Vorgehen Datenrettung bei Trojaner

[TheCornInGrove]

Liebe Community,

meine Eltern haben sich auf deren Laptop einen Trojaner eingefangen - es handelt sich um einen "Lösegeldtrojaner". Das heißt, der Computer wurde gesperrt und meine Eltern sollten eine Telefonnummer anrufen, was sie dann auch taten.
Da der sehr höfliche und hilfsbereite Mann mit dem mein Vater telefonierte dann irgendwann nach Kreditkarten und Bankdaten gefragt hatte, schwante meinem Vater böses und er legte auf.

Das Windows Passwort wurde geändert, ich habe also keinen Zugriff mehr auf den PC (könnte es evtl über den abgesicherten Modus und CO wieder ändern, das habe ich tatsächlich noch nicht probiert)

Nun habe ich den Laptop hier bei mir und ich würde gerne, sofern möglich, die Daten auf der SSD sichern.

Da ich dafür die SSD aus dem Laptop ausbauen und an meinen PC hängen muss, stellt sich die Frage, wie ich dabei vorgehe ohne mir diesen Kram direkt ebenfalls einzufangen.

Gibt es da eine sichere Möglichkeit?

Danke im Voraus für Euren Rat.

Cheers, TheCornInGrove

 

[Nilson]

Mit einem Live-Linux starten und per dd die Festplatte 1:1 kopieren.
Aber außer Plattmachen und Backup einspielen ist da meist nicht mehr viel zu machen.

 

[GTrash81]

Und die verschlüsselten Daten dürften weg sein, es gibt einige Trojaner die nicht mal entschlüsseln können
bzw. die nötigen Informationen dafür nicht speichern.
Da hilft nur eins: Backup, Backup und nochmals Backup.

 

[Giggity]

Wenn du nur aus dem Windows Account ausgesperrt wurdest kannst du mir Hirnes Boot cd usb Stick das pw resetten

https://www.hirensbootcd.org/download/

 

[chrigu]

Polizeibeamte Meldung und Anzeige erstatten, Festplatte ausbauen, neue Festplatte rein und Windows 10 installieren. Alte Festplatte der Polizei übergeben!
Und ganz wichtig, der nette Herr mit indischem Akzent ist nicht von Microsoft und das solltest du deinen Eltern auch kommunizieren.

 

[Dr. McCoy]

Natürlich darf ein potenziell kompromittierter Datenträger nicht direkt an das eigene Produktivsystem angeschlossen werden. Verwende dazu, wie bereits vorgeschlagen, ein Live System von USB.

https://ubuntu-mate.org/download/amd64/kinetic/

Wenn du Glück hast, wurde nur Windows gesperrt, nicht aber die Daten verschlüsselt. Wenn du Pech hast, wurden auch die Daten verschlüsselt, dann kannst du auch mit dem Linux Live System nichts retten, und du müsstest den Datenträger liegen lassen, bis es in einiger Zeit eventuell mal eine Entschlüsselungsmöglichkeit gibt.

 

[TheCornInGrove]

Ok, danke für Eure schnelle Rückmeldung!
Ich schau mir das mal näher an. Ich weiß nicht, ob die Daten tatsächlich verschlüsselt wurden. Wahrscheinlich ist es so, aber bisher kann ich das nicht beurteilen, da ich noch keine Zugriff auf Windows habe (da ausgesperrt).

Ich probiere mal Giggitys Vorschlag, evtl bringt das ja Erfolg.

Wenn nicht, dann gibt's ne neue SSD


Ich melde mich nochmal und berichte, wie es ausging.

 

[Dr. McCoy]

Je nachdem, welche Informationen zu dem Schädling zur Verfügung stehen, könntest du auch prüfen, falls wirklich verschlüsselt worden sein sollte, ob derzeit bereits etwas bekannt ist, mit dem man die Verschlüsselung rückgängig machen könnte.

https://id-ransomware.malwarehunterteam.com/index.php?lang=de_DE

Aber bitte alles von einem Live-System aus durchführen.

 

[TheCornInGrove]

So, "etwas" verspätete Rückmeldung (bin schlichtweg nicht eher dazu gekommen mich an das Problem zu setzten):

Ich hab zuerst die von Giggity empfohlene Hirens Boot .iso ausprobiert.

Und was soll ich sagen. Ich konnte den PC einfach zurücksetzten.
Alle Daten sind vorhanden und unverschlüsselt.

Keine Anti-Malwaresoftware kann etwas finden, habe diverse drüber gejagt (Malwarebytes Antimalware, Bitdefender, Avast, AVG, Avira und Dr. Web).
Habe trotzdem nochmal formatiert, Windows neu aufgesetzt, die Daten zurückgespielt und jetzt für meine Eltern ein Non-Admin Konto mit der Comodo Firewall und Avira als AV eingerichtet. Natürlich alle Passwörter geändert von diversen Konten.


Ich denke, jetzt sollte der Laptop wieder lauffähig und verhältnismäßig sicher sein.

Was meint Ihr?

Danke nochmal für Eure Hilfe!

 

[Incanus]

Bordmittel reichen aus, besser wäre es gewesen die Sicherheit vorgaukelnde Zusatzsoftware nicht zu installieren. Zum Einen bringt sie keinen wirklichen Nutzen, zum Anderen kann sie auch eventuelle Lücken schaffen und sie wiegt den Nutzer im trügerischen Gefühl, es könne nun nichts mehr passieren. Der Klick auf unbekannte Links oder Anhänge könnte dann leichter fallen und das ist der wirkliche Angriffsvektor.

 

[Dr. McCoy]

Und was soll ich sagen. Ich konnte den PC einfach zurücksetzten.
Alle Daten sind vorhanden und unverschlüsselt.

Wenn du Glück hast, wurde nur Windows gesperrt, nicht aber die Daten verschlüsselt.

Demnach hattet ihr Glück, weil eben nur Windows gesperrt, aber die Daten nicht verschlüsselt worden waren. Das ist sozusagen eine "milde" Variante des vermeintlichen Verschlüsselungstrojaners gewesen.

Ich denke, jetzt sollte der Laptop wieder lauffähig und verhältnismäßig sicher sein.

Was meint Ihr?

Nein, so ist der nicht sicher. Nicht durch die Software, die du installiert hast. Kein Stück weit. Das Benutzerkonto ist ein Baustein, ja. Aber das alleine reicht nicht. Deine Eltern müssen künftig unbedingt Datenbackups machen. Vollumfänglich. Regelmäßig. Und sie müssen ihr System mit allen Programmen darauf pflegen und aktuell halten.

 

[TheCornInGrove]

Bordmittel reichen aus, besser wäre es gewesen die Sicherheit vorgaukelnde Zusatzsoftware nicht zu installieren. Zum Einen bringt sie keinen wirklichen Nutzen, zum Anderen kann sie auch eventuelle Lücken schaffen und sie wiegt den Nutzer im trügerischen Gefühl, es könne nun nichts mehr passieren. Der Klick auf unbekannte Links oder Anhänge könnte dann leichter fallen und das ist der wirkliche Angriffsvektor.

Da hast Du natürlich recht, aber meine Eltern werden natürlich nochmal entsprechend von mir gebrieft - inwiefern sie das dann umsetzten, ist wieder eine andere Frage. Aber von nun hoher Sicherheit und "es kann jetzt nix mehr passieren" würde ich ihnen sowieso nichts erzählen.
Phishing ist einfach ein großes Problem bei älteren Menschen und da hilft meiner Meinung nach nur konsequente Aufklärung.

 

[Kronos60]

Sichere die Daten in Zukunft auf mindestens 2 externen Festplatten, die nur zur Datensicherung mit dem PC verbunden werden.

 

[Dr. McCoy]

Phishing ist einfach ein großes Problem bei älteren Menschen und da hilft meiner Meinung nach nur konsequente Aufklärung.

Das hier war aber kein Phishing.

 

[TheCornInGrove]

Stimmt, es war vermutlich ein Anhang in einer Mail der geöffnet wurde. Und die Mail war (vermutlich) einer authentischen Mail eines diversen Anbieters nachempfunden.

Mir ist klar, Anhänge in Mails nicht ohne Brain.exe zu öffnen, ich glaube meinen Eltern war das nicht so klar.
Oder reden wir hier von einem ganz anderem Einfallstor, dessen ich mir auch nicht bewusst bin?

Dann wäre ich natürlich dankbar über Aufklärung um das in Zukunft möglichst zu verhindern.

Datenbackups auf externen Hdds werde ich natürlich auch noch empfehlen, ob sie das dann konsequent so umsetzen, wage ich dennoch zu bezweifeln, allerdings kann ich alle paar Monate Backups anlegen - nicht optimal, aber besser als gar nicht.
Edit: Und ich hoffe doch, dass sich Windows selbst up to date hält!?

 

[SpoonRest_D]

Bei solchen Mails, egal ob gefälscht oder original, gehe ich NIE auf einen Link.
Zur Kenntnis nehmen und löschen, dann mit deinen Originalzugängen zur Seite und nachsehen, was da im Postfach ist. Selbst auf originale Mails von PayPal lösche ich diese sofort..

 

[Fatal3ty]

Avira kann ich wirklich nichts empfehlen. Installiert sogar heimlich Crypto Miner und schädigt mal wieder Windows Updates. Ich würde es lieber auf Windows Defender verlassen. Und Browser mit uBlock Origin installieren, da blockt auch die schädliche Scripte dazu.

Antiviren Software sind einfach Schlangenöle.

 

[Kronos60]

Antiviren Software sind einfach Schlangenöle.

So kann man das nicht sagen, manchmal können sie einem vor einer Infektion schützen.
Und bei den neuen PC`s hat man praktisch keinen Performanceverlust.

Der Defender ist ausreichend.

 

[Incanus]

Warum können die zusätzlichen Tools das denn soviel besser als der Defender?

Und wann hattest Du das letzte Mal einen Alarm der Software, der Dich vor einer Infektion geschützt hätte?

 

[andy_m4]

Da hast Du natürlich recht, aber meine Eltern werden natürlich nochmal entsprechend von mir gebrieft - inwiefern sie das dann umsetzten, ist wieder eine andere Frage.

Ja. Umso weniger man Raum für Entscheidungen gibt, umso größer ist die Chance das die Tipps auch erfolgreich befolgt werden. Man sollte also gar nicht darauf setzen, das man irgendwie Betrüger an irgendwelche Merkmale erkennen kann oder so, sondern sich die strikte Regelung vorgeben:
Wenn irgendwie jemand per Telefon, Mail, sonstwas möchte, das man was am Computer/Smartphone/etc. macht, das eben nicht zu tun. Auch nicht wenn der drängelt mit "dringend" und so.

Und wenn man doch mal im Zweifel ist, ob die eigene Bank vielleicht noch doch etwas von einem will, dann ruft man da an. Und zwar mit der Nummer die man von der Bank gekriegt hat (Visitenkarte, Brief, schriftliche Unterlagen oder so was). Und nicht irgendwie ne Nummer die auf irgendeiner Mail oder Webseite steht.