Zurück   Trojaner-Board > Malware entfernen > Diskussionsforum

Diskussionsforum: Verschlüsselungstrojaner und BackUps

Windows 7 Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches posten. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Bereinigungen von nicht ausgebildeten Usern sind hier untersagt. Wenn du dir einen Virus doer Trojaner eingefangen hast, eröffne ein Thema in den Bereinigungsforen oben.

Antwort
Alt 24.05.2012, 10:37   #1
Undertaker
/// Helfer-Team
 
Verschlüsselungstrojaner und BackUps - Standard

Verschlüsselungstrojaner und BackUps



Moin moin,

ich eröffne hier mal einen neuen Diskussionsthread, nachdem die bestehende Diskussion zur Wiederherstellung verschlüsselter Dateien irgendwie aus dem Ruder läuft.
Eine überschaubare Diskussion ist dort kaum mehr möglich.
Gepostete Logfiles, Hilferufe und immer wieder die gleichen Fragen zeigen, dass nur wenige Leute die rund 600 Postings überhaupt noch lesen und damit eine überschaubare Diskussion verhindert wird.
In einem Diskussionspunkt ging es um die Auswikungen des Verschlüsselungstrojaners auf Backupfiles und die Frage, wie man diese schützen kann.
Ich habe dazu einmal einen Versuch gestartet.

Dazu wurde ein Rechner so konfiguriert, dass er mit vielen handelsüblichen Systemen und Notebooks vergleichbar scheint.
Er sollte ein Windows 7-PC, mit HDD-Laufwerk C, HDD-Laufwerk D und DVD-Rom E sein.
Dazu wurde in einen PC mit Intel Core2, 4GB RAM eine 300GB HDD gesetzt, die so partitioniert wurde, dass es auf der HDD ein LW C: (System), ein LW D: (Daten) und einen Rest nicht zugeordneten Speicherplatz gab, zu dem ich später noch komme.

Hier die Partitionierung der Festplatte:



Auf LW C: wurde Windows 7 SP1 32bit installiert. Dazu MS Office 2010, Acronis Backup & Recovery 11, Firefox als Browser, TheBat! als Mailprogramm und noch ein paar Tools zum bequemeren handeln.

Auf LW D: wurden Daten der unterschiedlichsten Form von A wie AVI bis Z wie ZIP gespeichert. Gleichfalls wurden sämtliche Daten des Mailprogrammes auf D: gelegt.



Anschließend wurde mit Acronis Backup & Recovery 11 auf dem nicht zugeordneten Bereich der HDD eine „Secure Zone“ eingerichtet und jeweils ein Backup von LW C: und LW D: in der Secure Zone erstellt. Das Backup von LW C: wurde zusätzlich auf LW D: gespiegelt.



Auf das so vorbereitete System sollte unser Verschlüsselungskünstler losgelassen werden.
Uns ging es hauptsächlich zu erfahren, welche Daten-Dateien werden verschlüsselt, da es hier die unterschiedlichsten Aussagen gibt.
Was tut er mit dem Backupfile auf LW D: und vor Allem, was passiert mit der nicht sichtbaren Secure Zone und den darin befindlichen Backups.

Gestartet wurde der als Registrierung.pif getarnte Trojaner, ein Vertreter der 12k-Verschlüsselung, der die Dateien von 0x0000 bis 0x2fff durcheinander würfelt.



Unmittelbar nach der Ausführung der Datei beginnt der Bursche mit seinem zerstörerischen Werk.
Eine kurze Mitteilung, dass mit der Word-Datei etwas nicht in Ordnung ist, soll vermutlich nur ablenken.



In der bisherigen Diskussion zum Trojaner wurde darüber spekuliert, wie er es wohl schaffe, beim Bootvorgang die große Anzahl der Dateien zu verschlüsseln.
Dem ist nicht so, der Trojaner beginnt unmittelbar nach der Ausführung der Datei.
Wenn hier Betroffene davon berichten, dass manche Daten bzw. ganze Verzeichnisse nicht bgetroffen waren, dann ist das vermutlich nur darauf zurückzuführen, dass man ihm nicht genügend Zeit ließ.
Der Testrechner war vom Datenbestand recht klein.
Das System auf C: war < 100GB und der Datenbestand auf D: < 20GB.
Im Verlauf von ca. 5 Minuten verloren wir immer mehr Kontrolle über die Dateien.
Nach diesen 5 Minuten erschien der bekannte Ucash-Screen und der gesamte Datenbestand war verschlüsselt, von A wie AVI bis z wie ZIP, ausgenommen sich selbst.


















Der Trojaner verschont also keinerlei Daten, egal welchen Formats.

Dieses festzustellen war aber nicht unser Hauptanliegen.
Wir wollten sehen, inwieweit BackUps verschont bleiben und vor Allem, ob sich der Virus auch auf der für Windows unsichtbaren Partition der Acronis Secure Zone ausgetobt hat.
Wir haben uns auch nicht mit der Beseitigung des Trojaners im System aufgehalten, sondern gleich die Acronis Rescue CD eingelegt und den Rechner neu gestartet.
Sicher ist, dass ein Backup auf eine interne, gemountete Partition nichts hilft.
In unserm Fall wurde das Backup auf LW D: durch den Trojaner verändert und konnte von Acronis nicht als Backupfile erkannt werden, selbst bei Anfügen der richtigen Extension.



Als nächstes kam nun die Suche nach den Backups auf der Secure Zone.
Beide Backups, sowohl von C:\ als auch von D:\ wurden erkannt und die Wiederherstellung von Laufwerk C: wurde gestartet.



Die Wiederherstellung dauerte keine 20 Minuten.



Nach dem Neustart hatten wir in weniger als einer halben Stunde wieder ein sauberes, virenfreies System.





Fazit:
Vorbeugen ist besser als heilen.
Zuerst sollte man ein gutes und aktuelles Virenschutzprogamm nutzen.
Weiterhin sollte man ein hohes Maß an Skepsis gegenüber unbekannten Mails mit Anhängen walten lassen.
Zuletzt sollte man aber auch für die Sicherung seines Datenbestandes Sorge tragen.
Das gilt vor Allem bei Selbstständigen, Handwerken und Gewerbetreibenden, die keine Serversysteme mit ausgefeilten Backuproutinen betreiben.
Bei vielen kann die Existenz an den Daten hängen.

Wir haben uns erstmal nur mit dem Backup & Restore von Acronis befasst.
Nicht zuletzt, weil es durch die Einrichtung einer Secure Zone, einen relativ sicheren Platz für die Backupfiles bietet und für unter 100 Euro allemal billiger ist, als die Restaurierung des Systems beim Fachmann ohne das man sicher ist, seine Datenbestände wieder zu bekommen.

Als nächstes werden wir testen, was passiert, wenn die Secure Zone auf einem externen USB-Laufwerk eingerichtet wird und inwieweit die Acronis BootCD (Linux) dieses Laufwerk mountet.
Weiterhin werden wir auch einmal testen, was bei einem durch Windows komprimierten Laufwerk passiert, ob man da Backups ablegen kann und was der Virus dazu zu „sagen“ hat.

Wir hoffen, Euch mit diesem Bericht zumindest eine Anregung und einen Anstoß zum Nachdenken gegeben zu haben, auch wenn es den jetzt betroffenen nicht direkt hilft.

Vielleicht kann der Eine oder Andere seine Gedanken und Erfahrungen zu sicheren Backups für Privatanwender und Kleinunternehmen hier äußern.

Gruß Volker

Alt 24.05.2012, 12:02   #2
fdy
 
Verschlüsselungstrojaner und BackUps - Standard

Verschlüsselungstrojaner und BackUps



*einfach mal DANKE sagt* Respekt.
__________________


Alt 24.05.2012, 15:55   #3
benton18
 
Verschlüsselungstrojaner und BackUps - Standard

Verschlüsselungstrojaner und BackUps



Perfekte Hilfestellung hier!
__________________

Alt 31.05.2012, 10:45   #4
wbreiden
 
Verschlüsselungstrojaner und BackUps - Standard

Verschlüsselungstrojaner und BackUps



Hoi,

besten Dank für die Ausführung, ich habe ähnliche Dinge sehen können:
1. Es waren einige Word Dateien die ich, nach dem Wechsel auf/in den Admin Account (Win7/64bit) das einige Dateien noch nicht verschlüsselt waren. Ich habe zuerst geglaubt, dass es Office2012 Dateien waren - konnte nicht bestätigt werden - ich denke der Virus hat nur länger gebraucht?

2. Nach Systemwiederherstellung und einer Malware Software von Heise, auf Anraten von MS-Hotline konnte ich den User Account wieder übernehmen - der Virus/Trojaner war aber weg.

3. Dateien von LickByNeck.exe wurden verschlüsselt und unverschlüsselt vom Trojaner angelegt - die sind bstimmt interessant für eine Schlüsselgererierung?

4. Einige alte RAR wurden ebenfalls verschlüsselt und unverschlüsselt angelegt - die sind bstimmt interessant für eine Schlüsselgererierung?
Anmerkung: Man kann sowieso nur sehen, welche Datein zusammengehören durch die Größe der Datei?

5. Die Idee eines verschlüsselten Bereichs, in dem man die Datein sichert, ist eine gute Idee - wo kann man da etwas mehr nachlesen?
Ich hatte gerade das Windows neu aufgebaut (gespiegelte Platten, wegen Datenverlust ) und alle Dateien von einer anderen HD aufgespielt, die natürlich nun auch verschlüsselt ist


Frage an Alle:
Litauen ist ein Mitgliedstaat der Europäischen Union und es sollte doch möglich sein diese Leute hinter Gitter zu bringen?

Die Firmen Aral, Avia, Westfalen etc. dürften doch stinkesauer sein, das man mit ihrem Logo Negativ Werbung macht und dort hat doch doch wohl mehr Power und Geld Dinge in Gang zu setzten?

Also, Datenschutzbeauftragte, Rechtsanwälte, Bundeskriminalamt, Administratoren frisch an Werk, wem gehört die Domäne @inbox.lt

Mein großes Kompliment geht an die Mitarbeiter von Trojan-Board die, nach jetzt gelesenem Kommentaren neben ihrer Arbeit an einer Entschlüsselung arbeiten.
Wie sieht es den aus bei den Virenschutzprogramm Firmen? Immerhin haben wir alle auf den Virenschutz vertraut
Warum kommt von dort so wenig?

Grüessli
Wolfgang

Alt 31.05.2012, 15:04   #5
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Verschlüsselungstrojaner und BackUps - Standard

Verschlüsselungstrojaner und BackUps



Zitat:
Zitat von Undertaker
Was tut er mit dem Backupfile auf LW D: und vor Allem, was passiert mit der nicht sichtbaren Secure Zone und den darin befindlichen Backups.
Schonmal nicht schlecht, dass die SecureZone verschont bleibt und v.a. danke für diesen Beitrag

Ich warte aber ja darauf, dass es bald noch destruktivere Schädlinge gibt. Die zB willd nicht gemappte Partitionen löschen. Da hilft eigentlich nur noch regelmäßig Backups auf externe Medien zu erstellen, die halt eben nur dann angeschlossen und gemountet sind, wenn man auch wirklich das Backup macht

Ist eh dringend zu empfehlen denn was nützt mir ein Backup, das ich erstellt habe um Datenverluste bei Plattendefekten zu vermeiden ich dieses Backup aber nur auf der internen Platte habe

__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 12.06.2012, 10:58   #6
Achim123
 
Verschlüsselungstrojaner und BackUps - Standard

Verschlüsselungstrojaner und BackUps



Mich würde interessieren, inwiefern Dienste wie Google Drive und Dropbox bei diesem Problem helfen könnten. Meine Daten sind alle in der Cloud. Bin ich genauso gefährdet bei diesem Virus/Trojaner?

Alt 12.06.2012, 11:45   #7
Undertaker
/// Helfer-Team
 
Verschlüsselungstrojaner und BackUps - Standard

Verschlüsselungstrojaner und BackUps



@Achim123,
Dein Rechner ist genauso gefährdet wie jeder andere, wenn Du den Mailanhang ausführst.
Mit einem Unterschied, Deine Daten in der Cloud sind nicht betroffen.

Du kannst also kurzerhand ein Image des Systems aufspielen, falls verhanden oder das System neu aufsetzen.
Das ist am sichersten.

Gruß Volker
__________________
Das Board unterstützen

Datenrettung -->HIER!

Zitat der Woche: Die Gefahr, dass der Computer so wird wie der Mensch, ist nicht so groß wie die Gefahr, dass der Mensch so wird wie der Computer.

Alt 12.06.2012, 11:49   #8
deraddi
 
Verschlüsselungstrojaner und BackUps - Standard

Verschlüsselungstrojaner und BackUps



Sehr interessant, danke Undertaker!

Mich würde interessieren was passiert wenn man die Win7-interne Backupstrategie nutzt und das USB Laufwerk am Rechner gemountet vergisst. Soweit mir bekannt kann der Virus nicht auf Dateien greifen, auf die der aktuelle Benutzer keine Rechte hat, das Backup ist immer mit dem Benutzer SYSTEM abgelegt?
Habe wenig Zeit diese Woche, will das aber mal am Wochenende in einer virtuellen Maschine testen.

Alt 12.06.2012, 12:28   #9
Achim123
 
Verschlüsselungstrojaner und BackUps - Standard

Verschlüsselungstrojaner und BackUps



Zitat:
Zitat von Undertaker Beitrag anzeigen
@Achim123,
Dein Rechner ist genauso gefährdet wie jeder andere, wenn Du den Mailanhang ausführst.
Mit einem Unterschied, Deine Daten in der Cloud sind nicht betroffen.

Du kannst also kurzerhand ein Image des Systems aufspielen, falls verhanden oder das System neu aufsetzen.
Das ist am sichersten.
Das klingt ja erstmal ziemlich gut. Aber meine Daten werden ja ständig mit der Cloud synchronisiert, also auch sobald der Virus zugeschlagen hat. Dann werden meine unlesbaren Daten in die Cloud geladen und überschreiben die "guten" Daten, oder?

Alt 12.06.2012, 12:35   #10
Undertaker
/// Helfer-Team
 
Verschlüsselungstrojaner und BackUps - Standard

Verschlüsselungstrojaner und BackUps



@Achim,
das ist möglich.
Ich kenne mich aber mit dem Datentransfer von und zur Cloud nicht aus um dazu was zu sagen.
Am besten Du fragst mal beim Provider, ob die Daten durch den Trojaner gefährdet sind.

Voker
__________________
Das Board unterstützen

Datenrettung -->HIER!

Zitat der Woche: Die Gefahr, dass der Computer so wird wie der Mensch, ist nicht so groß wie die Gefahr, dass der Mensch so wird wie der Computer.

Alt 12.06.2012, 14:00   #11
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Verschlüsselungstrojaner und BackUps - Standard

Verschlüsselungstrojaner und BackUps



Verlassen würde ich mich nicht auf die Cloud.
Und backupfreundlich bei heutigen Datenmengen ist das auch nicht gerade.
Dann lieber ne externe Platte.

SecureZone ist ein guter Ansatz, hilft aber nicht, wenn die Schädlinge noch destruktiver werden zB "fremde" oder nicht eingehangene Partitionen killen
Da hilft nur separate externe Platten zu nutzen, die dann nur angeschlossen werden wenn man das Backup macht und danach werden sie wieder im Schrank verwahrt. Genau so mach ich das etwa alle vier Wochen bei meinem Vater. Auch für den Fall, dass die interne Platte des Rechners (in seinem Fall ein Notebook mit Win7-32) kaputtgeht.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 13.06.2012, 09:01   #12
WalterT
 
Verschlüsselungstrojaner und BackUps - Standard

Verschlüsselungstrojaner und BackUps



Ziemlich gesichert ist meine Erkenntnis, dass der Trojaner keine Dateien verschlüsselt, die sich in einem übergeordneten Ordner names "Programme" oder auch "Programme (x86)" etc befinden.
Klar, der will ja auch das Gesamtsystem am Leben erhalten.

Ich habe hier den 2. Fall (1 x Windows XP, 1 X Windows 7) und in beiden Fällen bestätigt sich die obige Aussage.

Im ersten Fall hatte der Kunde das Glück, dass seine Datensicherung den Pfad mitspeichert und somit seine Datenbank auf <LW>:\Datensicherung\Programme\Orgamax\database\orgamax.mdb gesichert wurde (Dateiname ist ein Beispiel). Die mdb-Datei war nicht verschlüsselt, auf C:\Programme nicht und auch nicht auf der Sicherung.
Die Sicherung erfolgte auf USB-Festplatte und diese war angesteckt. Alles verschlüsselt, bis auf den Inhalt des Ordners "Programme".

Da wir das System komplett neu installiert haben, konnten wir nach der Neuinstallation der Orgamax-Software die Sicherung einfach wieder reinholen.

Man könnte also als "hatscherte" Interims-Lösung auf den Backup-Platten einen Ordner "Programme" anlegen und einfach dort reinsicher.

Ohne Gewähr !!

Alt 13.06.2012, 09:31   #13
Undertaker
/// Helfer-Team
 
Verschlüsselungstrojaner und BackUps - Standard

Verschlüsselungstrojaner und BackUps



Hallo WalterT,

das deckt sich mit meinen Beobachtungen.
Zitat:
Zitat von Undertaker Beitrag anzeigen
Das System war zumindest etwas strukturiert.
So war die Partition D die Datenpartition, auf die auch die "Eigenen Dateien" des Benutzers gelinkt war.
Auf Partition C waren einige Anwendungen in den Root, also direkt auf C und nicht in \Programme\ installiert.
Die Daten auf Partition D waren neben einigen Word- und Excel-Dateien hauptsächlich Bilder im JPG-Format.
Wärend auf D Dateien in allen Ordnern locked- waren, waren auf C ausschließlich Dateien betroffen, deren Folder im Root lagen.
Im Ordner \Windows und \Programme gab es keine locked- Dateien.
@All
Man sollte das aber nicht als sichere Bank, sondern wie @WalterT sagt, als "hatscherte" Interims-Lösung, betrachten.

Gruß Volker
__________________
Das Board unterstützen

Datenrettung -->HIER!

Zitat der Woche: Die Gefahr, dass der Computer so wird wie der Mensch, ist nicht so groß wie die Gefahr, dass der Mensch so wird wie der Computer.

Alt 13.06.2012, 13:41   #14
MasterS2301
 
Verschlüsselungstrojaner und BackUps - Standard

Verschlüsselungstrojaner und BackUps



Schönen Guten Tag euch allen,

also; Hab heut morgen gemerkt das der Trojaner bei mir auch zugeschlagen hat. Hatte ihn am 03.06.12 bemerkt durch das nette GEMA Fenster. Gekillt hab ich ihr über "abgesicherten Modus", Norten power Erase und Pure 2.0. Heute morgen habe ich das "Locked" Problem bemerkt. Dank euch habe ich alle meine Daten (Kinderfotos, Studiumsunterlagen, etc.) wieder. Dafür erstmal vielen vielen Dank. (Meine Freundin hätte mich erschlagen=))

Jetzt aber meine Idee/Frage:

Die Idee mit der Sicheren Partition scheint mir schon sehr gut aber; ist es möglich eine Externe Platte (hab nen altes Netzlaufwerk) an den PC anzuschließen, dessen Partition von dem von euch genutzten Tool, als sicher, erzeugen zu lassen und ein Backup auf diesem zu erzeugen. Oder mag Win7 erxterne Festplatten ohne Partition nicht?

Das wäre dann nähmlich der Weg den ich probieren würde wenn ich meinen PC wieder Porentief rein habe.

MFG

MasterS2301

Alt 13.06.2012, 14:06   #15
Undertaker
/// Helfer-Team
 
Verschlüsselungstrojaner und BackUps - Standard

Verschlüsselungstrojaner und BackUps



moin moin MasterS2301,
wie wird das Netzlaufwerk angeschlossen, Ethernet?
Wenn ja, dann geht das Teil nicht.
Ich habe eine Secure Zone auf einer stinknormalen externen USB-HDD eingerichtet und das klappt tadellos.

Volker
__________________
Das Board unterstützen

Datenrettung -->HIER!

Zitat der Woche: Die Gefahr, dass der Computer so wird wie der Mensch, ist nicht so groß wie die Gefahr, dass der Mensch so wird wie der Computer.

Antwort

Themen zu Verschlüsselungstrojaner und BackUps
5 minuten, acronis, anzahl, beseitigung, browser, dateien, durcheinander, erkannt, euro, festplatte, firefox, frage, hängen, linux, logfiles, ms office 2010, neue, neustart, office, ram, rechner, recovery, rescue cd, speicherplatz, suche, systeme, virus, windows



Ähnliche Themen: Verschlüsselungstrojaner und BackUps


  1. Forensik-Tool soll iCloud-Backups ohne Passwort herunterladen können
    Nachrichten - 26.02.2016 (1)
  2. Schwere Probleme nach Deinstallation von Avira Antivir und dem Aufspielen eines aelteren Backups / Fund bei Malewarebyte: PUP.Optional.Ask.A
    Log-Analyse und Auswertung - 02.08.2015 (14)
  3. Anleitung: Erstellen eines Backups mit Paragon unter Windows
    Antiviren-, Firewall- und andere Schutzprogramme - 30.07.2015 (3)
  4. 12 KB Verschlüsselungstrojaner
    Log-Analyse und Auswertung - 06.03.2013 (21)
  5. Verschlüsselungstrojaner
    Log-Analyse und Auswertung - 25.06.2012 (1)
  6. Verschlüsselungstrojaner, vermutl. keine Backups
    Plagegeister aller Art und deren Bekämpfung - 12.06.2012 (1)
  7. Verschlüsselungstrojaner die X-te :-(
    Plagegeister aller Art und deren Bekämpfung - 10.06.2012 (1)
  8. Verschlüsselungstrojaner OLT-Log was tun?
    Log-Analyse und Auswertung - 05.06.2012 (1)
  9. Verschlüsselungstrojaner
    Plagegeister aller Art und deren Bekämpfung - 05.06.2012 (1)
  10. Verschlüsselungstrojaner win 7 / 64 bit / vom 31.05.12
    Plagegeister aller Art und deren Bekämpfung - 03.06.2012 (1)
  11. Auswertung Logfiles vor Erstellen eines Backups
    Log-Analyse und Auswertung - 05.08.2011 (1)
  12. Software für Automatische Backups
    Diskussionsforum - 22.06.2011 (44)
  13. Passwortknacker für iPhone-Backups
    Nachrichten - 05.02.2010 (0)
  14. Alte Windows-Backups unter Linux?
    Alles rund um Mac OSX & Linux - 30.01.2007 (4)
  15. Backups?
    Überwachung, Datenschutz und Spam - 02.11.2006 (5)
  16. Wofür macht Hijackthis Backups?
    Log-Analyse und Auswertung - 01.03.2005 (1)

Zum Thema Verschlüsselungstrojaner und BackUps - Moin moin, ich eröffne hier mal einen neuen Diskussionsthread, nachdem die bestehende Diskussion zur Wiederherstellung verschlüsselter Dateien irgendwie aus dem Ruder läuft. Eine überschaubare Diskussion ist dort kaum mehr möglich. - Verschlüsselungstrojaner und BackUps...
Archiv
Du betrachtest: Verschlüsselungstrojaner und BackUps auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.