Hallo Computerexperten,
als „kleines Weihnachtsgeschenk aus dem Internet“ habe ich mir auf einem meiner Laptops einen Erpresser-Trojaner eingefangen (RSA-2048 encryption), der an Fotos, Word-Dokumente und einige wenige mp4-Videos die Endung „.ccc“ angehängt hat, so daß diese sich nicht mehr öffnen lassen. Ein Erpresserschreiben, daß ich die Daten wieder „freikaufen“ kann, war auch dabei.
Das alles ist zwar ärgerlich, aber (noch) nicht dramatisch, weil ich einige Tage zuvor alle wichtigen Daten dieses Computers auf eine externe Festplatte übertragen habe.
Auf diesem Laptop sind drei Betriebssysteme installiert: zwei Linuxvarianten sowie ein älteres Windows (welches ich nur noch sehr selten - und dann fast nie für Internet - nutze). Ich vermute, daß ich mir den Trojaner eingefangen habe, als ich mir unter Windows zu Testzwecken ein kleines Diashow-Programm aus dem Internet geladen habe. Danach hatte ich nämlich noch allerlei andere kleine ungewollte Progrämmchen mit auf dem Rechner, die ich schnell wieder gelöscht habe. (?)
Alle drei Betriebssysteme sind in jeweils unterschiedlichen Partitionen installiert, haben aber Zugriff auf eine weitere Partition, auf der sich auch die nun verschlüsselten Dateien befinden. (Es sind aber nicht alle Daten verändert: einige Fotos, Word-Dokumente – und fast alle mp4-Videos lassen sich noch immer öffnen.)
Nun stellt sich mir die Frage, wie ich mit dem Rechner weiter verfahren soll: Reicht es, nur Windows zu löschen (und ggf. neu aufzusetzen) – oder sollte ich besser die ganze Festplatte „plattmachen“ und alles neu aufsetzen ??? Sollte ich vielleicht sogar vorsichtshalber low-level-formatieren?
Ich benutze auf diesem Laptop – vor allem im Zusammenhang mit dem Internet – fast nur noch Linux (Mint). Kann es dennoch sein, daß mein Rechner – aufgrund des Zugriffes auf die verseuchte Partition - auch aus dem Linux heraus den Tojaner (über meinen Mail-Verkehr bzw. Wechseldatenträger) weiter verbreiten könnte ???
Die Duplikate der betroffenen Dateien lagern derzeit auf der externen Festplatte. Muß ich nun befürchten, daß ich durch Anschließen derselben den Tojaner auf andere Rechner übertragen könnte?
Was würdet Ihr mir raten, wie ich nach „diesem Scheiß“ weiter verfahren sollte ???
wenn ich das richtig lese ist die Malware nur auf Windows aktiv, d.h. unter Linux dürfte das Problem nicht auftreten.
Meine persönliche Meinung: Wenn Du die Daten eh gesichert hast UND mit Linux klar kommst: Mach den Rechner KOMPLETT platt, installier dir dein Linux Mint auf der gesamten Festplatte und gut. Lass das mit den Partitionen (außer Du hast nen sehr guten Grund für Windows oder die zweite Linux Partition) und hol dir lieber VMware Player oder VirtualBox (beides für den Privatgebrauch kostenlos) und installier dir da dein Windows
Hallo Wolfgang, vielen Dank für Deine schnelle Antwort!
Ich weiß leider nicht genau, ob der Trojaner sein schändliches Treiben auf Windows begrenzt. Seitdem ich um die Infektion weiß, hab ich Windows nur noch ganz kurz einmal gestartet um zu probieren, ob eine Systemrückstellung möglich ist (geht nicht) - und seitdem nicht wieder genutzt.
Wie schon beschrieben, sind nicht alle möglichen Fotos, Word-Dateien und Videos verschlüsselt. Vielleicht, weil der Trojaner nicht fertig geworden ist - und nun keine Gelegenheit mehr hat, wenn kein Windows läuft. Aber das sind nur meine Vermutungen.
Das Daten-Zerstören ist aber nur ein Problem. Mich bewegt zudem die Frage, ob sich der Scheiß nicht auch unter Linux über E-Mails ins Netz - bzw. Wechseldatenträger auf meine anderen Computer übertragen könnte ???
