daisho
SHODAN
|
Seltsam, das die .local Adresse von außen nicht erreichbar ist 
|
Bogus
C64 Generation
|
passt zum thema hier, weis aber nicht ob ich nen eigenen thread aufmachen soll.
einen freund von mir hat's erwischt. für die instandhaltung bin natürlich ich zuständig.......
er hat am desktop hintergrund einiges an text, wo ihm erklärt wird, dass er noch ne andere software downloaden soll.
rsa 2048 und aes 128 steht in den den ersten zeilen.
der befall war vor einer woche, der pc wurde aber sofort 'abgewürgt'.
heute hat er nochmal nen start versucht, und mir ein foto von dem text gemacht. danach den pc wieder 'abgewürgt'.
wie soll ich jetzt vorgehen? gibt's irgendwelche erfahrungswerte dazu?
die hdd einfach an meinen pc hängen und mal durchchecken? wenn ja, wie? übertrage ich mir den virus damit möglicherweise auf mein system?
bin für alle tipps dankbar. lasse den betroffenen pc vorerst mal stromlos.
(wenn ein eigener thread besser wäre, bitte um info; oder verschieben)
TIA
Bearbeitet von Bogus am 26.09.2016, 19:18
|
userohnenamen
leider kein name
|
pc neu aufsetzen und backup einspielen
ansonsten halt daten sichern und fertig
infektion wird zu 99% per drive-by download oder mail passiert sein, von daher hast eigentlich von den dateien nicht viel zu befürchten
es wird wohl auch beim zweiten boot nicht mehr viel passiert sein, das ganze passiert normal immer nur live in der aktuellen sitzung
Bearbeitet von userohnenamen am 26.09.2016, 21:37
|
rad1oactive
knows about the birb
|
wir habens derzeit in der arbeit, der befall passiert eigentlich zu 100% über email spam mit attachments die sich als "invoice" ausgeben, teilweise kommens durch den spamfilter durch leider.
|
Bogus
C64 Generation
|
bin nun endlich dabei den pc zu 'reparieren'.
betroffen scheint nur 1 benutzer (gibt 3 weitere) bzw. dessen daten.
da dies der hauptnutzer ist, sind dort nun alle fotos verschlüsselt.
backup scheint nicht konsolidiert zu sein.
soll ich jetzt einfach den user samt ordner löschen, neu anlegen, und dann das backup einspielen?
wo nistet sich dieser virus ein? betrifft der nur den user-ordner?
hat da jemand infos?
|
wergor
connoisseur de mimi
|
pc sollte auf jeden fall neu aufgesetzt werden. daten aller user sichern, formatieren, neu installieren. (in letzter zeit) angeschlossene festplatten natürlich ebenfalls überprüfen.
|
Bogus
C64 Generation
|
die frage ist ja: wenn ich die daten der windows-sicherung zurück spiele, ob ich mir den virus nicht wieder mit drauf lade.
(laut dem user hat er in einer dhl-mail nen link angeklickt. )
kis läuft grad am befallenen system. allerdings mit alten datenbanken, weil ich den pc nicht in mein lan hängen will. und scheinbar kann man nirgends ne aktuelle virendef manuel laden.
|
ThMb
JO FRLY
|
Hitman Pro, Kaspersky Rescue CD, Malwarebytes,...der übliche Durchlauf halt. Mit Malwarebytes und Hitman Pro hab ich bisher beinahe alle gefunden die noch am System waren.
Grundsätzlich ist es nicht nötig den PC komplett neu aufzusetzen. 99% der Viren löschen sich nach Trennung der Internetverbindung, und somit der Trennung zu ihren Servern, selbst. Weiters konnte ich noch nie feststellen, das sich einer weiter verbreitet hätte im Netzwerk.
Also Dateien wiederherstellen sollte reichen. Die verschlüsselten Dateien kannst einfach löschen.
//edit: um zu finden, welche Dateien betroffen sind, einfach den gesamten PC und alle Netzlaufwerke nach der Dateiendung (z.B. .enc) suchen lassen. Außerdem müssten auch noch Dateien erstellt worden sein mit den Zahlungsaufforderungen. Diese werden grundsätzlich in allen Ordnern abgelegt, die am Anfang auf Zugriff gescannt wurden. Das heißt die können auch in Ordnern liegen, in denen keine Datei verschlüsselt wurde weil z.B. der Virus vorher gestoppt wurde.
Bearbeitet von ThMb am 20.10.2016, 19:13
|
AdRy
Auferstanden
|
bin nun endlich dabei den pc zu 'reparieren'.
betroffen scheint nur 1 benutzer (gibt 3 weitere) bzw. dessen daten.
da dies der hauptnutzer ist, sind dort nun alle fotos verschlüsselt.
backup scheint nicht konsolidiert zu sein.
soll ich jetzt einfach den user samt ordner löschen, neu anlegen, und dann das backup einspielen?
wo nistet sich dieser virus ein? betrifft der nur den user-ordner?
hat da jemand infos? Beste prävention ist niemals einem normalen user admin rechte geben.
|
userohnenamen
leider kein name
|
Braucht ein locky etc. auch nicht ...
|
karlstiefel
Editorhalbprofessioneller Chaot
|
Passts auf - jetzt hats meine Eltern erwischt und zwar auf eine hinterhältige Art und Weise.
Mein Papa hat einen Brief vom Verbund (dem Stromanbieter) bekommen - komplett mit richtigem Layout und Kundendaten. Darin wurde versprochen, dass es einen Monat lang kostenlosen Strom gibt, wenn man auf ihre Seite geht und einen Fragebogen ausfüllt. Leider hat ers gemacht und schwupp - Cryptolocker war auf dem Rechner.
Beim Service vom Verbund gehens schon garnimma ran sondern lassen nur noch eine Aufzeichnung laufen, die vor dem Betrug warnt.
Ich hab ihnen jetzt mal eine neue SSD verpasst und darf mich informieren, ob man die Daten von der alten Platte noch irgendwie retten kann...
|
mr.nice.
differential image maker
|
Rein interessehalber karlstiefel, handelt es sich bei deinem Fall um ein E-Mail oder tatsächlich um einen Brief?
|
Umlüx
Huge Metal Fan
|
ich hab meine eltern inzwischen schon instruiert, vor dem klicken erstmal die mouseover URL anzusehen die angezeigt wird. findet sich dort kein verbund.at/de/com, wird nicht geklickt.
bisher funktionierts.
|
nexus_VI
Overnumerousness!
|
Gerade nachgefragt, meine Eltern haben das ebenfalls bekommen. Ist ein ganz normaler und sehr echt wirkender Brief. Danke für den Hinweis!
|
karlstiefel
Editorhalbprofessioneller Chaot
|
Rein interessehalber karlstiefel, handelt es sich bei deinem Fall um ein E-Mail oder tatsächlich um einen Brief? Ein tatsächlicher Brief, der in der Post war. Hat auf den ersten Blick halbwegs echt ausgeschaut. Hatte sogar Steremann und Grissemann drauf!
|
Anmeldung