Umgang mit Virenbefall / Verschlüsselungs-Virus

[Nero Atreides]

Hallo zusammen,

meine Schwester hat heute morgen auf ihrem Netbook (WinXP, 8 Jahre alt, aber aktuelle Avira-Lösung) eine Meldung ihres Programms bekommen, dass irgendein Virus gefunden worden sei. Welcher, daran erinnert Sie sich leider nicht mehr.

Danach war das Gerät superlangsam, ewig gebootet beim Neustart und dann war es praktisch unbedienbar, weil träge. Sie konnte noch ein paar Daten (20 MB Dokumente) auf einen Stick retten. Insgesamt lief das Gerät seit der Virenmeldung noch ca. 45 Min.

Erst dann rief sie mich an. Damn. Habe geraten, das Ding sofort AUS zu machen. Sie schickt mir jetzt das Gerät bzw. die Platte.

Mein Plan soweit: Platte in HDD Dock und per USB bei mir ran über eine Virtuelle Maschine (VirtualBox). Dann die Userdaten auslesen / kopieren und auf Viren prüfen bzw. auf Verschlüsselung.

Alternativ: die Kiste mit PartedMagic oder Linux Live CD booten und die Daten auf ein ext. Medium sichern.

Jetzt ein paar Fragen an die Experten:

• Gesetzt den Fall, es findet sich eine Verschlüsselung: wie findet man raus, WELCHE Schadsoftware das genau war? Weiß jemand den genauen Speicherort der Avira-Logs?
• Die Details zu den Zahlungsmodalitäten werden ja sinniger weise auf dem befallenen Gerät angezeigt, das aber nicht mehr laufen wird. Wie kommt man im Zweifel da ran? Oder macht es mehr Sinn, erstmal zu warten, ob die Verschlüsselung gebrochen werden kann, da kümmern sich ja ab und an die Antivirenanbieter drum?
• Sonst noch hilfreiche Tipps oder Hinweise? Oder spezielle Tools für so eine Aktion?

Um der Frage vorzubeugen: auf der Platte sind nicht nur 8 Jahre ihres Lebens in Fotos dokumentiert, sondern auch ihre fast fertige Doktorarbeit... im Zweifel zahlt sie also auch ein paar EUR, um da wieder dran zu kommen.

Und bitte jetzt keine Diskussion über Backups, aktuelle OSs, den Sinn und die Grenzen von Antiviren-Lösungen etc. Ich habe das immer wieder gesagt, jahrelang, aber man ist halt immer so lange der spinnige Geek in der Familie bis genau sowas passiert :/ Ich denke, Ihr wisst was ich meine

Danke!

 

[Luxuspur]

tja so schwer es ist: neu aufsetzen ein kompromitiertes System kann man nur noch trauen wenn man ganz genau weis was man tut! Und dann muss man hier nicht fragen Wie stellst du zum Beispiel sicher das die kopierten Daten nicht verseucht sind? Indem Moment wo du ansteckst ist dein System evtl. bereits betroffen und nicht mehr vertrauenswürdig ... du kannst zwar mit nem Live System / Virtual Maschine verhindern das dein System selbst da bleibende Schäden davonträgt, aber nicht 100% sagen das die Daten virenfrei sind!

Dabei lernt man auch gleich die Bedeutung des Wortes Backup!

 

[daniel_m]

Um nochmal an die Zahlungshinweise zu kommen, könntest du die Festplatte klonen, anschließend wieder einbauen und nochmal davon booten. Vielleicht kommst du mit den Hinweisen auch dahinter welcher Schädling es war und ob dessen Verschlüsselung ggf. schon geknackt wurde.

Falls die Daten wirklich verschlüsselt wurden: Normalerweise würde man wohl sagen dass man den geforderten Betrag unter keinen Umständen zahlen sollte. Die Wahrscheinlichkeit dass man tatsächlich den Schlüssel erhält ist eher gering, eher wird versucht noch mehr Geld aus dem Opfer rauszupressen.

Wenn es aber wirklich um die Doktorarbeit geht, der geforderte Betrag nicht sooo hoch ist und man es riskieren will... warum nicht? Möglicherweise erhält man ja tatsächlich den Schlüssel...

... das Geld kann man aber eigentlich abschreiben...

Und (ich kann's mir einfach nicht verkneifen) falls deine Schwester das hier mitliest:

DER GEEK DER FAMILIE HAT IMMER RECHT WENN ER BACKUPS, AKTUELLE OS'E UND ANTIVIREN-LÖSUNGEN EMPFIEHLT!

