PC Gehacked mit Verschlüsselungstrojaner. Aber wie?
Hallo, ich habe eine Fritz.Box 7490, ein Notebook, und ein Multimedia PC mit nem I7-7700k sowie 32GB RAM um selbst aufgenommenes Material zu schneiden und Komprimieren. Auf dem PC läuft manchmal der Firefox Browser, kein Email Programm, nichts sonst was ins Internet und Netzwerk zugreift, außer, ich greife per REMOTEDESKTOP auf diesen PC zu. Ich habe einen Hauptbenutzer, mit dem ich dauerhaft angemeldet bin, wenn ich dran arbeite, dann habe ich mal testweise 4 User (User1-4) eingerichtet, um etwas auszuprobieren. Habe diese Konten aber sonst nicht angerührt. Immer nur den Hauptbenutzer. Betriebssystem ist Win10
pro V2004. Sicherheitssoftware ist F-Secure Safe. Meine Fragen an die Profis: (ja ich weiß unter den Hackern sind auch Profis). Ich habe das Hacking bemerkt, als ich mich wieder per Remote auf meinen PC anmelden wollte, und der Remotedesktop sich meldet und mir mitteilt, USER2 hat das System gesperrt, du kannst dich nicht anmelden. Bin dann direkt am PC gesessen, und wollte mich anmelden --> genau das gleiche, kann mich nicht anmelden wg. Sperre. Habe dann den PC runtergefahren. Und kurz nochmals eingeschaltet. Dabei habe ich bemerkt, daß sich ein Programm mitstarten wollte, welches ich aber nicht kenne. Das habe ich natürlich blockiert. Ich habe dann meine Aufnahme Ordner, also die Ordner, die die selbst aufgenommenen Filme enthalten geöffnet, und dann folgendes bemerkt. Die Namen der Filme waren verändert und haben nun die Endung MAKOP, und eine Datei README-WARNING.TXT ist vorhanden.
- Wie kommt ein Verschlüsselungstrojaner auf meinen PC? Dieser muß ja die Fritz.Box überbrücken, und sich irgendwie eingeschleust haben. Ich selbst lasse nichts unbekanntes zu. Oder hat Microsoft einen Fehler im System, wie anno 2004, als Windows XP "verseucht" wurde, nur weil jemand mit dem Modem sich ins Internet einwählte.??
- Wie kann man F-Secure Safe kompromitieren, so daß jemand den PC hacken kann?
- Kann man den Antivirus Programmieren glauben oder vertrauen? Wenn ich ein Vollpaket habe, daß ich auch noch bezahle, dann stellt sich mein Gehirn gerade quer. Das darf doch einfach nicht passieren. Wer kann mir dazu was sagen.
- Wenn es nicht so traurig wäre, könnte man den Hackern ein Lob aussprechen. Daß sie dies geschafft haben. Vielleicht liest ja einer mit.
- Bringt es was die Festplatte, oder den PC zur Polizei zu bringen?
- Was meint Ihr soll ich F-Secure anschreiben, und mal nachfragen, wie das geht? Vielleicht lerne ich noch etwas dazu?
Danke im voraus für eure Hilfen
7. Was kann ich selbst unternehmen, um auf die Spur zu kommen, wie sich jemand reinhacken konnte? Ich kenne mich mit PCs aus.
2 Antworten
Du solltest folgendes klären:
- Hattest du Remote-Desktop nur in deinem Netzwerk freigegeben, oder auch den Zugriff "aus dem Internet" gestattet? Und wie sicher war dann dein Passwort? ;-)
- Ist das Notebook auch betroffen (bzw. das Gerät, von dem aus du über Remote-Desktop zugreifst)?
- Hast du stets alle Updates (Betriebssystem, Browser, sonstige Software) ASAP auf allen Rechnern eingespielt?
- Waren Fremdrechner (Freunde!) mit deinem Netzwerk verbunden?
- Hast du in letzter Zeit irgendwelche Dokumente (doc*, pdf, xls*...) geöffnet? War das Ausführen von Skripten z.B. in Word erlaubt / hast du es auf Anforderung erlaubt? Kam z.B. eine Meldung, dass ein Dokument nicht geöffnet werden kann?
Das kompromittierende Ereignis kann auch ein paar Wochen zurückliegen - Trojaner wie z.B. Emotet verhalten sich evtl. wochenlang möglichst unauffällig, bevor Schadfunktionen ausgeführt werden. Davor sieht sich ggf. jemand auf deinem Rechner/in deinem Netzwerk um - um zu bestimmen, wie wertvoll deine Rechnerinhalte sind. Individueller Kundenservice! ;-)
Bzgl. dem Notebook: Lade dir das Windows System Control Center (WSCC) runter. Installieren, als Admin starten und alle Tools von Sysinternals runterladen (alles andere, wenn du willst, auch). Bei ein oder zwei Tools von NirSoft kann es einen Fehlalarm von Windows Defender o.ä. geben, aber die brauchst du auch nicht.
Sobald die heruntergeladen sind, startest du erstens den Process Explorer als Admin und aktivierst unter Options "Verfiy Image Signatur" und im Untermenü von "Virus Total" beide Optionen. Unter View aktivierst du "Show lower Pane" und drückst dann STRG+D.
In dem Hauptfenster vom Process Explorer siehst du nun alle laufenden Prozesse, in der Spalte von Virustotal siehst du, ob irgendein Prozess von Virustotal als problematisch erkannt wurde. Klappt natürlich nur, wenn dein Trojaner nicht allzu neu ist und wenn er sich nicht erfolgreich versteckt. Prozesse ohne verifizierte Signatur (Spalte: Verified Signer) können problematisch sein - vor allem, wenn sie im Process Explorer als Hintergrundfarbe ein kräftiges Lila haben. Im aktivierten "Lower Pane" kannst du die DLLs zum jeweiligen Prozess sehen - auch die werden mit Virustotal überprüft.
Dass ein Eintrag mal ein, zwei positive Funde hat, kommt häufiger vor. Meist sind das aber auch Einträge, die man sowieso als unverdächtig einordnen kann.
Mit dem Tool Autoruns kannst du überprüfen, was so alles zu Beginn gestartet wird. Auch dort gibt's im Menü die Punkte Virustotal & Verify Image, die du aktivieren solltest. Microsoft-Einträge kannst du ausblenden.
Falls du was Verdächtiges findest, dann solltest du im Process Explorer zuerst alle verdächtigen Prozesse auf Suspend stellen (Kontextmenü) und erst dann nacheinander abschießen - die überwachen sich nämlich ggf. gegenseitig; Mit Autoruns solltest du in diesem Fall auch etliche Einträge finden, die du unbedingt deaktivieren oder löschen musst. Wenn du in Autoruns Einträge mit komischen Namen findest (sowas wie yghdfuunyoezh.exe/dll): sicherheitshalber deaktivieren, falls keine verifizierte Signatur angezeigt wird.
Verwenden könntest du auch Tools wie den Process Monitor - da musst du dann eben alle legitimen Prozesse durch die Filtereinstellungen rausfiltern. Ist aber auch ein hervorragendes Tool.
Willst du alle Dateien z.B. im Windows-Ordner und den Unterordnern darauf überprüfen, ob die digitale Signatur okay ist und ggf. mit Virus Total überprüfen, kannst du das Kommandozeilentool SigCheck verwenden.
Ggf. - und das ist eigentlich zu empfehlen - verwendest du Antivirentools und z.B. Autoruns (mit Analyze Offline System) und SigCheck (auch) von einem Bootstick aus.
Das Notebook solltest du in jedem Fall auch mit einem Virenscanner überprüfen - und zwar - wie erwähnt - mit einem von einem Bootstick; Defender offline kannst du auch mal starten (Updates & Sicherheit -> Viren- und Bedrohungsschutz -> Scanoptionen -> Überprüfung mit Defender Offline). Aktuelle Virensignaturen sind dabei wichtig - es dauert schon mal etliche Stunden bis Tage, bis alle Virenscanner neue Malware erkennen.
Bzgl. deines in jedem Fall verseuchten PCs: da brauchst du in jedem Fall einen Bootstick. Dort sollte die Überprüfung vorrangig dazu dienen, herauszufinden mit welcher Schadsoftware du es zu tun hast. Dann kannst du auch danach suchen, was die normalerweise macht. Tendenziell solltest du Windows dort eher neu installieren.
Vielen Dank für deine Ausführlichen Informationen. Das hilft mir extrem weiter. Melde mich wenn ich alles durchhabe. Das was du schreibst, verstehe ich unter HILFESTELLUNG. Einfach Großartig.
Gerne nichts zu danken.
Ja, mh... RDP im Internet freigegeben und ggf. schwaches Passwort laden natürlich dazu ein...
erster punkt das ist nicht die schuld von fsec sondern komplett deine eigende .
zweiter punkt fsec ist totaler mist.
du kannst höstens veruchen den bertrag der hacker zu bezahlen da eine entschlüsselung meist unmöglich ist
Mir selbst die Schuld zuzuschreiben, soweit bin ich noch lange nicht. Könntest du dies etwas genauer bezeichnen, wie du das meinst? Entschlüsseln is nich, kein Interesse. Wenn du dich fürs zahlen einsetzt, bist du einer dieser Hacker, und unterstützt soetwas? Das ist keine Böse Frage, sondern ernstgemeint. Bitte um Antwort!
aber, wenn ich bezahle, dann weiß ich doch nicht, ob die dann nochmals kommen. Ich empfinde dies als die einfachste Art der Erpressung.
Das Problem ist das der Trojaner schon in deinem Bios sitzt, selbst wenn du Windows neu aufsetzt ist er immer noch da.
Woher weißt du das? Von welcher Art von Trojaner reden wir da? Und wie kommt dieser ins Bios? Kennst du den Namen?
Und, wenn dieser Trojaner in den PC reinkam, und ich nicht weiß wie, dann kann dieser doch wieder, und wieder und wieder reinkommen, und ich weiß dann immer noch nicht wie. Also, mein Interesse geht schon dahin, herauszubekommen, wie das gegangen ist. Wird wahrscheinlich etwas dauern. Und, voralleindingen, wenn dieser es schafft, meinen Hauptbenutzer auszusperren, was ja schon richtig aufregend ist, dann ist das doch nichts kleines. Das ist schon etwas intelligentes. Oder täusche ich mich?
PeterTownes: Auch Sie sind einen Tag dabei, wie MrEmbry, und geben auch gleich Schuldzuweisungen. Auch das ist dieser Sache nicht dienlich. Danke trotzdem.
Unten Stehts doch. Ich zitiere: "Hilf deinen Mitlesern Weiter." Aber, da sind wir wohl weit weg davon.
MrEmbry: Ich habe gerade gelesen, daß Sie seit einem Tag dabei sind, und schreiben gleich von SELBST SCHULD, und FSEC ist MIST. Wie kommts zu solchen Äußerungen? Wenn jemand die Schuld dem Schreiber auftischen möchte, dann hat er das Thema nicht genau durchgelesen. Ich benötige Hilfe. Auf alle Fälle sind diese Aussagen zur Sache nicht hilfreich. Danke trotzdem
Habe die Schwachstelle gefunden. Habe mal den RDP über Internet freigegeben. Somit konnte jemand eindringen. Ist zwar blöde, aber, auch eine Lebenserfahrung. Nichts ist sicher. DANKE.