Die Daten sind zwar gesichert - aber ist nun auch der Virus mit gesichert? - und wartet nur, bis wer wieder zuschlagen bzw. weiterwandern kann?
Ich habe mal nach VMware Player und VirtualBox gegoogelt. Ersteres ist wohl nur auf Englisch zu kriegen - und da bin ich nicht ganz so fit. Und das zweite soll laut Chip.de andere Systeme (so auch Linux) unter Windows laufen lassen. Ich bräuchte aber die „Gegenrichtung“.
Bei Linux gibt es etwas, das „Wine“ heißt, und Windows unter Linux simulieren soll. Das habe ich mal angetestet, bin aber nicht weit gekommmen und habe es wieder gelassen. Dafür bin ich wohl bisher noch nicht gut genug mit Linux vertraut.
Hast Du Erfahrungen, ob doch - und wie - man mit VirtualBox von Linux aus Windows XP simulieren kann? Ich habe ein altes Windows-Programm, für das ich bisher keine gleichwertige Alternative unter Linux gefunden habe.
das kann ich dir leider auch nicht sagen. Ich weiß, dass es inzwischen auch entsprechende Javascript-Viren gibt, die unter Linux laufen. Deshalb kann ich dir kein absolutes Ja oder Nein antworten. Aber du solltest doch auf deinen Linuxen das recht einfach selbst raus finden können, wenn Du dort nach deinen Dokumenten schaust (wirst schon ein paar lokal liegen haben) ob die auch verschlüsselt sind.
Und weiter: Niemand kann dir sagen ob deine Datensicherung nicht auch betroffen ist und darüber der Virus weiter verbreitet wird - wobei IMHO der Weg über HTML-Seiten und ähnliches deutlich einfacher geht als über die automatische Ausführung bei einem Datenstick.
Ich arbeite seit über 8 Jahren mit Linux und VMWare und lass darin Windows laufen und betreib meine Softwareentwicklung. Daher klares Ja das geht.
Virtualbox kannst du bei Mint einfach über die Softwareauswahl nachinstallieren, bei VMWare musst Du das Installationspaket runter laden (vorher dich leider anmelden, tut aber nicht weh) und dann starte ich das i.d.R. direkt von der Konsole aus. VMWare nutze ich lieber, weil die Unterstützung (USB, Grafik) deutlich besser ist.
Falls Du VMWare nutzt und du damit nicht klar kommst, kann ich dir auch ggf. ne kurze Anleitung schicken wie Du eine VM einrichtest und darin dann WIndows installieren kannst.
Wine würde ich nicht nutzen - VMWare ist für mich da klar überlegen
VirtualBox ist für Linux genauso verfügbar wie für Windows. Wenn das Chip wirklich schreib, es wäre nur für Windows verfügbar, ist das Quatsch. Auf der Website von VirtualBox gibt es kompilierte Versionen für die verschiedensten Betriebssysteme, unter anderem Ubuntu (also auch Linux Mint). In den Repositories (also verfügbar über den Paketmanager) ist es auch drin bei Linux Mint, ist aber nicht die aktuellste Version. Musst du selber wissen ob du die neueste Version brauchst und lieber von der Website installierst, oder ob dir die ältere Version in den offiziellen Quellen reicht.
Dennoch finde ich den Ansatz, alles zu löschen und neu aufzusetzen hier erstmal unnötig. Habe ich es richtig verstanden, dass der „Trojaner“ auf Skript-Kiddie-Niveau arbeitet? Du hast gesagt er hätte an Dateien eine neue Dateiendung dran gehängt. Kannst du diese nicht einfach umgehen, oder schreibt das Programm das etwa sofort wieder zurück? In beiden Fällen - besonders aber im ersten - würde ich diesem Trojaner mal pauschal nicht allzu viel zutrauen, als dass du Angst haben müsstest es würde sich (auch) unter Linux verbreiten. Ist natürlich nicht ausgeschlossen, dass er von Linux her kommt, aber es ist sehr viel unwahrscheinlicher, zumal du anscheinend einen begründeten Verdacht hast, er käme durchs „offene Fenster“ (Windows… badum-tss) rein.
