_Grundsätzliches:

Hier möchte ich über den Befall mit Malware berichten und über Rettungsmethoden. In vielen Foren wird immer wieder berichtet wie man befallene Systeme bereinigt und wieder sauber kriegt. Damit habe ich so meine Probleme. Grundsätzlich würde ich sagen das es nicht möglich ist solch einen befallenen Rechner wieder sauber zu kriegen. Dafür sind die Methoden der Verschleierung der Angreifer einfach zu ausgefeilt heutzutage.

Oder es wird gar der gesamte Rechner verschlüsselt mit sogenannter Ransomware. Und solltet Ihr bezahlen (es geht auch hier nur ums liebe Geld) lasst Euch versichert sein das der Rechner anschließend nicht wieder frei gegeben wird wie versprochen. Also keinesfalls irgendwas bezahlen, denn gegen diese Ransomware ist ein Kraut gewachsen. Dazu aber später mehr.

Es soll hier eher aufgezeigt werden wie man trotz Befall noch immer auf seinen Rechner zugreifen kann, seine Daten retten und anschließend sein System neu aufzusetzen kann. Daher möchte ich einige Programme vorstellen die dies ermöglichen. Wie immer gibt es auch hier einige Ausnahmen. Eine wäre z. B. wenn Euer AV sich meldet und über einen Befall berichtet und der vermeintliche Schädlich sich noch im sogenannten temp-Ordner befindet. Um es platt zu sagen ist der temp-Ordner ziemlich harmlos und nach dem schließen des Browsers ist das Teil meist schon wieder weg. Schädlinge werden meist erst dann wirksam wenn sie ausgeführt werden. Wenn Ihr also z. B. eine *.exe Datei doppelt klickt. Dann ist es zu spät. Ausnahmen bestätigen wie immer die Regel. Bevor Ihr also loslegt mit Säuberungen seht Euch den Pfad an unter welchem der angebliche Schädling auftaucht. Am einfachsten seht Ihr das an der Meldung Eures AV. Dort ist genau beschrieben wo der Schädling gefunden wurde. Taucht dort das Wort 'temp' auf dann schließt Euren Browser und das Problem sollte erledigt sein. Natürlich gibt es auch dafür Ausnahmen. Solltet Ihr z. B. mit dem Internet Explorer unterwegs sein dann genügt oft schon ein Besuch einer preparierten Webseite um ohne Euer zutun kompromitiert zu werden.

*Was tun bei Kompromittierung des Systems?

*Das sagt Windows dazu. Ist schon was älter der Bericht, bis dato hat sich aber an der Aktualität nichts geändert. Ich nehme das Ergebnis des Beitrages einmal vorweg. Auch Windows sagt das es nicht möglich sei ein einmal befallenes System zu reinigen. Also bleibt nur die Datenrettung und das neu aufsetzen des Systems.

Um auf einen befallenen Rechner zuzugreifen gibt es einige Methoden. Die einfachste und sicherste ist Linux bzw. eine Linux Live CD. Man kann nämlich mit solch einer LiveCD auf Windows zugreifen was umgekehrt unmöglich ist. Daher basieren viele Tipps hier auf Linux. Aber keine Angst, dafür braucht Ihr nicht erst Linux zu lernen. Das geht auch anders. Aber auch dazu später mehr.


_Datenrettung - Workarounds

*Notfall-Live-System: Datenrettung, Webzugang, etc.

Diese Anleitung eines Kollegen aus der Chip Redaktion soll Computernutzern als Hilfestellung bei vielschichtigen Problemen dienen, insbesondere dann, wenn das standardmäßig verwendete Betriebssystem nicht mehr richtig funktioniert, falls nachträgliche Datensicherungen erforderlich sind oder ein Schädlingsverdacht vorliegt. Die Seite ist ziemlich voll mit Informationen, daher sollte man sehr gut aufpassen was man da macht. Ich zitiere hier mal aus der Seite was alles so möglich ist mit solch einer LiveCD.

  • Einsatz als sauberes, vertrauenswürdiges Betriebssystem ohne Installation
  • Grundlegendes provisorisches Arbeiten (Office, Internet, Bildbearbeitung, Brennen, etc.), selbst bei (physikalisch) defekter Festplatte
  • Erstellen eines identischen Live-Systems zum alternativen Booten von einem USB-Stick (oder einem anderen Wechseldatenträger) bei Netbooks
  • Nachträgliche Datensicherung bei infizierten oder "defekten" Systemen
  • Wiederherstellen eines funktionsfähigen Zustands von "Windows-Systemen", z.B. bei Registry-Beschädigung oder nicht malwarebedingten Löschungen von Systemdateien
  • Datenrettung durch Wiederherstellen versehentlich gelöschter Partitionen, Wiederherstellen des MBR bzw. der Partitionstabelle (Testdisk)
  • Öffnen (Truecrypt/VeraCrypt)-verschlüsselter Partitionen (Festplatten) oder Container
  • Sichere, provisorische Internetnutzung über Modem, LAN, WLAN und UMTS
  • Änderung sensibler Zugangsdaten (Passwörter) nach Infektion des eigentlich genutzten Systems
  • Isolieren (Inquarantänestellen) von Schädlingen zur Vorbereitung weiterer Analysen
  • Prüfen von Datenträgern mit Virenscannern
  • Wiederherstellen vertrauenswürdiger Zustände bei infizierten Datenträgern aller Art (interne Festplatten, Wechseldatenträger, etc.)

Ihr seht die Möglichkeiten sind sehr vielfältig. Welche man im Zweifelsfall anwendet liegt an der Art der Problems. Es muß ja nicht immer eine Befall mit Malware sein.

*Download mit Anleitung einer Live-CD von Kaspersky

Weiterhin läßt sich die LiveCD bzw. das *.iso davon auf einen USB Stick ziehen mit dem Ihr dann über diesen Weg auf bein befallenes System zugreifen könnt. Wie das geht steht auf folgender Seite gut beschrieben.

*Kaspersky Notfall-CD auf USB Stick

Nun hoffe ich das Ihr alle relevanten Daten gesichert habt. Ist ja eigentlich ganz einfach mit der CD. Ihr könnt auf alles zugreifen und was nötig ist könnt Ihr Euch auf eine externe Platte ziehen und sichern. Aber nicht vergessen diese Platte vor Gebrauch der dort gesicherten Daten noch mal auf Malware zu prüfen.

Was jetzt kommt ist immer so ein spannendes Ding. Den Rechner neu aufsetzen. Ist ja eigentlich eine Sache von ca. 45min. Die eigentlche Arbeit geht dann aber erst später los. Die Programme alle neu installieren und einstellen, das ist die meiste Arbeit. Eine Beschreibung mit allen Hinweisen und Screenshots zu dem Thema gibt es in dem Link hier drunter. Damit sollte es eigentlich klappen. Das Thema Datenrettung habt Ihr ja dann schon hinter Euch und braucht Euch in diesem Bericht nicht mehr zu interessieren.

*Wie setzte ich Windows 7 neu auf?


_Ransomware

Was es ist habe ich weiter oben bereits kurz umrissen. Weitere Info's und Hilfe dazu findet Ihr rechts unter den Menus Ransomware und RansomwareDecrypter.

Ihr klickt auf einen Link in einer E-Mail, bei Facebook oder in einem anderen sozialen Netzwerk und schon habt Ihr die Seuche im System. Die folgenden beiden Tools helfen generell gegen Ransomware, Artenspezifische Tools sind aber eher unter den Ransomware Menus zu finden.

*Kaspersky WindowsUnlocker! Download mit Anleitung einer speziellen Anwendung für die Bekämpfung von Ransomware (z.B. BKA- / Ukash- / Gema-Trojaner)

*HitmanPro Vor wenigen Tagen von der Firma Sophos übernommen bietet auch Hitman ein Tool an womit Ihr sogenannte Ransomware bekämpfen könnt. Zu Hitman siehe auch den Menupunkt Antiviren- und Malwareprogramme.

Leider wird das Feature Kickstarter nicht mehr unterstützt und mußte dem Trial Tool Hitman Pro Alert weichen was es als 30 Tage Testversion gibt.

 

Resumee! Mit Malware befallene Systeme sind auch nach einer vermeintlichen Entfernung der Schädlinge nicht mehr als sicher einzustufen und sollten im Regelfall neu aufgesetzt oder mit einem zuvor erstellten, sauberen Image wiederhergestellt werden.


 

brainticket

 

 

 

Nach oben