Mein Kollege hat Probleme mit einem Hacker was kann man tun?
Alle Endgeräte sind betroffen, der Router lauft aber unverständlich ist für mich warum seine Handys sich nicht mehr einschalten lassen, seine X-Box verrückt spielt, der Fernseher ist schwarz. Offensichtlich kann man einschalten aber es scheint ein Angreifer zu sein der die Kontrolle hat (Pegasus?).
Er hat kürzlich AnyDesk installiert, wenn es ein Geier ist, ist mir klar wie man den los wird aber mich wundert, wie der Router offensichtlich manipuliert wurde.
Der Anbieter ist Mangenta und der Kundenservice ist am Ende, kein Techniker und keine Technikerin konnte ihm am Telefon helfen, er hat jetzt das Netzkabel ausgesteckt, weil sobald er Online ist startet ein massiver Upload mit höchster Priorität. Er benutzt Windows7 und im IT Security Bereich ist ein bischen Neuland für mich weil ich eher IT-Dinosaurier bin und keine Smartphones mag.
Die Behörden einzuschalten möchte er nicht, denn die Polizei braucht dann 3 Wochen und er hat dann solange nichts und denkt, dass das nichts bringt.
Mein Vorschlag wäre eine saubere Win10 Iso von MS herunterzuladen und mit dem Media Cration Tool zu installieren, falls ein Angreifer bereits im System ist.
Wie kann es sein, dass der Router geht aber kein Internet und kein Handy und kein TV obwohl er den Home Office Protector für 5€ extra dazu genommen hat aber kann jetzt nicht mehr tun, totaler Communication Breakdown.
Bitte um Anregeungen, Tips und Fachwissen.
4 Antworten
Er greift geräte innerhalb des Netzwerk an.
Wenn er kein portforwarding von den einzelnen geräten aus betrieben hat (Was ich stark bezweifle) Hat er voll zugriff auf ein Gerät.
Deswegen hat er wahrscheinlich auch folgendes:
- Kreditkarten Informationen
- Passwörter, Emails
- Zugriff auf SMS (Falls Handy gehackt)
- Fernzugriff
Masnahmen währen deshalb folgende:
- 1. Windows 7 Komplett löschen und Windows 10 mit einem Cleaninstall holen.
- 2. Handy (Falls Unsicher) Zurücksetzen
- 3. Router zurücksetzen (Falls Unsicher), Aufjedenfall Neustarten.
- 4. Alle Passwörter zurücksetzen und 2 FA Aktivieren.
- 5. Email inboxen Absichern (2 FA, Passwörter ändern)
Beachten:
- Masnahmen in genau der reinfolge
- Keine alten passwörter verwenden die der Hacker evt. schon kennt
Ja, Mark B. ist ein Securityguru. Er hat erst ein brilliantes Buch über Datenrettung verfasst und es ist brandneu (Mai). Freunde dich mit ihm an, er freut sich sicher wenn Du ihm ein Exemlpar abkaufen willst falls dich das interessiert aber die Polizei werden wir höchstwarscheinlich einschalten sobald wir Beweise haben und die kann ich nur anfertigen wenn der Geier das zulässt (Alle unbenötigten Prozesse abdrehen und Speicherabbilder erstellen und Beweisvideos machen).
Das Ding ist so verrückt, scheinbar so er mir das schildert ist der Angriff von der X-Box reingekommen und hat mit AnyDesk nichts zu tun.
Anschließen werden wir deine Anleitung befolgen. Sei dir des Sternes sicher, deine Antwort ist nicht zu toppen.
Ach was mir gerade einfällt, wenn der Hacker es über die XBox geschafft hat, kann es sein das dein Kollege evt eine art Jailbreak genutzt hat der das System unsicher gemacht hat? Es gibt nemlich keine aktuellen exploits die so etwas schaffen könnten. Abgesehen davon, vll mal die Xbox updaten um die neusten Security updates zu bekommen.
Ich hab ihm geraten, bis 10 läuft die X-Box nicht zu aktivieren. Btw. ich hab ihm gesagt, unter Linux hat er sowas nicht aber win7 ist aber auch ein offenes Scheunentor.
Ich sage mal Daten und Beweise sichern und Anzeige erstatten.
Dann die Geräte vom Internet trennen und alles resetten. Da bestimmte Schadware auch die Firmware von HDDs befallen kann, würde ich neue Datenträger anschaffen wenn man ganz sicher sein will!
Vor allem kann man in den Fall die Datenträger dann mit den entsprechenden Beweisen aufheben und mit den neuen die Systeme reaktivieren.
Nicht vergessen auch den RAM-Speichern und die volatilen Teile der Registry zu kopieren - zB mit FTK Imager.
Da Win 7 EOL ist, erstell auf einem sauberen System mit dem Media Creation Tool einen Win 10 Setup-Stick und setz damit die Systeme neu auf...
Falls der Router infiziert wäre dann kannst du dir einen neuen holen. Was mich eher wundert, dass jemand so einen massiven Angriff ausgesetzt ist. Das wird eher bei Firmen gemacht um dann Lösegeld zu erpressen...
Danke Mark. Btw. wenn ich weniger lazy wäre und meine Minipesion meitens nur bis zum 20. Reicht und ich es jedemal versäume dir meine HDD zu schicken wie ausgemacht, ich schiebe das jetzt schon ewig auf. Den Ram auslesen um die Angreifer IP zu bekommen ist ein guter Tipp. Er ist doch verdächtig ein Lukratives Opfer zu sein, da er Hobby Trader ist und seltsamer Weise Geld auf seine Wallet überwiesen wurde. Er ist nicht im Deepweb und seine XRP (Kryptogeld) wurde im gestohlen. Jetzt befürchtet er, dass der Kriminelle auch seinen Casinoaccount abgreift.
Gott zum Gruße
Es ist nicht nur die IP Adresse. Es würde sich auch entpackte Schadware oder andere Dinge wie ARP-Cache, etc. finden.
Außerdem sind einige wertvolle Infos in volatilen Teilen der Registry zu finden.
Darum ist FTK Imager ein guter Start. Es wird auch in Firmen oft so gemacht. Nachdem Beweise gesichert wurden kann man Systeme neu aufsetzen während ein anderes Team oder ein Dienstleister die Beweise auswertet. Alternativ dazu kann man diese auch der Polizei übergeben.
Vor allem bei einem Diebstahl von Kryptowährungen würde ich zur Anzeige raten.
Und da habe ich heute morgen doch gerade noch in einem anderen Thread geschrieben, dass der Einsatz von Windows 7 in der heutigen Zeit ohne Security Updates gefährlich ist. Q.E.D.
Bei so einem massiven Angriff ist die Antwort von TimeTravell3 ausführlich und korrekt, alles zurücksetzen, Festplatten entweder vernichten (falls nichts wichtiges drauf ist) oder in einem geschützen Bereich (PC, der zerstört werden kann, keine Internetverbindung) mehrfach formatieren und lowlevel überschreiben.
Und ja, alles, was irgendwo sicherheitsrelevant ist, muss geändert werden.
Den Router zurück schicken und einen neuen von der Telekom anfordern. Internet vom PC kappen und neu installieren
Falls er Anzeige erstatten will, ist die Antwort von Mark Berger natürlich sehr Hilfreich.