Na ja, Werbung macht BC nicht. Allerdings scheint die Kapitulation gegenüber den Gangstern, bei eine Infizierung mit einer Trojaner-Variante nach dem 1.4.14, die einzige Chance zu sein, seine Daten wieder zu bekommen.
Symantec hat ja die Klappe nicht halten können, sonst wäre es für viele vielleicht einfacher gewesen.

Wie vor zwei Jahren, ist hier weider der Beweis für eine richtige Datensicherung, vor allem, wenn man auf diese angewiesen ist.

Zitat:

Zitat von Undertaker

Na ja, Werbung macht BC nicht. Allerdings scheint die Kapitulation gegenüber den Gangstern, bei eine Infizierung mit einer Trojaner-Variante nach dem 1.4.14, die einzige Chance zu sein, seine Daten wieder zu bekommen.

Deshalb schrieb ich auch "indirekt". Ich halte es für fragwürdig und gefährlich, auf die Methode der Gangster zu verweisen, weil man z.Zt. den aktuellen CL nicht entschlüsseln kann, da dies Trittbrettfahrer auf den Plan ruft. Es ist auch nie garantiert, dass man den Schlüssel für seine Daten auch wirklich bekommt.

Wenn es wirklich wichtige Daten sind (und ich meine nicht Urlaubsvideos o.ä.) dann hat man i.d.R. auch eine Sicherung und der Schaden ist nicht ganz so groß.

Blöde Frage: Wie kommt der Trojaner an die Information, welche und vorallem wie viele Dateien in einem Verzeichnis liegen?
Er wird ja wohl auch irgendwann einmal eine Verzeichnisabfrage starten müssen?
Annahme 1: Trojaner ermittelt, ob es ein Verzeichnis "Bilder" o.ä. gibt:
-> Könnte man diese Abfrage nicht irgendwie abfangen und verändern, so dass z.B. die Ordner "Bilder" oder "Dokumente" für den CL nicht mehr sichtbar sind? (Gewollter Patch von "NtQueryDirectoryFile")

Annahme 2: Die Pfade von "Bilder" und "Dokumente" sind im Trojaner hardcodiert und er fragt nicht nach, ob die Pfade existieren. Sieht er das Verzeichnis "Bilder" nicht, kann er trotzdem herausfinden, wie viele Dateien darin sind, und sie alle verschlüsseln.
-> Man verschiebt/kopiert alle seine Sachen in einen unauffälligen Ordner wie z.B. "Neuer Ordner", oder benutzt "Neuer Ordner" direkt von Anfang an als Speicherort für das neue Word-Dokument oder die Ferienbilder.
Anschliessend verändert man die Verzeichnisabfrage, so dass "Neuer Ordner" nicht mehr im Ordnerlisting (des CLs) auftaucht, so sieht dieser den Ordner und somit die wertvollen Dateien gar nicht erst.

Vorteil gegenüber Datei-Backup / Virensignatur vom CryptoLocker:
- Man muss sich nicht lange mit Backup-Lösungen befassen (ich z.B. hasse Backups) und man muss nur einen einzigen Namen im Verzeichnis-Listing ausblenden,
- Man hätte automatisch einen wirklich heuristischen Schutz, da ja jede Variante, egal wie neu, immer noch irgendwann mal eine grundlegende Verzeichnisabfrage starten muss.

Nachteile:
- Verleitet vielleicht dazu, Backups für immer zu ignorieren, obwohl es auch irgendwann mal die Festplatte selber treffen könnte (kein malwarebedingter Schaden)
- Findet der CL das "verborgene" Verzeichnis doch irgendwie (RAW-Lesezugriff?), hat man verloren.
- Wie soll ein 0815-DAU die von Cryptolocker gemappte ntdll.dll zuverlässig verändern?

Was haltet ihr von meinen Überlegungen?


Grüsse - Microwave