Sheriff-Funktion / Virtueller PC vs. Verschlüsselungs-Trojaner?
 

Hallo liebe Foren-Gemeinde, ich habe erstmal noch keine Logfiles erstellt, weil es sich hier um eine allgemeine Frage handelt, die PC-übergreifend zumindest auf allen Windows-Rechnern (in meinem Fall mehrere privat oder geschäftlich genutzte PCs / Laptops mit Windows XP oder Windows 7) Gültigkeit haben sollte.

Ich wüsste gerne, ob gegen die Verschlüsselungs-Trojaner Maßnahmen wie die Verwendung eines HDD Sheriffs bzw. PC Sheriffs Sinn machen (wenn ja, besser hardware- oder softwareseitig? - Für Laptops kommt wohl nur Softwarelösung in Frage), also etwaiger Hard- oder Software, die nach dem Neustart immer wieder den selben, zuvor definierten Zustand herstellt? Habe mir nämlich gerade erst vor wenigen Tagen in einem Internetcafé einen Trojaner von der Sorte eingefangen, die zwar nichts verschlüsselt, aber behauptet, eine Nachricht von der Bundespolizei zu sein, die einen gesetzlichen Verstoß (irgendwas mit Kinderpornografie und vor allem vielen grausigen Rechtschreibfehlern) aufgedeckt habe und zur angeblichen Freigabe des PCs um Eingabe eines Ukash-Codes im Gegenwert von 100 Euro "bittet". Im Internetcafé habe ich intuitiv mit dem Kaltstart des Computers reagiert und tatsächlich, vermutlich dank der (ich nenne sie jetzt mal allgemein gültig, weil ich's nicht besser weiß) Sheriff-Funktion des Internetcafé-Betreibers war die Erpresserseite danach nachhaltig verschwunden. Daher habe ich die Hoffnung, dass sich diese Methode auch auf privaten und/oder geschäftlichen PCs - und hoffentlich auch für Verschlüsselungs-Trojaner - bewähren könnte.

Wie sieht es alternativ mit der Verwendung eines virtuellen PCs aus? Würde im Angriffsfalle nur dieser verschlüsselt werden und der Haupt-PC unangetastet bleiben?

Vielen Dank im Voraus für alle netten Antworten!

Ist zwar nicht der primäre Einsatzzweck derartiger Software, aber ja, es kann auch als Backup im Hintergrund betrieben werden

Anderer Denkanstoß hier => http://www.trojaner-board.de/115678-...tml#post833432 bzw. auch meinen Beitrag beachten => http://www.trojaner-board.de/115678-...tml#post836661

Eine VM wäre ebenfalls möglich ebenso wie die Nutzung einer Sandbox ( Sandboxie als Beispiel )
Dass Schädlinge aus der VM bzw. Sandbox ausbrechen ist sehr unwahrscheinlich

Danke soweit! Unter den von Dir angeregten Links habe ich etwas interessantes zum Thema Truecrypt gelesen: Im Juni 2012 wart Ihr noch auf dem Stand, dass möglicherweise der Verschlüsselungs-Trojaner nach Dateiheaderinfos sucht, die bei verschlüsselten Laufwerken, wie zum Beispiel mit Truecrypt, nicht vorhanden sind. Hat sich an diesem Informationsstand inzwischen etwas geändert bzw. kann man nun genau sagen, ob dem so ist?

Ich hatte mir auch schon Gedanken über ein externes, mit Truecrypt komplett verschlüsseltes Laufwerk gemacht, denn die gesamte Partion enthält keinen einzigen Dateiheader und Außenstehende sollen ja angeblich auch nicht in der Lage sein können, eine mit Truecrypt verschlüsselte Partion als solche zu erkennen (zumindest dann nicht, wenn sie mit FAT formatiert wurde - im Gegensatz zum hierbei deutlich unsichererem NTFS). Selbst Truecrypt gibt sowohl bei falscher Passworteingabe als auch bei dem Versuch, ein Laufwerk zu mounten, das gar nicht mit Truecrypt verschlüsselt ist, stets die gleiche Fehlermeldung aus, aus der sich nicht erkennen lässt, ob die Partition nun Truecrypt-verschlüsselt ist oder nicht. Sollte der Verschlüsselungs-Trojaner soviel "intelligenter" sein und solch eine Partition tatsächlich erkennen und überschreiben bzw. verschlüsseln können?

Nach den bis jetzt gewonnenen Erkenntnissen scheint eine externe, mit Truecrypt verschlüsselte Speicherlösung die beste zu sein - und wenn man die Partition dann doch mal mounten muss, weil sie nicht nur dem Backup sondern auch relativ regelmäßigen Dateizugriffen dienen soll, dann kann es offenbar sehr hilfreich sein, alle Daten in einen Unterordner namens "Programme" verschoben zu haben.

Kann man das soweit unterschreiben?

Ich hab nichts neues dazu gehört ....
Eigentlich müsste man mal mit neueren Varianten herumexperimentieren, ob nun auch tatsächlich TC-Container zerstört werden - so ein TC-Container ist im Prinzip ja auch nur eine normale Datei und kann prinzipiell vom Verschlüsselungstrojaner "angegriffen" werden, also die ersten 12K werden zerwürfelt/verschlüsselt

Falls das so ist, wüsste ich aber nicht, ob ein TC-Container robust genug ist, diese Manipulation unbeschadet zu überstehen also ob man ihn danach noch problemlos mounten kann...

