Mein Befall vom 23.05.12 - Erfahrung , Status und Fragen

blackpearls

Hallo zusammen,

zunächst vorab schon mal vielen Dank für die vielen Infos, die ich hier erhalten habe.
Mir gehts es mit diesem Thread eher weniger darum schnelle Hilfe zu erhalten, als vielmehr einige Anmerkungen zu machen und noch ein paar Fragen zu klären.

Ablauf des Befalls:
Mein Rechner wurde am 23.05.12 mit Verschlüsselungs-Trojaner befallen, wahrscheinlich mit der Version 1.140.1 aufwärts.

Die Mail (Absender) und Anhang hatte ich vorher gecheckt, es wurde von Avira aber nichts festgestellt. Zunächst tat sich nach Anklicken des "Links" da offensichtlich mal gar nichts, aber nach 10 Min war der Rechner "gesperrt", der erste Griff - Rechner sofort ausschalten. Der mehrmalige Versuch des Rechnerstarts im abgesicherten Modus brachte jeweils einen Blue Screen. Hier schien also gar nichts mehr zu gehen.

Da ich meine Systempartition (C: ) in der Regel frei von eigenen Dateien halte, habe ich das Betriebssystem neu aufgespielt. Welchen Schaden ich mir eingehandelt hatte, sah ich dann erst, als ich mir auf meiner Programm-Partition die Treiber reinstallieren wollte. Die Dateinamen waren nicht wiederzuerkennen und auch alle ohne Dateiendung. Tja, dumm gelaufen und selbst schuld! Aber bei aller sonstigen Vorsicht gibt es halt auch mal einen Moment der Unüberlegtheit.

Aktueller Stand:
Inzwischen ist mein Rechner wieder lauffähig, fast alle benötigten Softwarepakete neu installiert. Die alten Downloads waren nicht mehr startfähig. Klar, wenn der Trojaner die Dateien verändert.
Die auslösende Mail mit Anhang habe ich gesichert und bereits ans Board geschickt, darin zwei weitere, die vom Spamfilter abgefangen und von mir nicht angeklickt wurden.

Der Check des Gesamtsystems zeigte doch einen ziemlich grossen Befall, wobei sich mir noch einige Fragen stellen - siehe weiter unten.

Bei den befallenen Musik(Film-)dateien gibt es drei Zustände (jew. nach manueller Endungsvergabe):
- einige lassen sich gar nicht mehr abspielen
- andere lassen sich abspielen, aber die Headerinfo ist weg.
- andere sind nur umbenannt, lassen sich aber abspielen und die Headerinfo ist noch vorhanden.

Bei den Jpegs bzw. auch anderen Dateiformaten siehts ähnlich aus:
- einige sind umbenannt und man erhält bei Aufruf (nach manueller Endungsvergabe jpg) nur eine Anzeige "Ungültiges Bild" bzw. andeere Info (z.B. "Archiv/File corrupt" etc.)
- einige wurden nicht kryptisch umbenannt, sind aber trotzdem nicht mehr korrekt anzeigbar und bringen "Ungültiges Bild" bzw. unlesbare Dokumente

Insgesamt wurde also recht breitflächig verschlüsselt, wobei ich annehme, daß die unterschiedlichen Dateizustände sich vom "Verarbeitungs"fortschritt durch den Trojaner ergeben.

Auf eine grosse Zahl der betroffenen Dateien werde ich wohl auch verzichten können, bei anderen wäre mir die Entschlüsselung wichtig. Soweit ich gelesen habe, gibt es für die Art meines Befalls derzeit noch keine Entschlüsselungsroutine. Toll wärs, wenn da was kommt.

Meine Fragen, die sich aus dem Dilemma ergeben bzw. nach Lesen hier im Board bisher offen geblieben sind:
1. der Trojaner ist gesichert und die Systempartition neu aufgesetzt. Kann der Trojaner sich von selbst reaktivieren (z.B. aus den befallenen Dateien heraus, z.B. alten Exe-Dateien) Bisher konnte ich dahingehend nichts feststellen.

2. die auslösende Spam-Mail habe ich zuerst auf meinem Handy (Android) gesehen. Hätte der Trojaner hier ebenso sein Unwesen treiben können, wenn ich den Anhang geöffnet und gestartet hätte?

3. ich synchronisiere einige Dateien über Dropbox. Hätte der Trojaner sich über diesen Dienst fortpflanzen und so ein völlig anderes System befallen können? Wieso sind gerade diese Dateien (z.B. Kalenderdateien für Thunderbird) auf dem befallenen Rechner nicht verändert worden während andere in derselben Datenpartition verschlüsselt sind (Zufall / Glück ?)?

4. Startete der Befall bereits mit Öffnen der Zip-Datei oder erst mit Anklicken der darin enthaltenen Dos-Datei?

5. Erklären sich die unterschiedlichen Dateizustände tatsächlich aus dem "Verarbeitungs"fortschritt des Trojaners oder welche andere Erklärung gibt es dafür?

6. Ich meine es hier gelesen zu haben: wären schreibgeschützte Dateien vom Trojaner unverändert geblieben?


Wäre schön, wenn ich auf einge der Fragen Antworten erhalten könnte.
Letztlich möchte ich dadurch auch meine Vorsichtsmassnahmen anpassen. Denn bei dem jetzt aktivierten Trojaner habe ich aufgrund der unbekannten Herkunft zunächst schon einige Checks vorgenommen und trotzdem bin ich in die Falle getappt.

Sollten noch Dateibeispiele gebraucht werden kann ich einige zur Verfügung stellen. Gut zu wissen wäre jetzt auch, ob das Formatieren der C-Partition den Schädling tatsächlich beseitigt hat.

Vielen Dank schon mal vorab.