WinFuture-Forum.de: CTB-Locker eingefangen, Ursache nicht auffindbar - WinFuture-Forum.de

Zum Inhalt wechseln

Windows 8: Alle News, ein umfangreiches Windows 8 FAQ, der Download sowie zahlreiche Screenshots und Videos zum neuen Betriebssystem von Microsoft. Jetzt im WinFuture Windows 8 Special informieren!
Seite 1 von 1

CTB-Locker eingefangen, Ursache nicht auffindbar


#1 Mitglied ist offline   Bootluder 

  • Gruppe: aktive Mitglieder
  • Beiträge: 187
  • Beigetreten: 13. März 09
  • Reputation: 3

geschrieben 06. Juni 2016 - 06:40

Hallo Leutz,
habe gerade ein Win 8.1 Notebook hier, wo alle persönlichen Dateien von einem CTB-Locker verschlüsselt wurden...das kennt man ja. Die Dateien wiederherzustellen, war nicht das große Problem...was mich aber nachdenklich macht ist, dass ich die eigentliche Ursache, also den eigentlichen Virus nicht finden kann. Der Nutzer verwendet Windows Mail als Mailprogramm und die letzten Mails scheinen alle sauber zu sein. Einziger Browser ist der IE11 und dessen Verlauf zeigt keinerlei Dubiositäten im Verlauf...
Ich habe so ziemlich jedes nennenswerte Programm drübergeschickt (Kaspersky, Sophos, MBAM...), aber keines findet etwas. Was könnte ich noch tun, um den Mistkerl zu finden?

PS: Der obligatorische Hinweis, dass es besser wär, das System neu aufzusetzen, ist nicht nötig. Hier in diesem Fall kann mans ruhig erstmal drauf ankommen lassen UND ohne den eigentlichen Verursacher gefunden zu haben, ist ein Neuaufsetzen des Systems auch keine absolute Sicherheit, da es ja praktisch sofort WIEDER passieren kann...

Hat jemand ne Idee?

THX, Bootluder
0

Anzeige



#2 Mitglied ist offline   NCC-1701 B 

  • Gruppe: aktive Mitglieder
  • Beiträge: 457
  • Beigetreten: 30. Juli 15
  • Reputation: 49
  • Geschlecht:Männlich

geschrieben 06. Juni 2016 - 07:38

ich würde da anfangen :

Zitat

Einziger Browser ist der IE11
drive by und so
Eingefügtes Bild
0

#3 Mitglied ist offline   Bootluder 

  • Gruppe: aktive Mitglieder
  • Beiträge: 187
  • Beigetreten: 13. März 09
  • Reputation: 3

geschrieben 06. Juni 2016 - 09:24

Okay...und wie könnte man so nem Kerl zuleibe rücken?
0

#4 Mitglied ist offline   Samstag 

  • Gruppe: aktive Mitglieder
  • Beiträge: 5.022
  • Beigetreten: 14. Juli 07
  • Reputation: 542
  • Geschlecht:unbekannt

geschrieben 06. Juni 2016 - 09:39

Egal wie er auf die Platte kam, wenn er die Dateien verschlüsselt hat muss er auf der Platte auch drauf sein. Ohne Programmdatei lässt sich nämlich nichts ausrichten.
Ich würde jetzt erstmal von einer Live-DVD mit Antivirus starten. Die finden meist mehr, da Windows so nicht gestartet ist und somit auch die Malware nicht reinpfuschen kann.
0

#5 Mitglied ist offline   bastelphillip 

  • Gruppe: aktive Mitglieder
  • Beiträge: 442
  • Beigetreten: 14. Juni 13
  • Reputation: 37
  • Geschlecht:Männlich

geschrieben 06. Juni 2016 - 11:37

Mit der Bitdefender Rescue CD habe ich in solchen Fällen gute Erfahrungen gemacht:

http://www.bitdefend...ue-cd-1249.html

Ansonsten ist so ein kompromittiertes System immer eine fragwürdige Angelegenheit, aber du schreibst ja,
dass es dir in diesem Fall eher um Testzwecke geht bzw. ob überhaupt irgendein "Schädling" gefunden werden kann.


