Was ist zu tun bei einem Befall durch Verschlüsselungstrojaner?

Es ist doch mit jeder neuen Bedrohung so, dass irgendjemand auf Tricks herein fällt und ein neuer Trojaner durch die Leitungen geistern kann. Vielleicht springt er auch von Datei zu Datei und verschlüsselt fleissig was er findet, ebenso die Netzlaufwerke in Windowssystemen. Aber das ist eigentlich schon kalter Kaffee und es passiert weltweit ständig. Interessant wird es, wie man diese nervige Software wieder vom System bekommt, denn eines ist klar:

Die Daten sind weg!

Wenn nun doch ein Backup vorhanden ist, lassen sich Daten wieder bequem einspielen. Im privaten Bereich holt man sich die Daten hoffentlich von der externen Festplatte oder vom NAS. Im Unternehmen hat man dazu entweder ein etwas älteres Bandlaufwerk oder die Daten sind über die sogenannten Schattenkopien wieder herstellbar. Aber schauen wir uns alles im Detail an.

Der Verschlüsselungstrojaner ist da, was soll ich tun?

Ruhig bleiben, denn Panik ist hier fehl Platz. Weder den Trojaner, noch die Erpresser interessiert das. Wir haben es hier mit gefühlsloser Software zu tun, also gehen wir auf gleiche Weise vor. Es gibt zwei Möglichkeiten:

  1. Wir bezahlen das Geld und geben den Erpressern nach, wie das FBI momentan rät (Empfehlung des FBI: Bei Erpressungstrojanern klein beigeben und bezahlen)
  2. Wir finden die Quelle des Trojaners, versiegeln diese und entfernen den Trojaner vollständig aus dem System. Anschließend stellen wir die Daten aus dem Backup wieder her.

Warum bezahlen nicht hilft?

Ich behaupte, dass ein Bezahlen nicht wirklich zum Erfolg führen kann. Warum? Ganz einfach. Wenn ich ein Erpresser bin und das Geld auf meinem Konto liegt, dann interessiert es mich nicht, ob die User an Ihre Daten kommen. Ich habe mein Geld und bin fertig. Gleichzeitig gibt es Stimmen die sagen:

Wenn man bezahlt, bekommt man den Schlüssel zur Wiederherstellung, damit man bei zukünftigen Infektionen wieder zahlt und sich darauf verlassen kann.

Davon halte ich nichts. Die Chance ist 50/50, das eine Bezahlung zum Erfolg führt, auch wenn ein Erpresser bereits einmalig gezahlt hat. Zahlt er ein weiteres Mal? Ich würde einem Erpresser grundsätzlich nicht trauen und stelle mich gegen die Empfehlung das FBI.

Was mache ich ohne Backup?

Beten! Obwohl das meistens nicht hilft, denn die Daten Entschlüsseln sich nicht eigenständig. Was wir aber machen können ist recherchieren! Denn nicht immer sind die Erpresser so schlau, wie sie meinen. Sie vergessen oft eine wichtige Tatsache, nämlich ihre Menschlichkeit. Diese führt offensichtlich zu Fehlern, so wie auch zu Fehlern in der Implementierung und wer AES oder RSA nicht fehlerfrei entwickelt, wird Lücken hinterlassen, die wir nutzen können.

Damit meine ich nicht, dass wir User nun Reverse Engineering anwenden müssen. Es gibt viele Hersteller, die dies professionell für uns erledigen, und uns Hilfe in Form von kostenloser Software liefern. Mit dieser können wir verschlüsselte Daten wieder herstellen, da diese schlampig verschlüsselt worden sind. Hilfe zu einzelnen Trojanern findet man hier:

Diese Anleitungen samt Software wurden entwickelt, da die Implementierungen fehlerhaft sind. Damit ist die Verschlüsselung bei manchen Trojanern fehlerhaft und somit leicht angreifbar. Ganz einfach kann ich das an Hand vom RSA Algorithmus darstellen. Denn beim RSA Algorithmus benötigt man zwei Primzahlen, die mit einander multipliziert werden. Ist eine der beiden Zahlen keine Primzahl, gibt es einen Teiler, der wesentlich kleiner ist als der eben gerade erzeugte Schlüssel. Damit scheitert die gesamte Implementierung und ein “Aufbrechen” der Verschlüsselung wird ermöglicht.

Wie werde ich den Trojaner wieder los?

Im vorherigen Abschnitt geht es nicht um das Entfernen des Trojaners, sondern um das Entschlüsseln der Dateien. Das heißt:

Die Software ist noch im System!

Und damit haben wir ein Problem, denn die Software könnte noch aktiv sein und wieder verschlüsseln. Natürlich können wir mit den passenden Tools unter Umständen wieder entschlüsseln, aber das ist nicht zielführend, dann wird drehen uns damit sprichwörtlich im Kreis.

Grundsätzlich gibt es zwei Ansätze, die beide Vor- und Nachteile vorweisen können:

  1. Wir entfernen den Trojaner mit spezieller Software, die uns tausende Anleitungen im Netz geben.
  2. Wir löschen das gesamte betroffene System und setzen es komplett neu auf.

Der Trojaner wird manuell entfernt

Im Normalfall hat die dafür vorhergesehene Antivirus Software auf dem Rechnersystem versagt und der Trojaner kann sein Unheil anrichten. Dadurch wurde er AV Scanner mit großer Wahrscheinlichkeit deaktiviert. Dies lässt sich in den Diensten prüfen. Unter Windows 8.x und Windows 10 die Windows Taste drücken und “Dienste” oder “services.msc” eintippen. Das erste Ergebnis passt meistens. Dort sucht man sich die passenden AV Dienste (McAfee, Avira etc.). Sind die Dienste deaktiviert sollte man versuchen diese wieder zu starten.

Im Anschluss müssen andere Tools her, die zusätzliche Arbeit leisten:

  • HijackThis – Damit wird ein detailliertes Log über die letzten Aktivitäten auf dem Rechner durchgeführt. Erfahrngsgemäß findet man seltsam benannte ausführbare EXE Dateien wie hdiocijoso837e80s0d.exe oder ählniches. Das deutet bereits auf den Ort hin, an dem der Trojaner ist/war.
  • MalwareBytes – Die kostenfreie Variante erkennt sehr viele Dinge, die als Artefakte übrig geblieben sind und entfernt werden müssen.
  • AdwCleaner – Löscht alle möglichen Überreste, die in die AdWare Kategorie fallen. Ein Rechnerneustart könnte durchgeführt werden.

Blog aktiv unterstützen

Das gesamte System wird gelöscht und neu aufgesetzt

Dies ist die pragmatischste Vorgehensweise und nicht sehr zeitintensiv, verglichen mit der manuellen Entfernung des Trojaners. Eine Neuinstallation des Windows Systems wird alle Daten löschen und ihr könnt weiter damit arbeiten. Lediglich die Einrichtung muss manuell wieder erfolgen. Entweder wird das im privaten Umfeld manuell gemacht, oder ihr habt eine Domäne und ein Softwareverteilungssystem, dass alles automatisch einrichtet.

Rootkits sitzen so tief im System, dass eine Neuinstallation des Betriebssystems nichts bringt.

Es gibt nur noch ein Problem, auf das ich erst jetzt eingehen möchte. Dieses Problem teilen sich beide Methoden, denn Trojaner sind schlau und fressen sich als Rootkit so in das System, dass eine Neuinstallation und vorherige Löschung der Festplatte, keine Wirkung aufweist. Hierfür sind spezielle Tools nötig.

Im geschäftlichen Umfeld bieten sich diverse Systeme an mit denen man automatisiert Rechner neu installieren kann. Rootkits werden zwar nicht entfernt, aber nach dem diese schädliche Software entfernt worden ist, lässt sich eine Installation ganz bequem mit Microsoft SCCM durchführen lassen.

Rootkits entfernen

Ist ein Trojaner als Rootkit im System verankert, muss er auf besondere Art und Weise entfernt werden. Dafür haben sich diverse Tools herauskristallisiert, die ihre Arbeit entsprechend erledigen. Folgende Tools können bei passender Infektion helfen:

  • GMER – untersucht den Rechner auf Rootkit Aktivitäten
  • Kaspersky – Rootkits der TDS Familie entfernen
  • Sophos – Generisches Anti Rootkit Tool (leider muss man hier Angaben zur Person machen)
  • TrojanerBoard – Eine Sammlung von viel Know-How zu unterschiedlichen Infektionen
  • MalwareBytes – Anti-Rootkit Tool (BETA Version)

Fazit

Infektionen sind ernst zu nehmen und nichts, dass im Normalfall auftritt. Jede Infektion sollte eigentlich analysiert werden, denn die Löcher, die Trojaner durchlassen müssen gefunden und geschlossen werden. Eine Firewall ist hier nicht ausreichend, meistens ist auch ein Virenschutz unzureichend. Es müssen Systeme her, die erkennen, ob eine Software bösartig ist oder nicht, kurz bevor sie wirklich loslegt.

APT Lösungen sind im geschäftlichen Umfeld verfügbar und kostspielig, erkennen aber Angriffe sehr schnell.

Sogenannte APT Systeme gibt es mittlerweile zahlreiche. Dabei findet man aber vor allem für den Unternehmenseinsatz kostspielige Lösungen wie FireEye oder McAfee ATD. Im privaten Umfeld gab es vor einiger Zeit eine Lösung von Cylance, die aber leider nicht mehr verfügbar ist. Diese hat regelmäßig Dateien in eine Cloud geladen, die dort auf ihr Verhalten hin untersucht worden sind.

Im OpenSource Bereicht gibt es leider keine vollwertige APT Lösung. Dafür muss man sich diverse OpenSource Einzelprodukten bedienen wie hier beschrieben (Achtung es sind 4 Seiten insgesamt!)

Dieser Beitrag ist als Teil eines kostenfreies eBook auf dotcomsecurity.com erschienen und ist unter folgendem Link zu finden:

Bücher zum Thema

 

Beitragsbild (Gehashte Passwörter in Linux) von Christiaan Colen – Creative Commons Lizenz BY-SA 2.0

Artikel teilen:

2 Gedanken zu „Was ist zu tun bei einem Befall durch Verschlüsselungstrojaner?

    • 1. November 2015 um 17:07
      Permalink

      Vielen Dank für dein Feedback. Du hast recht. Die Systemwiederherstellung kann auch helfen :-) Und danke für die Info mit dem Link zu deiner Seite. Ein schöner Kontrastartikel. Das nächste Mal baue ich deine Artikel als weiterführenden Lesestoff hinzu.

      Antwort

Kommentar verfassen