Virus auf Berufsschulrechner?

[youngbuck89]

Moin moin,

Ich habe heute an einem Computer in der Schule ein wenig gesurft, hauptsächlich nach world of tanks Tutorials, nichts wildes. Als ich dann nochmal eine meiner Dateien öffnen wollte, sah ich, dass alle meine word und excel Dokumente auf einmal VLC media files ( mp3 ) waren, dazu sind "recovery" Anwendungsdateien aufgetaucht.

Ich habe keine Datei herunter geladen und auch sonst kam mir während dem surfen nichts komisch vor ( außer die langsame Geschwindigkeit des PCs. )

Weiss jemand, um was es sich hier genau handelt?

 

[rg88]

Hat sich die Dateiendung geändert?

 

[purzelbär]

Könnte sein wenn du Pech hast das du an einer Verschlüsselungs Ransom geraten bist der deine Dateien verschlüsselt hat: http://www.trojaner-board.de/116851-daten-retten-verschluesselungstrojaner.html

 

[Darkblade08]

Die aktuelle Teslacrypt version nutzt die .mp3 Endung.

Kannst du die Dateiendung ändern?

 

[tiash]

Das klingt gewaltig nach TeslaCrypt. Siehe dazu auch http://heise.de/-3101992.

Ich hoffe für dich, dass bei den Dokumenten nichts wichtiges dabei war, die Chancen auf Entschlüsselung stehen bisher noch schlecht. :/

 

[Dunkelschwinge]

ja klar kann das sein. Gerade Schul Infrastruktur ist schlecht gesichert und die vielen Hobbyhacker die ständig davor sitzen macht es nicht besser.

Schließ den Stick bloß nicht an nen anderen rechner ohne Virenschutz, oder Ransomwareblocker etc...

 

[youngbuck89]

Die Dateiendung ist nun .docx bei den Word Dokumenten, bei Excel weiss ich es nicht mehr. In den Eigenschaften steht auch vlc media file ( mp3 ).

Wie kann ich mir denn sowas einfangen, wenn ich einfach nur surfe?

Edit: kann es sein, dass sich jemand anders in der Stunde vorher diesen Virus eingefangen hat und dieser meine Dateien erst mitten in meiner Stunde ändert? Stundenbeginn war um 13:10, Abänderung der Dateien um 14:36.

 

[Darkblade08]

Also wenn in den Eigenschaften der Datei immer noch .mp3 als Typ steht, sieht das sehr nach Teslacrypt aus.

Am besten den Stick nirgends wo mehr nutzen und den Admin der Schule infomieren.

 

[youngbuck89]

Wenn man sich auf einem der Rechner anmeldet, hat man Zugriff auf sein eigenes Laufwerk im Netzwerk, die Dateien sind also nicht in dem Pc selbst gespeichert. Blüht nun anderen Nutzern nach mir ebenfalls die Verschlüsselung ihrer Dateien, wenn sie sich auf diesem PC einloggen?

 

[species_0001]

... und bis dahin Rechner ausschalten, je länger der potenzielle Virus Zeit hat Daten zu verschlüsseln, desto mehr Daten sind dann weg

 

[hrafnagaldr]

Achja, die Berufsschulrechner, da war immer alles möglich
Jo klingt nach nem Verschlüsselungstrojaner, ja den kannst auch beim Surfen über ne Sicherheitslücke / präparierte Webseite erwischen und ja der kann auch verzögert loslegen.

@alle: warum wird hier immer von einem Stick gesprochen, davon kann ich nix lesen?

Blüht nun anderen Nutzern nach mir ebenfalls die Verschlüsselung ihrer Dateien, wenn sie sich auf diesem PC einloggen?

Erstens das, aber wenn Du auch Schreibrechte auf die Daten anderer (zB Tauschlaufwerke) hattest auf den Netzwerkshares ist das wahrscheinlich eh schon geschehen.

 

[purzelbär]

Tja youngbock jetzt haste wahrscheinlich ein Problem und die Dateien wirste abschreiben können wenn es Teslacrypt ist. Nebenbei erwähnt: ich hab letzte Woche gelesen das die Kriminellen von Teslacrypt und Locky auch Varianten bringen werden die per Exploit oder Drive By Infektion agieren, du scheinst an so eine Variante geraten zu sein wenn du sagst du hast so nichts gemacht ausser gesurft.

Wenn man sich auf einem der Rechner anmeldet, hat man Zugriff auf sein eigenes Laufwerk im Netzwerk, die Dateien sind also nicht in dem Pc selbst gespeichert. Blüht nun anderen Nutzern nach mir ebenfalls die Verschlüsselung ihrer Dateien, wenn sie sich auf diesem PC einloggen?

Ich würde an deiner Stelle schleunigst den Schuldirektor informieren und dem beichten was dir widerfahren ist denn Teslacrypt oder Locky könnten an der Schule alle PC's im Netzwerk befallen und verschlüsseln. Schieb das bloß nicht auf und melde und gestehe das was dir passiert ist bevor es noch schlimmere Ausmaße annimmt.

 

[youngbuck89]

Kann der Admin denn nachvollziehen, wer sich das Ding wann eingefangen hat?

 

[hrafnagaldr]

Kann der Admin denn nachvollziehen, wer sich das Ding wann eingefangen hat?

Er kann zumindest nach dem Besitzer der Recovery Dateien schauen und wann die erstellt wurden.
Wenn der Trojaner natürlich noch auf dem Rechner auch das Datum der ausführbaren Datei, den Temp. Internet Files etc.

 

[rg88]

Ein guter ja Bei den typischen Berufsschulrechner, bei denen der billigste Anbieter im Kaff die Ausschreibung gewinnt, bezweifle ich das.
Der Trojaner kann genauso auf dem Server laufen

 

[youngbuck89]

Der Trojaner kann genauso auf dem Server laufen

Müssten dann nicht alle Rechner betroffen sein?

 

[rg88]

Kommt drauf an wie weit er schon ist mit dem verschlüsseln

 

[purzelbär]

@youngbuck89
Rede hir nicht lange um den heißen Brei rum und informiere schleunigst einen Verantwortlichen bei der Schule!! Teslacrypt ist eine hochgefährliche Infektion mit der nicht zu spaßen ist die alle Computer in der Schule sperren könnte. Hast du kein schlechtes Gewissen oder keinen Mumm die Schule zu informieren?

 

[youngbuck89]

Ich habe keine Möglichkeit, die Schule zu informieren, da dort ab 15 Uhr niemand mehr erreichbar ist. Das du mir den Mumm absprichst ist ja witzig.

 

[purzelbär]

Bedenke mal eines "Kollege": wenn du Pech hast und danach schaut es im Moment aus bist du mit deiner Surferei in der Schulzeit dafür verantwortlich das Teslacrypt ins Netzwerk kam und alle Computer in dem Netzwerk verschlüsseln kann wenn nicht etwas dagegen unternommen wird von einem Computerfachmann!!
An deiner Stelle hätte ich jetzt ein sehr schlechtes Gewissen und die Hosen voll und würde rum überlegen wie ich heute noch jemand von der Schule über den Vorfall informieren könnte.