Hallo zusammen,

leider hat sich bei einer Bekannten folgendes Szenario abgespielt. Sie hat eine E-Mail von einer ihr vertrauten E-Mail Adresse mit der Datei "19-9042321.zip" im Anhang gesendet bekommen. In dieser Mail stand ebenfalls ein Passwort, um diese .zip Datei öffnen zu können. Die Mail hatte zwar Schreibfehler und war generell komisch formuliert, aber sie hat trotzdem keinen Verdacht geschöpft.

Ende vom Lied, sie hat die Datei mittels Passwort geöffnet... Als erstes habe ich mal nach diesem Dateinamen im Internet gesucht und bin auch auf der Seite any.run fündig geworden. Leider verstehe ich nicht viel von der Funktionsweise solcher Schadprogramme. Allerdings wird mir bei so vielen geänderten Registryeinträgen (laut any.run) und Worten wie Emotet und Trojan doch etwas mulmig.

Ich habe den PC ab 16:30 Uhr bei mir und werde ihn erstmal an kein Netz anschließen. Sie hat auch 2 externe Festplatten auf die sie regelmäßig Dateien wie Bilder, Dokumente etc. kopiert. So nun habe ich folgende Fragen und würde mich über eine Antwort sehr freuen.

1. Kann ich Dokumente oder Bilder von dem befallenen PC gefahrlos auf einen anderen PC oder USB Stick kopieren, oder könnte sich die Schadsoftware auch in solchen Dateien eingenistet haben ?

2. Können die externen Festplatten auch befallen sein ?

3. Was verursacht solch eine Schadsoftware im Hintergrund bzw. welchen Schaden richtet sie an?

4. Besteht überhaupt die Möglichkeit, den PC komplett zu bereinigen ?

Ab 16:30 Uhr kann ich dann Logfiles posten falls gewünscht, allerdings habe ich schon Angst davor nur meinen USB Stick zu benutzen um diese Logfiles zu kopieren. Einen neuen PC mit Windows 10 wird sie auch bald bekommen, allerdings sind ihr die Daten auf dem befallenen PC echt wichtig.

Mit freundlichen Grüßen
LKW

1.)
Nein, gefahrlos kann man so nicht sagen, auf einem infizierten PC kann alles mögliche los sein, es ist immer besser von einem Rettungssystem wie zB Ubuntu MATE im Ausprobiermodus zu booten und von dort aus Daten zu sichern.

Sie soll bloß nicht auf die Idee kommen jetzt ihre Backupplatten anzuklemmen (unter Windows in diesem Zustand), falls das ein Erpresserschädling war und der noch aktiv ist sind dann auch die Backups auf den Backupfestplatten dran

2.)
ja ransomware versucht alle zu verschlüsseln wasa es in die Finger kriegt

3.)
alles mögliche ich tippe hier aber eher auf ransomware

4.)
ja aber eigentlich weiß bisher niemand was auf dem Rechner los ist. Bisher hast du nur gepostet dass sie was angeklickt hat. Damit kann aber niemand sagen was nun wirklich los ist. Falls es ransomware ist: da gibt es nix zu bereinigen weil die ransomware nur das Ziel hat die Daten zu verschlüsseln.

Vielen Dank für die Antwort.

also der PC steht jetzt bei mir und der erste Eindruck ist relativ unauffälig. Bootet normal und ich kann mich auch normal anmelden. Für mich sieht erstmal alles normal aus.

Aus deiner Beschreibung geht auch nicht wirklich hervor ob sie den Schädling ausgeführt hat oder nicht. Im Laiensprech wird immer nur was von "E-Mail geöffnet" dahergeredet obwohl es da wirkliche wichtige Unterschiede gibt zwischen E-Mail öffnen, Anhang entpacken bzw ausführen.

Da hast du recht, mein Fehler. Laut meiner Bekannten hat sie die E-Mail geöffnet, die .zip Datei mittels Passwort entpackt und anschließend den Inhalt ausgeführt. Ich hab mir schon überlegt die Datei in einer VM zu entpacken, nur werde ich von dem Inhalt nur Bahnhof verstehen.

Dann hast du die E-Mail mitsamt den Anhang ja wohl noch. Werte den Anhang bitte bei https://www.virustotal.com/ aus und poste den Link zum Ergebnis.