|
Verschlüsselungstrojaner und BackUps Moin moin, ich eröffne hier mal einen neuen Diskussionsthread, nachdem die bestehende Diskussion zur Wiederherstellung verschlüsselter Dateien irgendwie aus dem Ruder läuft. Eine überschaubare Diskussion ist dort kaum mehr möglich. Gepostete Logfiles, Hilferufe und immer wieder die gleichen Fragen zeigen, dass nur wenige Leute die rund 600 Postings überhaupt noch lesen und damit eine überschaubare Diskussion verhindert wird. In einem Diskussionspunkt ging es um die Auswikungen des Verschlüsselungstrojaners auf Backupfiles und die Frage, wie man diese schützen kann. Ich habe dazu einmal einen Versuch gestartet. Dazu wurde ein Rechner so konfiguriert, dass er mit vielen handelsüblichen Systemen und Notebooks vergleichbar scheint. Er sollte ein Windows 7-PC, mit HDD-Laufwerk C, HDD-Laufwerk D und DVD-Rom E sein. Dazu wurde in einen PC mit Intel Core2, 4GB RAM eine 300GB HDD gesetzt, die so partitioniert wurde, dass es auf der HDD ein LW C: (System), ein LW D: (Daten) und einen Rest nicht zugeordneten Speicherplatz gab, zu dem ich später noch komme. Hier die Partitionierung der Festplatte: http://due-m.de/Trojaner/backup/troja-1.jpg Auf LW C: wurde Windows 7 SP1 32bit installiert. Dazu MS Office 2010, Acronis Backup & Recovery 11, Firefox als Browser, TheBat! als Mailprogramm und noch ein paar Tools zum bequemeren handeln. Auf LW D: wurden Daten der unterschiedlichsten Form von A wie AVI bis Z wie ZIP gespeichert. Gleichfalls wurden sämtliche Daten des Mailprogrammes auf D: gelegt. http://due-m.de/Trojaner/backup/troja-2.jpg Anschließend wurde mit Acronis Backup & Recovery 11 auf dem nicht zugeordneten Bereich der HDD eine „Secure Zone“ eingerichtet und jeweils ein Backup von LW C: und LW D: in der Secure Zone erstellt. Das Backup von LW C: wurde zusätzlich auf LW D: gespiegelt. http://due-m.de/Trojaner/backup/troja-3.jpg Auf das so vorbereitete System sollte unser Verschlüsselungskünstler losgelassen werden. Uns ging es hauptsächlich zu erfahren, welche Daten-Dateien werden verschlüsselt, da es hier die unterschiedlichsten Aussagen gibt. Was tut er mit dem Backupfile auf LW D: und vor Allem, was passiert mit der nicht sichtbaren Secure Zone und den darin befindlichen Backups. Gestartet wurde der als Registrierung.pif getarnte Trojaner, ein Vertreter der 12k-Verschlüsselung, der die Dateien von 0x0000 bis 0x2fff durcheinander würfelt. http://due-m.de/Trojaner/backup/troja-10.jpg Unmittelbar nach der Ausführung der Datei beginnt der Bursche mit seinem zerstörerischen Werk. Eine kurze Mitteilung, dass mit der Word-Datei etwas nicht in Ordnung ist, soll vermutlich nur ablenken. http://due-m.de/Trojaner/backup/002.jpg In der bisherigen Diskussion zum Trojaner wurde darüber spekuliert, wie er es wohl schaffe, beim Bootvorgang die große Anzahl der Dateien zu verschlüsseln. Dem ist nicht so, der Trojaner beginnt unmittelbar nach der Ausführung der Datei. Wenn hier Betroffene davon berichten, dass manche Daten bzw. ganze Verzeichnisse nicht bgetroffen waren, dann ist das vermutlich nur darauf zurückzuführen, dass man ihm nicht genügend Zeit ließ. Der Testrechner war vom Datenbestand recht klein. Das System auf C: war < 100GB und der Datenbestand auf D: < 20GB. Im Verlauf von ca. 5 Minuten verloren wir immer mehr Kontrolle über die Dateien. Nach diesen 5 Minuten erschien der bekannte Ucash-Screen und der gesamte