Vllt wissen markusg, undertaker oder so noch was dazu

Edit:

Natürlich kann der Verschlüsselungstrojaner die Dateien innerhalb des TC-Containers verschlüsseln, wenn man ihn gerade als Laufwerk gemappt hat, aber das sollte ja klar sein :pfeiff:

Wenn eine komplette Partition mit Truecrypt verschlüsselt wird, sehe ich das Ergebnis persönlich nicht als einen "Container" an, denn ein Container ist ja eine durchaus sehr deutlich sichtbare Datei mit einer Dateiendung, während die Komplettverschlüsselung einer Partition mit Truecrypt keine visuell sichtbare Datei erzeugt. So gesehen dürfte es eigentlich nichts vom Verschlüsselungs-Trojaner zu erkennen und zerstören geben. Nun weiß ich aber auch - leider durch eigene Erfahrung - dass ein komplett via Truecrypt verschlüsseltes, externes Laufwerk, welches (versehentlich) über USB an ein Netbook mit dem Betriebsystem Android angeschlossen wird, danach nicht wieder zu mounten ist. Wahrscheinlicher Grund: Android "denkt", das Laufwerk sei leer, "sieht" nicht, dass es komplett verschlüsselt ist und schreibt fröhlich, wie üblich bei jedem neu angeschlossenen Laufwerk, seine Ordner LOST.DIR und DCIM auf's Laufwerk - und da das Laufwerk ja bis auf's letzte Cluster verschlüsselt war, wurde es durch diese Ordner zum Teil überschrieben und war fortan für immer verloren. Ob das nun eine Schlussfolgerung für die Möglichkeiten eines Verschlüsselungs-Trojaners zulässt, kann ich nicht sagen, denn Android ist ganz gewiss nicht künstlich intelligent sondern einfach nur stumpf.

Aber die Idee, mit neueren Varianten herumzuexperimentieren, ob nun auch tatsächlich TC-Container zerstört werden, würde ich gutheißen. :applaus:

Gerne weitere Infos / Erkenntnisse von weiteren klugen Köpfen :-)

Wenn man von einer komplett verschlüsslten Partition ausgeht ist das natürlich eine andere Sache, aber wie gesagt, beachte meinen Kommentar im Strang Verschlüsselungstrojaner und Backups

Wirklich wichtige Daten hat man also min. 2x gesichert => auf externes Medium, dass nur dann angschlossen wird, wenn es benötigt wird
Zudem muss man um keinen Datenverlust durch Plattendefekte zu haben ja eh auf ein externes Medium backuppen

moin moin,
mit TC habe ich keine Versuche angestellt, kann also nicht mit Fakten argumentieren.
TC kann ja nach drei verschiedenen Modi verschlüsseln.

1. Ein ganzes Gerät, dass vom Betriebssysteme als nichtinitialisiert angesehe wird, solange es nicht gemountet ist.
2. Eine bestehende Partition wird verschlüsselt, die aber als LW gemountet ist.
3. Container, bei denen der Zugriffe auf das Laufwerk/den Ordner nicht von Zugriffen auf andere unterschieden wird.

Aus dem hohlen Bauch heraus behaupte ich mal, dass nur bei Variante eins von Sicherheit gesprochen werden kann.
Eine HD, die vom System nicht initialisiert ist, ist auch für den Angreifer nicht da, ähnlich der SecureZone von Acronis, die ja bis jetzt sicher ist.

Bei den anderen beiden Varianten sind die Daten zwar gegen Einsicht durch Dritte gesichert, aber die Partition ist im System sichtbar.
Dem Virus ist es doch egal ob die Daten (Bitfolgen) Sinn machen oder nicht.
Solange er Zugriff hat und irgendwo 12k vertauschen kann, wird er das tun.


Gruß Volker

Damit ist dann doch auch beispielsweise ein externer USB-Stick oder eine externe USB-Festplatte gemeint, die ich via TC komplett verschlüssel, nicht? Habe wohl ein wenig zu sehr die Begriffe "Verschlüsselung einer Partition" und "Komplettverschlüsselung" zusammengeworfen und mir damit fragetechnisch selbst ein Bein gestellt, denn mir geht es natürlich nicht um eine einzelne Partition sondern um die komplette Verschlüsselung eines via USB angeschlossenen Laufwerkes. Und dabei kann es sich dann doch nur um den hier zitierten Verschlüsselungs-Modus 1 handeln?!

Wenn die HDD oder der Stick im System als gemountet und formatiert erkannt werden, dann sind sie nicht gegen einen Angriff gesichert.
Es ist unerheblich, ob die darauf befindlichen Daten nur mit TC sinnvoll interpretiert werden können.
Es ist auch unwichtig, ob der aktuelle Verschlüsselungstrojaner die Daten angreift oder nicht.
Allein die Tatsache, dass das Speichermedium für das System verwendbar, sprich beschreibbar ist, macht es unsicher.
Erst wenn das System vorschlägt, die HDD/Stick zu formatieren um sie benutzen zu können, kann man von Sicherheit sprechen.

Wie gesagt, das ist alles theoretisch.
Mal sehen, vielleicht werde ich an einem ruhigen Winterabend mal den Verschlüsseler auf ein System mit TC loslassen, dann werden wir sehen was passiert.

Volker

Das lässt doch schonmal hoffen, denn diesen Vorschlag macht Windows (XP, 7) bei nicht gemounteten, mit TC komplett verschlüsselten Laufwerken immer.

Und ich dachte schon, es gäbe keinen Grund, sich auf den Winter zu freuen... :lach: