Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
cc207, wie ich und kammerjaeger1 es schon mal hier bemerkt haben, kommt es auf die Art der Infektion an und bei dem Ransom hätte eine Bereinigung mit Malwarebytes oder vergleichbarem gereicht. Glaubst du, kammerjaeger1 der das beruflich macht, weiß nicht was er schreibt? Ausserdem: als ich mein System mit den 10 GVU Ransom Files "testete" und bereinigte, stand ich ebenfalls im Kontakt mit dem ortsansässigen PC Fachmann und mit dem PC Laden Besitzer den ich schon lange kenne und beide bestätigten mir mehrfach das eine Bereinigung nach meiner Art möglich und sauber sei und beide auch nicht anders vorgehen bei ihren Kunden die von den GVU Ransoms betroffen waren.
1. Die IP zu ändern bringt nix, da der Router sowieso seine IP vom Provider bekommt und der Rechner zwangsläufig im selben Netz hängt und bei DHCP dem Rechner wieder die gleiche IP zuweisen wird. Oder willst Du auch die Router-IP ändern? Und wozu?
Ich meine die externe IP, wenn das ohne weiteres möglich ist. Damit gerät man zuverlässig aus der Schussbahn. Normalerweise ist es zwar völlig egal, wenn man die alte IP behält, aber sollte am anderen Ende tatsächlich eine Person sitzen, die alles daran setzt, den PC zu knacken, ist es eben sicherer, nicht wieder dort aufzutauchen, wo man abgetaucht ist. Minimaler Aufwand für ein minimales Mehr an Sicherheit.
Um das zu konkretisieren: ich hatte damals mal das ystem nach entfernen einer GVU Ransom Variante das System nacheinander mit Avast Free, Emsisoft Emergency Kit, Malwarebytes Anti Rootkit ud zuletzt mit der Kaspersky Rescue Disk 10 jeweils mit Komplett Scans untersuchen lassen mit dem Ergebnis das keiner der Scanner noch etwas fand.
cc207, wie ich und kammerjaeger1 es schon mal hier bemerkt haben, kommt es auf die Art der Infektion an und bei dem Ransom hätte eine Bereinigung mit Malwarebytes oder vergleichbarem gereicht. Glaubst du, kammerjaeger1 der das beruflich macht, weiß nicht was er schreibt? Ausserdem: als ich mein System mit den 10 GVU Ransom Files "testete" und bereinigte, stand ich ebenfalls im Kontakt mit dem ortsansässigen PC Fachmann und mit dem PC Laden Besitzer den ich schon lange kenne und beide bestätigten mir mehrfach das eine Bereinigung nach meiner Art möglich und sauber sei und beide auch nicht anders vorgehen bei ihren Kunden die von den GVU Ransoms betroffen waren.
Und deswegen weisst Du auch immer sehr genau, aus was für einer Quelle andere ihre Schädlinge auf den Rechner bekommen. Das ist nämlich der Nachteil solch "klinischer Tests". Man kann die die exakte Situation, in der sich der aus der freien Wildbahn eingefangene Schädling auf den Rechner geschmuggelt hat, nicht nachstellen - deshalb bieten Deine Testszenarien auch keine wirkliche Aussagekraft darüber ob in der freien Widbahn nicht doch noch weitaus gefährlichere Schädlinge nachgeladen werden oder gleichzeitig mit dem Ransom auf den Rechner kommen. Ich habs schon so erlebt, mit einer älteren Version des GVU Ransoms. Opferviren sind neuerdings sehr beliebt.
Halte ich schlichtweg für ein Gerücht! Der weitere Schädling war garantiert schon vorher drauf und nicht erst als "Einladung" des GVU. Aber er wurde erst entdeckt, weil Du durch den GVU zur Aufmerksamkeit gezwungen wurdest!
Mir ist (genau wie purzelbär, der die Teile ja fast schon "sammelt und züchtet", um sie zu analysieren) keine einzige Variante der Ukash-Infektionen bekannt, die wirklich dauerhaft das System kompromittiert, wenn man weiß, wie man ihn entfernt!
Und genau deshalb hatte ich das nochmal aufgegriffen und aufgefrischt. Tatsache ist und das bestätigt dir ja kammerjaeger1 und 2 Computerprofis(die ich erwähnte)das die GVU Ransoms überschätzt werden. Weiß man, wie man denen zu Leibe rückt sind die relativ schnell und sauber weg ohne das System neu aufsetzen zu müssen. Denkst du PC Fachmänner die das hauptberuflich machen, können sich einen Schnitzer erlauben und solche Infektionen nur auf Verdacht entfernen? Die müssen das richtig machen und gehen das auch dementsprechend an. Sind natürlich noch mehr und gefährlichere Infektionen auf einem Kunden PC, werden die das dem Kunden wissen lassen und ihm raten das System neu zu machen. Aber eine GVU, BKA oder GEMA Ransom allein stellt für einen Profi oder einem User der damit umuzugehen weiß keine Gefahr da bei der sagt ich muss das System neu machen.
Mir ist (genau wie purzelbär, der die Teile ja fast schon "sammelt und züchtet", um sie zu analysieren) keine einzige Variante der Ukash-Infektionen bekannt, die wirklich dauerhaft das System kompromittiert, wenn man weiß, wie man ihn entfernt!
kammerjaeger1 das mit dem sammeln war einmal vor ein paar Wochen weil damals ein User bei Rokop Links oder URL's einstellte bei denen mehrmals täglich neue und verschiedene Varianten des damals aktuellen GVU Ransoms eingespielt wurden und die konnte man sich als exe Dateien runterladen und ausführen. In dem Zusammenhang klärte damals auch SLE bei Rokop auf um was für Files es sich den handelt bei den GVU Ransoms und was die am System machen.
Ich hab das schon mehrfach erlebt - GVU Trojaner auf dem Rechner und eine Überprüfung hat ergeben dass der Rechner zusätzlich auch von anderen Schädlingen infiziert war. Es ist die Quelle aus der der Schädling stammt, nicht der Trojaner selbst. Deshalb haben diese klinischen Tests keine grosse Aussagekraft. Denn ihr könnt das Umfeld, aus dem der Trojaner stammt, nicht exakt nachstellen. Das ist der Nachteil sämtlicher statischen Tests - es können nicht alle Umstände nachgestellt werden.
Es waren übrigens nicht meine Rechner, es waren Rechner aus meinem Umfeld. Ich lege in so einem Fall maximal die Acronis CD ein und stell ein Image wieder her. Bei anderen Rechnern darf ich meist erst mal die Daten sichern, bevor ich sie neu aufsetze. Dabei schau ich sie mir allerdings genauer an und sehe sowas auch.
Ich wette aber mit dir die anderen Infektionen waren schon auf den Systemen deiner Bekannten drauf und wurden erst von dir bemerkt weil du um Hilfe gerufen wurdest und du die Systeme näher untersucht hast. Machen wir uns nichts vor die Systeme deiner Bekannten waren bestimmt nicht komplett aktualisiert und es wurde zum Teil veraltete Software benutzt und Sicherheitsvorkehrungen wie das deaktivieren des Java Plugins für die Browser zum Beispiel nicht deaktiviert oder? Ode hattest du bei den betreuten PC's einen dabei der wirklich gut abgesichert und eingestellt war? wenn ja, auch dann ist man der Gefahr einer Online Infektion ausgesetzt aber nicht in einem so hohen Maße wie mit einem ungepflegten System.
Es ist die Quelle aus der der Schädling stammt, nicht der Trojaner selbst.
Und wieder so ein Vorurteil: man meint immer man kommt nur in Berührung mit bösartiger Software wie Trojaner, Viren oder Ransoms wenn man auf Schmuddel, Sex und Crackerseiten unterwegs sei. Doch das ist ein Trugschluß die Ungeziefer können und sind sehr wohl auch auf seriösen und anständigen Seiten zum Beispiel in Werbebanner eingebettet. Dann einmal die Seite aufrufen, keinen Webschutz aktiviert haben im Virenschutz Programm und peng extrahiert sich in Sekundenbruchteiel ein bösartiges Exploit oder Drive by Infektion und das System ist infiziert obwohl man nicht auf Schmudel und Sexseiten war.
Halte ich schlichtweg für ein Gerücht! Der weitere Schädling war garantiert schon vorher drauf und nicht erst als "Einladung" des GVU. Aber er wurde erst entdeckt, weil Du durch den GVU zur Aufmerksamkeit gezwungen wurdest!
Ich wette aber mit dir die anderen Infektionen waren schon auf den Systemen deiner Bekannten drauf und wurden erst von dir bemerkt weil du um Hilfe gerufen wurdest und du die Systeme näher untersucht hast.
Aber genau durch so etwas glauben viele "Laien", das System wäre durch eine einzige Infektion so verseucht, die dann all ihre Verwandten zu einer Virenparty eingeladen hat, nur weil sie plötzlich die offensichtliche Spitze des Eisbergs erblicken.
Oder wenn nach der Infektion und anschließenden Bereinigung der User gleich wieder fleißig Pornoseiten besucht und email-zip-Anhänge öffnet, dann hat das wenig mit einer unsauberen Entfernung zu tun, sondern wäre auch nach Neuinstallation wieder passiert!
Wenn ich bei einer GVU-Infektion merke, dass da noch mehr im Busch ist, mit dem man nicht scherzen sollte, dann bin auch ich der Letzte, der von einer Neuinstallation abrät. Aber wenn nur der GVU drauf ist, dann wäre es verschenkter Arbeitsaufwand, wenn man kein zeitnahes Backup hat...
Ist halt so das wir einer Meinung sind obwohl du das beruflich machst und Profi bist und ich nur Laie/Heimanwender.
Oder wenn nach der Infektion und anschließenden Bereinigung der User gleich wieder fleißig Pornoseiten besucht und email-zip-Anhänge öffnet, dann hat das wenig mit einer unsauberen Entfernung zu tun, sondern wäre auch nach Neuinstallation wieder passiert!
Jetzt fängst du auch noch mit Pormoseiten an stimmt ja, auf solchen Seiten trifft man öfters solche bösen "Krabbeltierchen" aber die können sich auch auf normale Webseiten "einnisten".
Wichtig ist, das man im Vorfeld sein System anpasst und dessen Schutzlevel verbessert:
Alle Windows Updates und Servicepacks installieren.
Alle Programme und Anwendungen aktuell halten zum Beispiel mit Secunia PSI oder File Hippo Update Checker.
Ein Virenschutz Programm mit Webschutz und Verhaltensüberwachung verwenden.
Das Java Plugin für die Browser deaktivieren oder wenn möglich ganz auf Java verzichten.
Anstatt Adobe Reader zum Beispiel eine anderen Reader wie den PDF X-Change Viewer verwenden.
Regelmäßig persönliche, wichige Dateien und Dokumente sichern auf externe Datenträger.
Regelmäßig Systembackups/images auf einer externen Festplatte erstellen.
Das Surfverhalten überdenken und nicht alles ohne groß zu überlegen anklicken, gilt auch für E-Mails von unbekannten Absendern.
Ausserdem: als ich mein System mit den 10 GVU Ransom Files "testete" und bereinigte, stand ich ebenfalls im Kontakt mit dem ortsansässigen PC Fachmann und mit dem PC Laden Besitzer den ich schon lange kenne und beide bestätigten mir mehrfach das eine Bereinigung nach meiner Art möglich und sauber sei und beide auch nicht anders vorgehen bei ihren Kunden die von den GVU Ransoms betroffen waren.
Ich selbst habe vor mehreren Wochen mir nach und nach 10 Varianten des sog. GVU Trojaners geholt und ausgeführt und in keinem der Fälle wurden Rootkits, Backdoors oder dergleichen nachgeladen und Malwarebytes fand jedes Mal 3 gleiche Infektionen inkl. des Files das ich mir jedes Mal aufs Desktop abgelegt hatte. Wäre bei mir etwas nicht bereinigt worden hätte ich das schon auf meinem System während der "Testphase" bemerkt.
Du hast die Dateien vermutlich in einer VM ausgeführt?
