ComputerBase Menü
Aktuelles

Identifikation Schadprogramm

V

Veronika CPU

Cadet 2nd Year
Registriert
Feb. 2023
Beiträge
21
Hallo Gemeinde,

vor einigen Tagen gelangte Schadsoftware auf meinen Windows-10-PC.

Sie veränderte alle MS-Officedokumente, pdfs und Bilddateien dahingehend, dass ich sie nicht mehr öffnen konnte.

Die Dateizeiten waren alle auf eine bestimmte Zeit verändert.

Offenbar waren die Dateien alle verschlüsselt worden.

Das Windows-Hintergrundbild war verändert worden. Es zeigte drei Menschen mit Masken, die dem Aussehen von Salvador Dali nachempfunden waren.

Ich habe den Rechner dann neu aufgesetzt und meine Backupdaten aufgespielt. War weiter kein Problem.

Kennt jemand diese Schadsoftware?

Gruß Veronika
 
  • Gefällt mir
Reaktionen: DJServs
Das nennt man Ransomware. Meistens wollen sie dann ein Lösegeld von dir um deine Dateien wieder zu entschlüsseln.
 
  • Gefällt mir
Reaktionen: dahkenny, GTrash81 und Veronika CPU
Zur Sicherheit solltest Du nun nach dem Neuaufsetzen alle Deine Passwörter ändern. Die können auch abgegriffen worden sein. Ebenso überlegen, woher der Schädling kam, ob Dir da was einfällt.

Allgemein aber wirklich unterstreichen möchte ich die vorbildliche Vorgehensweise bei Schadsoftware. System neu aufsetzen und Backup zurückspielen! Top!
 
  • Gefällt mir
Reaktionen: BeBur, LukS, KoKane und 5 andere
Wir bereits erwähnt, ist das ransomeware. Ein Cryptotrojaner.
Welcher es ist kann man unmöglich sagen, da die Software mittlerweile als Service im darknet gekauft und auf den Angreifer "personalisiert" werden kann.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: GTrash81 und Veronika CPU
Könnte mit den Infos praktisch jede Ransomware sein. Wenn du uns wenigstens die Dateiendung der verschlüsselten Dateien nennen würdest wäre das wenigstens mal ein erster Hinweis welche Familie es sein kann.
 
  • Gefällt mir
Reaktionen: tollertyp, KoKane, piepenkorn und eine weitere Person
Gnah schrieb:
Wenn du uns wenigstens die Dateiendung der verschlüsselten Dateien nennen würdest wäre das wenigstens mal ein erster Hinweis welche Familie es sein kann.
Zum Vergrößern anklicken....
Die Dateiendungen waren unverändert.

Geschädigt/verschlüsselt wurden mindestens doc/docx, xls/xlsx, pdf, jpg.

Auffällig war das neue Windows-Hintergrundbild:
Drei (vermutlich) Männer mit Salvador-Dali-Masken.
 
Das waren wahrscheinlich Guy-Fawkes-Masken.
WIchtig: Aktuelle Ransomware verschlüsselt nicht nur, sondern trägt die Dateien vorher auch weg. Was bedeutet, dass damit weiteres Schindluder getrieben wird. Identitätsdiebstahl, gezielte Angriffe durch Social Engineering, etc.

1. Passwörter ändern.
2. Anzeige bei der Polizei erstatten, damit du aus dem Schneider bist, wenn in der Zukunft mit deiner Identität Mist gemacht wird.
3. Kann nicht schaden, den Angriffsvektor rauszufinden, damit das zukünftig dir und anderen nicht nochmal passiert.

Und nochmal Lob an die richtige Handlungsweise!
 
  • Gefällt mir
Reaktionen: DJServs, savuti, KoKane und 4 andere
Veronika CPU schrieb:
vor einigen Tagen gelangte Schadsoftware auf meinen Windows-10-PC.
Zum Vergrößern anklicken....

Ransomware kommt durch Hilfe des Users auf den Rechner. idR ein eMail Anhang, der ihn beinhaltet. Denn man aktiv klicken und starten muss.
 
  • Gefällt mir
Reaktionen: tollertyp
Hier kann man einen Großteil aktueller und älterer Ransomware identifizieren lassen:
https://id-ransomware.malwarehunterteam.com/index.php?lang=de_DE

Geht aber nur, wenn man zumindest Teile der Kompromittierung zum Zwecke der Beweissicherung gesichert hat.

Einfallstor können hier alle möglichen Wege gewesen sein, sowohl eine Installation von Hand nach Social Engineering, als auch das Ausnutzen von Sicherheitslücken in installierter Software im Hintergrund, z.B. Drive-by beim Surfen im Web.
 
