Hallo zusammen,

ich hatte gestern einen Hilferuf von einer Freundin bekommen, dass sie einen Virus auf dem Computer hat.

Was war geschehen?
Sie erhielt eine E-Mail mit einem Anhang (Lebenslauf.zip). Da sie gerade neue Mitarbeiter sucht, hat sie sich nichts weiter dabei gedacht und das Zip-File geöffnet und den Lebenslauf auch. ( Wer denkt auch an sowas im Alltagsbetrieb).

Damit war es geschehen.

Ab sofort klebte eine nette rot-schwarze Warnung auf dem Computer, dass alle Dateien mit einer RSA-Algorithmus verschlüsselt seien usw. usw...

Was habe ich getan?

Ich habe mir den PC einmal genauer angeschaut und dabei verschiedene Dateien gefunden.
Es wurde der Prozess in C:\Users\Benutzer\AppData\Roaming\uljrom1rjvq87zfu.hta in die Autostart gepackt.
Diese HTA-Datei war das Resultat des Scripts was in der Lebenslauf.WSF-Datei enthalten war.

Des Weiteren waren einige Key-Dateien (xipr.KEY und CONFIRMATION.KEY) auf dem System, so wie eine versteckte Textdatei (den den Inhalt der rot-schwarzen Meldung hatte).

Ich habe alle "bösen" Dateien die mit dem Prozess zusammen hingen entfernt aus dem ROAMING Ordner des Benutzers, so wie das Temp-Verzeichnis in Verzeichnis Local geleert (zu erreichen via %AppData% im Explorer).
Mit dem CCleaner habe ich dann den Eintrag für die Autostart manuell aus der Registry gelöscht und anschließend noch einmal das System gereinigt.
Nach dem ich diesen ganzen Müll entfernt habe, scheint der PC wieder sauber zu sein.
Zumindest hat Kaspersky IS 2016 + WinDefender nichts mehr gefunden.

Was haben wir daraus gelernt?
Mich hat zudem interessiert, wieso ihr Virenscanner versagt hat.
Ich habe mir also die böse E-Mail einmal geschnappt und es auf meinem PC heruntergeladen. Mein Virenscanner (MS Windows Defender) hat mir sofort die Datei in Quarantäne gesteckt und Alarm geschlagen. Natürlich war ich nicht so mutig, um die Datei direkt auf dem Browser zu öffnen und auszuführen.

Wenn ich Anhänge von unbekannte Dritte erhalte, speichere ich diese (wenn überhaupt) immer erst lokal und scanne sie, bevor ich was öffne oder ausführe, damit mir genau dass, was der Freundin passiert ist nicht widerfährt.
Wenn Sie die Lebenslauf.zip zwischengespeichert hätte, wäre es glaube ich nicht so weit gekommen.

Welchen Schaden hat Sie erlitten?
Fast keinen.
Es wurden nur eine handvoll Dateien verschlüsselt, welche aber nicht weiter kritisch sind/waren. Sie kam mit einem Schrecken, einer wichtigen Lektion und einem virtuellen blauen Auge davon. Schade das der Virenscanner diesen Weg (Datei direkt temporär geöffnet und ausgeführt) nicht abgefangen hat.
Sie weiß jetzt auch, dass sie lieber einen Klick mehr machen sollte und sich bei unbekannten Anhängen lieber auch eine Minute mehr Zeit nimmt, um so etwas zu verhindern.

Wichtiger Hinweis!
Die Bilder zeigen unter anderem den schädlichen Quellcode. Ich bitte darum diesen nicht weiter zu verwenden. Ich poste das hier, damit man sich als User vor solchen schadhaften Anhängen schützen kann.
Für alle die diesen Code in der eigenen Umgebung ausführen, wird keine Verantwortung meinerseits übernommen.

Um an die Informationen der Dateien zu gelangen, habe ich die Dateien in einer abgeriegelten VM bearbeitet/eingesehen.

Typischer Fall von Ransomware die Daten verschlüsseln und dann fast immer Erpressergeld wollen. Das System deiner Freundin gehört meiner Meinung nach entweder komplett neu aufgesetzt oder aber mindestens in der Sektiom Plagegeister zur Bereinigung vorgstellt denn nur weil Kaspersky und Windows Defender jetzt nichts mehr finden heißt das nicht das da nicht noch Infektionen sind oder Beschädigungen am System. Für die Zukunft als Zusatzschutz: USB Festplatte kaufen, auf dieser regelmäsig wichtige Dateien sichern die nicht verloren gehen dürfen und zusätzlich ein Backup/Image Programm wie zum Beispiel Paragon Backup & Recover Free, Macrium Reflect Free oder Aomei Backupper Standard installieren, von dem Programm mit dem jeweiligen Assistenten ein Boot Medium erstellen und dann regelmässig am besten vom kompletten System mit allen Partitionen Backups/Images erstellen auf die USB Festplatte. Ausserdem die USB Festplatte nur dann anschliessen wenn sie gebraucht/benutzt wird, ansonsten diese offline lassen damit wenn die angeschlossen ist nicht auch von Ransomware heimgesucht werden kann.

Danke für dein Feedback. Ich schaue mir das diese Tage nochmal an. Ich hoffe das ich da keine weiteren Spuren mehr finde.

Edit: Wenn man das in die Sektion "Plagegeister" bewegen möchte, kann man das gerne machen.

An deiner Stelle würde ich unbedingt in die Sektion Plagegeister damit gehen damit sich dort ein Helfer dessen annehmen kann.

Bei meiner Family ist gestern Abend exakt das gleiche passiert! Sogar aus der selben Mitovation wie bei deiner Freundin (auf MA-Suche). Leider ist 75% der Daten verschlüsselt da man mich als letztes gefragt hat. Nachdem ich den Prozess gekillt und aus Autostart entfernt habe wurde nicht mehr "weitergemacht".

Wir werden den PC jetzt komplett platt machen, mit 01 überschreiben und dann Windows neu installieren.

Haben jetzt nur etwas Panik, falls der Mist sich im Netzwerk ausbreitet....ist das möglich? Habe seit heute morgen um 9:00 einen Schrott Win7 PC am Internet im Heimnetzwerk und konnte bisher nichts auffälliges feststellen.

Habe hier einen Thread im Plagegeisterforum geöffnet: http://www.trojaner-board.de/179682-...ml#post1592721
Tipps? Was meint ihr? Wie wahrscheinlich ist es, dass alle Daten parallel irgendwo hochgeladen wurden?

Wenn Du im Plagegeisterforum durch bist, kannst Du hier gerne weitere Fragen stellen. Erst wenn klar ist, was Du Dir eingefangen hast, kann beurteilt werden, ob Gefahr für Netzlaufwerke besteht.

Zitat:

Zitat von felix1

Wenn Du im Plagegeisterforum durch bist, kannst Du hier gerne weitere Fragen stellen. Erst wenn klar ist, was Du Dir eingefangen hast, kann beurteilt werden, ob Gefahr für Netzlaufwerke besteht.

Sind nicht wirklich konfigurierte Netzlaufwerke. Sondern PCs die über den selben Router ins Internet gehen...

Okay, aber danke trotzdem.

Zitat:

Zitat von Polyp

Sind nicht wirklich konfigurierte Netzlaufwerke. Sondern PCs die über den selben Router ins Internet gehen...

Okay, aber danke trotzdem.

Dann sollte nichts passieren. Du könntest ja im Router die interne Kommunikation ausschalten. Aber dazu ist zu wenig gepostet worden.

Zitat:

Zitat von felix1

Dann sollte nichts passieren. Du könntest ja im Router die interne Kommunikation ausschalten. Aber dazu ist zu wenig gepostet worden.

Rein hypothetisch, müsste es nicht direkt am nächsten Pc loslegen? Ich meine, nur falls das überhaupt geht aber du schreibst ja das es unwahrscheinlich ist. Der andere Rechner läuft jetzt seit etwa 11 Stunden....

Zitat:

Zitat von Polyp

Rein hypothetisch, müsste es nicht direkt am nächsten Pc loslegen? Ich meine, nur falls das überhaupt geht aber du schreibst ja das es unwahrscheinlich ist. Der andere Rechner läuft jetzt seit etwa 11 Stunden....

Da gibt es verschiedene Versionen der Trojaner. Also abwarten, was die Malwaresektion findet. Ich wiederhole mich nicht nochmals.

Hallo zusammen,

also vorab: ich heisse Gerhard bin 50+ und meine Frau betreibt eine Gaststätte ... ich mache die Buchhaltung.
Da wir zur Zeit eine Küchenhilfe suchen hab auch ich die Zip-Datei geöffnet ... mir war die Zip Datei zwar suspekt, aber nachdem der Avira-Scanner keine Bedrohung gefunden hat habe ich die Datei geöffnet. Ergebnis sh. oben.