In dem Fall besteht die Möglichkeit das ein findiger Weiterentwickler die Idee hatte seine Software Lernfähig zu machen, was bedeutet dass die Software erkennt ob sie in einer VM ausgeführt wird und sich entsprechend verhält was uns zu folgendem führen würde:
1. Eine Analyse in der Form wäre irrelevant da:
1a) Die Software möglichst unauffällig Ihre wichtigsten Funktionen einstellt, wie z.B. das nachladen von externem Code.
Würde die Software sich selbst löschen wäre dass zu auffällig und man würde einfach ein normales System aufsetzen.
2. Wie lange hast du die Software machen lassen?
Besteht die Möglichkeit dass eine Software einen Timer hat? An Tag X installieren und an Tag Z wird nachgeladen. Eine Verbindung zu einem komischen chinseischen Server direkt nach dem ausführen wäre schon sehr verdächtig.
Es geht Entwicklern vor allem auch darum eigene Software möglichst schwer zu analysieren zu machen. Da wird obfuskiert und getrickst.
Manche Fachmänner installieren so ein Teil und öffnen den Debugger und schaun was das Teil so macht. Dateizugriffe, Registry, Injections, Sockets etc.
Nachdem dann irgendwann nichts mehr passiert wars das. Passiert nicht mehr und man geht zur nächsten.
Nachdem man dann alle durch hat vergisst man die VM zu schließen und bemerkt das erst eine Woche später und kurz bevor man sie schließen möchte dreht das System plötzlich durch, telefoniert was das Zeug hält quer durch die Welt und kompiliert fröhlich externen Code vor sich hin.
Ergänzung ()
100% Sicherheit gibt es auch mit Internetnutzung. Der Preis dafür ist allerdings ein Nutzererlebnis das keiner erleben möchte.
Die usability eines solchen System wäre quasi 0 bei allem was übers Netz geht.
Eine selbstgeschriebene minimalvariante von wget und ein parser der lediglich bissl html kann. Keine image includes oder sonstigen Zugriffe aufs Netz durch den content.
Alle Ports dicht wenn sie nicht gebraucht werden, den Rechner hinter einem IDS und damit hinter einem minimalistischem Router. Zwischen IDS und Rechner eine Liveüberwachung aller Verbindungen. Etherape, wireshark...^^ Der Paranoidmode in dem Scanner dessen Name mir grad nicht einfällt ist nix dagegen.
Kurze Antwort: Die 10 GVU Ransom Files wurden nicht in einer VM oder dergleichen ausgeführt. Ich hatte lediglich 1 Tag bevor ich mit dem 1. File anfing ein Systembackup gemacht und dieses nach dem 10. GVU Ransom File wieder eingespielt. Anhand eines Programms das mir ein User bei Rokop nannte konnte ich an der ID5 Checksume erkennen das es sich bei den 10 GVU Ransom Files jedes Mal um ein anderes(andere Variante)handelte.
Dann hättest du gar kein Systembackup einspielen brauchen,wenn man die Ramsonware mit AV-Scanner bereinigen kann,wie du in in diesem Thread behauptest
Die bei einer Ramsonware-Infektion verbogenen Einstellungen kann kein Scanner wiederherstellen.
Gegen Varianten,die etwa Office-Dateien verschlüsseln,hilft keine Desinfektion.
OT: Du weisst doch: neue Käsesorten müssen verkostet werden um zu sehen ob die schmecken und ja es ist meine Sache ob ich so etwas auf meinem Produktivsystem gemacht habe oder nicht. Zumindest habe ich vorher ein Systembackup angelegt das ich wieder zurückspielen konnte. So hatte ich Gewissheit das nach den 10 GVU Ransoms nix auf meinem System zurück blieb.
Die bei einer Ramsonware-Infektion verbogenen Einstellungen kann kein Scanner wiederherstellen.
Gegen Varianten,die etwa Office-Dateien verschlüsseln,hilft keine Desinfektion.
