kostenloser Webspace werbefrei: lima-city


Bundespolizei Trojaner - Verschlüsselung?

lima-cityForumDie eigene HomepageSicherheit im Internet

  1. Autor dieses Themas

    voloya

    voloya hat kostenlosen Webspace.

    Hallo :wave:

    Ich habe mir vorher den "Bundespolizei"-Virus eingefangen ("100€ über ukash bezahlen"). Bevor ich jetzt ewig erkläre: Angeblich verschlüsselte dieser mein Dateisystem (machen manche Versionen laut Internet tatsächlich), ich sicherte jedoch problemlos im abgesicherten Modus alle meine Dateien und installierte dann Windows 7 neu.

    Ich habe jetzt natürlich nicht jede einzelne Datei durchgeklickt, aber ein paar Bilder und Textdateien ließen sich problemlos öffnen, es scheint wohl so als wurde da nichts verschlüsselt?

    Kurz bevor sich die Trojanermeldung über meinen Bildschirm legte sollte ich eine Flash_update.exe o.ä. ausführen, was ich jedoch mehrmals verweigerte -> evtl. hat das meine Dateien gerettet?

    Es wäre schön wenn mich jemand mal kurz aufklären könnte, wie eine Verschlüsselung denn aussehen würde.

    mfg :wave:
  2. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

  3. f*******s

    Hallo voloya.
    Soweit ich gelesen habe, ist die Verschlüsselung, neben der Sache an sich, ein bluff.
    Eine Verschlüsselung sieht so aus, dass mindestens ein Kennwort verlangt wird, um auf den Datenträger zugreifen zu können. Andere Wege gäbe es nicht. Wäre deine Festplatte tatsächlich verschlüsselt worden, hättest du eine Festplatte mit Daten, an die du nie wieder ran kommst, ohne entsprechendes Kennwort. Verschlüsselt ist einfach gesagt die kryptische Umwandlung von Daten die nur mit Hilfe deines Kennwortes wieder "umgewandelt" werden können. Mehr dazu weiß bestimmt wikipedia.
  4. g****e

    Diese Trojaner machen nichts anderes als einen Popup, und in der Registry einige Einträge. Des könnt man sogar von Hand entfernen.
    Die Verschlüsselung ist oftmals nur ein Blöff, ich weiß garnicht, ob da überhaupt einer existiert, der tatsächlich verschlüsselt.

    In meinen Augen musst du keine Angst vor der Verschlüsselung haben, aber es gibt da draußen so viele, auch erfolgreiche Versionen dieses Viruses, da kann man nichts ausschließen denk ich...

    Liebe Grüße
  5. Autor dieses Themas

    voloya

    voloya hat kostenlosen Webspace.

    Hallo :wave:

    ggamee schrieb:
    Diese Trojaner machen nichts anderes als einen Popup, und in der Registry einige Einträge. Des könnt man sogar von Hand entfernen.
    Die Verschlüsselung ist oftmals nur ein Blöff, ich weiß garnicht, ob da überhaupt einer existiert, der tatsächlich verschlüsselt.

    In meinen Augen musst du keine Angst vor der Verschlüsselung haben, aber es gibt da draußen so viele, auch erfolgreiche Versionen dieses Viruses, da kann man nichts ausschließen denk ich...


    Es gibt auf chip.de eine Anleitung für das Entfernen einer Verschlüsselung, deswegen war ich etwas verunsichert. Ich habe mir auch Screenshots von anderen Versionen angeschaut, aber eben nur die Variante ohne Verschlüsselungshinweis gefunden (gleiches Bild).

    flockhaus schrieb:
    Soweit ich gelesen habe, ist die Verschlüsselung, neben der Sache an sich, ein bluff.
    Eine Verschlüsselung sieht so aus, dass mindestens ein Kennwort verlangt wird, um auf den Datenträger zugreifen zu können.


    Na dann scheint ja alles in Ordnung zu sein bei mir.


    Eine etwaige Verschlüsselung wäre ja auch nicht von jetzt auf sofort passiert, oder? So etwas dauert doch eine Weile..?

    mfg :wave:
  6. f*******s

    Eigentlich ja. Sollte die gesamte Festplatte verschlüsselt werden, dann müsste der Rechner neu gestartet werden, damit der Virus sich darstellen kann!? Ansonsten dürfte er nicht die gesamte Festplatte verschlüsseln. Mmh.. komische Sache.
  7. m******e

    flockhaus schrieb:
    Soweit ich gelesen habe, ist die Verschlüsselung, neben der Sache an sich, ein bluff.
    Eine Verschlüsselung sieht so aus, dass mindestens ein Kennwort verlangt wird, um auf den Datenträger zugreifen zu können. Andere Wege gäbe es nicht.
    ggamee schrieb:
    Diese Trojaner machen nichts anderes als einen Popup, und in der Registry einige Einträge. Des könnt man sogar von Hand entfernen.
    Die Verschlüsselung ist oftmals nur ein Blöff, ich weiß garnicht, ob da überhaupt einer existiert, der tatsächlich verschlüsselt.
    Oftmals ein Bluff, nicht immer ein Bluff, und doch, es gibt andere Wege.

    Auf Vermutungen basierendes gefährliches Halbwissen sollte nicht zu vorschnell verbreitet werden, denn sonst kommt schnell sowas dabei heraus:
    voloya schrieb:
    Na dann scheint ja alles in Ordnung zu sein bei mir.
    ^^ Ja, scheint so. Ist es auch tatsächlich so?
    Eines vorweg: Du hättest wahrscheinlich gar nicht neu installieren müssen, wie die folgenden Beiträge beweisen werden.

    Angefangen bei den jüngeren, bis hin zu den älteren Beiträgen habe ich mal die wichtigsten Videos zum Thema Bundespolizei-Trojaner (auch Bundes-Trojaner) herausgepickt, es gibt allerdings noch mehr.

    Der erste Beitrag zeigt, wie verschlüsselte Dateien wiederhergestellt werden können, die anderen Beiträge zeigen, wie ein infiziertes System zurückerobert wird.

    Ich habe bewusste darauf verzichtet, die Videos hier einzubetten, da auf den Originalseiten/Youtube-Seiten jeweils weiterführende Links vorhanden sind.

    Windows Update Virus – Ergänzung
    "In diesem Video einige Ergänzungen zu dem Update Virus und seiner Fähigkeit Dateien auf dem befallenen System zu verschlüsseln."

    Originalseite
    Youtube

    Windows Update Virus
    "In diesem Video der Windows Update Virus, eine raffinierte Weiterentwicklung des Bundespolizei bzw. Gema-Viruses."

    Originalseite
    Youtube

    Bundespolizei Virus 2.0
    "In diesem VideoTutorial wird nur eine der vielen sog. Hijack-Schadware Programme vorgestellt und eine mögliche Variante gezeigt, wie Sie diese Schadware wieder entfernen können."

    Originalseite
    Youtube

    Bundespolizei Virus
    "In diesem VideoTutorial wird nur eine der vielen sog. Hijack-Schadware Programme vorgestellt und eine mögliche Variante gezeigt, wie Sie diese Schadware wieder entfernen können."

    Originalseite
    Youtube


    Beitrag zuletzt geändert: 30.8.2012 14:18:19 von menschle
  8. andi25 schrieb:
    Mir ist eine ähnliche Situation passiert, also ich mir den Bundespolizei-Trojaner in einer Kampagne einer Paid4 Social-Website eingefangen habe. Du hast die Möglichkeiten, den Computer im BIOS unter den abgesicherten Modus zu starten, das Schadprogramm im Explorer zu suchen und manuell zu entfernen oder einen Virenscanner darauflaufen zu lassen, der das Schadprogramm automatisch findet und löscht oder unter Quarantäne stellt.

    Kannst Du auch korrekte Sätze formulieren, die hilfreiche Bestandteile beinhalten?

    Was hat das BIOS mit dem abgesicherten Modus zu tun? Richtig! Nichts.
    Den Rest deiner Ausführung ignoriert man besser auch. :wink:

  9. Autor dieses Themas

    voloya

    voloya hat kostenlosen Webspace.

    Hallo :wave:

    menschle schrieb:
    voloya schrieb:
    Na dann scheint ja alles in Ordnung zu sein bei mir.
    ^^ Ja, scheint so. Ist es auch tatsächlich so?
    Eines vorweg: Du hättest wahrscheinlich gar nicht neu installieren müssen, wie die folgenden Beiträge beweisen werden.

    Angefangen bei den jüngeren, bis hin zu den älteren Beiträgen habe ich mal die wichtigsten Videos zum Thema Bundespolizei-Trojaner (auch Bundes-Trojaner) herausgepickt, es gibt allerdings noch mehr.


    Aah vielen Dank für die Links. Das Video von Sempervideo zeigt wie verschlüsselte Dateien aussehen, das ist bei meinen Dateien nicht der Fall und ich kann sie anscheinend auch wirklich alle öffnen.

    Außerdem wird erwähnt, dass nur die ersten 4KB der Dateien verschlüsselt werden, das beantwortet auch meine Frage nach der Schnelligkeit der Verschlüsselung (ich gehe also davon aus, dass das ziemlich schnell geht).
    Da wäre es wohl gut wenn man sofort den Stecker nach Auftreten des Lockscreens zieht und dann über den abgesicherten Modus die Dateien sichert? (so wie ich das getan habe, aber ich habe erst noch ein Bild mit dem Handy gemacht)

    Ich habe natürlich gleichmal google angeworfen und zig Threads zum Entfernen dieser Malware gefunden, aber bevor ich diese ganzen tools runterlade und meine Festplatte durchsuchen lasse dachte ich mir, dass ich auch ruhig gleich alles neu installieren kann. Weil ich hauptsächlich portable Versionen von Programmen verwende ging das auch zack-zack. :biggrin:

    Danke nochmals, das hat meine Fragen beantwortet. :)

    mfg :wave:
  10. m******e

    voloya schrieb:
    Da wäre es wohl gut wenn man sofort den Stecker nach Auftreten des Lockscreens zieht und dann über den abgesicherten Modus die Dateien sichert? (so wie ich das getan habe, aber ich habe erst noch ein Bild mit dem Handy gemacht)
    ^^ Definitiv. Immer. So schnell es geht. *zackzack* ;) Ist zwar Hardcore, aber besser gehts nicht.

    Denn auch Viren und co. brauchen Zeit, die Daten abzufragen, zu modifizieren, abzuspeichern.
    Je früher der Stecker gezogen wird, desto besser.

    voloya schrieb:
    Danke nochmals, das hat meine Fragen beantwortet. :)
    Immer wieder gerne. ;)

  11. Ich denke ebenfalls das es lediglich ein Blöff ist hatte ihn gestern und bei mir wurden keine Daten verschlüsselt etc. konnte ihn auch ohne Problem entfernen.
  12. m******e

    biernacik schrieb:
    Ich denke ebenfalls das es lediglich ein Blöff ist hatte ihn gestern und bei mir wurden keine Daten verschlüsselt etc. konnte ihn auch ohne Problem entfernen.
    Du meinst wohl weniger "ihn", als eher "eine Version" dieser zahlreichen Abwandlungen, die sich fast täglich vermehren? ;)
    Dann lag es wohl an den Script-Kiddies, die es einfach nicht besser draufhaben, als mit den Trojaner-Baukästen Klötzchen zu staunen.
    Aber es gibt längst sehr Hartnäckige Varianten dieser ganzen BKA und GEMA -Holzpferde, und die wird Otto-Normal eben nicht so einfach wieder los. Sonst wäre so mancher IT-Security-Nerd nämlich schon Arbeitslos. ;)
  13. Dieser Trojaner tritt in verschiedenen varianten auf, eine davon hat es tatsächlich geschafft eine ganze Festplatte mit Firmendaten zu verschlüsseln.
    Mit dem Avira Tool Ransom Fileunlocker gelang es mir nach mehreren Stunden alle Daten wiederherzustellen, uff.
    Einfach auf C: klicken, gesamte Platte unlocken...
  14. Ich hab ihn auch auf einen der 3 Rechner hier. Sobald ich das internet anstelle erscheint das Fenster und es wird Geld verlangt.

    Hab eininge Sachen schon ausgetestet um es runter zu bekommen, aber noch nicht die richtige Wahl getroffen für "diesen" Bundestrojaner.

    was mich stört trotz Orginal Kas... Software usw kommt so ein alter rotz durch...
  15. Ich habe mir diesen Virus ebenfalls im Zusammenhang mit einer Social Network-Aktion eingefangen. Ich habe sofort meinem Computerfachmann um Rat gefragt. Ich sollte den Computer im abgesicherten Modus starten und meinen Virenscanner starten, um den Virus durch einen Scan zu finden und löschen zu können. Glücklicherweise konnte ich auf diese Weise den Virus schnell entfernen.
  16. testconcrete5

    testconcrete5 hat kostenlosen Webspace.

    Hallo!

    Vor dem probieren mit "Windows-Boardmitteln" würde ich folgendes empfehlen:

    Mit einer Linux-Live-CD (Empfehlung: SystemRescueCD, Lubuntu als leichte Ubuntu Version geht auch) den Rechner starten und die wichtigen Dateien (Fotos, Dokumente, aber auch die Einstellungen [wegen der Mails, Favoriten,...] sichern. Am besten auf eine externe Festplatte.

    Für die Zukunft: Regemäßige Backups erstellen, dann tut das löschen und neu aufsetzen nicht so weh ;-)
    Auch probierenswert: Auf Linux umsteigen :-)

    Gruß
  17. t********g

    Und nicht zu vergessen: Ein vernünftiges Sicherheitskonzept!

    Denn es gibt auch Malware die den abgesicherten Modus lahm legen können
  18. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

Dir gefällt dieses Thema?

Über lima-city

Login zum Webhosting ohne Werbung!