Datenbestand war verschlüsselt, von A wie AVI bis z wie ZIP, ausgenommen sich selbst. http://due-m.de/Trojaner/backup/004.jpg http://due-m.de/Trojaner/backup/006.jpg http://due-m.de/Trojaner/backup/007.jpg http://due-m.de/Trojaner/backup/008.jpg http://due-m.de/Trojaner/backup/009.jpg http://due-m.de/Trojaner/backup/010.jpg http://due-m.de/Trojaner/backup/011.jpg http://due-m.de/Trojaner/backup/005.jpg Der Trojaner verschont also keinerlei Daten, egal welchen Formats. Dieses festzustellen war aber nicht unser Hauptanliegen. Wir wollten sehen, inwieweit BackUps verschont bleiben und vor Allem, ob sich der Virus auch auf der für Windows unsichtbaren Partition der Acronis Secure Zone ausgetobt hat. Wir haben uns auch nicht mit der Beseitigung des Trojaners im System aufgehalten, sondern gleich die Acronis Rescue CD eingelegt und den Rechner neu gestartet. Sicher ist, dass ein Backup auf eine interne, gemountete Partition nichts hilft. In unserm Fall wurde das Backup auf LW D: durch den Trojaner verändert und konnte von Acronis nicht als Backupfile erkannt werden, selbst bei Anfügen der richtigen Extension. http://due-m.de/Trojaner/backup/012.jpg Als nächstes kam nun die Suche nach den Backups auf der Secure Zone. Beide Backups, sowohl von C:\ als auch von D:\ wurden erkannt und die Wiederherstellung von Laufwerk C: wurde gestartet. http://due-m.de/Trojaner/backup/014.jpg Die Wiederherstellung dauerte keine 20 Minuten. http://due-m.de/Trojaner/backup/015.jpg Nach dem Neustart hatten wir in weniger als einer halben Stunde wieder ein sauberes, virenfreies System. http://due-m.de/Trojaner/backup/troja-11.jpg Fazit: Vorbeugen ist besser als heilen. Zuerst sollte man ein gutes und aktuelles Virenschutzprogamm nutzen. Weiterhin sollte man ein hohes Maß an Skepsis gegenüber unbekannten Mails mit Anhängen walten lassen. Zuletzt sollte man aber auch für die Sicherung seines Datenbestandes Sorge tragen. Das gilt vor Allem bei Selbstständigen, Handwerken und Gewerbetreibenden, die keine Serversysteme mit ausgefeilten Backuproutinen betreiben. Bei vielen kann die Existenz an den Daten hängen. Wir haben uns erstmal nur mit dem Backup & Restore von Acronis befasst. Nicht zuletzt, weil es durch die Einrichtung einer Secure Zone, einen relativ sicheren Platz für die Backupfiles bietet und für unter 100 Euro allemal billiger ist, als die Restaurierung des Systems beim Fachmann ohne das man sicher ist, seine Datenbestände wieder zu bekommen. Als nächstes werden wir testen, was passiert, wenn die Secure Zone auf einem externen USB-Laufwerk eingerichtet wird und inwieweit die Acronis BootCD (Linux) dieses Laufwerk mountet. Weiterhin werden wir auch einmal testen, was bei einem durch Windows komprimierten Laufwerk passiert, ob man da Backups ablegen kann und was der Virus dazu zu „sagen“ hat. Wir hoffen, Euch mit diesem Bericht zumindest eine Anregung und einen Anstoß zum Nachdenken gegeben zu haben, auch wenn es den jetzt betroffenen nicht direkt hilft. Vielleicht kann der Eine oder Andere seine Gedanken und Erfahrungen zu sicheren Backups für Privatanwender und Kleinunternehmen hier äußern. Gruß Volker |
*einfach mal DANKE sagt* Respekt. |
Perfekte Hilfestellung hier! |
Hoi, besten Dank für die Ausführung, ich habe ähnliche Dinge sehen können: 1. Es waren einige Word Dateien die ich, nach dem Wechsel auf/in den Admin Account (Win7/64bit) das einige Dateien noch nicht verschlüsselt waren. Ich habe zuerst geglaubt, dass es Office2012 Dateien waren - konnte nicht bestätigt werden - ich denke der Virus hat nur länger gebraucht? :pfui: 2. Nach Systemwiederherstellung und einer Malware Software von Heise, auf Anraten von MS-Hotline konnte ich den User Account wieder übernehmen - der Virus/Trojaner war aber weg.:headbang: 3. Dateien von LickByNeck.exe wurden verschlüsselt und unverschlüsselt vom Trojaner angelegt - die sind bstimmt interessant für eine Schlüsselgererierung?:confused: 4. Einige alte RAR wurden ebenfalls verschlüsselt und unverschlüsselt angelegt - die sind bstimmt interessant für eine Schlüsselgererierung?:confused: Anmerkung: Man kann sowieso nur sehen, welche Datein zusammengehören durch die Größe der Datei?:heulen: 5. Die Idee eines verschlüsselten Bereichs, in dem man die Datein sichert, ist eine gute Idee - wo kann man da etwas mehr nachlesen? Ich hatte gerade das Windows neu aufgebaut (gespiegelte Platten, wegen Datenverlust :stirn:) und alle Dateien von einer anderen HD aufgespielt, die natürlich nun auch verschlüsselt ist:headbang: Frage an Alle: Litauen ist ein Mitgliedstaat der Europäischen Union und es sollte doch möglich sein diese Leute hinter Gitter zu bringen? Die Firmen Aral, Avia, Westfalen etc. dürften doch stinkesauer sein, das man mit ihrem Logo Negativ Werbung macht und dort hat doch doch wohl mehr Power und Geld Dinge in Gang zu setzten? Also, Datenschutzbeauftragte, Rechtsanwälte, Bundeskriminalamt, Administratoren frisch an Werk:applaus:, wem gehört die Domäne @inbox.lt Mein großes Kompliment geht an die Mitarbeiter von Trojan-Board die, nach jetzt gelesenem Kommentaren neben ihrer Arbeit an einer Entschlüsselung arbeiten. Wie sieht es den aus bei den Virenschutzprogramm Firmen? Immerhin haben wir alle auf den Virenschutz vertraut:rolleyes: Warum kommt von dort so wenig?:kloppen: Grüessli Wolfgang |
Zitat:
Ich warte aber ja darauf, dass es bald noch destruktivere Schädlinge gibt. Die zB willd nicht gemappte Partitionen löschen. Da hilft eigentlich nur noch regelmäßig Backups auf externe Medien zu erstellen, die halt eben nur dann angeschlossen und gemountet sind, wenn man auch wirklich das Backup macht Ist eh dringend zu empfehlen denn was nützt mir ein Backup, das ich erstellt habe um Datenverluste bei Plattendefekten zu vermeiden ich dieses Backup aber nur auf der internen Platte habe |
Mich würde interessieren, inwiefern Dienste wie Google Drive und Dropbox bei diesem Problem helfen könnten. Meine Daten sind alle in der Cloud. Bin ich genauso gefährdet bei diesem Virus/Trojaner? |
@Achim123, Dein Rechner ist genauso gefährdet wie jeder andere, wenn Du den Mailanhang ausführst. Mit einem Unterschied, Deine Daten in der Cloud sind nicht betroffen. Du kannst also kurzerhand ein Image des Systems aufspielen, falls verhanden oder das System neu aufsetzen. Das ist am sichersten. Gruß Volker |
Sehr interessant, danke Undertaker! Mich würde interessieren was passiert wenn man die Win7-interne Backupstrategie nutzt und das USB Laufwerk am Rechner gemountet vergisst. Soweit mir bekannt kann der Virus nicht auf Dateien greifen, auf die der aktuelle Benutzer keine Rechte hat, das Backup ist immer mit dem Benutzer SYSTEM abgelegt? Habe wenig Zeit diese Woche, will das aber mal am Wochenende in einer virtuellen Maschine testen. |
Zitat:
|
@Achim, das ist möglich. Ich kenne mich aber mit dem Datentransfer von und zur Cloud nicht aus um dazu was zu sagen. Am besten Du fragst mal beim Provider, ob die Daten durch den Trojaner gefährdet sind. Voker |
Verlassen würde ich mich nicht auf die Cloud. Und backupfreundlich bei heutigen Datenmengen ist das auch nicht gerade. Dann lieber ne externe Platte. SecureZone ist ein guter Ansatz, hilft aber nicht, wenn die Schädlinge noch destruktiver werden zB "fremde" oder nicht eingehangene Partitionen killen Da hilft nur separate externe Platten zu nutzen, die dann nur angeschlossen werden wenn man das Backup macht und danach werden sie wieder im Schrank verwahrt. Genau so mach ich das etwa alle vier Wochen bei meinem Vater. Auch für den Fall, dass die interne Platte des Rechners (in seinem Fall ein Notebook mit Win7-32) kaputtgeht. |
Ziemlich gesichert ist meine Erkenntnis, dass der Trojaner keine Dateien verschlüsselt, die sich in einem übergeordneten Ordner names "Programme" oder auch "Programme (x86)" etc befinden. Klar, der will ja auch das Gesamtsystem am Leben erhalten. Ich habe hier den 2. Fall (1 x Windows XP, 1 X Windows 7) und in beiden Fällen bestätigt sich die obige Aussage. Im ersten Fall hatte der Kunde das Glück, dass seine Datensicherung den Pfad mitspeichert und somit seine Datenbank auf <LW>:\Datensicherung\Programme\Orgamax\database\orgamax.mdb gesichert wurde (Dateiname ist ein Beispiel). Die mdb-Datei war nicht verschlüsselt, auf C:\Programme nicht und auch nicht auf der Sicherung. Die Sicherung erfolgte auf USB-Festplatte und diese war angesteckt. Alles verschlüsselt, bis auf den Inhalt des Ordners "Programme". Da wir das System komplett neu installiert haben, konnten wir nach der Neuinstallation der Orgamax-Software die Sicherung einfach wieder reinholen. Man könnte also als "hatscherte" Interims-Lösung auf den Backup-Platten einen Ordner "Programme" anlegen und einfach dort reinsicher. Ohne Gewähr !! |
Hallo WalterT, das deckt sich mit meinen Beobachtungen. Zitat:
Man sollte das aber nicht als sichere Bank, sondern wie @WalterT sagt, als "hatscherte" Interims-Lösung, betrachten. Gruß Volker |
Schönen Guten Tag euch allen, also; Hab heut morgen gemerkt das der Trojaner bei mir auch zugeschlagen hat. Hatte ihn am 03.06.12 bemerkt durch das nette GEMA Fenster. Gekillt hab ich ihr über "abgesicherten Modus", Norten power Erase und Pure 2.0. Heute morgen habe ich das "Locked" Problem bemerkt. Dank euch habe ich alle meine Daten (Kinderfotos, Studiumsunterlagen, etc.) wieder. Dafür erstmal vielen vielen Dank. (Meine Freundin hätte mich erschlagen=)) Jetzt aber meine Idee/Frage: Die Idee mit der Sicheren Partition scheint mir schon sehr gut aber; ist es möglich eine Externe Platte (hab nen altes Netzlaufwerk) an den PC anzuschließen, dessen Partition von dem von euch genutzten Tool, als sicher, erzeugen zu lassen und ein Backup auf diesem zu erzeugen. Oder mag Win7 erxterne Festplatten ohne Partition nicht? Das wäre dann nähmlich der Weg den ich probieren würde wenn ich meinen PC wieder Porentief rein habe. MFG MasterS2301 |
moin moin MasterS2301, wie wird das Netzlaufwerk angeschlossen, Ethernet? Wenn ja, dann geht das Teil nicht. Ich habe eine Secure Zone auf einer stinknormalen externen USB-HDD eingerichtet und das klappt tadellos. Volker |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 10:55 Uhr. |
Copyright ©2000-2025, Trojaner-Board