Macht die zur Bereinigung angewendete Vorgehensweise überhaupt Sinn?

Wenn ich einen Verschlüsselungstrojaner habe, dann müsste man die Kiste doch sofort runterfahren per Stecker ziehen. Die Dinger leisten doch inzwischen ganze Arbeit. Je länger die Gurke läuft, desto mehr ist verschlüsselt. Und das wohl je nach Variante unwiederbringlich.

Im Bekanntenkreis habe ich auch so eine Gurke gehabt, zum Glück noch ohne Verschlüsselung. Daraufhin habe ich mich mal ein bischen mit der Sache auseinandergesetzt. Einfach mal im GMX Spamfilter nachgesehen und die Trojaner installiert. Natürlich in einer VM ohne Shared Folders und USB Zugriff. Interessant, dagegen sind frühere Sachen wie Loveletter ja ein Witz dagegen.


Meiner Meinung nach müsste die Vorgehensweise daher so sein:

1) Kiste sofort ausstellen.

2) Daten sichern mit Linux CD und externer Platte/USB-Stick/DVD.

3) Kontrollieren, ob Daten verschlüsselt sind.

3a) Ja: Kiste neu installieren. Was will man sonst mit einem bereinigten OS ohne Daten?

3b) Nein: Dann geht auch eure Vorgehensweise.

Wer mit 2) überfordert ist, soll sich halt kompetente Hilfe im Freundeskreis suchen. Nicht Fratzenbuch, sondern echte Menschen.

Und für 2) und 3) kannst du eine Ubuntu- oder Knoppix CD nehmen. Gibt es zur Not am Kiosk in irgendeinem Linux-Heft.


Oder sehe ich da generell was falsch?

moin moin,

ein kompromitiertes System neu aufzusetzen ist immer die beste Lösung.
Optimal wäre das Zurückspielen eines Images des fertig eingerichteten Systems. Das spart viel Zeit.

Zitat:

Zitat von stefanbecker

Wenn ich einen Verschlüsselungstrojaner habe, dann müsste man die Kiste doch sofort runterfahren per Stecker ziehen. Die Dinger leisten doch inzwischen ganze Arbeit. Je länger die Gurke läuft, desto mehr ist verschlüsselt.

Klar, nur wer so schnell ist zu erkennen was da ab geht, der hätte die Datei im Anhang nie ausgeführt.
Die Realität sieht halt anders aus.

Zitat:

Meiner Meinung nach müsste die Vorgehensweise daher so sein:

3) Kontrollieren, ob Daten verschlüsselt sind.
3a) Ja: Kiste neu installieren. Was will man sonst mit einem bereinigten OS ohne Daten?

Wer auf seine verschlüsselten Daten verzichten kann, OK.

Wer auf die Daten nicht verzichten möchte und auf eine spätere Wiederherstellung hofft, muß dann aber eine Sicherung des gesamten befallenen Systems machen,
Bei einer Neuinstallation des Systems gehen mit den $0x-Dateien Informationen verloren, die die Chance einer späteren Datenrettung fast ausschließen.

Volker

Na ja, lernen durch Schmerzen halt.

Nur ich meine, dadurch dass die Kiste weiterrennt, kann der Trojaner im Hintergrund in Ruhe weiterarbeiten.