Das wurde hier doch schon erwähnt cc207: Die 10 GVU Ransom Files die ich getestet hatte, luden nichts im Hintergrund nach in der kurzen Zeit als die auf meinem System aktiv waren und verschlüsselten auch nichts. Gerät ein User an eine sog. Verschlüsselungsvariante und er hat keinen PC Profi im Umfeld und keinen PC Laden/Werkstatt zu denen er gehen könnte, würde ich dem auch raten "mach das System neu oder wenn du hast spiele ein Systembackup ein".
Dann hättest du gar kein Systembackup einspielen brauchen,wenn man die Ramsonware mit AV-Scanner bereinigen kann,wie du in in diesem Thread behauptest
Theoretisch hätte ich auf das einspielen des Systembackups am Schluß der "Testreihe" verzichten können das stimmt. ber wie du auch weißt sind Theorie und Praxis 2 Paar verschiedene Schuhe
Und wieder so ein Vorurteil: man meint immer man kommt nur in Berührung mit bösartiger Software wie Trojaner, Viren oder Ransoms wenn man auf Schmuddel, Sex und Crackerseiten unterwegs sei. Doch das ist ein Trugschluß die Ungeziefer können und sind sehr wohl auch auf seriösen und anständigen Seiten zum Beispiel in Werbebanner eingebettet. Dann einmal die Seite aufrufen, keinen Webschutz aktiviert haben im Virenschutz Programm und peng extrahiert sich in Sekundenbruchteiel ein bösartiges Exploit oder Drive by Infektion und das System ist infiziert obwohl man nicht auf Schmudel und Sexseiten war.
Wo Bitte, habe ich irgendwo gesagt, dass diese Schädlinge über unseriöse Webseiten auf die Rechner gelangt waren?
Die wenigsten Infektionen passieren inzwischen auf irgendwelchen Schmuddelseiten. Zumeist kommen Schädlinge über infiltrierte Werbeserver und deren Plugins auf die Rechner der ahnungslosen Opfer. Die Quelle der Infektion ist aber dennoch ausschlaggebend dafür, was da alles auf den Rechner kommt. Während der GVU Trojaner sich breit macht, kann im Hintergrund so ziemlich alles andere an Schädlingen ebenfalls auf den Rechner geladen werden. Was aber nicht am GVU Trojaner, sondern am ausliefernden Server liegt.
Und genau dieses Szenario kannst Du nie nachstellen - solange Du nur "klinische" Tests durchführst, bei denen Du allein die verschiedenen Varianten des BKA/GEMA/GVU Ransoms zur Ausführung bringst. Wenn, dann müsstest Du die Infektion über solche Infektionsquellen zulassen und dann nachsehen was im Hintergrund noch so alles auf den Rechner gelangt. Eine Drive-by Infektion kannst Du Dir ebenfalls über jede beliebige Webseite holen, die mal eben für einen solchen Zweck gekapert wurde.
Selbst über die Tagesschau Webseite soll es schon zu Infektionen gekommen sein. Und das ist sicher keine Webseite, über die Schmuddelkram verbreitet wird.
Die 10 GVU Ransom Files die ich getestet hatte, luden nichts im Hintergrund nach in der kurzen Zeit als die auf meinem System aktiv waren und verschlüsselten auch nichts.
Wie gesagt. Man muss den Laden nicht direkt plündern nur weil man den Schlüssel hat.
Je nach Intention des Entwicklers kann es sinnvoll sein etwas zu warten, nur um die forensischen Aktivitäten zu verschwierigen.
Vergleichbares wurde auch schon bei manchen Virenscanner gemacht. x Sekunden Inaktivität als Bypass.
Denke da noch an verschiedenste Malware die an einem bestimmten Tag irgendwas machen sollte.
Erstmal infizieren und nach einer Woche Inkubationszeit wird gespielt. Soviel Geduld muss sein.^^
Edit:
Die Frage des Vorgängers wäre interessant geklärt zu wissen. Fast alles hinterlässt Spuren. Wollte das Teil Datum/Zeit abfragen? Es reicht ja auch nur eine Datei mit trash in dem sich eine Zahl versteckt. Ob als binary oder plaintext wayne wenn die Software selbst komipliert. Oder eine Datei die nur eine Zahl beinhaltet.
Inkubationszeit.
PS: Ich hab mich gestern mit HIV infiziert. Ist gar nicht so schlimm wie alle behaupten.
md5 checksummen lassen sich mittlerweile fälschen hab ich gehört. Klar. Wahrscheinlichkeit gegen 0 aber soll halt möglich sein.
Korrekt wäre zu sagen anhand der md5 checksum lässt sich die Annahme vertreten dass es sich um bestimmte Varianten gehandelt hat.
Evtl. könnte man eine als harmlos geltende Form gefährlich machen um cleaner zu täuschen die denken es wäre Form X weil die md5 Prüfsumme es sagt.
Abschliessend von mir: ich war vorhin unterwegs und traf meinen Bekannten(seine Homepage würde ich nur auf Wunsch per PN an einzelne User hier weitergeben weil er nicht in Foren aktiv ist und ich nicht weiß ob es ihm recht ist wenn ich seine Homepage hier öffentlich posten würde)der einen PC Service nenn ich es mal betreibt und fragte ihn "was machst du wenn du zu Kunden gerufen wirst bei denen ein GVU, BKA oder GEMA Trojaner den PC gesperrtz hat?" Daraufhin antwortet er mir "wenn es sich nur um eine solche Trojaner bzw Ransom Variante handelt und keine weiteren schwerwiegenden Infektionen vorliegen, dann mache ich dem Kunden das System nicht platt sondern bereinige es" Auf meine Frage wie er bei der Bereinigung vorginge sagte er mir das er den Autostart kontrolliere und das System zuerst mit der AVG Rescue Disk bereinige und danach dann auch Malwarebytes einsetze und noch in den Autostart schaue. Abschliessend mache er noch einen Scan mit dem installiertzen Virenschutz Programm und er schaue noch manuell nach ob die infizierte bzw manipulierte Skype dat Datei auch bereinigt bzw gelöscht wurde. Er ist mit mir der Meinung das die GVU, BKA und GEMA Ransom Varianten die nicht verschlüsseln überschätzt werden und das er auf betroffenen PC's noch keine dieser Varianten hatte die andere Malware nachladen. Schwieriger zu bereinigen seien die Varianten die verschlüsseln und es mache ziemlich viel Arbeit verschlüsselte Dateien, Ordner usw wiederherzustellen diese also von der Verschlüsselung zu "befreien".
Ergänzung ()
smuper schrieb:
Wie hast du das getestet, und wie hast du die anderen Beobachtungen gemacht?
Dazu nur so viel: ich bin wie gesagt kein PC Profi/Fachmann und stellte nur anhand von anderen Scannern die ich schon nannte, fest das die anderen Scanner nach der Bereinigung mit Malwarebytes keine weitere Malware auf meinem System fanden.
Der von mir hier erwähnte bekannte PC Fachman sagte mir als ich heute bei ihm war das hätte er mir gleich sagen können das die anderen Scanner nichts mehr finden würden nach meiner Bereinigungsmethode wenn "nur" eines der genannten Ransons auf meinem System aktiv war.
Schwieriger zu bereinigen seien die Varianten die verschlüsseln und es mache ziemlich viel Arbeit verschlüsselte Dateien, Ordner usw wiederherzustellen diese also von der Verschlüsselung zu "befreien".
Wenn die Verschlüsselung richtig gemacht wird wirds nicht nur schwierig sondern unmöglich. Und nach dem Verschlüsseln schreiben wir noch ein paar mal den freien Speicher voll.
Daraufhin antwortet er mir "wenn es sich nur um eine solche Trojaner bzw Ransom Variante handelt und keine weiteren schwerwiegenden Infektionen vorliegen, dann mache ich dem Kunden das System nicht platt sondern bereinige es" Auf meine Frage wie er bei der Bereinigung vorginge sagte er mir das er den Autostart kontrolliere und das System zuerst mit der AVG Rescue Disk bereinige und danach dann auch Malwarebytes einsetze und noch in den Autostart schaue. Abschliessend mache er noch einen Scan mit dem installiertzen Virenschutz Programm und er schaue noch manuell nach ob die infizierte bzw manipulierte Skype dat Datei auch bereinigt bzw gelöscht wurde.