  • Gefällt mir
Reaktionen: Veronika CPU
BlubbsDE schrieb:
Ransomware kommt durch Hilfe des Users auf den Rechner. idR ein eMail Anhang, der ihn beinhaltet. Denn man aktiv klicken und starten muss.
Zum Vergrößern anklicken....
Ist oft so. Aber die sind mittlerweile teilweise so gut gemacht, dass in der Hektik des Alltags manchmal sogar ein Profi darauf herein fällt, vor allem, wenn Absender, Ansprache, Kontext etc. (z.B. durch Hack eines Anbieters) passen.

Auch sind gerne mal Datei-Downloads aus vermeintlich seriösen Quellen durch Hack des Download-Anbieters, Entwicklers oder Admins kompromittiert.
 
Veronika CPU schrieb:
Ich habe den Rechner dann neu aufgesetzt und meine Backupdaten aufgespielt. War weiter kein Problem.
Zum Vergrößern anklicken....
Sehr vorbildlich, viele haben gar kein Backup der Daten.:)
 
  • Gefällt mir
Reaktionen: DJServs
@scooter010: Vorweg: Es geht hier nicht um den TE, weil ich nicht weiß, wie es bei ihm passiert ist. Aber: Eine gute Mail macht noch keinen erfolgreichen Angriff. Die Malware muss dennoch erst mal ausgeführt werden. D.h. wenn es über einen Anhang ist, dann muss der seriös genug aussehen. EXE-Anlagen, DOCX-Rechnungen, ... sehen halt schnell irgendwie unglaubwürdig aus usw

Aber ja, das Risikio bei Datei-Downloads besteht. Bei manuellen Downloads könnte aber auch der Smartscreen-Filter von Windows helfen. Richtig übel würde es halt, wenn Firmen wie Steam gehackt werden, die Software automatisch auslieferen und denen man dabei auch vertraut.

Ich finde die Frage nach dem "wie" durchaus relevant. Es hilft, um aus Fehlern zu lernen. Aber da kann es auch helfen zu wissen, welche Malware es war.

@Engaged: Krass, das erkannt zu haben...
1682838698195.png
 
  • Gefällt mir
Reaktionen: Veronika CPU, scooter010 und Engaged
@tollertyp Auch das ist kein MUSS. Gab es nicht grade einen outlook-Hack, um an den Nutzer-Domänenhash zu kommen? Gab es nicht bereits andere Schwachstellen in den HTML-Viewern von Thunderbird, die JS ausgeführt haben? Die eingebaute Vorschau von Office-Dokumenten in Outlook...

Sogar vermeintlich harmlose PDF können, je nach Betrachter-Software, Einfallstor sein.
Ansonsten kommt es halt leider immer mal wieder vor, dass Entwickler ihre private-keys in öffentlichenRepos pumpen, oder sie gar selbst gehackt werden, die git-creds abgezogen, um dann deren gits inkl. nachfolgender build und autoupdate-toolchain zu verseuchen etc.
 
Ja, diese Lücken gibt es immer wieder. Aber ehrlich gesagt ist mir noch kein solcher Anhang untergekommen, der versucht hatte, auf gut Glück zu hoffen, dass ich die passende Software nutze, um den Anhang zu öffnen. Ich will damit nicht sagen, dass das nicht geht, aber für Angriffe nach dem Gießkannenprinzip ist das Hoffen auf die Verwendung von Software mit Schwachstellen halt nicht unbedingt die beste Idee. Für gezielte Angriffe schon eher.

Naja, aber das "wie" wäre hier immer noch interessant :-)
 
Zuletzt bearbeitet: (typo)
  • Gefällt mir
Reaktionen: Cinquedea
Engaged schrieb:
Das sind die Masken von "Haus des Geldes"! 👍
Zum Vergrößern anklicken....
Ja.
Das ganze Bild war an die Netflix-Serie angelehnt.

Die drei Maskenträger hatten, glaube ich, auch roote Hoodies an.

Ich meine, das Hintergrund-Bild ist eine Art Visitenkarte.

Das Geschäftsmodell ist mE, die Entschlüsselung der Daten gegen Cash "anzubieten".

Dass die Bösewichte sich bisher nicht gemeldet haben, deutet darauf hin, dass ich da auf eine uralte, herrenlose Mine getreten bin, die eben noch scharf war.

Oder sie haben noch keine Kontaktdaten von mir.
 
  • Gefällt mir
Reaktionen: Engaged
Veronika CPU schrieb:
Dass die Bösewichte sich bisher nicht gemeldet haben, deutet darauf hin, dass ich da auf eine uralte, herrenlose Mine getreten bin, die eben noch scharf war.

Oder sie haben noch keine Kontaktdaten von mir.
Zum Vergrößern anklicken....
Normalerweise stehen die Kontaktdaten der Gauner auf dem Sperrbildschirm.
 
  • Gefällt mir
Reaktionen: Veronika CPU
Es war mE kein Sperrbildschirm, sondern nur ein Hintergrundbild.
Windows und die Apps funktionierten noch.

Kontaktdaten habe ich keine gesehen, allerdings auch nicht danach gesucht.
Ich nehme an, wenn die gesehen werden sollen, sind die entsprechend groß eingeblendet.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz