Ransomware Wannacry

[TomLEL]

Hallo Leute,
ich wurde Opfer von ransomware, um genaur zu sein von wannacry- oder einem paste davon. Wie dem auch sei hab ich aus irgendeinem grund geschafft das encrypting zu beenden. Das bedeutet ich habe schnellst möglich meinen PC eifnach ausgeshclatet und ein paar dektop nonsense text dateien waren encrypted. Auch wenn die meine Passwörter hatten, musste schnell passwörter zu meinem Emails verändern gab es sonst keine großen Probleme. Ich kenn mich ja ein wenig aus und habe dann safe starts mit MSCONFIG gemacht um eine offline Version von Avira wie auch malwarebytes zu installieren. Nach der Löschung der Viren habe mich meinen PC normal gestartet und bin ohne Probleme auf meinen Desktop gelangt.

Also ist der Stand der Dinge dass ich ein paar encrypted Dateien habe und einen distorted Windows Defender.

Zu den Dateien- habe verschiedene decrypter ausprobiert und bin zum entschluss gekommen dass keiner funktioniert aht. Der Coder hat wohl ein eigenes Muster kreiert. Die Endung ist (FileName)._enc . Im Internet gab es nur .enc also war ich erstmal aufgeschmissen.


Das wichtigere Problem ist der Windows Defender. Ich habe euch 2 Bilder in den Anhang gepackt, die zeigen wie komisch sich der Defender verhält. Zudem zeigt das erste Bild erst den Absturz nach ungefähr10Minuten-davor wird angezeigt das mein Defender von einer "Organisation" oder von einem "Administrator" gesteuert wird. Ich denke der Virus bestand aus mehreren Viren welche auch den Defender angreifen.

Das war mein kleiner Exkurs in den Virus Bereich Ransomware ohne blechen zu müssen.
Vllt. könnt ihr mir ja helfen

Tom

 

[desmonesi]

Echt. Mach alles platt und eine neue Installation. Geht am schnellsten. Danach Backup aufspielen. Jetzt auf keinen Fall dein externes Backup anschliessen.

 

[Jesterfox]

davor wird angezeigt das mein Defender von einer "Organisation" oder von einem "Administrator" gesteuert wird.

Da sind irgend welche Gruppenrichtlinien zum Defender verdreht... das einfachst dürfte wirklich ein saubere Neuaufsetzen sein. Nur dann kannst du sicher sein das alles wieder sauber läuft und vor allem auch sauber ist.

 

[Fujiyama]

Wenn irgend ne Schadsoftware auf dem rechner ist/war, macht man die Möhre platt. Alles andere ist pfusch.

 

[PHuV]

Daten sichern. Platt machen und neu installieren. Am besten den Datenträger vorher komplett leeren, indem Du alle Partitionen löscht. Der Datenträger sollte danach komplett leer und nicht intialisiert sein. Erst dann Windows neu installieren.

Weißt Du, wie Du es Dir eingefangen hast?

 

[Rickmer]

Spiel das Backup von gestern ein.

Falls du keins hast (schäm dich!) mach den kasten platt (aber gründlich) und installier neu.

 

[TomLEL]

Da sind irgend welche Gruppenrichtlinien zum Defender verdreht... das einfachst dürfte wirklich ein saubere Neuaufsetzen sein. Nur dann kannst du sicher sein das alles wieder sauber läuft und vor allem auch sauber ist.

Neuaufsetzen wir für mich wahrscheinlich jetzt auch der letzte Weg werden, Ich hatte das auch schon mit den Gruppen Berechtigungen herausbekommen kam aber nicht weiter da man dieses Konfigurations Program zur group policy nicht unter windows home besitzt.

 

[Dr. McCoy]

Das ist die falsche Prioritätensetzung: Bei einem solchen Vorfall muss das System mit Priorität (und nicht als letzter Weg) entweder nach Löschen aller Partitionen neu aufgesetzt oder ein sauberes Voll-Image zurückgespielt werden.

 

[chrigu]

Der wannacry wurde von dir mit adminrechte ausgestattet, so dass er jetzt dein System verseucht hat. Einfaches abstellen/vom Strom nehmen bringt dir nur eine Verschnaufpause, bis zum nächsten Windows Start, dann fängt er wieder an.
mediacreation Tool von Microsoft bei einem Kollegen starten und mit einem usb stick die neuste Version bootbar auf den Stick kopieren, mct macht alles vollautomatisch. Danach nur c: Platte laufen lassen (andere sata kabel ziehen), ins bios gehen, first boot auf Stick stellen, neustarten und den Anweisungen folgen, inkl. Festplatte formatieren/löschen wählen.

 

[PHuV]

Neuaufsetzen wir für mich wahrscheinlich jetzt auch der letzte Weg werden.

Das sollte aber der erste Weg sein. Denke bitte auch daran, daß Du eventuell dann diesen Virus an andere Systeme überträgst, wo Du nicht mitbekommst.

 

[areiland]

Das wichtigere Problem ist der Windows Defender. Ich habe euch 2 Bilder in den Anhang gepackt, die zeigen wie komisch sich der Defender verhält. Zudem zeigt das erste Bild erst den Absturz nach ungefähr10Minuten-davor wird angezeigt das mein Defender von einer "Organisation" oder von einem "Administrator" gesteuert wird. Ich denke der Virus bestand aus mehreren Viren welche auch den Defender angreifen.

Das war garantiert schon vorher verbogen! Denn WannaCry und Konsorten greifen den Virenscanner gar nicht an, sondern nutzen, um zu verschlüsseln, normale Systembefehle. Diese ganze Cryptotrojanergeschichte basiert nämlich alleine auf einer Kombination von sorglosen Nutzern, Sicherheitslücken, offen zugänglichen Datenträgern und Netzlaufwerken ohne restriktive Berechtigungen.

Der sorglose Nutzer autorisiert diese Schädlinge selbst, mit seinen Rechten die für ihn zugänglichen Dateien zu verschlüsseln. Kein Virenscanner muss dafür ausser Gefecht gesetzt werden, weil diese Art von Angriff für den Virenscanner gar kein schädliches Ereignis darstellen muss. Denn der Schädling nutzt ganz normale Systemmechanismen, um sein Werk zu vollbringen.