LMU - Das Hilfe Forum für Linux Mint

Netzwerk => Sicherheit/Sicherheit allgemein => Thema gestartet von: crumb01 am 04.02.2019, 09:11:15

Titel: Trojaner Gandcrab
Beitrag von: crumb01 am 04.02.2019, 09:11:15
System:   
           Host: Laptop Kernel: 4.15.0-45-generic x86_64 bits: 64 compiler: gcc v: 7.3.0
           Desktop: Cinnamon 4.0.9 wm: muffin dm: LightDM Distro: Linux Mint 19.1 Tessa
           base: Ubuntu 18.04 bionic

Hallo allen,
mein Sohn hat sich einen Gandcrab 5.1 eingefangen, seine Daten sind hin. Es scheint als sei es bei einem Update von Adobe SW für Videokonferenzen im Firefox, eventuell auf einer Fremdseite passiert. Genau kann er das nicht spezifizieren, aber der Beginn der Attacke trifft genau den Zeitpunkt der Installation. Seine NAS und WIn7 setzt er neu auf. Daten werden jetzt auf eine Platte kopiert. Platte kommt raus!
Wir wollen nun warten bis eine Entcryptung möglich wird. Dann mit LM Live und dem Entcrypter die Daten an einem autarken Laptop /Platte über USB Adapter dran, retten.
Meine Fragen hieraus:
1. Sind wir mit LM vor solchen Schädlingen sicher?
2. Wie könnte ich mich eventuell schützen(SW)? Außer keine Mail mit unbekanntem Anhang öffnen!
3. Wenn nun verschlüsselte Dateien auf der ausgebauten Platte sind, sind die noch gefährlich bei Decrypten mit Linux Live System?
4.Kann sich der Trojaner dort anheften und ohne gestartetes Programm oder Dienst wieder Schaden anrichten?
5. kann jemand solche Versuche der Rettung nachvollziehen, gibt es Hinweise aus der Gruppe?

Schon mal besten Dank.

VG
HOlger
Titel: Re: Trojaner Gandcrab
Beitrag von: Michelle_Br am 04.02.2019, 11:58:59
schau mal hier .... vielleicht hilft Euch es weiter:
https://www.heise.de/security/meldung/Gandcrab-Aktualisiertes-Entschluesselungstool-fuer-Erpressungstrojaner-4203283.html (https://www.heise.de/security/meldung/Gandcrab-Aktualisiertes-Entschluesselungstool-fuer-Erpressungstrojaner-4203283.html)
Titel: Re: Trojaner Gandcrab
Beitrag von: crumb01 am 04.02.2019, 12:20:09
Hi
Danke Michelle_Br.
Da gehts nur bis V5.04. Wir sind "moderner", haben 5.1 erwischt. Aber wie geschrieben alles neu und warten.
Nur meine Bedenken hab ich schon wenn wir reparieren werden!
Aber ich denke einen autarken Laptop ohne Netz und LM Live sollte da nichts passieren.
VG
Titel: Re: Trojaner Gandcrab
Beitrag von: aexe am 04.02.2019, 12:50:58
3. Wenn nun verschlüsselte Dateien auf der ausgebauten Platte sind, sind die noch gefährlich bei Decrypten mit Linux Live System?
4.Kann sich der Trojaner dort anheften und ohne gestartetes Programm oder Dienst wieder Schaden anrichten?
Wer will das mit Sicherheit ausschließen?
Ich würde die Festplatte mit dd komplett platt machen (evtl. nach dem Versuch der Daten-Wiederherstellung auf einen anderen Datenträger in Quarantäne).   
Ungesicherte Daten sind eben keine Daten, bzw. verloren, wenn es blöd läuft.
Titel: Re: Trojaner Gandcrab
Beitrag von: crumb01 am 04.02.2019, 14:55:37
Danke. Machen wir.
Titel: Re: Trojaner Gandcrab
Beitrag von: ehtron am 04.02.2019, 14:58:42
Hi :)
Zitat
Nur meine Bedenken hab ich schon wenn wir reparieren werden!

würde mich interessieren wie.... ab 5.0.4 ist nix mehr mit entschlüsseln...
Titel: Re: Trojaner Gandcrab
Beitrag von: crumb01 am 04.02.2019, 15:26:35
kommt vielleicht noch...... Platte liegt dann erst mal rum.....warten....
Danke.
Titel: Re: Trojaner Gandcrab
Beitrag von: toffifee am 04.02.2019, 17:23:04
Off-Topic:
Es scheint als sei es bei einem Update von Adobe SW für Videokonferenzen im Firefox, eventuell auf einer Fremdseite passiert.
So läuft das meistens. Der unvorsichtige User klickt ja zum Downloaden irgendeiner "schnell mal eben" benötigten Software gern auf den ersten Link, den Google ihm vorwirft.... hier sollte nachgebessert werden hinsichtlich des Verhaltens. Virenscanner können brain.exe nicht ersetzen. ;)
Titel: Re: Trojaner Gandcrab
Beitrag von: crumb01 am 04.02.2019, 18:00:16
jo. ;D
Titel: Re: Trojaner Gandcrab
Beitrag von: Moridian am 04.02.2019, 18:23:58
Denke du solltest deinen Sohn mal mit dem Thema Download, Warez, und Malware sensibilisieren.  :) ;)
Hilft ihm natürlich jetzt nicht weiter, wenn das Kind schon in den Brunnen gefallen ist.  :(
Titel: Re: Trojaner Gandcrab
Beitrag von: crumb01 am 04.02.2019, 18:40:21
Hi
hat noch jemand  Hinweise zu meinen Bedenken oder Fragen im Eingangspost?#
Danke.
Titel: Re: Trojaner Gandcrab
Beitrag von: Moridian am 04.02.2019, 18:55:37
Es gibt auch Verschlüsselungstrojaner für Linux, meist musst die aber selber anschieben.
Die Gefahr lauert in einem gemischten Netzwerk mit Windows Rechnern, auch wenn die Windows Malware dem Linux Rechner nichts anhaben kann,
dem Windows Rechner aber schon.
Titel: Re: Trojaner Gandcrab
Beitrag von: crumb01 am 04.02.2019, 19:57:37
Hi Moridian
würde es da reichen dem WIN 7 Rechner die Schreibrechte auf LM zu entziehen?
also Datenaustausch nur vom Linux Rechner aus anzuschieben!
Etwas umständlicher aber ....?
Titel: Re: Trojaner Gandcrab
Beitrag von: Hollex am 04.02.2019, 20:26:36
Windows kann keine Linux-Partitionen ohne Software von Drittanbietern lesen.
Schreiben geht dann auch nicht.

Zitat
2. Wie könnte ich mich eventuell schützen(SW)? Außer keine Mail mit unbekanntem Anhang öffnen!

....und nicht auf unbekannte Links klicken z.B. noch!
Titel: Re: Trojaner Gandcrab
Beitrag von: crumb01 am 04.02.2019, 21:16:06
Windows kann keine Linux-Partitionen ohne Software von Drittanbietern lesen.
Schreiben geht dann auch nicht.
Hi
zur Verständigung noch mal .... mit SAMBA kann ich von Win7 aus auf Linux Mint Partitionen schreiben und Dateien verändern.
Diese durch den Entzug von Schreibrechten zu verhindern, sollte der  Trojaner/Malware auf der Partition keine Dateien verändern können, also auch nicht verschlüsseln kann. Richtig?
Das war meine Idee.
Titel: Re: Trojaner Gandcrab
Beitrag von: ehtron am 05.02.2019, 14:36:44
Hi :)
wenn du unter mint keine verzeichnise frei gibst, oder ein pw für den samba zugriff setzt, kann von win$ aus nicht geschrieben werden.
Titel: Re: Trojaner Gandcrab
Beitrag von: crumb01 am 05.02.2019, 17:09:14
Danke.  :)