|
Log-Analyse und Auswertung: Sheriff-Funktion / Virtueller PC vs. Verschlüsselungs-Trojaner?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
02.10.2012, 09:15 | #1 |
| Sheriff-Funktion / Virtueller PC vs. Verschlüsselungs-Trojaner? Hallo liebe Foren-Gemeinde, ich habe erstmal noch keine Logfiles erstellt, weil es sich hier um eine allgemeine Frage handelt, die PC-übergreifend zumindest auf allen Windows-Rechnern (in meinem Fall mehrere privat oder geschäftlich genutzte PCs / Laptops mit Windows XP oder Windows 7) Gültigkeit haben sollte. Ich wüsste gerne, ob gegen die Verschlüsselungs-Trojaner Maßnahmen wie die Verwendung eines HDD Sheriffs bzw. PC Sheriffs Sinn machen (wenn ja, besser hardware- oder softwareseitig? - Für Laptops kommt wohl nur Softwarelösung in Frage), also etwaiger Hard- oder Software, die nach dem Neustart immer wieder den selben, zuvor definierten Zustand herstellt? Habe mir nämlich gerade erst vor wenigen Tagen in einem Internetcafé einen Trojaner von der Sorte eingefangen, die zwar nichts verschlüsselt, aber behauptet, eine Nachricht von der Bundespolizei zu sein, die einen gesetzlichen Verstoß (irgendwas mit Kinderpornografie und vor allem vielen grausigen Rechtschreibfehlern) aufgedeckt habe und zur angeblichen Freigabe des PCs um Eingabe eines Ukash-Codes im Gegenwert von 100 Euro "bittet". Im Internetcafé habe ich intuitiv mit dem Kaltstart des Computers reagiert und tatsächlich, vermutlich dank der (ich nenne sie jetzt mal allgemein gültig, weil ich's nicht besser weiß) Sheriff-Funktion des Internetcafé-Betreibers war die Erpresserseite danach nachhaltig verschwunden. Daher habe ich die Hoffnung, dass sich diese Methode auch auf privaten und/oder geschäftlichen PCs - und hoffentlich auch für Verschlüsselungs-Trojaner - bewähren könnte. Wie sieht es alternativ mit der Verwendung eines virtuellen PCs aus? Würde im Angriffsfalle nur dieser verschlüsselt werden und der Haupt-PC unangetastet bleiben? Vielen Dank im Voraus für alle netten Antworten! Geändert von WellWhoKnows (02.10.2012 um 09:20 Uhr) |
02.10.2012, 10:12 | #2 | |||
/// Winkelfunktion /// TB-Süch-Tiger™ | Sheriff-Funktion / Virtueller PC vs. Verschlüsselungs-Trojaner?Zitat:
Anderer Denkanstoß hier => http://www.trojaner-board.de/115678-...tml#post833432 bzw. auch meinen Beitrag beachten => http://www.trojaner-board.de/115678-...tml#post836661 Zitat:
Zitat:
Dass Schädlinge aus der VM bzw. Sandbox ausbrechen ist sehr unwahrscheinlich
__________________ |
02.10.2012, 11:32 | #3 |
| Sheriff-Funktion / Virtueller PC vs. Verschlüsselungs-Trojaner? Danke soweit! Unter den von Dir angeregten Links habe ich etwas interessantes zum Thema Truecrypt gelesen: Im Juni 2012 wart Ihr noch auf dem Stand, dass möglicherweise der Verschlüsselungs-Trojaner nach Dateiheaderinfos sucht, die bei verschlüsselten Laufwerken, wie zum Beispiel mit Truecrypt, nicht vorhanden sind. Hat sich an diesem Informationsstand inzwischen etwas geändert bzw. kann man nun genau sagen, ob dem so ist?
__________________Ich hatte mir auch schon Gedanken über ein externes, mit Truecrypt komplett verschlüsseltes Laufwerk gemacht, denn die gesamte Partion enthält keinen einzigen Dateiheader und Außenstehende sollen ja angeblich auch nicht in der Lage sein können, eine mit Truecrypt verschlüsselte Partion als solche zu erkennen (zumindest dann nicht, wenn sie mit FAT formatiert wurde - im Gegensatz zum hierbei deutlich unsichererem NTFS). Selbst Truecrypt gibt sowohl bei falscher Passworteingabe als auch bei dem Versuch, ein Laufwerk zu mounten, das gar nicht mit Truecrypt verschlüsselt ist, stets die gleiche Fehlermeldung aus, aus der sich nicht erkennen lässt, ob die Partition nun Truecrypt-verschlüsselt ist oder nicht. Sollte der Verschlüsselungs-Trojaner soviel "intelligenter" sein und solch eine Partition tatsächlich erkennen und überschreiben bzw. verschlüsseln können? Nach den bis jetzt gewonnenen Erkenntnissen scheint eine externe, mit Truecrypt verschlüsselte Speicherlösung die beste zu sein - und wenn man die Partition dann doch mal mounten muss, weil sie nicht nur dem Backup sondern auch relativ regelmäßigen Dateizugriffen dienen soll, dann kann es offenbar sehr hilfreich sein, alle Daten in einen Unterordner namens "Programme" verschoben zu haben. Kann man das soweit unterschreiben? |
02.10.2012, 12:44 | #4 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Sheriff-Funktion / Virtueller PC vs. Verschlüsselungs-Trojaner?Zitat:
Eigentlich müsste man mal mit neueren Varianten herumexperimentieren, ob nun auch tatsächlich TC-Container zerstört werden - so ein TC-Container ist im Prinzip ja auch nur eine normale Datei und kann prinzipiell vom Verschlüsselungstrojaner "angegriffen" werden, also die ersten 12K werden zerwürfelt/verschlüsselt Falls das so ist, wüsste ich aber nicht, ob ein TC-Container robust genug ist, diese Manipulation unbeschadet zu überstehen also ob man ihn danach noch problemlos mounten kann... Vllt wissen markusg, undertaker oder so noch was dazu Edit: Natürlich kann der Verschlüsselungstrojaner die Dateien innerhalb des TC-Containers verschlüsseln, wenn man ihn gerade als Laufwerk gemappt hat, aber das sollte ja klar sein
__________________ Logfiles bitte immer in CODE-Tags posten Geändert von cosinus (02.10.2012 um 12:52 Uhr) |
02.10.2012, 13:09 | #5 |
| Sheriff-Funktion / Virtueller PC vs. Verschlüsselungs-Trojaner? Wenn eine komplette Partition mit Truecrypt verschlüsselt wird, sehe ich das Ergebnis persönlich nicht als einen "Container" an, denn ein Container ist ja eine durchaus sehr deutlich sichtbare Datei mit einer Dateiendung, während die Komplettverschlüsselung einer Partition mit Truecrypt keine visuell sichtbare Datei erzeugt. So gesehen dürfte es eigentlich nichts vom Verschlüsselungs-Trojaner zu erkennen und zerstören geben. Nun weiß ich aber auch - leider durch eigene Erfahrung - dass ein komplett via Truecrypt verschlüsseltes, externes Laufwerk, welches (versehentlich) über USB an ein Netbook mit dem Betriebsystem Android angeschlossen wird, danach nicht wieder zu mounten ist. Wahrscheinlicher Grund: Android "denkt", das Laufwerk sei leer, "sieht" nicht, dass es komplett verschlüsselt ist und schreibt fröhlich, wie üblich bei jedem neu angeschlossenen Laufwerk, seine Ordner LOST.DIR und DCIM auf's Laufwerk - und da das Laufwerk ja bis auf's letzte Cluster verschlüsselt war, wurde es durch diese Ordner zum Teil überschrieben und war fortan für immer verloren. Ob das nun eine Schlussfolgerung für die Möglichkeiten eines Verschlüsselungs-Trojaners zulässt, kann ich nicht sagen, denn Android ist ganz gewiss nicht künstlich intelligent sondern einfach nur stumpf. Aber die Idee, mit neueren Varianten herumzuexperimentieren, ob nun auch tatsächlich TC-Container zerstört werden, würde ich gutheißen. Gerne weitere Infos / Erkenntnisse von weiteren klugen Köpfen :-) Geändert von WellWhoKnows (02.10.2012 um 13:16 Uhr) |
02.10.2012, 13:28 | #6 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Sheriff-Funktion / Virtueller PC vs. Verschlüsselungs-Trojaner? Wenn man von einer komplett verschlüsslten Partition ausgeht ist das natürlich eine andere Sache, aber wie gesagt, beachte meinen Kommentar im Strang Verschlüsselungstrojaner und Backups Zitat:
Zudem muss man um keinen Datenverlust durch Plattendefekte zu haben ja eh auf ein externes Medium backuppen
__________________ --> Sheriff-Funktion / Virtueller PC vs. Verschlüsselungs-Trojaner? |
02.10.2012, 15:51 | #7 |
/// Helfer-Team | Sheriff-Funktion / Virtueller PC vs. Verschlüsselungs-Trojaner? moin moin, mit TC habe ich keine Versuche angestellt, kann also nicht mit Fakten argumentieren. TC kann ja nach drei verschiedenen Modi verschlüsseln.
Eine HD, die vom System nicht initialisiert ist, ist auch für den Angreifer nicht da, ähnlich der SecureZone von Acronis, die ja bis jetzt sicher ist. Bei den anderen beiden Varianten sind die Daten zwar gegen Einsicht durch Dritte gesichert, aber die Partition ist im System sichtbar. Dem Virus ist es doch egal ob die Daten (Bitfolgen) Sinn machen oder nicht. Solange er Zugriff hat und irgendwo 12k vertauschen kann, wird er das tun. Gruß Volker
__________________ Das Board unterstützen Datenrettung -->HIER! Zitat der Woche: Die Gefahr, dass der Computer so wird wie der Mensch, ist nicht so groß wie die Gefahr, dass der Mensch so wird wie der Computer. |
04.10.2012, 08:12 | #8 |
| Sheriff-Funktion / Virtueller PC vs. Verschlüsselungs-Trojaner? Damit ist dann doch auch beispielsweise ein externer USB-Stick oder eine externe USB-Festplatte gemeint, die ich via TC komplett verschlüssel, nicht? Habe wohl ein wenig zu sehr die Begriffe "Verschlüsselung einer Partition" und "Komplettverschlüsselung" zusammengeworfen und mir damit fragetechnisch selbst ein Bein gestellt, denn mir geht es natürlich nicht um eine einzelne Partition sondern um die komplette Verschlüsselung eines via USB angeschlossenen Laufwerkes. Und dabei kann es sich dann doch nur um den hier zitierten Verschlüsselungs-Modus 1 handeln?! |
06.10.2012, 13:17 | #9 | |
/// Helfer-Team | Sheriff-Funktion / Virtueller PC vs. Verschlüsselungs-Trojaner?Zitat:
Es ist unerheblich, ob die darauf befindlichen Daten nur mit TC sinnvoll interpretiert werden können. Es ist auch unwichtig, ob der aktuelle Verschlüsselungstrojaner die Daten angreift oder nicht. Allein die Tatsache, dass das Speichermedium für das System verwendbar, sprich beschreibbar ist, macht es unsicher. Erst wenn das System vorschlägt, die HDD/Stick zu formatieren um sie benutzen zu können, kann man von Sicherheit sprechen. Wie gesagt, das ist alles theoretisch. Mal sehen, vielleicht werde ich an einem ruhigen Winterabend mal den Verschlüsseler auf ein System mit TC loslassen, dann werden wir sehen was passiert. Volker
__________________ Das Board unterstützen Datenrettung -->HIER! Zitat der Woche: Die Gefahr, dass der Computer so wird wie der Mensch, ist nicht so groß wie die Gefahr, dass der Mensch so wird wie der Computer. |
08.10.2012, 07:46 | #10 | |
| Sheriff-Funktion / Virtueller PC vs. Verschlüsselungs-Trojaner?Zitat:
Und ich dachte schon, es gäbe keinen Grund, sich auf den Winter zu freuen... |
Themen zu Sheriff-Funktion / Virtueller PC vs. Verschlüsselungs-Trojaner? |
alter, antworten, besser, eingabe, eingefangen, erstellt, euro, frage, gültigkeit, hdd sheriff, interne, logfiles, nachhaltig, nachricht, nenne, netten, neustart, nichts, pc sheriff, pcs, privat, private, reagiert, schreibfehler, schutz, verschlüsselungs-trojaner, virtueller, virtueller pc, windows 7, windows xp, worte |