Ich würde mal einige/alle Dateien wieder zurück umbenennen und gucken ob die Dateien danach wieder „gesperrt“ werden, nachdem du einige Zeit nur Linux verwendet hast und anschließend wenn du mal ein wenig unter Windows unterwegs warst. Auch könntest du dir mal die Liste der laufenden Prozesse unter Windows angucken, da sieht man manchmal recht schnell etwas verdächtiges. Bei allen Prozessen, die dir seltsam vorkommen, auch mal den Dateispeicherort (Rechtsklick > „Dateispeicherort öffnen“ (o.Ä.)) angucken. Bei schlecht programmierten Viren ist es manchmal ziemlich offensichtlich. Wenn dir die Datei verdächtig vorkommt, gegebenenfalls auf virustotal.com hochladen und gucken, wie viele Scanner dort Alarm schlagen. Wenn du willst, kannst du auch mal nen Screenshot der Prozess-Liste im Task-Manager machen, vielleicht kann hier jemand auf Anhieb was erkennen.
Da du anscheinend Angst hast, der Virus könnte sich durch die „gesperrten“ Dateien selbst weiterverbreiten: Es braucht immer etwas, das den Virus startet. Ein Virus kann also nicht wirklich in einer MP4-Datei oder einem Foto drinnen sein. Theoretisch ist es möglich, dass er sich als Makro in ein Word-Dokument einnistet, aber dazu muss das Word-Dokument auch erstmal im Makro-Format für Word-Dookumente gespeichert sein (Endung dotm), was man normalerweise nicht tut (außer man verwendet selber absichtlich Makros natürlich). Solange es nicht um Programme, sondern nur um „passive Dateien“, geht, kann ein Virus also generell nicht einfach in eine Datei schlüpfen um dann weiterzuwandern (Ausnahmen gibt es natürlich, aber das ist i.d.R. komplizierter).
Das Wort „Skript-Kiddie“ ist mir bisher noch nie begegnet - und ich kann auch nicht beurteilen, auf welchem Niveau der Trojaner arbeitet. Aber er ist im Internet mehrfach beschrieben.
Er hängt an die normale Endung (.doc, .mp3, .mp4) noch einen Punkt und dreimal ein „c“ an. (Sieht dann z.B. so aus: „DateiXYZ.mp3.ccc“) Wenn man das Anhängsel weglöscht, kann man die Datei trotzdem nicht wieder öffnen. Es kommt nur eine Meldung: „Es ist ein Fehler aufgetreten - Die Art des Datenstroms konnte nicht ermittelt werden“. In allen Ordnern, in denen sich so unbrauchbar gemachte Dateien befinden, befinden sich nun auch zwei neue Dateien - eine mit Namen „how_recover_iqk.HTML“ und eine „how_recover_iqk.TXT“. Beide Dateien enthalten folgenden Text:
"What happened to your files?
All of your files were protected by a strong encryption with RSA-2048
More information about the encryption RSA-2048 can be found here: http://en.wikipedia.org/wiki/RSA_(cryptosystem)
What does this mean?
This means that the structure and data within your files have been irrevocably changed, you will not be able to work
with them, read them or see them, it is the same thing as losing them forever, but with our help, you can restore them.
How did this happen?
Especially for you, on our server was generated the secret key pair RSA-2048 - public and private.
All your files were encrypted with the public key, which has been transferred to your computer via the Internet.
Decrypting of YOUR FILES is only possible with the help of the private key and decrypt program, which is on our Secret Server!!! *
What do I do?
Alas, if you do not take the necessary measures for the specified time then the conditions for obtaining the private key will be changed.
If you really need your data, then we suggest you do not waste valuable time searching for other solutions becausen they do not exist."
Danach kommt dann die Anweisung, wie man das Geld überweisen soll.
Daß ich mit meinem begrenzen Computerwissen bei gestartenem Windows schnell verdächtige Prozesse von harmlosen unterscheiden kann, ist eher nicht anzunehmen. Darum neige ich dazu, das Windows „platt zu machen“ und ggf. neu zu installieren - denn das habe ich schon mehrfach gemacht. Meine Frage hierbei ist, ob ich mit dieser Keule dann den ganzen Trojaner „platt“ kriege - oder ob er sich bzw. einen Ableger etwa auf der externen Festplatte mit den Kopien mitkopieren lassen hat - und dann bei Rückübertragung der Daten auf den Laptop auch wieder mit da ist - und erneut zuschlägt ???
Außerdem bewegt mich die Frage, ob ich durch Anschließen der Externen an einen anderen Rechner evtl. den Virus/Trojaner (bzw. einen "Ableger) dorthin übertragen könnte ???
Ich habe keine Angst, daß er sich „durch die gesperrten Daten“ weiter verbreitet. Die will ich ja löschen. Habe ja schließlich die (noch) intakten Kopien. Ich habe nur keine Ahnung, wie so ein (bzw. speziell dieser) Trojaner/Virus genau funktioniert, wo er sich „einnistet“, was ihn startet, nach welchen Kriterien er Daten auswählt und verändert, ob er „überwintern“ und sich verbreiten kann ??? Ich habe noch nie Word-Dokumente im Makro-Format gespeichert - und somit auche keine (selbst erstellten) Dateien mit der Endung „dotm“ auf dem Rechner.
Mich würde brennend interessieren, wie andere Betroffene mit dem Problem - bzw. ihrem Rechner nach solch einer Infektion - umgegangen sind !!!
Woher weißt du das? Okay, ich weiß es jetzt auch nach OPs weiteren Antwort, aber davor hatte ich den Eindruck, dass der Trojaner tatsächlich lediglich die Dateiendung geändert und nicht den Inhalt ebenfalls verschlüsselt hat. Das ändert natürlich einiges.
Nun gut - offensichtlich handelt es sich durchaus um was bösartigeres. Ich hatte von deinem ersten Post den Eindruck, dass lediglich die Dateiendung geändert wurde, was für mich sehr nach etwas aussieht, was jemand zum Spaß tun würde, der sich nicht genug auskennt um einen „richtigen“ Trojaner zu schreiben - eben ein Scriptkiddie.
Ich könnte mir vielleicht mal die Liste der bei dir laufenden Prozesse angucken, vielleicht entdecke ich auf Anhieb etwas. Aber wenn du kein Problem damit hast dein Windows neu aufzusetzen - oder dich mit VirtualBox zu beschäftigen (wo du das Windows ebenfalls erstmal frisch installieren musst), damit du kein physisches Windows mehr brauchst - , dann ist das vielleicht die bessere Lösung. Basierend auf dem heise-Security-Artikel, den Christa verlinkt hat, würde ich dem Trojaner dann doch etwas mehr zutrauen, sodass man nie ganz sicher sein kann, ob man jetzt alle Reste erwischt hat. (Auf der anderen Seite würde sich das ja bemerkbar machen, wenn der Trojaner wieder zuschlägt und wenn er das nicht mehr tut weiß man eigentlich, dass man ihn entfernt hat.)
Wenn der Trojaner über das Windows hinein kam und auf deiner anderen Partition (also nicht die Windows-Partition) sich keine Programme befinden (ausführbare Dateien), dann kannst du eigentlich sicher sein, dass ein Löschen der Windows-Partition den Virus restlos entfernt. Es wäre schon ein ziemlich bemerkenswerter Virus, wenn er sich auf die Linux-Partitionen verbreiten kann. Falls du aber Programme auf dieser anderen Partition hast, kann man natürlich nicht ausschließen, dass der Virus sich in diese einnistet. Ob so etwas wahrscheinlich ist, kann ich dir leider auch nicht sagen, dazu ist mein Wissen ebenfalls zu begrenzt.
Ich würde jetzt zuerst versuchen, den Virus aus dem Windows zu entfernen oder das Windows neu aufzusetzen. Dann würde ich die Dateien von der externen Festplatte wieder auf deine interne Datenfestplatte kopieren und gucken, was passiert - am besten mit dem neu aufgesetzten Windows oder einem Live-Linux kopieren, damit deine externe Festplatte nichts abbekommt. Falls die kopierten Daten danach wieder verschlüsselt werden, muss der Virus im Linux sitzen; falls nicht, war er im Windows und ist jetzt tot.
