@Volker

Kann als Ethernet oder USB 1.0 angeschlossen werden.
Is halt was Langsamer aber wenns dann sicher ist is mir das egal.

MasterS2301

USB1.x ? Auweia, das macht gerade mal 12 MBit brutto, also Datenrate von etwa 1 MB/s hast du da

Moin Moin,

ich bin neu hier und heiße Jürgen.

Neu, weil auch mich es vor ein paar Tagen erwischt hat.

Erstmal finde ich toll, dass es immer wieder Leute gibt, die sich eine riesen Mühe machen um anderen zu helfen und zweitens folgt ein kurzer Umriss meiner Erfahrung.

Systemkonfiguration war wie folgt :

Win XP, 1 Platte mit Admin- und Benutzeraccount und einer zweiten durch Truecrypt verschlüsselten Partition. Daten hatte ich in der 2ten Partition gespeichert und ab und an mit einem USB-Stick synchronisiert.
Ich muss hierzu sagen, dass meine Frauen sich prinzipiell keine Gedanken über den Speicherort machen und dementsprechend doch einige Daten im Nirvana verschwunden sind.
Da ich bei der Infizierung doch erst einmal etwas geschockt war und den Rechner an lies, hatte der Virus genügend Zeit sich auszutoben.
Nun gut, auf in den Kampf und an einem anderen Rechner Tante Go strapaziert.

Meine Erkenntnisse sind bei der momentanen Variante wie hier im Thread beschrieben.
Also garnicht erst mit Virenvertreibung aufhalten, sondern versuchen, ob noch irgendwelche Daten zu retten sind.

Hierzu hab ich die Festplatte ausgebaut, auf Slave gejumpert und an meinen 2ten PC gehängt. Mein Gedanke war, das der Virus aus einem laufenden System heraus agiert, die "alte" Systemplatte jetzt nur Datenplatte ist und der Virus vorerst inaktiv.
Ist natürlich technisch betrachtet Quatsch, aber war halt meine Hoffnung.

Hab dann Truecrypt installiert und versucht auf die verschlüsselte Partition zuzugreifen.
Nachdem die Partition erkannt wurde, habe ich hier abgebrochen und die erste Partition (altes System) geschreddert und gelöscht.

Mit Truecrypt dann die verschlüsselte Partition geöffnet und siehe da :
ALLE DATEN NOCH DA !!! :-)

Beim Durchsuchen der alten Systemdateien fiel mir auf, dass Dateien, die bereits verschlüsselt waren, wenn auch nur mit 7Zip, nicht vom Virus befallen wurden.
Deswegen war wahrscheinlich auch die Truecryptpartition noch in Ordnung.

Jetzt sieht es bei mir so aus, dass ich eine Systemplatte habe und natürlich wie vorher nur mit eingeschränkten Rechten arbeite.
Datensicherung sieht im Moment wie folgt aus :

1 Ordner offen auf der Systemplatte für nicht so wichtige Dateien wie Bilder und so.
Eine zweite Platte komplett verschlüsselt. Darin wird der offene Ordner beim Öffnen der Platte synchronisiert. Hier liegen auch Daten, die nicht jeder sehen soll, der mal an den Rechner geht. Den ganzen Inhalt der verschlüsselten Platte ziehe ich noch auf ein USB-Laufwerk. Ausserdem sichere ich das ganze System (also auch den Offenen Ordner) noch als Image mit Paragon in einem angeblich besonders geschützten Backupcontainer ausserhalb der sichtbaren Partitionen.
Ein differentielles Backup lang mir jede Woche 1x.
Ich hoffe, dass ich damit vorerst sicher bin vor Datenverschwindibus.

Meine Gedanken wie es eventuell weiter geht mit dem Drecksvirus ?

Ich denke, er wird sich in der Art entwickeln, dass er erst Verschlüsselte Dateien und Partitionen nochmals verschlüsselt oder löscht. Weiter könnte eine Variante kommen, die eine Zeit lang garnichts tut, um z. B. mit einem integrierten Keylogger die Tastatur eingaben protokolliert und später somit Zugriff auf bereits verschlüsselte Daten bekommt.
Nicht auszudenken, was hier noch Potenzial liegt.

Ich kann mich nur der Meinung anschliessen, sich Gedanken um vernünftige Datensicherung zu machen.


Gruß Jürgen

Hallo Jürgen,

interessant das er Truecrypt in Ruhe ließ. Vielleicht hängt es auch mit der Menge der Daten zusammen, Infos aus dem Delphi Board lassen andeuten das der Virus nur begrenzt Platz für seine Tabelle der verschlüsselten Dateien hat und du einfach Glück gehabt hast. Ist natürlich keine Hoffnungsmache ...

Ich habe beruflich bedingt als Sysadmin eine kleine Menge an Mailadressen zu überwachen. Mir ist schon eine ganze Weile kein Exemplar mehr über dem Weg gelaufen, seltsam. Die letzte war die 2.000.11 .

Oder der Programmierer hat andere "Vertriebswege" gefunden, infizierte Webseiten, Java-Lücken etc... eine alte Version mit den leicht zu entschlüsselnden locked-"Dateiname" Dateien konnte ich nachvollziehen: Java Lücke in einem Web-Spielchen auf einer Seite. Vielleicht kehrt der Virenprogrammierer zu diesem System zurück?

Zitat:

Vielleicht kehrt der Virenprogrammierer zu diesem System zurück?

Vermutlich ist das jetzt zu sehr bekannt diese Masche mit den Mails und frei erfundenen Rechnungen. Zu wenig Leute fallen vllt aus Sicht der Autors darauf herein, also müssen neue Möglichkeiten bzw. "Vertriebswege" gefunden werden, die noch den meisten potentiellen Opfern unbekannt ist

Vielleicht sucht er auch nach typischen Dateiheaderinfos, die bei bereits verschlüsselten Dateien/Partitionen/Platten nicht zu verwerten sind.
Mit dem begrenzten Platz denke ich eher nicht, da er ja wohl "nur" die Dateinamen und -infos verschlüsselt.
Ich denke jedenfalls, dass der/die Programmierer/innen recht pfiffige Leute sind und so was wie mit dem Keylogger im Virus garnicht so abwägig ist. Dann haben wir aber ein echtes Problem. Denn dann nutzen auch Sicherungen auf externen Medien wenig.
Bei USB-Platten-Sticks wäre dann auch kein Zugriffsschutz mehr gegeben und bei CD/DVD kopiert er sich einfach mit.
Ich hoffe nur, dass es bald ein paar noch pfiffigere Kerlchen gibt, die diesen A.........n eine Retourkutsche programmieren und dem normalen User helfen können, indem es passende Virendefinitionen für die gängigen Antivirensoftware gibt.

Warum verdienen die sich eigentlich nicht auf ehrliche Weise ihr Geld bei den Fähigkeiten ?

Zitat:

Denn dann nutzen auch Sicherungen auf externen Medien wenig.

Zusammenhang? Warum sollen Sicherungen auf externe Medien nichts bringen?
Alternative? Gar keine Sicherungen mehr?

Zitat:

Bei USB-Platten-Sticks wäre dann auch kein Zugriffsschutz

Naja, IMHO sollte man ein Backupgerät nur dann ranklemmen/einschalten wenn man auch wirklich ein backup machen will und nicht dass es ständig läuft, das bringt beim Verschlüsselungsviech logischerweise nichts.
Wer ganz viel Paranoia hat, mach das Backup nur von einem sauberen Live-System aus und betreibt die Platte auch ausschließlich in diesem

Zitat:

mehr gegeben und bei CD/DVD kopiert er sich einfach mit.

Er brennt sich mit auf die optische Disc? Wie soll das deiner Meinung nach funktionieren?

Gar keine Sicherungen ist ja auch Blödsinn, aber gibt es wirklich Sicherheit ?

Wenn ein Virus, der nicht von der Antivirensoftware entdeckt wird, so programmiert ist, das er die Anschlüsse am PC scannt, wo sollte dann das Problem sein, sich bei Anschluss der Komponenten wie USB-Platten/Sticks, Netzwerkordner dorthin zu kopieren ? Die gut programmierten Viren machen das ja wohl so.
Und mit den optischen Medien sehe ich auch kaum ein Problem. Steganografie ist ja wohl den meisten ein Begriff. Also warum sollte ein Virus (lediglich ein paar Codeschnipsel) nicht in der Lage sein, sich in einer anderen Datei einzunisten ?
Kontrollierst du immer die Größe deiner Dateien ? Und warum sollte er nicht in der Lage sein zu erkennen, das eine Brennsoftware gestartet wird und in sich in diesem Moment als versteckte Datei mitbrennen zu lassen oder sogar eine geänderte autorun.inf zu erzeugen ?
Ich bin kein Programmierguru, aber ich hab Phantasie und so ganz unbedarft bin ich auch nicht.

Fragen über Fragen. Fakt ist ja wohl, dass die Programmierer der wirklich ausgefeilten Viren über ein enormes Mass an Phantasie verfügen. Genau das ist ja wohl, was es den Herstellern von Antivirensoftware so schwer macht dem beizukommen.

Meine Sicherung gestaltet sich wie folgt:

System-HD im Wechselrahmen
Reserve-HD im Wechselrahmen
USB-HD für Datensicherung
Reserve-USB-HD für ausser Haus Datensicherung

Die System-HD läuft permanent mit täglicher Datensicherung per Batch auf eine USB-HD
Einmal wöchentlich wird ein Image von der System-HD auf die USB-HD geschrieben.
Ab und zu schreibe ich das Image wieder auf die Reserve-HD, die aber nach dem Test gleich wieder off geht.
Unregelmässig wird der USB-HD Inhalt auf die Reserve-USB-HD kopiert, die dann räumlich entfernt gelagert ist.

Das hört sich vieleicht kompliziert an, kostet aber kaum Zeit: Kaffee aufsetzen wärend vom USB-Stick die Imagesoftware gebootet wird (dd) und bevor ich den Kaffee auf hab, ist die wöchentliche Prozedur erledigt.

Es kann jederzeit eine Festplatte abrauchen; die Reserve-HD sitzt schon im Schacht und durch die vielen, auf den USB-HDs gespeicherten Images kann ich je nach Befall oder Lust und Laune auf Systeme von vor mehreren Monaten zurückgreifen.

Ich hab bisher noch keine Lücke in Sicherung und Redundanz entdeckt...hoffe mal, dass bleibt so...

Selbst wenn die "Reserve-HDD" z.B. per Schlüsselschalter o.ä. abgeklemmt wäre, eine Reserve im Gehäuse ist nur dann angebracht, wenn das Bedienungspersonal mit dem Einschub eines Wechselrahmens überfordert wäre, oder wenn die Reserve-HDD automatisch einspringen sollte oder per Fernwartung einschaltbar wäre, dann aber natürlich nicht abgeklemmt. Was aber bei einer vermutlichen "Home-Lösung" wiederum alles nicht der Fall sein dürfte.

In der Tat: Es handelt sich um einen Home-PC (24/7) der nur leichte Firmentätigkeit verrichten muss.