Neue Ransomware-Variante ändert das Windows-Kennwort des Opfers

Einen Kommentar schreiben
[o1] Ludacris am 08.11. 15:24
sollten sie ruhig, hab auf meinem pc keinerlei peinliche oder private Daten.
[re:1] dual-o am 08.11. 15:42
@Ludacris: Top Kommentar. Da hat jemand richtig weit gedacht.
[re:1] Ludacris am 08.11. 23:21
+ -3
@dual-o: Yup. Prinzipiell ist das bei mir wirklich egal, meine backuplösukg ist ziemlich bombenfest. Wenn mein PC also mit einer randsomware infiziert ist ist das vollkommen egal
[o2] Souldancr am 08.11. 17:06
+1 -
Wie kann man sich denn vor MegaCortex schützen ?
[re:1] RalphS am 08.11. 17:48
+2 -2
@Souldancr: Wie vor allem diesem Zeug: Regelmäßige Backups.
[re:1] Souldancr am 08.11. 17:53
+ -1
@RalphS: done ; )
[re:3] Stefan_der_held am 09.11. 00:24
+1 -
@Souldancr: mit den drei "Verdächtigen": Backups, Updates, Systemhardening. Bei den meisten hapert es ja schon am ersten. Das Zweite ist ja "fast" ausgemerzt dank der Updateverteilungspolitik seitens Windows, das dritte ist die Königs-Disziplin.
[re:4] 1ST1 am 09.11. 15:53
+2 -
@Souldancr: Zweitaccount mit Administrator-Rechten anlegen, dem ersten Account die Adminrechte entziehen. Softwareinstallation dann nur noch über den Zweitaccount. So kann sich so ein Schädling nicht tief im System festsetzen, und man hat mit dem Zweitaccount einen zweiten Zugang zum Rechner, mit dem man das Passort des normalen Benutzeraccount wieder zurücksetzen kann.
[o3] DerZero am 08.11. 17:44
+2 -1
ein backup sollte man immer haben...

und das pw zu ändern ist auch nicht schwer , gibt genug leichte und schwerere möglichkeiten dazu.
[o4] guythomaz am 08.11. 18:42
+ -1
Da steht, er verbreitet sich über Emotet. Meines Wissens, verbreitet sich Emotet über infizierte E-Mail-Anhänge (im Moment meistens .doc). Falls dies zutrifft, einfach keine Dateianhänge öffnen (und auch keine Links öffnen).
[re:1] Stefan_der_held am 09.11. 00:25
+1 -
@guythomaz: genau so wie: Die Bank wird dich niemals nach PIN/TAN fragen sofern du nicht gerade eine Überweisung tätigst... es gibt immer wieder ewig-gestrige bei denen du das immer und immer wieder rauf und runter beten kannst... die Doofheit des Menschen ist unerreicht...
[o5] MancusNemo am 08.11. 18:42
+1 -
Benutzerpasswort knacken ist ja wohl das leichteste der Welt wenn es dein eigner Rechner ist und du die Platte ausbauen könntest. Der berühmteste Hack ist der Utilman.exe Hack. Gibts ein Sempervideo sogar drüber. Muhaha.
Ich zieh die Platte dann ab und lösch die Datei mit Linux und dann gibts kein PW mehr. ^^
[re:1] Aerith am 08.11. 19:48
+ -
@MancusNemo: Unter windows brauchste nur nen 2. Admin account, der kann das PW dann via commandline tool ändern.

Wobei bei MS account gebundenen gehts noch einfacher, an einem anderen Rechner die "PW vergessen" Geschichte machen und gut.
[re:1] MancusNemo am 08.11. 21:11
+ -
@Aerith: Ich hab so viele Rechner ohne Adminaccount gesehen da guck ich dafür nicht mehr nach und mach überall die gleiche Methode, fertig.
[re:1] Aerith am 09.11. 09:26
+ -
@MancusNemo: Müsstest du nicht den normalerweise deaktivierten "default admin" account via abgesicherten aktivieren können? Keine Ahnung ob das unter Win10 noch geht.

Mir ist nicht ganz klar was für eine Datei man löschen kann um das Windows zugangspasswort zu ändern, dachte das wäre irgendwo in der Registry verbuddelt.
[re:1] MancusNemo am 09.11. 11:14
+1 -
@Aerith: Ja sowas geht auch, aber wenn du eine Lösung für immer ein ähnliches Problem anwendest ist es einfacher zusätzlich ist die Methode mächtiger, du kannst da mit gleich auf einen Schlag noch andre Fehler beseitigen.

Wenn man die Datei löscht wird nicht nur das PW gelöscht sondern auch generierte konfigurations Daten. Spielt aber keine Rolle die erstellt Windows sowieso neu. Das PW liegt nicht im Klartext vor, es ist gehasht. Ich habe sogar mal den Hash ausgetausch, hat auch gelappt. Ist aber schon gefühlt eine ewigkeit her.

In der Registry wird es nur gespiegelt. Da das einlesen der Registry anscheint schneller ist. Liegt aber auch als Datei vor. Ist der gleiche Witz wie mit der MAC Adrese. Liegt in der Registry, die echte wird nach der Installation nie wieder abgefragt, stattdessen immer aus der Registry. Fälschung daher ein Kinderspiel. WTF
[re:2] Aerith am 09.11. 15:28
+ -
@MancusNemo: lol okay.
Dann ist mir klar warum du da nicht lange fackelst. Danke fürs erläutern.
[re:3] MancusNemo am 10.11. 18:49
+ -
@Aerith: Ist mein Job Laptops wieder Funktionsfähig zu machen. Da kommt es auf Effektivität an.
[o6] DRMfan^^ am 08.11. 21:18
+ -
1. Wenn die Malware wirklich analysiert wurde, dann weiß man auch, ob ein Upload erfolgt
2. Hat so manche Ransomware den Rechner schon unbootbar gemacht - ob sie nun das Passwort ändert oder z.B. den MBR überschreibt macht für den "normalen" Nutzer keinen Unterschied ...
[o7] PitBrett am 08.11. 23:08
+ -
Jedem das Seine
[o8] Stefan_der_held am 09.11. 00:28
+ -
Da vermutlich die NET-USER-Befehlskette verwendet wird zum ändern des Passwortes ist davon auszugehen, dass bei dem ein oder anderen durch diesen Vorgang allein schon Schaden vorhanden ist den lediglich ein Backup beheben kann. Ich sage nur mal "EFS-Zertifikate" ;)

Das wirklich einzig sinnvolle ist im Falle-des-Falles ein sauberes Backup wieder einzuspielen.
[re:1] Aerith am 09.11. 09:29
+1 -
@Stefan_der_held: Das würde ich immer tun, einem einmal kompromittierten System traue ich nicht mehr.

Ist ja idR auch kein Problem. Datenplatten in einer live boot umgebung durchscannen, Systemplatte plattmachen und neu aufsetzen. Je nach Verbreitung / Scanresultat braucht man noch nichtmal das Backup bemühen.
[o9] Hideko1994 am 09.11. 15:28
+2 -
Mich würde mal interessieren:

Wenn ein normaler Nutzer den Trojaner eingefangen hat, Daten verschlüsselt und das Nutzerpasswort wird geändert, wie will der Nutzer später dann an die Eingabemaske kommen, wenn er sich doch gar nicht mehr anmelden kann? Weil der normale Nutzer evtl. den PC heruntergefahren hat oder so...
Einen Kommentar schreiben
Desktop-Version anzeigen
Hoch © 2000 - 2019 WinFuture Impressum Datenschutz