0

#6 Mitglied ist offline   DON666 

  • Gruppe: aktive Mitglieder
  • Beiträge: 4.192
  • Beigetreten: 30. Oktober 03
  • Reputation: 496
  • Geschlecht:Männlich
  • Wohnort:Verden (Niedersachsen)
  • Interessen:PC, Xbox Series X

geschrieben 06. Juni 2016 - 12:00

Keine Ahnung, ob eine derartige RansomWare-Variante schon auf dem Markt ist, aber es kann ja auch durchaus sein, dass sich der ausführbare Teil nach erfolgreicher Arbeit selbst gelöscht hat.
Motörhead
Queens Of The Stone Age
Fu Manchu
Napalm Death
Liar
Grim Tales... ^^
SysProfile
"Is my cock big enough,
is my brain small enough
for you to make me a star?"
(Jello Biafra "Pull My Strings")
1

#7 Mitglied ist offline   Bootluder 

  • Gruppe: aktive Mitglieder
  • Beiträge: 187
  • Beigetreten: 13. März 09
  • Reputation: 3

geschrieben 06. Juni 2016 - 12:37

Jo, das ist auch MEINE Vermutung...Bitdefender läuft grad noch (danke Bastelphilip :-)), aber ich würde den Schweinehund schon gern finden wollen. Rein logisch betrachtet gibt es keinen Grund für den Virus, sich im System zu verankern, wenn die Dateien erstmal verschlüsselt sind und der Hinweis zur Lösegeldzahlung auf dem Desktop prankt. Aber mir wärs echt lieber, ich würde was finden...
Wenn man zB annimmt, dass der Schweinehund in nem Mail-Anhang oder so sitzt, dann ist dieser Anhang ja zwangsläufig noch da...schon etwas mysteriös...

So, Bitdefender ist durch, hat einen infizierten Mailanhang gefunden...hatte mich schon gefreut, aber leider ne Fake-Telekomrechnung vom November 2014...die wars sicherlich nicht :-( Allerdings juckt es mich in den Fingern, in nem Testsystem den Virus mal auszuprobieren *g*
Ansonsten bin ich recht ratlos...

Dieser Beitrag wurde von Urne bearbeitet: 06. Juni 2016 - 20:10
Änderungsgrund: Beiträge Verbunden. Urne

0

#8 Mitglied ist offline   Samstag 

  • Gruppe: aktive Mitglieder
  • Beiträge: 5.022
  • Beigetreten: 14. Juli 07
  • Reputation: 542
  • Geschlecht:unbekannt

geschrieben 06. Juni 2016 - 14:42

Na, dann wäre es aber nicht der CTB-Locker. Selbst der Lockscreen ist ja eine ausführbare Datei mit Uhr, Chatmöglichkeit und der Möglichkeit, die beiden Testdateien zu entschlüsseln. Normalerweise liegt das Programm dazu im temp-Ordner.
Wenn das jetzt natürlich einer ist, der seinen temp-Ordner jedesmal beim beenden von Tuningsoftware leeren lässt dann ist das natürlich auch weg.
0

#9 Mitglied ist offline   Bootluder 

  • Gruppe: aktive Mitglieder
  • Beiträge: 187
  • Beigetreten: 13. März 09
  • Reputation: 3

geschrieben 06. Juni 2016 - 15:06

Ach nee, da war nix mit Uhr und so...der hat einfach eine html-Datei als Hintergrundbild des Desktops eingestellt. Da stand dann was von Tor-Browser installieren und dem Link folgen. Eine ausführbare Datei gab es nicht..jedenfalls nicht das ich wüßte...

Beim Googeln fand ich Hinweise, dass es CTB-Locker sein müßte..war da auch so beschrieben, wie ichs vorgefunden hatte...

Dieser Beitrag wurde von Bootluder bearbeitet: 06. Juni 2016 - 15:07

0

#10 Mitglied ist offline   bastelphillip 

  • Gruppe: aktive Mitglieder
  • Beiträge: 442
  • Beigetreten: 14. Juni 13
  • Reputation: 37
  • Geschlecht:Männlich

geschrieben 07. Juni 2016 - 10:35

Es ist also völlig ausgeschlossen, dass der von Bitdefender gefundene Mailanhang nicht kürzlich geöffnet wurde? Vom Datum her würde das nämlich mit dem Erscheinen von CTB-Locker gut passen. Das habe ich im Netz dazu gefunden (Zitat) :

" Der CTB-Locker-Virus ist die neueste Ransomware, die Mitte Juli 2014 damit begonnen hat Computernutzer
anzugreifen. CTB Locker ist fast identisch mit den Viren Cryptowall-Virus, Cryptolocker, Cryptorbit und viele mehr.. "

Aber wie auch immer, wenn das nicht dein Notebook ist, würde ich dem betreffenden User empfehlen das System neu aufzusetzen und danach zuallererst ein fähiges Anti-Virus Programm zu installieren. Bitdefender oder Kaspersky wären da für mich persönlich die erste Wahl. Auch wenn das oftmals von selbsternannten "Experten" als Snakeoil abgetan wird, ist so eine zusätzliche Sicherheitsmaßnahme (erst recht bei weniger erfahrenen Usern) nicht zu unterschätzen.

Es erstaunt mich, wie viele Leute offenbar immer noch Mailanhänge vorbehaltlos öffnen, irgendwelchen
Browser Pop-Ups mit der Aufforderung "doch jetzt eben mal schnell dieses oder jenes Programm zu
installieren" bedenkenlos zustimmen und etc. Von fies-subtilen Drive-By Infektionen oder einer Infektion mittels präparierter USB-Sticks mal ganz abgesehen.

Dieser Beitrag wurde von bastelphillip bearbeitet: 07. Juni 2016 - 11:07

0

#11 Mitglied ist offline   Bootluder 

  • Gruppe: aktive Mitglieder
  • Beiträge: 187
  • Beigetreten: 13. März 09
  • Reputation: 3

geschrieben 07. Juni 2016 - 11:14

Na ja...was ist schon ausgeschlossen...ich werde die Leute nochmal eingehend befragen, das ist ja klar. Was allerdings dagegen spricht ist, dass das installierte Avira darauf sofort ansprang und den Virus erkannte, als es den Anhang scannte. Heißt, es hätte nicht zugelassen, dass der Nutzer die ZIP Datei öffnet und die enthaltene Rechnung.exe ausführt. Wer weiß...
0

#12 Mitglied ist offline   Doodle 

  • Gruppe: aktive Mitglieder
  • Beiträge: 4.765
  • Beigetreten: 09. Februar 12
  • Reputation: 863
  • Geschlecht:Männlich

geschrieben 15. Juni 2016 - 17:39

Beitrag anzeigenZitat (DON666: 06. Juni 2016 - 12:00)

Keine Ahnung, ob eine derartige RansomWare-Variante schon auf dem Markt ist, aber es kann ja auch durchaus sein, dass sich der ausführbare Teil nach erfolgreicher Arbeit selbst gelöscht hat.

So ist es. Und das ist auch der Regelfall, denn wenn der Locker noch auffindbar wäre, dann könnte man auch den Verschlüsselungsmechanismus auslesen und die Daten entschlüsseln.

Eine Live-CD ist in solchen Fällen immer angeraten, allerdings hat Antivir in den Fällen von Lockern echte Schwächen, AVG wäre in dem Fall wohl die bessere Wahl.
0

Thema verteilen:


Seite 1 von 1

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0