Ich hab nun das Problem, daß mein Backup doch schon einige Wochen alt ist.

Ich hab mir ein zweites Notebook besorgt (neu) auf das ich das System neu installieren will (Win10).
Ich möchte speziell das Thunderbird Profil und die Datenbank vom Kassenbuch retten, beides ist nicht verschlüsselt.

Meine Frage wie kann ich möglichst gefahrlos (100% Sicherheit wirds wahrscheinlich nicht geben) das Thunderbird Profil und die Datenbank von einem Rechner auf den anderen übertragen, ohne daß ich mir dort auch gleich wieder Viren od. Trojaner auf das jungfräuliche System draufspiele?.
Auf dem neuen Rechner läuft McAffee LiveSafe

Besten Dank schon mal für Eure Hilfe

Gruß
Gerhard

Der theoretische Ablauf ist relativ einfach. Ich würde mir jetzt aber nicht zutrauen, dir das zu erklären. Alleine schon wegen der Gefahr, dass durch irgendeinen falschen Handgriff Schaden an den noch sauberen Daten entstehen kann.

Empfehlen würde ich dir (falls sich hier nicht jemand dem Problem annimmt): Geh zur EDV-Firma deines Vertrauens, schildere denen 1:1 die Situation wie hier auch und lass den Aufwand abschätzen. Wenn's vierstellig wird -> ab zur nächsten Firma ;-)

Und für die Zukunft daraus lernen, wenns wichtige Daten sind (Backups regelmäßig erstellen, unterschiedliche Sicherungsmedien, nicht dauerhaft am PC hängen lassen,etc.). Gibt neben Erpressungstrojanern auch weitere Gefahren. Bei manchen davon lässt sich dann wirklich nichts mehr retten...

habe seit heute das gleiche problem. wer kann mir helfen? alle worddokumente verschlüsselt.
bin richtig verzweifelt.

Für den XIPR Trojaner gibt es meines Wissens nach noch kein Entschlüsselungs Tool, die verschlüsselten Dateien sind erstmal futsch bis vielleicht irgendwann mal ein Entschlüsselungs Tool dafür kommt. Was du machen könntest wäre hebe die verschlüsselten Dateien auf einem externen Datenträger auf und beobachte die nächsten Wochen die Szene ob du was liest ob oder ob nicht ob ein Entschlüsselungs Tool kommt oder nicht. Jetzt solltest du dein System unbedingt in der Sektion dafür hier im Forum bereinigen lassen oder aber du machst Nägel mit Köpfen machst dein System platt, formatierst deine Festplatte und spielst alles neu auf. Danach wenn du dein System neu aufgesetzt hast, solltest du unbedingt damit anfangen regelmässig Systembackups/images zu machen mit zum Beispiel Macrium Reflect Free, Aomei Backupper Standard oder auch mit Paragon Backup & Recovery Free und als Datenträger für die Backups/Images eine USB Festplatte verwenden die auch nur dann angeschlossen bzw eingeschaltet wird wenn die auch wirklich benutzt wird denn sobald die USB Festplatte eingeschaltet ist und als Datenträger angezeigt wird, wäre auch die einem Angriff von Ransomware ausgesetzt und die Dateien auf der USB Festplatte würden auch mitverschlüsselt werden. Gleiches was ich gerade eben geschrieben habe gilt auch für persönliche Dateien die nicht verloren gehen sollen: auf die USB Festplatte diese Dateien als zum Beispiel Kopien sichern und die USB Festplatte bei Nichtgebrauch ausgeschaltet lassen.

danke für deine antwort. ich bin absoluter laie und nichtkönnerin bei allen pc-sachen.
deshalb habe ich per Inserat eine Fachkraft für PC und Büro gesucht. Gekommen ist eine Bewerbung mit anhang "Lebenslauf". und die habe ich angeklickt.
wenn du oder irgend wer weiß wie man wieder entschlüsselt, dann bitte meldet euch. ich will das nicht umsonst,ich zahl dafür, aber ich brauch meine unterlagen. Virenscanner ect. hab ich alles. Dass dann trotzdem sowas passiert habe ich halt nicht gedacht.
Ich habe von denen eine mail bekommen, dass mindestens 20 Jahre die Verschlüsselung nicht zu entfernen ist, aber wenn ich mich an die angegebene mailadresse wende, wird hilfe zugesagt. Soll ich?