CTB-Locker -kalt erwischt!!!

[cisumgolana]

Hallo!

Gestern hat sich der PC, trotz Defender/Avira/Firewall, Vermeidung vom Besuch unbekannter Webseiten und ignorieren unbekannter mail-Anhänge
infiziert. Unglücklicherweise saß meine Frau am PC. Bis sie mich rief, weil die FP nicht mehr aufhörte zu rattern, waren die meisten Nutzdaten ge-
blockt. Mein Rettungsversuch (zurück auf den letzten Windows-Punkt) kam daher zu spät.
Nun habe ich zwar die Systemplatte als Clon vorliegen, und es werden auch regelmäßig Nutzdatensicherungen gemacht. Trotzdem hat es uns kalt
erwischt. Die nächste Datensicherung war für´s Wochenende geplant. Außerdem hat meine Frau beruflich in den letzten Tagen mehr am PC gear-
beitet als sonst. Der Datenverlust des Zeitraumes ab der letzten Datensicherung bis gestern, ist also maximal.
Erschwerend kommt hinzu, daß sie mit outlook arbeitet. Nach dem Rückfall auf den System-Clon, sind diese Daten ebenfalls futsch.

Meine Fragen zum Thema:

Muß´ich die alte Systemplatte auszubauen, und den Clon einbauen? Oder reicht es, den Clon anzuschließen (eSata), und mit ACRONIS auf die eingebaute Platte zu clonen
(quasi die Kopie über das infizierte Orginal braten)?

Was ist mit den Nutzdaten, die der Blocker nicht mehr infizieren konnte? Wenn ich diese Daten (mühsam) rette.
Kann ich sie später wieder einspielen, ohne eine Rückinfizierung befürchten zu müssen?

Hinweis: Im abgesicherten Modus habe ich unter: HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Run
nachgeshen, ob da "Cryptolocker" o. ä. eingetragen ist (nach dem Rückfall auf den letzten Aufsetzpunkt). Da ist alles sauber.

Was kann ich tun, um künftig diese Sicherheitslücke zu stopfen? Anderer Virenscanner? Bezahlversion?
Hinweis: Auch ADWcleaner und AVIRA PC-Cleaner haben den Schädlich nicht angezeigt.

Ich bitte um möglichst zeitnahe HIlfe, damit ich den PC wieder geheilt bekomme.
Vielen Dank vorab.

Gruß
Wolfgang

[timo]

Was ist mit den Nutzdaten, die der Blocker nicht mehr infizieren konnte? Wenn ich diese Daten (mühsam) rette.
Kann ich sie später wieder einspielen, ohne eine Rückinfizierung befürchten zu müssen?

Hallo Wolfgang,

wenn Du sicher bist, daß bestimmte Daten nicht infiziert sind, kannst Du sie natürlich rücksichern. Aber woher nimmst Du diese Sicherheit? Oder meintest Du "nicht infiziert" im Sinne von "nicht gesperrt"?

Letztendlich ist die Frage schwer zu beantworten. Gefährdet sind bei Vireninfektionen unter Windows vor allem ausführbare Dateien wie exe, com (...). Ebenso vorsichtig muss man bei allen Dateien sein, die zwar nicht als solche ausführbar sind, aber Skripte oder Makros enthalten können (wie MS-Office-Dokumente).

Alles andere, also Bilddateien, Videos, Musikdateien u.Ä. sollten eigentlich unkritisch sein. Es sei denn, die Applikation, die Du zum Öffnen verwendest, hat eine Sicherheitslücke.

Mich würde interessieren, wie Du Dir diesen Locker eingefangen hast. Nach Deiner Beschreibung warst Du ja nicht so leichtfertig, wie man es Viren-Opfern oft unterstellt. Irgendeine veraltete Software? MS Internet Explorer? Flash oder Java im Browser aktiviert?

Gruß,
Timo

[cisumgolana]

Hallo Timo!

Danke für Deine Informationen & Tipps.

Ich verwende den aktuellen Firefox-Browser, und praktisch nie den MS Explorer.
Flash-Anwendung muß jedes Mal frei gegeben werden (lästig, aber kann ich nicht besser lösen).
Sowieso ist alles so restriktiv eingestellt, daß (m. E.) nur auf Anfrage eine Ausführung auch
gestattet wird. Egal ob Browser, Programme oder Betriebssystem.

Die Zecke müßte sich über outlook (braucht meine Frau unbedingt) eingeschlichen haben.
Letzte Handlung meiner Frau vor LW-Rattern war, eine Webinar-mail zu öffnen. Da wurde
abgefragt, ob sie das letzte Webinar ansehen möchte. Wollte Sie natürlich. Als dann die
Abfrage der Speicherung auf dem PC kam, brach sie die mail ab und löschte sie umgehend.
Da war´s aber offensichtlich schon passiert. Shit happens!

Zwischenstand:
Beide Daten-FP formatiert (vorher alle nicht infizierten Dateien, wie Bilder, zip-und pdf-Dateien auf separatem Datenträger gesichert)
Die System-SSD ausgebaut und die Clon-SSD vom 8.1.2016 eingebaut.
System fährt ohne Probleme hoch. Mit REGEDIT an bekannter Stelle sofort nachgesehen - sauber.
Anstehende Windoof-Updates, Avira-Updates, Firefox-Update und Acrobate-Reader-Update ausgeführt.
Nach Neustart alles OK. Erneute Prüfung mit REGEDIT. Virenscan läuft z. Zt. noch.

Nach der Infizierung lief outlook nicht mehr. Erst nicht aufrufbar. Nach Ersetzen der entsprechenden Datei = ja. Allerdings Verweigerung
der Sendefunktion. Das ist mit dem Clon-Einsatz behoben. Outlook läuft wieder anstandslos.

Nächste Schritte:
Erstellung eine aktuellen Clon-SSD (d. h. die infizierte wird übergebügelt). Wenn alles gut gegangen ist, kommt die Einspielung der Nutzdaten-Backups dran.
Werde gleich zuerst die Nutzdaten meiner Frau (hat wg. beruflicher Nutzung Priorität) einspielen.
Dann die geretteten Daten neueren Datums integrieren.
Im Anschluß daran, neue Nutzdatensicherung erstellen.
Als Nächstes mein Backup der Nutzdaten einspielen und gerette aktuelle Dateien integrieren.
ZumSchluß meine Nutzdatensicherung erledigen.

Dann sollte alles, bis auf die verlorenen Daten (da kommt ´ne Menge Doppel-scan-Arbeit auf mich zu. Was für eine Freude...) wieder im Lot sein.
Bis zur nächsten Attacke?

Eines habe ich daraus gelernt. Die Nutzdaten-Backup-Intervalle kleiner zu machen (1 Monat). Und bei Bedarf (erhöhter Datenanfall, zusätzliche Datensicherungen
anwerfen.

Eigentlich würde ich den ganzen PC-Sch... in die Tonne kloppen. Leider kann weder meine Frau noch ich gänzlich darauf verzichten. Seufz...

Gruß
Wolfgang
Zum Schlu

[gecko10]

Hallo Wolfgang,bin jetzt nicht der grosse Experte wenns um Computer geht,aber vielleicht hilfts schon mal ,auf einem anderen Computer eine Avira Rescue CD zu erstellen und von dieser dann den befallenen Computer zu starten.
Gruss
Gerhard

[timo]

auf einem anderen Computer eine Avira Rescue CD zu erstellen und von dieser dann den befallenen Computer zu starten.

Hallo Gerhard,

so einfach ist das nicht. Diese Ransomware-Trojaner verschlüsseln bestimmte Dateitypen, um dann das Passwort gegen eine "Lösegeld-Zahlung" zu erpressen. Oft lässt der Rechner sich sogar noch ohne Probleme starten, aber Fotos, Office-Dokumente u.Ä. sind halt futsch.

Gruß,
Timo

[timo]

Eigentlich würde ich den ganzen PC-Sch... in die Tonne kloppen. Leider kann weder meine Frau noch ich gänzlich darauf verzichten. Seufz...

Hallo Wolfgang,

"PC-Sch..." im Sinne von "Windows-PC-Sch...", oder PC allgemein?

Deutlich weniger schädlingsanfällige Alternativen zu MS Windows gibt es ja. Die Frage ist, ob die Euren Ansprüchen genügen (möglicherweise meintest Du das mit dem Satz oben).

Gruß,
Timo

[cisumgolana]

Hallo Timo!

Ich meine ganz allgemein (Rundumschlag) den PC-Sch...

Sicher, es gibt LINUX & Co. - aber das kann ich meiner Frau nicht zumuten (Scheidungsgrund!).
Und selbst habe ich relativ wenig Lust, mich in LINUX einzuarbeiten.

Die, für mich, echte Alternative wäre APPLE. Aber, den "Apfel" kann ich meiner Frau nicht schmackhaft machen.
Ich wäre dazu bereit. Zumal mir mein Sohn da im Fall der Fälle Support geben würde.

Zwischenstand 2:
System-SSD frisch geklont (alte virulente System-SSD vorher an altem XP-Notebook formatiert - Tipp von Jürgen H.)
Nutzdaten meiner Frau eingespielt, und die geretteten aktuellen Daten hinzugefügt. Dann sofort Datensicherung
dieser Datensumme gemacht.

Nun schwirrt mir die Birne. Meine Daten spiele ich ggf. erst morgen auf, und integriere die aktuell geretteten Daten.
Jetzt brauche ich erst einmal Abstand von der Kiste. Sonst passiert doch u. U: doch noch ein schlimmeres Unglück...

Gruß
Wolfgang

[mash]

Hallo Wolfgang,

schalte mich hier auch mal ein. Die letzte Zeit werden viele Word-Dateien als Email-Anhang verswchickt, die ein Script (VBA/Java o.ä.) enthalten, das beim Öffnen der Word-Datei gestartet wird und aus dem Netz Code nachlädt. Das kann eine Verschlüsselungssoftware sein.

Prüf mal, ob auf der Platte, oder im Postfach seit heute eine Worddatei vorhanden ist. Es kann sogar sein, dass die aus euch bekannter Quelle stammt. Entweder mit gefälschtem Absender, oder der Absender hat unwissentlich euch eine infizierte Word-Datei geschickt. Evt. sind mittlerweile auch Excel-Dateien betroffen.

Ein Virenscanner hilft da gar nicht, weil die Verschlüsselungssoftware durch das Nachladen aus dem Netz dem Scanner noch völlig unbekannt ist.

[cisumgolana]

@Michael!

Danke für Deine Anmerkungen und Hinweise.

Nein, eine infizierte Word-/Excel-Datei ist (und war) nicht auf dem PC.
Das kann ich mit größter Wahrscheinlichkeit vermelden.

An Alle:

Wenn Firewall/MS Defender/Virenprogramm in diesem Fall nichts nützen,
was hilft denn dann?

Wäre es hilfreich, sich einen kostenpflichtigen Rundumschutz (wie er von Kaspersky/Avira/etc. vollmundig angeboten wird) zu installieren.
Und wenn ja - welches Sicherheitspaket ist das beste?
Hat jemand Erfahrungen damit?

Zur Zeit bin ich jedes Mal verunsichert, wenn die FP nach Aufruf eines Programmes (gefühlt) länger rappelt, als mir lieb ist. Und schau dann
per REGEDIT nach, ob sich Verdächtiges unter "\run" zeigt. Das muß wieder aufhören!

Gruß
Wolfgang

[outis]

Hallo Wolfgang und alle anderen,

ich habe zwar keinen konkreten Hinweis, aber zunächst einmal eine Frage:

Warum sollen Virenscanner eine aus dem Internet nachgeladene Datei nicht "erwischen" können? Zumindest die Schutzprogramme, die eine Echtzeitüberwachung für geöffnete Programme/Dateien bieten, sollten das doch hinbekommen.

Das Problem aller Scanner ist aber ja nun, dass die immer hinterherrennen: Sie können erst dann einen Virus als solchen erkennen, wenn der in freier Wildbahn gesichtet wurde und analysiert ist.

So gesehen nützt auch kein kommerzielles Programm gegen brandneue Viren.

[timo]

Sie können erst dann einen Virus als solchen erkennen, wenn der in freier Wildbahn gesichtet wurde und analysiert ist.

Stimmt nicht ganz. Ein guter Virenscanner sollte auch sogenannte heuristische Analyse beherrschen - sprich: Programmcode anhand seines Verhaltens als Schadsoftware identifizieren. Ist aber natürlich nicht so einfach und klar wie die Erkennung eines bekannten Virus.

Aber auf jeden Fall berechtigter Einwand: Daß der Virenscanner bei Wolfgang keinen Alarm geschlagen hat, spricht nicht gerade für ihn.

[outis]

Das Problem in Wolfgangs Fall ist ja letztlich: Wie will ein Schutzprogramm erkennen, ob ein Verschlüsselungsvorgang vom Benutzer gewollt ist oder nicht? Da kann es eigentlich nur jedes Mal nachfragen. Nur wenn man selbst oft verschlüsselt, schaltet man ja in der Regel die Nachfrage nach dem 3. Mal genervt ab...

[timo]

Wenn die Analyse richtig intelligent wäre, würde sie nicht nur die Verschlüsselung erfassen, sondern das Gesamtbild des Verhaltens, angefangen vom Ausnutzen von Sicherheitslücken in Software zur Ausführung von Programmcode, Nachladen von ebensolchem aus dem Internet... aber wie gesagt, da erkenne ich an, daß das kompliziert ist.

Bedenklicher finde ich, daß der CTB Locker als solcher nicht erkannt wurde. Das Ding ist ja nun in mehreren Versionen bereits seit über zwei Jahren im Umlauf. Wenn bei Wolfgang nicht eine brandneue Variante am Werk war, die keine erkennbaren Gemeinsamkeiten mehr mit den Vorgängern hat, hätte ich eigentlich erwartet, daß der Virenscanner so einen Angriff erkennen kann.

[outis]

Jupp,

Wolfgang: Nur kurz noch zum Scheidungsgrund Linux. Man kann ein Linux heute so konfigurieren, dass der durchschnittliche User nicht viel davon merkt, sondern allenfalls denkt, dass sein "WIndows" a bisserl anders ist. Nur ist Linux erst dann wirklich eine Überlegung wert, wenn geklärt ist, ob sämtliche benötigte Soft- und Hardware darunter läuft. Na ja, ein weites Thema und x-mal durchgekaut.

[outis]

Übrigens frage ich mich gerade, ob Linux gegen die Locker wirklich einen Schutz bietet. Denn wenn der intelligent programmiert ist, erkennt er, dass Linux läuft und ruft gpg auf. Würde man das schnell genug mitbekommen? Hm... Wäre doch mal eine Methode, um den Linuxern ein wenig weiche Knie zu verpassen.

[UHER-Report-Fan]

Hallo,
Ich hatte so ziehmlich alle kostenlosen Virenprogramme, doch keines alleine hat mich überzeugt. Wichtiger ist oft die Untersuchung auf allgemein Malware (Virenscanner erkennen viele Trojaner oftmals schlecht). Ich benutze hierzu ein simples Antimalwaretool. Selbst kostenlose erkennen und entfernem Trojaner sehr erfolgreich, selbst wenn das Virenprogramm bei stundenlangem Komplettscan auf allen Laufwerken absolut 0 findet.
Gruß
Andreas

[timo]

Übrigens frage ich mich gerade, ob Linux gegen die Locker wirklich einen Schutz bietet. Denn wenn der intelligent programmiert ist, erkennt er, dass Linux läuft und ruft gpg auf.

Du überspringst den entscheidenden Schritt: Unter Linux ist es aus verschiedenen Gründen erst mal deutlich schwerer als unter MS Windows, einem Benutzer ungewollt Programmcode unterzujubeln und zur Ausführung zu bringen. Sicher wäre auch das möglich, wenn eine Sicherheitslücke in Software schnell ausgenutzt würde und der Benutzer sich unvorsichtig verhält, aber - und da kommt ein vielleicht noch entscheidenderer Punkt in's Spiel: Es lohnt sich für solche Lösegeld-Expresser durch den geringen Marktanteil im Desktop-Bereich (m.W. zwischen 1 und 2%) einfach nicht.