{"id":174986,"date":"2016-02-13T13:40:37","date_gmt":"2016-02-13T12:40:37","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=174986"},"modified":"2023-07-13T15:02:13","modified_gmt":"2023-07-13T13:02:13","slug":"crypto-trojaner-die-erste-win-trojan-ramnit","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2016\/02\/13\/crypto-trojaner-die-erste-win-trojan-ramnit\/","title":{"rendered":"Crypto-Trojaner die Erste: Win.Trojan.Ramnit?"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" alt=\"\" width=\"40\" height=\"47\" align=\"left\" \/>Heute noch ein <span style=\"text-decoration: line-through;\">kurzer <\/span>Bericht aus \"dem Maschinenraum\" \u2013 mir ist ein Windows-System in die Finger gefallen, welches mit Ransomeware, dem (wie ich meine, herausgefunden zu haben) Verschl\u00fcsselungstrojaner Win.Trojan.Ramnit, befallen war. Hier ein paar Infos und Erfahrungen, die ich beim Bereinigen gemacht habe.<\/p>\n<p><!--more--><\/p>\n<h3>Hilfe, ein Virus ist auf meinem PC<\/h3>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/ssl-vg03.met.vgwort.de\/na\/5a9ed55ba2e6414abf50632fbb8d9ee8\" alt=\"\" width=\"1\" height=\"1\" \/>Normalerweise bin ich ja momentan eher selten im B\u00fcro \u2013 aber die Woche bekam ich mit, dass das Telefon klingelte. Ein Bekannter aus dem Sportverein war dran und fragt um Rat, weil er vermutete, dass er einen Virus eingefangen habe. Das nachfolgende Dialogfeld wurde ihm angezeigt.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/i.imgur.com\/y9rq1lE.jpg\" alt=\"\" width=\"462\" height=\"230\" \/><\/p>\n<p>Meine Frage nach einem Virenscanner beantwortete er \"ich hab mir da was runter geladen, keine Ahnung, wie der hei\u00dft\". Er berichtete von einem Backup, dass er vor ein paar Tagen angefertigt habe. Ich gab ihm den Tipp, den Rechner entweder auf Werksauslieferungszustand zur\u00fcckzusetzen oder das Backup zur\u00fcck zu lesen.<\/p>\n<blockquote><p>Er hatte aber keine Ahnung, wie er das bewerkstelligen k\u00f6nne. Seine Frage, ob ich eventuell assistieren k\u00f6nne, beschied ich erst einmal zur\u00fcckhaltend. Es ist wichtig, dass im engeren und weiteren Bekanntenkreis sowie bei meinen Blog-Lesern die Message ankommt, dass ich keinen individuellen Support gebe. Denn einmal gibt es Dienstleister vor Ort, die das ganz gut machen. Zudem gibt es den Effekt \"den kleinen Finger gegeben \u2013 und dann war der Arm ab\". Aus diesem Grund stehen meine privaten Telefonnummern auch nicht in den \u00f6ffentlichen Telefonb\u00fcchern.<\/p><\/blockquote>\n<p>Da ich aber eine Infektion mit einem Trojaner nicht ausschlie\u00dfen konnte, und zudem gerade Microsoft Patchday gewesen war, dachte ich \"mache mal eine Ausnahme \u2013 das Backup ist fix zur\u00fcckgelesen und Du kannst dir ansehen, was wirklich auf dem System werkelt\". Vielleicht kannst Du noch was lernen. Denn Randsomeware hatte sich bisher nicht zu mir verirrt. Bl\u00f6de Entscheidung!<\/p>\n<h3>Erste Erkenntnisse zum System und dem Sch\u00e4dling<\/h3>\n<p>Die erste Frage lautete nat\u00fcrlich: Was ist mit dem System los und was werkelt da. Sicherheitshalber war die zweite Festplatte im Datenhafen des Medion-Systems entfernt worden. Nach dem Booten kamen dann folgendes Fenster zur Anzeige und ein Arbeiten war nicht mehr wirklich m\u00f6glich.<\/p>\n<p><a href=\"https:\/\/i.imgur.com\/6hhdSZY.jpg\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" src=\"https:\/\/i.imgur.com\/6hhdSZY.jpg\" alt=\"\" \/><\/a><\/p>\n<p><a href=\"https:\/\/i.imgur.com\/c8SVRRX.jpg\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" src=\"https:\/\/i.imgur.com\/c8SVRRX.jpg\" alt=\"\" \/><\/a><\/p>\n<p>Die Fenster variierten \u2013 mal war es ein Texteditorfenster, mal eine HTML-Seite. Und es war klar, dass da Ransomeware arbeitete, die die Dateien der Festplatte gerade munter verschl\u00fcsselte.<\/p>\n<blockquote><p>Die Cyber-Kriminellen lieferten genaue Angaben, wie der Nutzer die Dateien gegen ein \"L\u00f6segeld\" wieder entschl\u00fcsseln k\u00f6nne \u2013 nach dem FBI zahlen ist die einzig m\u00f6gliche L\u00f6sung, um wieder an die Daten heran zu kommen \u2013 Brr, geht's noch FBI?<\/p><\/blockquote>\n<p>War also keine Option, da man die Kriminellen nicht unterst\u00fctzen darf. Zudem gibt es keine Garantie, dass das wirklich klappt \u2013 oder dass nicht bald eine \"Nachforderung\" kommt. Was ich bei einem Schnelltest herausfand:<\/p>\n<ul>\n<li>Eine Systemwiederherstellung war nicht m\u00f6glich, da sofort ein Fehler in den Volumenschattenkopien gemeldet wurde.<\/li>\n<li>Im Taskmanager war nichts zu erkennen und \u00fcber <em>Programme deinstallieren <\/em>lie\u00df sich auch nichts rei\u00dfen.<\/li>\n<li>Downloads aus dem Internet waren nicht mehr m\u00f6glich, da ein eigener DNS-Server oder Proxy eingetragen war \u2013 Details konnte ich nicht herausfinden, da alle Zugriffsversuche blockiert wurden.<\/li>\n<\/ul>\n<p>Ein Versuch, im Windows 7-Startmen\u00fc einen Virenscanner zu finden und aufzurufen, schlug \"mangels Masse\" fehl. Scheibenkleister! Ich wollte aber zumindest wissen, was f\u00fcr eine Ransomeware da werkelt. Der Anwender erz\u00e4hlte mir noch, dass er eine Mail von einem Bekannten vermutete, nach deren \u00d6ffnen die Probleme anfingen.<\/p>\n<h3>Dem \u00dcbelt\u00e4ter auf der Spur<\/h3>\n<p>Was noch funktionierte, was das Herunterfahren des Systems. Also wollte ich den abgesicherten Modus von Windows 7 mittels der Funktionstaste F8 aufrufen. Das klappt unter Windows 7 ja \u2013 im Gegensatz zu den verplitschten Windows-Varianten ab Windows 8 &#8211; normalerweise ganz gut.<\/p>\n<blockquote><p>Also eingeschaltet, mit Freude die BIOS-Meldung, dass ein Recovery mittels der Funktionstaste F11 m\u00f6glich sei, gelesen. Auf der Systempartition war auch das Medion-typische Verzeichnis <em>Retten<\/em> vorhanden \u2013 allerdings hatte mich bei einem kurzen Blick bereits irritiert, dass dort einige Dateien bereits verschl\u00fcsselt waren. Zudem gab es eine <em>Recovery<\/em>-Partition, die der Anwender aber platt gemacht und dort ein Backup gespeichert hatte \u2026<\/p><\/blockquote>\n<p>Egal, die Info zur Funktionstaste F8 kam und diese wurde mehrfach gedr\u00fcckt. Ich kam in das abgesicherte Bootmen\u00fc (siehe auch <a href=\"https:\/\/borncity.com\/blog\/2011\/04\/08\/windows-7-startreparaturen\/\">Windows 7-Startreparaturen<\/a>).<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" title=\"Erweiterte Startoptionen\" src=\"https:\/\/i.imgur.com\/206bQ6R.jpg\" alt=\"Erweiterte Startoptionen\" width=\"612\" height=\"459\" \/><\/p>\n<p>\u00dcber die Men\u00fcpunkte \"Abgesicherter Modus\" kann Windows mit GUI, mit Netzwerktreibern oder nur in die Eingabeaufforderung gebootet werden. Ziel war, einen Offline-Virenscanner \u00fcber das System laufen zu lassen.<\/p>\n<p>Also habe ich zuerst \"Abgesicherter Modus\" probiert. Ich hatte vorher einen USB-Stick benutzt, um die Benutzerdateien des Anwenders notd\u00fcrftig zu kopieren. Und ich konnte auf einem zweiten Rechner Offline-Virenscanner auf den USB-Stick herunterladen. Erkenntnis: Wenn Shit, dann richtig Shit!<\/p>\n<ul>\n<li>Der Verschl\u00fcsselungstrojaner war wohl im abgesicherten Modus nicht aktiv, was positiv war \u2013 man konnte arbeiten.<\/li>\n<li>Trend Micro Housecall ist schmal und war fix auf den USB-Stick geladen. Aber beim Starten im infizierten Rechner gab es direkt die Meldung, dass keine Signaturdateien geladen werden konnten.<\/li>\n<li>Der kostenlose Microsoft Safety Scanner <em>msert.exe<\/em> war bereits 143 Mbyte fett, aber doch in passabler Zeit \u00fcber die DSL-Verbindung des Anwenders heruntergeladen und auf den Stick kopiert. Aber auch hier weigerte sich der Microsoft Safety Scanner zu arbeiten, weil er die Signatur nicht online abgleichen konnte.<\/li>\n<li>Der Versuch, Housecall und Microsoft Safety Scanner auf dem sauberen Windows 7-System aktualisieren zu lassen und dann auf dem infizierten System zu starten, ging nicht \u2013 die beiden Scanner wollten eine Online-Verbindung.<\/li>\n<\/ul>\n<p>Das ist der Punkt, wo ich eigentlich h\u00e4tte abbrechen sollen, denn das wird eine unendliche Geschichte. Man h\u00e4tte noch einen von USB-Stick bootbaren Virenscanner von Microsoft oder Avira verwenden k\u00f6nnen. H\u00e4tte, h\u00e4tte Fahrradkette \u2026<\/p>\n<p>Ich habe dann <a href=\"http:\/\/portableapps.com\/apps\/security\/clamwin_portable\" target=\"_blank\" rel=\"noopener\">ClamAV<\/a> portable auf den USB-Stick heruntergeladen. Aber weder im \"Abgesicherter Modus\" und danach \"Abgesicherter Modus mit Netzwerktreibern\" war ein Netzwerkzugriff m\u00f6glich. Der Sch\u00e4dling hatte ganze Arbeit geleistet. Also habe ich ClamAV auf dem \"gesunden\" Rechner auf dem USB-Stick gestartet und die Signaturdateien aktualisieren lassen. Danach den USB-Stick ausgeworfen, in das infizierte System gesteckt und im abgesicherten Modus aufgerufen.<\/p>\n<p>Es wurde ein Scan durchgef\u00fchrt \u2013 Heureka! ClamAV ist langsam, weshalb ich es nicht benutze. Aber hier tat es seinen Dienst, w\u00e4hrend die anderen Entwickler im Wahn, den Offline-Scanner bombensicher zu machen, das Ganze ausgebremst hatten. Und ClamAV lieferte \u2026<\/p>\n<p><a href=\"https:\/\/i.imgur.com\/dZGvGLG.jpg\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" src=\"https:\/\/i.imgur.com\/dZGvGLG.jpg\" alt=\"\" \/><\/a><\/p>\n<p>Fund, es war der Trojaner <em>Win.Trojan.Ramnit<\/em> im Verbund mit weiteren Trojanern auf dem System. Was mich irritierte: Dateien wie <em>SecurityScan_Release.exe<\/em> wurden im <em>Temp<\/em>-Ordner des Systems als infiziert ausgewiesen. Ist wohl m\u00f6glicherweise ein Rest des auf Medion-Systemen zeitweise vorinstallierten McAfee Virenscanners \u2013 aber das Teil war infiziert. Eine Suche nach dem Trojaner liefert z.B. <a href=\"https:\/\/blog.botfrei.de\/2013\/05\/was-mache-ich-bei-einer-ramnit-infektion\/\" target=\"_blank\" rel=\"noopener\">diesen Botfrei-Blog-Eintrag<\/a> \u2013 und eine Menge \"automatisch\" \u00fcbersetzte Ami-Seiten mit ziemlichem Bullshit-Bingo.<\/p>\n<blockquote><p>Beim Botfrei-Blog missf\u00e4llt mir, dass die die Leute explizit auf Adblocker locken wollen. Und der Verweis auf HitmanPro, welches kostenpflichtig ist und sich f\u00fcr Privatanwender kostenfrei mit einer winzigen Option f\u00fcr 30 Tage testen l\u00e4sst \u2013 ist, mit Verlaub: Bullshit. Erstens werden Anwender, so sie auf die Seite kommen, aber von der Angst, alle Dateien zu verlieren, mit Sicherheit das Kleingedruckte nicht lesen und im Zweifelsfall zahlen. Zweitens: Zudem wird beim Entfernen nicht sichergestellt, dass die aktuelle Version wirklich alle Fundstellen eliminiert \u2013 die verschl\u00fcsselten Dateien sind weg. Und klickt der Nutzer auf eine verschl\u00fcsselte Datei, um mal \"zu kucken\", ob noch was drin ist, k\u00f6nnte ein dort abgelegter Trojaner wieder loslegen. Ein durch einen Ransomeware Trojaner befallenen Windows-Rechner muss man als kompromittiert ansehen \u2013 da bleibt nur Neuinstallation von Windows. Schreibe ich nicht wirklich gerne \u2013 da ich auch schon mal auf Botfrei verlinke.<\/p><\/blockquote>\n<h4>Bei Microsoft findet sich <a href=\"https:\/\/web.archive.org\/web\/20170520121139\/http:\/\/www.microsoft.com:80\/security\/portal\/threat\/encyclopedia\/entry.aspx?Name=Win32\/Ramnit\" target=\"_blank\" rel=\"noopener\">diese Info<\/a> \u2013 und <a href=\"http:\/\/www.trojaner-board.de\/173331-ramnit-ramnit-zuverlaessig-clamwin.html\" target=\"_blank\" rel=\"noopener\">hier wird<\/a> \u00fcber ein \"false positive\" durch ClamAV berichtet \u2013 na ja, das System war infiziert, egal ob das Teil Hugo, Egon oder Ramnit hei\u00dft. Mit diesen Erkenntnissen war es dann so weit, dass ich \"alles zur\u00fcck auf Null\" konstatierte. Dem Anwender war zwischenzeitlich alles egal, Hauptsache, sein Aldi-Computer w\u00fcrde es wieder tun.<\/h4>\n<h3>Von einem, der auszog, ein System zur\u00fcckzusetzen<\/h3>\n<p>Dass das Ganze Wiederherstellungskonzept per Windows PE durch Microsoft ziemlich vergurkt ist, war mir schon klar. Vorsichtshalber hatte ich mir eine aktuelle Windows 7 SP1 64-Bit-Installations-DVD eingesteckt. Aber alles der Reihe nach. Erkenntnis: Wenn Shit, dann richtig Shit!<\/p>\n<ul>\n<li>Die Idee, eine Systemwiederherstellung im abgesicherten Modus zu versuchen, schlug sofort mit einem Fehler fehl. Der Trojaner hatte das VSS-System zerfetzt.<\/li>\n<li>Ein Neustart mit Dr\u00fccken der Funktionstaste F11 zwecks Einleiten eines Recovery wurde mit \"keine Wiederherstellungsdateien\" quittiert. Da hatte der Anwender ganze Arbeit geleistet und der Rest wurde durch den Trojaner gekillt.<\/li>\n<li>Also die Windows 7 SP1 Setup-DVD gebootet und \u00fcber <em>Computerreparaturoptionen <\/em>in Windows PE gegangen \u2013 der Ansatz <a href=\"https:\/\/borncity.com\/blog\/2010\/12\/23\/first-aid-datenrettung-wenn-windows-7-versagt\/\" target=\"_blank\" rel=\"noopener\">ist hier beschrieben<\/a>.<\/li>\n<\/ul>\n<p><img loading=\"lazy\" decoding=\"async\" title=\"WinRe1\" src=\"https:\/\/web.archive.org\/web\/20200511070918\/https:\/\/r38.imgup.net\/WinRe1617c.jpg\" alt=\"WinRe1\" width=\"588\" height=\"557\" border=\"0\" \/><\/p>\n<ul>\n<li>Ich kam zwar in das Dialogfeld zum Zur\u00fccklesen des Backups und habe die zweite Festplatte im Datenhafen eingesteckt. Das Backup vom 2.2.2016 lie\u00df sich auch anw\u00e4hlen. Aber es gab nach der Auswahl sofort eine kryptische Fehlermeldung, dass ich doch bitte das Backup ausw\u00e4hlen m\u00f6ge.<\/li>\n<\/ul>\n<p>An dieser Stelle schwante mir was \u2013 und meine Nachfrage bzw. das erneute Booten im abgesicherten Modus best\u00e4tigte es: Auf dem Windows 7-Rechner war von Medion zwar 4 GByte RAM aber eine 32-Bit-Windows-Build installiert worden. Ich hatte mein Medion-System vor langer Zeit auf 64 Bit umgestellt, um die 4 GByte RAM nutzen zu k\u00f6nnen. Leider hatte ich nur eine 64 Bit Windows 7 SP1 Setup-DVD dabei \u2013 und bei einer kurzen Stippvisite in meinem B\u00fcro lie\u00df sich keine 32 Bit Windows 7 SP1 Setup-DVD auftreiben.<\/p>\n<p>Der Anwender hatte zwar von Medion zwei Windows 7 Wiederherstellungs-DVDs \u2013 eine enthielt ein 32- und eine ein 64-Bit-Windows 7. War nat\u00fcrlich nichts beschriftet und ich musste mir die Dateien ansehen, um die Bit-Variante zu ermitteln. Das h\u00e4tte mir aber nichts gen\u00fctzt, denn ein Windows 7 SP1 Backup l\u00e4sst sich mit einer Windows PE-Umgebung, die aus Windows 7 (RTM) erstellt wurde, nicht zur\u00fccklesen.<\/p>\n<blockquote><p>Das ist die Stelle, an der ich bereits h\u00e4ufiger kr\u00e4ftig \u00fcber Microsoft bzw. deren Entwickler geflucht habe. Du brauchst ein Windows PE, um bestimmte Operationen &#8211; wie Backup zur\u00fccklesen &#8211; auszuf\u00fchren. Aber die Windows PE-Variante muss nicht nur wegen 32\/64 Bit passend sein. Es ist auch zwingend eine zum Backup bzw. zum System passende Windows PE-Variante erforderlich. Eine Vista-Setup-DVD oder eine Windows 7 RTM-DVD klappt bei Windows 7 SP1 nicht. F\u00fcr jeden Versuch, bei dem ich wegen fehlerhafter PE-Umgebung abbrechen und einen anderen Datentr\u00e4ger suchen bzw. anfertigen musste, 5 Euro \u2013 und ich k\u00f6nnte eine fette Sause in einem Nobelrestaurant machen.<\/p>\n<p>Es mag gewichtige technische Gr\u00fcnde f\u00fcr dieses Verhalten geben. Alleine, mit ist keine Microsoft Fundstelle bekannt, die das dediziert erkl\u00e4rt. Vielleicht kann ein Blog-Leser da Licht in meine bescheidene Welt bringen. Aus Sicht eines normalen Anwenders ist das einfach nur Mist und \u00fcberfordert Viele. Professionell geht anders \u2013 und so kommt der Eindruck zustande, dass da vieles, was in Windows PE von Microsoft kommt \"irgendwie lieblos hingerotzte Frickelware\" sei.<\/p><\/blockquote>\n<p>Das ist die Stelle, wo ein normaler Anwender die Segel streicht und Windows 7 neu installiert (m\u00f6glicherweise in b\u00f6se Probleme rennt, weil die Treiber in falscher Reihenfolge installiert wurden, siehe <a href=\"https:\/\/borncity.com\/blog\/2010\/03\/19\/stndige-freezes-in-windows-7\/\">St\u00e4ndige \"Freezes\" in Windows 7<\/a>). Dann gilt es, das Upgrade auf Service Pack 1 sowie das Ganze Update-Geraffel bis zum aktuellen Patch-Stand zu wuppen. Leider f\u00e4llt es Microsoft in seiner Weisheit nicht ein, die Leute mit einem Service Pack 2, welches frei herunterladbar ist, zu bedienen \u2013 bzw. ein Update-Rollup-Paket anzubieten, wie ich im Beitrag <a href=\"https:\/\/borncity.com\/blog\/2016\/01\/17\/windows-7-by-by-service-pack-2\/\">Windows 7: Bye, bye \u201aService Pack 2' \u2026<\/a> in den Kommentaren lernen musste. So viel zu dem Thema \u2013 aber bevor der Blog-Post wieder zum Rant auf Microsoft verkommt, die finale Aufl\u00f6sung.<\/p>\n<h3>Hol dir ein Windows 7 SP 1 Home Premium 32-Bit ISO<\/h3>\n<p>Als MVP habe ich das Privileg, \u00fcber MSDN eine Windows 7 SP1 Home Edition 32-Bit als ISO herunterladen zu k\u00f6nnen. Also den Download angesto\u00dfen, nach Hause gegangen und mich ins Bett gelegt, um nach 2 1\/2 Stunden wieder aufzuschlagen. Der Download h\u00e4tte fertig sein sollen \u2026<\/p>\n<p>\u2026 war er aber nicht, denn der Energiesparmodus des Anwenders hatte zugeschlagen. Erkenntnis: Wenn Shit, dann richtig Shit!<\/p>\n<p>Gl\u00fccklicherweise lie\u00df sich der Download im Firefox (der nebenbei durch eine Web.de-Toolbar verunstaltet war) fortsetzen. Also Energiesparplan um Netzbetrieb auf den h\u00f6chsten Wert gestellt und weitere 1 1\/2 Stunden gewartet. Man g\u00f6nnt sich ja sonst nichts \u2013 und die Erk\u00e4ltung machte sich schon bemerkbar. Das sind so Tage, wo ich zum M\u00f6rder an OEMs, Computerbild-Seiten und den tausenden Firefox-mit-eigener-Toolbar-Erzeugen werden k\u00f6nnte. Die Softwarewelt ist schlicht und einfach kaputt!<\/p>\n<h3>Download geklappt, gichtige Brennsoftware kann keine ISO<\/h3>\n<p>Als ich dann auf die Schnelle die DVD mit Windows 7 SP1 32 Bit brennen wollte, kam sofort irgend ein Dialogfeld von irgend einer Raffel-Software, die Lizenzbedingungen anerkannt haben wollte. Der Anwender behauptete: Brennt hier eigentlich ganz gut, das Notebook \u2013 habe ich von einem Kollegen \u00fcbernommen und in seinem Zustand weiter betrieben.<\/p>\n<p>Na ja, wenigstens war dort Microsoft Security Essentials vorhanden. Also wollte ich auf die Schnelle CDBurnerXP aus dem Internet zum Brennen herunterladen \u2013 und bin auf die n\u00e4chste Sauerei gesto\u00dfen. Google sp\u00fclte mir zuerst die werbefinanzierten Angebote der \"renommierten\" deutschsprachigen Computermagazine in die Suchergebnisse. Und die portable Version wurde bei ComputerBild angeboten. Kann man nicht viel falsch machen \u2013 so die naive Meinung \u2026<\/p>\n<p>Ich musste die negative Erfahrung machen, dass eine bei Computerbild herunterladbare Software nach dem Klick auf die Download-Schaltfl\u00e4che zu einer neuen Seite f\u00fchrt, wo ein ComputerBild-Downloader unter der Schaltfl\u00e4che liegt.<\/p>\n<p><img decoding=\"async\" src=\"https:\/\/i.imgur.com\/MNh6xSC.jpg\" alt=\"\" \/><\/p>\n<p>Im Kleingedruckten findet sich zwar wieder der Verweis auf den \"direkten Download\", was ich aber \u00fcberlesen hatte. Und der CB-Downloader versuchte Adware en Masse auf das System zu schmuggeln \u2013 ich musste zwei Fenster mit \"Angeboten\" explizit abw\u00e4hlen und trotzdem wurde noch ein Weblink auf ein Online-Spiel auf dem Desktop abgelegt.<\/p>\n<blockquote><p>\u00c4hnliches habe ich vor Jahren nur bei Chip.de erlebt. Momentan kann eigentlich nur noch heise.de als halbwegs seri\u00f6se Download-Quelle betrachtet werden. Muss ich mir merken, das in meinen Einsteigerb\u00fcchern bei eventuellen Neuauflagen zu korrigieren.<\/p><\/blockquote>\n<p>Nach diesem R\u00f6sselsprung konnte ich die Windows 7 SP1 Installations-DVD brennen, mit dieser den \"kranken\" Rechner booten, in Windows PE (siehe obige Ausf\u00fchrungen) gehen und das Zur\u00fccklesen des Backup \u00fcber die Option der Systemabbildsicherung zur\u00fccklesen ausw\u00e4hlen. Diesmal klappte das alles und nach 2 Stunden war der Rechner wieder bootf\u00e4hig.<\/p>\n<h3>Fazit nach 2 Tagen \u2026<\/h3>\n<p>Die Irrungen und Wirrungen der vergurkten Windows PE-Umgebung sowie das Verhalten des Anwenders (keine Ahnung, ob ein Virenscanner installiert war, Recovery gel\u00f6scht, Systemreparaturdatentr\u00e4ger \u2013 wozu ist das gut?) haben dazu gef\u00fchrt, dass sich das Wiederherstellen des Backups, mit Unterbrechungen, \u00fcber 2 Tage hinzog. Dem Anwender kann ich nicht mal einen gro\u00dfen Vorwurf machen \u2013 die ticken einfach so. Am Ende des Tages lag ein Ramnit-freies Windows 7 SP1 (32 Bit) mit Backup-Stand vom 2. Februar vor und der Anwender war gl\u00fccklich. Es waren nur ein paar Fotos verloren gegangen.<\/p>\n<p>Schwank am Rande: Ich habe nat\u00fcrlich nachgeschaut, welcher Virenscanner denn unter Windows 7 installiert war. Das Backup legte die Wahrheit schonungslos offen. Da war nix \u2013 nada \u2013 riente \u2013 kein Wunder, dass da der Trojaner w\u00fcten konnte. Ich habe dann Microsoft Security Essentials installiert und mich vom Acker gemacht. Dem Anwender habe ich empfohlen, die Windows Updates nachzuholen und mit dem aktuellen System eine Systemabbildsicherung durchzuf\u00fchren. Zudem sollte er die E-Mails der letzten Tage in Windows Live Mail l\u00f6schen \u2013 hoffentlich h\u00e4lt er sich daran.<\/p>\n<p>Was kurz geplant war, ist jetzt ein arg langer Blog-Beitrag geworden. Ich habe das Thema mal bereit ausgewalzt, um die T\u00fccken dieses Gesch\u00e4fts zu demonstrieren. Professionelle Dienstleister haben immer die passenden DVD samt Notfallsystemen dabei und fackeln nicht lange (hoffe ich mal). Aber ihr sollt ja was zu lesen und zu lernen haben.<\/p>\n<p>Und f\u00fcr die Fraktion \"mit ordentlichem Virenscanner w\u00e4r das nicht passiert \u2013 selbst schuld\": Wenn ich es packe und es mir gut geht, folgt morgen ein zweiter Teil mit dem Titel <a href=\"https:\/\/borncity.com\/blog\/2016\/02\/14\/crypto-trojaner-die-zweite-trun-der-noch-unbekannte\/\">Crypto-Trojaner die Zweite: .TRUN der (noch) Unbekannte<\/a>. Ein Bekannter aus dem Profiumfeld hat mir im Nebensatz quasi die Info zukommen lassen, dass ein weiterer Trojaner w\u00fctet, der durch Virenscanner (noch) nicht erkannt wird. Er musste ein befallenes System abdichten. Sch\u00f6nes Wochenende.<\/p>\n<p><strong>Anmerkung:<\/strong> Es gibt in den Kommentaren den Hinweis, dass Ramnit ein Fileinfector sei. Laut den im obigen Beitrag dokumentierten Screenshots ist die Schadsoftware aber definitiv ein Verschl\u00fcsselungstrojaner. Ob es eine falsche Kategorisierung durch ClamAV war, ob Ramnit zus\u00e4tzlich werkelte, oder ob es eine neue Spielart des Trojaners ist &#8211; ich wei\u00df es nicht. Das ist auch nicht relevant &#8211; das Teil ist vom System geputzt und der Artikel sollte eigentlich die Irrungen und Wirrungen zeigen, in die man laufen kann.<\/p>\n<p><strong>\u00c4hnliche Artikel:<br \/>\n<\/strong><a href=\"https:\/\/borncity.com\/blog\/2016\/02\/12\/randsome-malware-legt-klinikbetrieb-lahm\/\">Ransome-Malware legt Klinikbetrieb lahm<\/a><br \/>\n<a href=\"https:\/\/web.archive.org\/web\/20210308010555\/https:\/\/borncity.com\/blog\/2015\/09\/04\/neue-android-slocker-randsomeware-variante\/\">Neue Android SLocker-Ransomeware-Variante<\/a><br \/>\n<a href=\"https:\/\/web.archive.org\/web\/20210619181232\/https:\/\/borncity.com\/blog\/2016\/01\/14\/sicherheitslcke-in-trend-micro-schutzsoftware\/\">Sicherheitsl\u00fccke in Trend Micro-Schutzsoftware<\/a><br \/>\n<a href=\"https:\/\/web.archive.org\/web\/20210308010555\/https:\/\/borncity.com\/blog\/2015\/09\/04\/neue-android-slocker-randsomeware-variante\/\">Neue Android SLocker-Ransomeware-Variante<\/a><br \/>\n<a href=\"https:\/\/web.archive.org\/web\/20210124181746\/https:\/\/borncity.com\/blog\/2015\/05\/31\/sicherheitsinfos-zum-wochenende\/\">Sicherheitsinfos zum Wochenende<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2014\/08\/19\/rettungsanker-falls-windows-nicht-mehr-bootet\/\">Rettungsanker, falls Windows nicht mehr bootet<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2010\/03\/19\/stndige-freezes-in-windows-7\/\">St\u00e4ndige \"Freezes\" in Windows 7<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Heute noch ein kurzer Bericht aus \"dem Maschinenraum\" \u2013 mir ist ein Windows-System in die Finger gefallen, welches mit Ransomeware, dem (wie ich meine, herausgefunden zu haben) Verschl\u00fcsselungstrojaner Win.Trojan.Ramnit, befallen war. Hier ein paar Infos und Erfahrungen, die ich beim &hellip; <a href=\"https:\/\/borncity.com\/blog\/2016\/02\/13\/crypto-trojaner-die-erste-win-trojan-ramnit\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,161],"tags":[4809,4715,4810,4325],"class_list":["post-174986","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-virenschutz","tag-crypto-trojaner","tag-ransomware","tag-win-trojan-ramnit","tag-windows"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/174986","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=174986"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/174986\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=174986"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=174986"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=174986"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}