Das Anschließen der Externen an ein nicht infiziertes System ist nicht gefährlich - ein Virus muss immer durch irgendetwas gestartet werden und solange du die Festplatte nur anschließt und keine Programme von der Festplatte startest, die möglicherweise infiziert sein könnten, bist du sicher. (Natürlich aufpassen, dass sich ein Programm nicht als vermeintlich ungefährliche Videodatei oder sowas tarnt, indem es sich das Symbol einer Videodatei gibt und als Dateinamen „videodatei.mp4.exe“ wählt - was es durch das „exe“ zu einem Programm macht, und bei ausgeblendeten Dateierweiterungen (Standard in Windows) als „videodatei.mp4“ aussehen lässt.)
Vermutlich: Ja, du wirst ihn damit platt kriegen. Möglich: Nein, wenn auch sehr unwahrscheinlich, er steckt im Linux. Aber das würdest du wie gesagt herausbekommen, indem du die Dateien zurückkopierst und guckst, was passiert. Selbst wenn der Trojaner sich irgendwo auf der externen Festplatte eingenistet hat (wobei ich mich da fragen würde, warum er sie nicht ebenfalls verschlüsselt hat), muss irgendwas das Ding starten. Und wenn du nur „passive“ Dateien wie Videos, Fotos, Word-Dokumente ohne Makros etc. da drauf hast, wird nichts davon den Virus starten können. Er könnte sich als „passive“ Datei verstecken, z.B. indem er sich das Icon eines Videos gibt oder sowas, aber da musst du immer noch erstmal selbst aktiv werden und es dem Virus erlauben gestartet zu werden. Nachdem du dein Windows neu aufgesetzt / bereinigt hast, kann ein gründlicher Virenscan nicht schaden. Eventuell auch einige Tage später nochmal scannen, falls der Trojaner brandaktuell ist und die Virusdefinitionen, welche es dem Virenscanner erlauben diesen zu identifizieren, erst noch kommen.
Dennoch kann es nicht schaden, die Kopien auf der Externen erstmal nicht nach Übertragung auf den Computer zu löschen, sondern noch etwas zu behalten, falls doch noch was passiert - egal wie unwahrscheinlich es ist.
Da kann ich dir nicht weiterhelfen, aber vielleicht findet sich durch Stöbern hier etwas: http://www.trojaner-board.de/
Dort kannst du auch dein Problem schildern und dort sind Leute die dir sehr professionell helfen. Aber wenn du sowieso bereit bist, dein Windows zu töten, hätte sich die Sache vermutlich sowieso erledigt. Aber dort findet du möglicherweise versiertere Antworten auf die Frage, ob Linux-Systeme ebenfalls infiziert sein könnten, wozu ich letztlich nur die Bauchgefühlseinschätzung „höchst unwahrscheinlich“ abgeben kann.
Nichts für ungut, aber kannst du nicht lesen? Mir ist bewusst, dass ein Dateien verschlüsselnder Trojaner weitaus mehr ist als das Werk von irgendeinem dahergelaufenen Möchtegern-Bösewicht. Aber dieser Umstand war bis dato nicht klar.
EDIT: Und warum bekommt diese ver***-schönte Forensoftware es nicht hin, Kommentare hierarchisch korrekt anzuordnen?? Aufgrund dessen würde ich vorschlagen wir belassen diese kleinliche Diskussion, da das hier nur alles zumüllt, mit: Meine ursprüngliche Annahme war fehlerhaft, aber nicht völlig unbegründet.
Vielen vielen Dank, für Deine ausführliche Antwort! Das ist ja schon fast 'ne kleine Doktorarbeit, so ausführlich …
Das Windows auf dem Laptop platt zu machen, ist beschlossenen Sache !!! Seitdem ich es nicht mehr gestartet habe, habe ich auf der mit Linux gemeinsam genutzten Partition keine negativen Veränderungen mehr bemerkt – und schlußfolgere daraus, daß der Virus wohl doch nur unter Windows arbeiten kann.
Es waren zwar sehr viele – aber dennoch nicht alle mp3-, mp4 -und doc-Dateien betroffen. Wenn ich so darüber nachdenke, kommt die Vermutung auf, daß der Trojaner vielleicht einfach nicht fertig geworden ist, sein Werk zu vollenden, weil ich das Windows seit der vermuteten Infektion nur ein paar Mal ganz kurz hochgefahren habe.
Allerdings hatte ich (wenn ich mich recht erinnere) – die Externe mal mit angeschlossen. Dabei könnte sein, daß der Trojaner einfach nicht genug Zeit hatte, sich diese „vorzunehmen“, da er ja schon mit der Internen nicht fertig geworden ist.
Ich habe auch einen nicht mit dem Internet verbundenen PC mit XP drauf, den ich gelegentlich für spezielle Sachen mit alten Programmen noch nutze. Und auf den möchte ich den Trojaner möglichst nicht übertragen. Das „Laptop-Windows“ liegt mir nicht am Herzen,- der PC aber schon.
Auf der Externen befindet sich außer passiven Daten wie Fotos, Musik und Videos allerdings auch ein Ordner mit Kopien aller möglicher Programme und Treiber, die sich mit den Jahren so angesammelt haben. Wenn ich die alle lösche bzw. auf eine DVD übertrage, müßte die Wechselplatte dann eigentlich relativ „sauber“ sein – oder vielleicht doch nicht?
Danke für den Tip mit dem Trojaner-Board. Damit werde ich mich demnächst beschäftigen. Es ist schon Scheiße !!! - wie durch so einen Mist Zeit geklaut wird. Immerhin, Geld konnten diese Schweinehunde von mir wenigstens nicht erpressen.
Vitual Box hab ich installiert und kurz ausprobiert. Bin aber bisher nicht begeistert. Der virtuelle Bildschirm ist zu klein – und wenn ich die Einstellung verändere, kriege ich es trotzdem nicht hin, daß der volle Monitor genutzt wird. USB und die zweite Partition mit den Daten werden nicht erkannt. Das alles mühsam hinzubiegen riecht nach viel Zeitinvestition und Frust. Das kommt jetzt erstmal ganz hinten auf die Liste.
Trotzdem: Danke nochmals – für die guten Ratschläge !!!
Ob es nun notwendig oder sinnvoll ist diesen Ordner mit Programmen und Treibern zu löschen --> Trojaner-Board, oder Antworten von anderen Leuten. Ich weiß, dass es technisch wohl möglich wäre, aber wie wahrscheinlich es ist, da kann ich nichts zu sagen. Bevor du die löschst, also am besten Leute fragen, die sich besser auskennen. Wobei du auch mit der Suchfunktion in dem Ordner mit den Programmen dir alle *.exe-Dateien suchen lassen könntest, so dass du alle ausführbaren Dateien in einer Übersicht hast, und dann das Änderungsdatum der Dateien anguckst (indem du nach dem Änderungsdatum sortierst beispielsweise). Wenn das entsprechend lange zurückliegt für alle Dateien, wurde daran wohl nichts geändert, würde ich naiv sagen. Inwieweit man - bzw. der Trojaner - das Änderungsdatum einer Datei aber manipulieren kann, weiß ich ebenfalls nicht.
Was VirtualBox angeht: Die Größe des virtuellen Bildschirms kannst du bei einem in der VirtualBox installierten Windows ändern, indem du einfach die Windows-Auflösung (in der virtuellen Maschine) änderst. Das Fenster passt sich dann in der Größe an. Man kann auch den Vollbild-Modus wählen und die native Auflösung des Monitors, dann merkt man den Unterschied zwischen virtuell und reell garnicht mehr auf Anhieb.
Leider kann man direkten Zugriff auf eine reelle Festplatte oder Partition nicht so einfach bewerkstelligen mit VirtualBox, andere Programme können das wohl besser. Aber wenn es dir nur um Zugriff auf die Dateien geht (also nur auf Dateisystemebene und nicht direkten Zugriff auf die Festplatte selbst), könntest du die Partition als „Shared Folder“ (Gemeinsamer Ordner auf deutsch glaube ich) einbinden. Im Einstellungsmenü der virtuellen Maschine unter „Gemeinsamer Ordner“ (?) einen neuen hinzufügen und als Ordnerpfad den Pfad zur Partition angeben (also „E:“, falls die Partition Buchstabe E hat). Dann erscheint die Partition im Betriebssystem der virtuellen Maschine als Netzlaufwerk im Arbeitsplatz, glaube ich.
Angeschlossene USB-Speichermedien könntest du über die gleiche Methode der virtuellen Maschine zugreifbar machen, wobei man im Kontextmenü „Geräte > USB Geräte“ eigentlich ein angeschlossenes Gerät auswählen können müsste, welches dann an die virtuelle Maschine „weitergeleitet“ wird.
