ComputerBase Menü
Aktuelles

Angriff Ransomware Netsupport

S

sugar76

Cadet 4th Year
Registriert
Nov. 2017
Beiträge
107
Moin,

auf dem Rechner eines Kunden von mir hat sich Ransomware eingenistet (eine modifizierte Version der Software NetSupport Manager).

Vermutlich ist das Ding über Javascript Code auf einer Webseite auf dem Rechner gelandet, evtl. auch über eine Phishingmail.

Wir konnten das Teil identifizieren und löschen. Gefahr gebannt.

Was mich beunruhigt: Windows Defender hat das Teil nicht zu dem Zeitpunkt entdeckt, als es auf dem Rechner installiert wurde. Erst im Nachhinein wurde es durch einen Komplettscan vom Defender gefunden.

Wie kann man also vorsorgen, dass so was in Zukunft nicht noch einmal passiert? Wöchentlicher Komplettscan? Wechsel des Virenscanners?
 
Ich würde an eurer Stelle eine Windows Neuinstallation machen, dabei wählen das alle bisherigen Partitionen gelöscht werden. Dann Windows neu einrichten und gewünschte Programme usw installieren und wenn ihr damit fertig seid, mit einem Backup/Image Programm ich verwende schon lange dieses dafür: https://www.deskmodder.de/blog/2024...rofessional-kostenlos-fuer-euch-bis-mai-2025/ ein Image von der Systempartitiobn C oder ein Festplattenbackup wenn ihr euch selber weitere Partitionen erstellt auf eine externe USB Festplatte machen die nur für Backups angeschlossen wird. Auch solltet ihr wichtige Daten wie Fotos, Dokumente usw auf besagter USB Festplatte sichern. Da reicht es ja schon wenn ihr die rüber auf die USB Festplatte kopiert.
 
  • Gefällt mir
Reaktionen: S.W.R. und ksk23
Vielleicht mal sicher klären was passiert ist? Klingt irgendwie schwammig.

Und ihr seid sicher, dass der Rechner jetzt sauber ist?

Oder einen Schutz suchen, der entsprechend auch Skripte und Phishing stoppt? Nutzer schulen? Mir fällt da einiges ein.
 
sugar76 schrieb:
(eine modifizierte Version der Software NetSupport Manager)
Zum Vergrößern anklicken....
Und um welche Ransomware handelte es sich nun?
Wenn du dir nicht sicher bist: https://www.nomoreransom.org/crypto-sheriff.php?lang=de

sugar76 schrieb:
Vermutlich ist das Ding über Javascript Code auf einer Webseite auf dem Rechner gelandet
Zum Vergrößern anklicken....
Vermutlich war das Einfallstor, wie sehr sehr häufig, ein Benutzer, der Dummes getan hat.

sugar76 schrieb:
Wir konnten das Teil identifizieren und löschen. Gefahr gebannt.
Zum Vergrößern anklicken....
Du bist dir ganz sicher?

sugar76 schrieb:
Wie kann man also vorsorgen, dass so was in Zukunft nicht noch einmal passiert? Wöchentlicher Komplettscan? Wechsel des Virenscanners?
Zum Vergrößern anklicken....
Nutzerschulung.
 
  • Gefällt mir
Reaktionen: chrigu und aragorn92
Ich würde an eurer Stelle eine Windows Neuinstallation machen, dabei wählen das alle bisherigen Partitionen gelöscht werden.
Zum Vergrößern anklicken....
Wie das richtig gemacht wird, beschreibt Deskmodder bei windows 10:

Partition auswählen, löschen oder neu erstellen während der Installation​




In diesem Fenster hat man nun die Auswahl direkt die alte Windows 10 Partition zu markieren und die neue Windows 10 zu installieren.



Optional hat man hier aber die Möglichkeit:


  • Sämtliche Partitionen der Festplatte nacheinander zu markieren und zu löschen. Dabei muss jedes Mal der Sicherheitshinweis bestätigt werden, dass alle Daten gelöscht werden.
  • Ist das erledigt, erscheint Nicht zugewiesener Speicherplatz auf Laufwerk....
  • Jetzt kann man auf Weiter drücken und Windows richtet alle Partitionen selber ein. Oder





  • Man klickt auf Neu -> Trägt nun die Größe der Partition ein, die man haben möchte für Windows 10 und bestätigt es mit Übernehmen.
  • Möchte man eine zweite Partition einrichten, markiert man wieder den nicht zugewiesenen Speicherplatz.
  • Optionaler Vorteil: Hat man die Festplatte schon vorab Partitioniert, wird der Bootbereich in C: integriert.
Zum Vergrößern anklicken....
Quelle: https://www.deskmodder.de/wiki/index.php/Windows_10_clean_neu_installieren
und für Windows 11:

Windows 11 Alle Partitionen bei der Installation löschen​





  • Möchte man wirklich neu installieren, dann wählt man die benutzerdefinierte Installation aus.
  • Mit der Funktion Upgrade, werden die vorhandenen Dateien in den Ordner Windows.old geschoben.











  • Hat man die benutzerdefinierte Installation ausgewählt, kann man hier die Windows Partition markieren und installieren.

  • Möchte man wirklich einmal komplett neu installieren, löscht man alle Partitionen, bis nur noch "Nicht zugewiesener Speicherplatz" als Auswahl zur Verfügung steht.
  • Wählt man diesen Bereich aus, richtet Windows 11 nun die Partitionen selbst ein.
Zum Vergrößern anklicken....
Quelle: https://www.deskmodder.de/wiki/index.php?title=Windows_11_neu_clean_installieren_Tipps_und_Tricks
Ergänzung ()

Und ihr seid sicher, dass der Rechner jetzt sauber ist?
Zum Vergrößern anklicken....
Deshalb mein Rat zur Windows Neuinstallation. Würde mir das passieren, würde ich das Boot Medium von Aomei Backupper Pro nehmen, dieses booten und dann eine Systemsicherung meines Windows 10 von denen ich mehrere habe auf einer USB Festplatte und ein solches einspielen.
 
MojoMC schrieb:
Und um welche Ransomware handelte es sich nun?
Zum Vergrößern anklicken....
Netsupport-RAT. Ich konnte das Ding anhand des SHA256 Hashes identifizieren. Mehr Infos hier: https://github.com/PaloAltoNetworks...s-for-Google-ad-leading-to-Netsupport-RAT.txt
MojoMC schrieb:
Vermutlich war das Einfallstor, wie sehr sehr häufig, ein Benutzer, der Dummes getan hat.
Zum Vergrößern anklicken....
Das war ganz sicher der Fall.
MojoMC schrieb:
Du bist dir ganz sicher?
Zum Vergrößern anklicken....
Was heißt ganz sicher ... ich habe den Installationsort der Software gefunden, die exe-Dateien anhand des Hashes identifiziert, einen Komplettdurchlauf mit Windows Defender durchgeführt und das Installationsverzeichnis der Schadsoftware gelöscht. Ein folgender Komplettdurchlauf von Windows Defender meldet ein sauberes System. Habe die anderen Rechner im Netzwerk ebenfalls von Windows Defender scannen lassen.


Meine Frage geht eher dahin, wie ich das zukünftig verhindern kann. Man kann es trotz Nutzerschulung nicht 100% ausschließen, dass ein Nutzer etwas tut, was er nicht tun sollte.

Z.B. würde mich interessieren, ob Windows Defender ausreichend ist oder ob es da Besseres gibt.
 
Deine Fragen wurden doch eigentlich schon alle beantwortet und ein Computer auf dem eine Ransomware aktiv war, da hätte ich ein mulmiges Gefühl deshalb auch der Rat zur kompletten Windows Neuinstallation denn das löschen oder formatieren von Partitionen das überlebt keine Malware. Wichtig ist auch die Sache mit den Backups. Schau mal: das einspielen einer Windows Systemsicherung dauerte bei meinem alten PC gerade mal 20 Minuten.
 
  • Gefällt mir
Reaktionen: sugar76
sugar76 schrieb:
Meine Frage geht eher dahin, wie ich das zukünftig verhindern kann. Man kann es trotz Nutzerschulung nicht 100% ausschließen, dass ein Nutzer etwas tut, was er nicht tun sollte.
Zum Vergrößern anklicken....
Mit diesen beiden Sätzen hast du alles geschrieben was geht. 100% sind nicht bzw. nur möglich wenn keine Verbindung mit dem Internet besteht.

CU
redjack
 
sugar76, was machst du jetzt mit dem betroffenen PC? machst du da eine Windows Neuinstallation oder nicht? und was ist da drauf? Windows 10 oder Windows 11? Falls du keine Windows Neuinstalltion machst, kriegste dafür von mir ein Daumen runter.
 
  • Gefällt mir
Reaktionen: PegasusHunter
Gut so:) und jetzt würde ich an deiner Stelle eine externe USB Festplatte anschliessen, so etwas installieren: https://www.deskmodder.de/blog/2024...rofessional-kostenlos-fuer-euch-bis-mai-2025/ und damit regelmässig Systemsicherungen von Windows 11 auf die externe USB Festplatte machen. Den Lizenzkey für die kostenlose Jahreslizenz findest du in der Readme Datei und vegesse nicht, das Boot/Rettungsmedium von Aomei Backupper mit dem integrierten Assisten zu machen.
 
sugar76 schrieb:
Wie kann man also vorsorgen, dass so was in Zukunft nicht noch einmal passiert?
Zum Vergrößern anklicken....
Deinen Kunden Schulung anbieten oder dem Rechner, falls er den nur bei dir geliehen hat sämtliche Rechte entziehen damit weder Download noch Installation möglich ist.
Gibt auch die Möglichkeit die Kiosk Version zu aktivieren oder eine vm mit win11 zu starten, damit beim Neustart automatisch alles gelöscht und win11 wieder frisch geladen wird
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

B
ransomware lage 2023 (avira popups werbung)
2
Antworten
21
Aufrufe
1.449
BeBur
B
coffee4free
News Südwestfalen IT: Deutsche Verwaltungen durch Ransomware-Angriff gestört
6 7 8
Antworten
140
Aufrufe
13.974
Renegade334
R
stummerwinter
USB-Stick unte rLinux Scannen nach Ransomware
Antworten
2
Aufrufe
1.010
stummerwinter
stummerwinter
P
Ransomware plus überwachter Ordnerzugriff
Antworten
7
Aufrufe
1.173
Dr. McCoy
Dr. McCoy
coffee4free
News Daten zum Verkauf: Neue Ransomware-Gruppe will Sony gehackt haben
2 3
Antworten
52
Aufrufe
9.825
Fred_VIE
Fred_VIE
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz