33Danke
Unter dem Sammelbegriff "BKA-Trojaner" ist bei uns in Deutschland eine ganze Reihe von Schadprogrammen bekannt, die den Anwender nach einem Neustart mit der Meldung erschrecken, auf seinem Computer seien illegale Filme, Warez oder Kinderpornographie entdeckt worden.
Gegen Zahlung einer vermeintlichen "Geldbuße" an die Erpresser soll man sein System wieder freischalten.
In den allermeisten Fällen lässt sich der BKA-Trojaner mit vergleichsweise einfachen Mitteln beseitigen.
Unter dem Namen TROJ_RANSOM.AQB ist nun erstmals eine solche Ransomware aufgetaucht, die den Master Boot Record der Systemfestplatte überschreibt und so den Windows-Start gänzlich verhindert.
Das Lösegeld soll in diesem Fall in der ukrainischen Währung Hrywnja bezahlt werden und beträgt umgerechnet rund 90 Euro, wie Heise berichtet.
Es dürfte jedoch nicht lange dauern, ehe die ersten "lokalisierten" Versionen des Schädlings auch in Deutschland auftauchen.
Entfernen lässt sich die Erpresser-Malware durch Reparieren des MBR mit der Installations-CD des jeweiligen Windows-Systems.
Anzeige
Den Verbrechern die solche Viren in Umlauf bringen sollte man öffentlich die Hände abhacken.
mfg Darth Ironwulf
Sorry für mein Unwissen:
Ich weiß, was der Master Boot Record ist, aber was passiert, wenn man den durch z.B. Paragon reparieren oder neu erstellen lässt?
Kann man bei so Viren den dann nicht einfach neu erstellen und die Sache ist zuende?
Oder gehen da die Daten alle verloren?
Wer noch zusätzlich Linux installiert hat oder von einer Linux Live-CD bootet,
dem hilft auch dieser Tipp: Bootsektoren sichern und wiederherstellen.
Soweit ich weiß, gibbet Fälle, wenn der MBR ein knacks am Paddel hat, das der MFT (Master File Table) auch geschrotet wird.
Dann kann man nur hoffen, das noch eine Sicherung existiert oder versuchen zu retten was zu retten ist mit einem File Restaurierungsprogramm
wie Ontrack Easy Recovery (Obwohl dieses Programm nicht alle Dateiordner fehlerfrei restaurieren kann).
tty.
Geändert von digitaldouchebag (20.04.12 um 09:24 Uhr)
-etwas ot-
Neues von der Virenfront. Diesmal haben sie sich mit dem Bootvorgang beschäftigt.
heise online | Malware blockiert Bootvorgang
tty.
Zu dem Thema hab ich schon ein paar Ecken im Netz abgegrast, leider wird mir alssicherheitstechnischem Volldummy (also Ø-user) nichts über die weiteren Eigenschaften solcher Zeckentools gesagt. Was tue ich, wenn der Trojaner in irgendeiner Ecke meines Rechenknechts eine kleine unscheinbare Staubmilbe hinterlässt, die mir nach erfolgreicher Recovery dann halt bei einem der nächsten Restarts ein Deja-Vu beschert?
Ich habe da die Fa. *Syma...* noch in lebhafter Erinnerung. Deren angeblicher Schutz-Mist hatte sich selbst nach Formatierung und Neuaufsatz immer wieder gemeldet.
Ach Leute Mensch macht euer Imagebackup wie immer & lasst euch nicht aus der Ruhe bringen.
@ Digi
Mit Deiner Signatur schießt du langsam aber sicher deutlich über das Ziel hinaus.
Geändert von 0815_neu (22.04.12 um 21:45 Uhr)
...... Falls alle Stricke reissen, fängt man eben einfach bei 0 an.
stay tuned! ^^
Schon klar & du hilfst dann gegebenenfalls für Kaffee & Kuchen oder einen schönen selbst gekochten Essen gerne persönlich dabei mit wenn es denn vonseiten der Entfernung her machbar ist oder wie?Zitat von digitaldouchebag
Geändert von 0815_neu (22.04.12 um 21:46 Uhr)
@Rev. Bumszack:
Ohne unbescheiden wirken zu wollen, würde ich mich selbst nicht als "Volldummy" bezeichnen - und dennoch bleibt es meine erste Empfehlung, nach einem Trojaner-Befall das System neu aufzusetzen, weil das Thema einfach zu komplex ist.
Gerade, wenn ich es für jemand anderen mache, das System danach also nicht selbst noch eine Weile beobachten kann, ist mir das zu heiß.
Wenn ein Image vorhanden ist, welches ganz sicher vor dem Befall angelegt wurde, dann kann man auch dieses zurück spielen.
Was Du da am Ende des Beitrags beschreibt, klingt mir eher nach der Wiederherstellung einer Vorinstallation bei einem Komplett-PC.
Da sind natürlich alle Gratis-Zugaben, die der Hersteller freundlicherweise mit drauf gepackt hat, wieder vorhanden.
@Supi: Danke für die Antwort, aber meine Sorge geht in einer anderen Richtung. Selbstverständlich setze ich bei jedem Befall das System neu auf. Das habe ich auch mal vor 5 od. 6 Jahren gemacht, nachdem mir der Unsympantec Virendreck einen Befall gemeldet hatte. Alle 3 Partitionen gelöscht und Format C für die ganze Platte. Anschließend XP drauf von der Original CD. Bevor ich irgendetwas installieren konnte, fragte ein Splashscreen, ob ich Norton wieder installieren wolle.
Für mich bedeutete das, dass irgendwo noch sowas wie ein Cookie im System stecken musste. Es hat dann noch 2 weitere Versuche gedauert, bis die Rückfrage nicht mehr kam.
Meine Frage ging dahin, ob jemand diese offensichtlich vorhandene Möglichkeit mit einem Trojaner sich zu Nutze machen kann. Und was in solch einem Fall eine konkrete Maßnahme wäre. Vielleicht hat ja einer schon ähnliche Erfahrung gemacht und war z.B mit Eraser (35-fach?) erfolgreich. Bevor ich das im Ernstfall selbst probiere (das dauert bei 2x2TB!), wollte ich mal fragen, ob jemand was weiß, bzw. ob mein damaliger Verdacht doch falsch war.
Ein fertiges System mit all der Ramschware drauf hab ich noch nie besessen, immer selbst gesteckt. (Außer diesem kleinen niedlichen Schlepptopp hier, aber da hab ich mir die vorinstallierten Programme beim Händler löschen lassen. Seit ca. 14 Monaten keinerlei Vorkommnisse.)
Auf einer formatierten Platte kann sowas eigentlich nicht mehr vorhanden sein. Es wäre jedoch möglich, dass sich dieser Mist von einer verstecken Recovery-Partition wieder installieren wollte.
Bei einem System "Marke Eigenbau" ist aber auch das eher unwahrscheinlich.
Ich habe allerdings auch keine bessere Erklärung - will sagen: Ich weiß es nicht.
Berechtigungen
LinkBack URL
Über LinkBacks
Zitieren
Lesezeichen