuchung.
Ich hätte es wirklich gerne gemacht.
Hat sich einer von Euch diesen Trojaner zufällig abgespeichert?
Gut verpackt dürfte der doch wohl keinen Schaden anrichten.
Eine PN an mich dazu wäre sehr nett.
Sorry jueki, aber ich lange das Teil nicht an, obwohl ich den schon zu den "allen" mir bekannten Antivirenherstellern und Antitrojanerherstellern geschickt hatte.
Wichtig ist, das wenigstens eine originale unverschlüsselte Datei noch vorhanden ist, zum Beispiel von einer alten externen Sicherung.
Eine einzige langt.
Bei meinem Kunden gab es nicht mal die, er hatte aber einen Treiberordner auf dem Laptop und so habe ich den entsprechenden Treiber beim Hersteller runtergeladen.
Nun hatte ich ein unverschlüsseltes Pendant zur verschlüsselten Datei :-).
Dann hat man Alles was man braucht.
Verschlüsselte Datei sowie ein unverschlüsseltes Original.
Der DecryptHelper fordert nach dem Start des Programmes beides an und legt einen Schlüssel fest.
Sobald dieser Schlüssel vorliegt, kann man Ordner für Ordner wieder entschlüsseln.
Am Ende bleibt dann noch das Löschen der verschlüsselten Datein die alle mit "locked.." beginnen.
Das Beste an dem Tool ist, das man Ordnerweise entschlüsseln kann und nicht jede Datei einzeln verhackstücken muss.
Selbst Unterverzeichnisse (Ordner im Ordner) werden bearbeitet.
Trotzdem ist dieser Trojaner schon ne echt fiese Angelegenheit.
Das umbennen der Daten war übrigens mein erster Versuch und hat nicht wirklich etwas gebracht.
Zwar hatten die Daten wieder die richtigen Icons, ließen sich aber nicht öffnen.
Dieses Tool soll wirklich schon mehrfach verschlüsselte dateien wieder les- und verwendbar gemacht haben.
Leider konnte ich es persönlich noch nicht nachprüfen - die 3 vermuteten Trojaner, die ich dazu bisher fand, haben die Frechheit besessen, nichts zu verschlüsseln.
Mal schauen, vielleicht erwische ich noch einen solchen Echten.
Ich hatte bis jetzt zwei Kunden, die den Verschlüsselungstrojaner hatten.
Beide hatten unklugerweise einen per EMail empfangenen Anhang geöffnet.
Bei beiden Kunden war der Rechner gesperrt - analog dem Bundespolizeitrojaner.
ABER nur beim zweiten Kunden waren die Daten verschlüsselt worden.
Wahrscheinlich gibt es hier auch, wie beim Bundespolizeitrojaner, verschiedene Varianten.
Mal mehr schädlich und hartnäckig mal weniger...
Aber die Entschlüsselung hat auf jeden Fall funktioniert.
Tja wie immer kann aber muss nicht, denn eine direkte Antwort von Avira, dieser Trojaner (den ich verschickt hatte) verschlüsselt so dass den z.Z. kein Tool der Welt herstellen könne.
Diese Art Trojaner werden mit einem "Baukasten" hergestellt und werden immer wier anders wirken. Solange diese Arschlöche (anders kann man diese nicht nennen, aber die die ich dahinter vermute können kein Deutsch :-)) gefasst sind, solange heißt es Tool "Brain" besonders zu sensibilisieren.
Diese Art Trojaner werden mit einem "Baukasten" hergestellt und werden immer wier anders wirken.
Die Infektion läuft gemäß meiner Beobachtungen derzeit über email-Anhänge.
Da kommt via mail eine ominöse Rechnung mit Anhang .zip, ängstliche/neugierige/leichtsinnige Naturen öffnen den Anhang.
Wie bereits an anderer Stelle erwähnt, kommen bei mir solche Mehls noch nicht einmal durch den gmx-Spamfilter.
Interessant in diesem Zusammenhang ist, daß ausschließlich mein Junkfoodkonto betroffen ist. Daraus schließe ich, daß irgendjemand meine Adresse verschrammelt hat.
Achja, als berüchtigter Geizkragen verwende ich gmx-free o.s., selbst da kann man entsprechend filtern, die Konten verwalte ich mit Seamonkey.
Da kommt dann eine mail: Spamreport etc.
Wenn ich Lust + Laune habe, schaue ich mir diese Dinger direkt bei .gmx an, wenn nicht, werden die nach 3 Tagen kommentarlos gelöscht.
Fazit:
Wer sich dieses Ding einfängt, hat sich auf Kaspersky + Co. verlassen.
Interessant in diesem Zusammenhang ist, daß ausschließlich mein Junkfoodkonto betroffen ist. Daraus schließe ich, daß irgendjemand meine Adresse verschrammelt hat.
Von was sollen die die Firmen die Freemailkontos für lau bereitstellen auch sonst leben, wenn Sie die Adressen nicht weiterkaufen. Würden die natürlich sofort bestreiten.
mich würde interessieren, was Du damit vorhast? Willst Du ihn Decompilieren und den Quellcode analysieren, oder lediglich die Funktionsweise überprüfen?
Mich interessiert(e) ausschließlich, ob die verschlüsselten Daten in irgend einer Form wieder nutzbar gemacht werden können - das war "einst" der Fall, ich beschrieb es in meinem Posting hier am 30.05.2012, 16:13 Uhr.
Willst Du ihn Decompilieren und den Quellcode analysieren
Nein, natürlich nicht - das würde meine Kenntnisse um Größenordnungen überfordern.
Mich interessiert(e) ausschließlich, ob die verschlüsselten Daten in irgend einer Form wieder nutzbar gemacht werden können
Das haben schon Firmen wie Avira und Co verneint, und sorry die haben die weitaus besseren Spezialisten (Know How) als wir beide zusammen haben.
Und wie schon geschrieben, die Trojaner werden als Baukasten verkauft (5 € bis 5000€) damit jeder Dummie die Dinger anwenden könnte. Und je nach dem können die Firmen die Dateien entschlüsseln oder eben nicht. Gieskannenprinzip
Ist ja alles gut und schön, was man in der Registry ändern kann, nur ist dieses Vorgehen nach einer erfolgreichen Kompromittierung nicht geeignet, um wieder ein vertrauenswürdiges System wiederzuerlangen.
Es wird ja eingeräumt, dass hier offenbar unterschiedliche Varianten im Umlauf sind und daher ist auch mit abweichenden Aktionen und nicht nur abweichenden Dateinamen der Malware zu rechnen.
Fazit: Egal, was man findet oder was ein AV meldet - man kann nie sicher sein, ALLES gefunden und entfernt zu haben, bis man den PC komplett neu aufgesetzt hat.
Es ist dasselbe Spielchen wie beim BKA-Trojaner, wo Opfer glauben, mit ein paar "Tricks" ihren Rechner wieder einsatzfähig zu bekommen. Dabei bleiben Parallel- un Folgeinfektionen ebenso unberücksichtigt wie die Ursachen (veraltete Browser-Plugins und Klickeritis).
Ich habe es auch nicht so verstanden, das damit ein sauberes System hergestellt werden soll. Ganz abgesehen davon, das so etwas für mich und meinen Dunstkreis schon aus Prinzip nicht infrage käme.
Nein - ich verstand den Beitrag von pan_fee mehr als Erklärung dieses Phänomens einerseits und als Möglichkeit, wieder an seine Daten zu gelangen.
ich verstand den Beitrag von pan_fee mehr als Erklärung dieses Phänomens einerseits und als Möglichkeit, wieder an seine Daten zu gelangen
Aber etwas wirklich Neues hat sie da nicht erzählt. Das war ja bereits bekannt. Dass es Varianten gibt, die auch mal nicht oder nicht alles verschlüsseln, ist a) vorhersehbar und b) zweitrangig.
Schlimmer ist, dass User, die solche Anleitungen lesen und befolgen, irrtümlich glauben, so ihr System säubern zu können.
Ja. Das hätte sie tatsächlich deutlich sagen bzw. schreiben sollen.
Wenn es dann noch eigens Foren gibt wie "Trojanerboard", wo User (zB eine Winkelfunktion) ohne jegliche Ausbildung mit wahllos im Internet zusammengesuchten Progrämmchen "Reinigungen" kompromittierter Systeme anbieten - und alle Warner als Dummköpfe bezeichnet werden, wird der Normaluser in seiner Hoffnung bestärkt.
Wo doch eine Neuinstallation (wo soll man die ganzem Installationskeys wieder herbekommen) Teufelswerk ist und saubere Images (issn das? keine Zeit für solchen Kokolurus!) kaum vorhanden sind.
Das Umbenennen der Dateien hilft nicht, der Trojaner hat die ersten 4kb jeder Datei mit 2048bit PGP-RSA verschlüsselt (aus Performancegründen). Ich habs aber geschafft, die Dateien wieder lesbar zu machen, und meine Erfahrungen mal niedergeschrieben:
Dein Ergebnis kann ich bestätigen.
Ich habe eine Festplatte absichtlich mit diesem Trojaner infiziert, um diese chose zu testen.
Da ich die Bedingungen - saubere Original- Datei muß vorhanden sein - kannte, habe ich mir zuvor einige verschiedene Dateien gesichert. (jpg, doc, pdf, rar)
Die Rückentschlüsselung funktionierte - wenn es auch einige Zeit brauchte.
Alle Dateien wurden wieder erkannt.
Damit das klar ist:
Ich würde im Ernstfall nur die wieder rückerstellten Dateien extern sichern und die Festplatte sorgfältig formatieren. Samt Löschung des MBR.
Keinesfalls würde ich ein dergestalt wiederhergestelltes System weiter verwenden!
In meinem Postfach waren vergangene Woche einige Mails von bekannten Versandhäusern und Internet-Shops mit Rechnungen im Anhang. - Auch Bekannte hatten davon eine ganze Menge erhalten.
... und es waren alles gezippte Rechnungen.
Nun bin ich - und meine Bekannten - glücklicherweise auf dem Dampfer, keine Rechnungen oder Mahnungen - egal welcher Endung, die mit Mails kommen, zu öffnen, sondern die gleich auf dem Server zu löschen.
Wer ehrlich was von uns will, muss uns schon eine Rechnung mit der Post schicken...
Ich rate schon seit lägerer Zeit meiner Falilie und Bekannten die es hören wollen, keine Rechnungen die per Email geschickt wurden zu öffnen, auch wenn es für die Firmwen bequemer ist, den Salat haben wir nun.
gelöscht_238890
jueki
gelöscht_305164
IRON67
Waldschrat_70
Borlander
Kabelschrat
Maybe
winnigorny1