 

[KTelwood]

Backup ist hier das Stichwort.
Wobei auch die Virusmeldung vielleicht ein fehlalarm war, oder nicht so gravierend, aber bei dem Laptop nun die Platte hinüber ist.
Hätte die an irgendeinen ALt-PC geklemmt der nicht im netzwerk hängt.

 

[disk31p]

Moin

Schadenfreude ist schon was feines ne ? Vor allem wenn es um eine Frau geht, die sich wahrscheinlich wenig bis gar nicht auskennt. Da liegen wirklich wichtige Daten auf der Platte und Du empfiehlst ernsthaft die Festplatte zu formatieren.
Kommst Du noch klar?

zum Thema

Boote ein Linux Image von DVD oder USB stick, virtuelle Maschine alleine ist kein Garant für Virenfreiheit, dann die wichtigen Daten kopieren und fertig.

Viel Glück

 

[Luxuspur]

Boote ein Linux Image von DVD oder USB stick, virtuelle Maschine alleine ist kein Garant für Virenfreiheit, dann die wichtigen Daten kopieren und fertig.

tja damit verhinderst auch nur das sich dauerhaft auf deinen Rechner was einnistet, Rechner aus und alles was durchgekommen ist ist weg, aber die geretteten Daten sind deswegen noch lange nicht 100% virenfrei!

 

[WhyNotZoidberg?]

Vor allem wenn es um eine Frau geht, die sich wahrscheinlich wenig bis gar nicht auskennt.

1) egal ob mann oder frau
2) unwissenheit schütz bekanntlich nicht vor... naja, belassen wirs hierbei.

und XP im jahr 2015? echt jetzt? selbst als nicht-geek kann man wissen, dass das nicht mehr ansatzweise state-of-the-art ist.


@topic
live-linux starten und dort dein glück versuchen daten zu retten.
falls du daten retten kannst, nicht auf dein system ziehen oder andere nicht-befallene.

 

[Baya]

Ich würde auch ersteinmal die gängisten AV-Lösungen per Live-System booten. Bitdefender / Kaspersky und Avira sind da schonmal ein guter Anfang. Zudem auch mal mit Malwarebytes Antimalware drüber.

Sollte das tatsächlich so ein Verschlüsselungsteil sein, dann gibt es auch entsprechende Tools, welche die infizierte Datei einlesen (die richtige Datei-Endung, solltest aber noch wissen) und die Verschlüsselung errechnen. Wir hatten das mal in der Firma auf einem CAM-Rechner...! Bin der Meinung ich hab die Verschlüsselung mit nem Tool von Chip.de wieder entschlüsselt. Das dauerte aber ziemlich lange, waren auch über 125.000 Dateien betroffen!

 

[disk31p]

Naja, man kann auch im Live-Linux einen Virenscanner laufen lassen und sicherstellen das die Daten nicht verseucht sind, man müsste halt nur daran denken :-)

 

[Luxuspur]

setzt vorraus das der Virenscanner im Livesystem den Virus kennt ;p und zwar nicht nur die aktuelle Komponente sondern auch etvl. payloads ... Stuxnet Regin etc. waren jahrelang unerkannt bevor sie entdeckt wurden. BadBIOS wird trotz nachweislichem Fund immer noch angezweifelt. Bad USB ;p ftw

 

[disk31p]

Jaja Du würdest Deine Doktorarbeit einfach formatieren wa? . Wenn das für Dich die Lösung ist , habe ich nichts mehr beizutragen :-)

MfG

 

[Luxuspur]

also als Doktorand man stelle sich nur mal vor sowas macht sein Diplom ;p weis ich was ein Backup ist ;p

Bachelor & Master sind halt nix mehr wert ;p

Ist halt immer so: da wird gewarnt und geraten und was wird gemacht: trotzdem ignoriert und hinter ist das Geheule dann groß wenn das Kind im Brunnen liegt. Sorry das sich da mein Mitleid in Grenzen hält.

Und sind die Daten wirklich wichtig, nimmt man eben das Geld in die Hand und lässt nen Spezialisten ran.

 

[CPUinside]

da gerade zufällig beim scrollen etwas ähnliches auftauchte... https://www.decryptcryptolocker.com/

einen versuch ists wert. von der platte solltest du auf jeden fall nicht mehr starten und sie lieber nicht in ein laufendes windows einhängen, evtl wird das dann auch noch infiziert.
ein klonen der platte außerhalb von windows wäre auch sinnvoll

 

[purzelbär]

Nicht leicht, nimm eine Linux Live CD wie zum Beispiel Knoppix rette damit die Daten deiner Schwester rüber zum Beispiel auf einen leeren USB Stick, überprüfe dann die Daten auf den USB Stick mit mindestens 2 Scanner und wenn die sauber sind und nicht verschlüsselt wurden, setz ihr Netbook neu auf bzw. ziehe in Erwägung mit ihr ein Notebook zu kaufen auf dem Windows 7 läuft(ich denke das Netbook wird dafür eher zuschwach sein)und installiert bloß bitte nicht mehr XP neu denn das hat seit April 2014 keinen Support mehr und ist deswegen ein gefundenes Freesen für Malware Attacken.

 

[KTelwood]

Bachelor & Master sind halt nix mehr wert ;p

Ist das gleiche wie Diplom. Heißt nur anders.
Wenns ne Doktorarbeit in Geisteswissenschaften oder Igenieurswissenschaften ist, dann ist das "Computerwissen" eh nur auf vorgefertigte Systeme begrenzt. Da wird gelernt wie man bedient, nicht wie es funkioniert .

Danke Wirtschaft:
"Young professional in MS Word gesucht"

 

[Nero Atreides]

Ist das gleiche wie Diplom. Heißt nur anders.
Wenns ne Doktorarbeit in Geisteswissenschaften oder Igenieurswissenschaften ist...]

1) Eine Dissertation (=Doktorarbeit) ist nicht dasselbe wie ein Diplom. Um überhaupt damit anzufangen braucht man nämlich ein Diplom oder Staatsexamen bzw. einen Master.

2) Wenn du irgendwann -hoffentlich nicht- in die Situation kommst, dass du oder jemand aus deiner Familie einen Gehirntumor oder was ähnlich Fieses entwickelst, dann bist du vielleicht froh, dass es promovierte Menschen gibt, die an der Heilung solcher Krankheiten geforscht haben, sich aber vielleicht weniger gut mit Windows, Viren oder Office auskannten.

 

[gabbercopter]

touché

Dennoch . in Anbetracht dessen wie Zeitaufwendig eine Doktorarbeit sein KANN würde ich hier auch nicht direkt den weg des neu aufsetzens gehen. fotos und reine txt datein sind verhältnissmäßig leicht zu desinfizieren deswegen tendiere ich hier auch zu einen live cd boot um dann die datein aus zu lagern. anschließend kann man dann diese daten auf viren untersuchen. sollten die virenprogramme den virus noch nicht kennen wartet man eben eine woche allzu lang dauert das nicht bis AVs da nachziehen

 

[chrigu]

ein doktortitel kann man für geld im internet bestellen... mit oder ohne tumor

falls es sich um eine verschlüsselungs-malware handelt, sind 8 jahre backup-vergessen gleichzusetzen wie 8 jahre foto-leere...
je nachdem, kannst du mit einem "entschlüsselungstool" die verschlüsselung herausfinden... google-suchzeit ca. 10minuten, installieren ca. 5 minuten, pup-ware löschen, die beim tool dabei waren ca. 40 minuten... entschlüsselungszeit zwischen 5 monaten und 16 jahren dauerberechnung. ob das aber die festplatte aushält, oder dein pc, oder deine geduld...

 

[max_1234]

Oh Gott, mal wieder Spezis am Werk.

-> SOFORT Auf nem anderen sauberen Rechner (das heißt "PC") alle online Kennwörter ändern. Alle = Alle.
-> Platte formatieren oder ggf. wie beschrieben via Linux/Win Bootstick (Hirens und co.) persönliche Files sichern
-> Kindersicherung, UAC, Non-Admin Account für deine "Schwester"

mfg,
Max

 

[st0rax]

Meiner Persönlichen Erfahrung nacht:

1. Werden Daten verschlüsselt, so liegt eine html datei im jeweiligen ordner mit der entpsrechenden Anleitung
(hab die nur grob überflogen deswegen kann ich nichtmal sagen ob der Rechner laufen muss um die Anweisungen auszuführen)
2. Die Daten wiederherstellen wird nicht so ohne weiteres möglich sein:
Systemwiederherstellungspunkte sowie "vorgänger versionen" werden oftmals deaktiviert.
Daten mit wiederherstellungstools retten könnte funktionieren, ich weiß allerdings nicht wie beim recovery prozess verschlüsselte daten von den (vorher) unverschlüsselten daten unterschieden werden sollen.
3. Ich meine es lassen sich Hinweise in den readme/html dateien darauf finden um welche version es sich handelt.