Gestern wurde ich von Herrn ########## aus Pressbaum angerufen, er könnte mit seinem Layoutprogramm nicht mehr arbeiten. Beim anschließenden Termin gestern später Nachmittag ein schreckliches Bild: Ein Cerber-Trojaner (benannt nach dem Höllenhund Cerberus) hatte alle Datenfiles (Office -Dokumente, alle Bilder, Grafiken und Layoutdokumente usw.) verschlüsselt und vermehrte sich munter am System. Es handelte sich nicht um den älteren *.cerber Verschlüsselungs-Trojaner sondern bereits um eine modernere Version (*.xxxx = 4stelliger HEX Suffix).
In den Verzeichnissen fand sich der übliche Cerber-Splash mit roter Schrift und eine „Anleitung“ auf Deutsch eine kostenpflichtige Software downzuloaden um die Daten wieder entschlüsseln zu können. Der Rechner lief (oberflächlich betrachtet) noch in Ordnung (nur war klar, dass sich der Trojaner auf alle Laufwerke vermehrte und die Windows-Sicherheitsfeatures längst ausgehebelt waren.)
Hier die Bilder vom Einsatz:
Das Layout der EDV Anlage war typisch für Pressbaum:
- Kabelsignal-Internetmodem (was einer fixen IP nahekommt),
Ohne Firewall, Malwareschutz, Backup und offen wie ein Scheunentor… - keine Firewall,
- kein Backup mit Notfallsboot,
- kein professioneller Antimalwareschutz (ESET hätte den Trojaner erkannt, wie sich später herausstellte).
Also ganz genau das wo vor ich immer warne und in meinen Beiträgen auf meiner Website und meinen Zeitungsinseraten informiere… Jeder 19järiger kann schon mit einem Toolkit Malware basteln verschicken. Wichtige geschäftliche Daten (wenn geschäftskritisch) gehören auch nicht auf einen Client (auf dem Mail läuft) sondern auf einen (Small) Business-Server. Ja das kostet Geld, nur ist der zum Datenspeichern da und gut abgesichert.
Sehr positiv war, um auf den gestrigen Einsatz zurückzukommen, dass alle original DVDs (Betriebssystem + Programme + Lizenzschlüssel) vorhanden und greifbar waren, großes Lob!
Was war zu tun?
Ich habe den Rechner in die Imaginative Werkstatt mitgenommen. Der erste Schritt war den Trojaner zu entfernen. Nach eineinhalb Stunden Scan wurden an die 900 infizierte Dateien als „Cerber“ erkannt und eliminiert. Trotzdem bleibt jetzt folgendes zurück:
- Ein Rechner mit (sicherheitstechnisch) aufgebrochenem Betriebssystem
- Alle Datenfiles verschlüsselt.
Jetzt beginnt dann der mühsame Weg der Entschlüsselungsversuche. Dies kann bei Cerber nur auf dem Originalrechner gemacht werden (also nicht die verschlüsselten Daten seperat entschlüsseln). Ebenso gibt es die verschiedensten Mutationen (der ursprüngliche Cerber, erkennbar an *.cerber Dateien) ging noch relativ einfach, dieser hier (Verschlüsselter Name mit 4 stelliges HEX suffix) ist schwierig bis unmöglich. Auch sind selbst bei erfolgreicher Entschlüsselung nicht immer alle Daten restaurierbar. Egal ob einige Dateien entschlüsselt werden können oder nicht, früher oder später muss man den Rechner:
- Neu aufsetzen
Der 3 köpfige Höllenhund Cerberus - alle Programme wieder installieren / konfigurieren und einstellen
und wenn man nicht den nächsten Trojaner einfangen möchte
- funktionierende Antimalware installieren
- Backup realisieren
- Firewall installieren
Somit kann ich nur alle (noch) nicht Betroffenen (besonders Unternehmen!) warnen und raten nicht erst dann anzurufen, wenn der Schaden da ist, sondern schon im Vorfeld mich anzurufen, Sicherheit zu planen und auf Sicherheit zu setzen.
Warnungen gibt es schon seit Herbst sogar vom Bundeskriminalamt.