17. Juni 2016 | Von Simon Hülsbömer (Leitender Redakteur CIO)
Gefälschte Virenwarnungen, selbstständige Mauszeiger, merkwürdige Suchergebnisse: Hier kommen zwölf Anzeichen dafür, dass Ihr Rechner gehackt worden ist.
Foto: Shutterstock.com / Photosani
In allen genannten Szenarien ist eine Neuinstallation des Betriebssystems die beste Lösung. Das muss gar nicht die Formatierung der Festplatte bedeuten – Funktionen zu Systemwiederherstellung beispielsweise unter Windows oder regelmäßige Backups sorgen für den Ernstfall oft ausreichend vor. Eines muss jedoch klar sein: Ist ein Rechner einmal unterwandert gewesen, darf ihm nie wieder vollständig vertraut werden. Wie in welchem Fall am besten vorgegangen werden sollte, ist unter den einzelnen Punkten detailliert dargestellt.
Lösegeldforderung auf dem Bildschirm
Wie aus dem Nichts taucht auf einmal ein Erpresserschreiben auf Ihrem System auf? „Zahlen Sie XXX Dollar/Euro bis zum …, wenn Sie Ihre Daten zurück erhalten möchten“ oder so in der Art – dann können Sie sehr oft davon ausgehen, dass Sie unvorsichtig beim Lesen und Bearbeiten Ihrer E-Mails waren, dass Sie Links und/oder E-Mail-Anhänge geöffnet haben, die Sie besser geschlossen gelassen hätten. In diesem Fall: Glückwunsch, Sie sind Opfer eines Crypto-Trojaners respektive Ransomware geworden! Aber Vorsicht: Prüfen Sie in jedem Fall, ob Ihre Daten wirklich verschlüsselt sind und es sich nicht um einen Phishing-Versuch handelt! Wie ein Crypto-Lokcer-Angriff genau abläuft, beschreibt folgendes Video schön anschaulich:
Was zu tun ist: Wenn Ihre Daten bereits komplett verschlüsselt sind, haben Sie hoffentlich ein aktuelles Backup, das Sie wiederherstellen können. Wenn der Verschlüsselungsvorgang noch läuft (was bei der Anzeige der Erpresserbotschaft eher unwahrscheinlich ist), sollten Sie den Rechner ausschalten, die betroffene Festplatte (auf der die Daten und das Betriebssystem abgelegt sind) ausbauen und diese an IT-Forensik-Experten übergeben – die können vielleicht noch etwas retten.
Sind die Daten bereits vollständigverschlüsselt und Sie haben kein Backup zur Hand, können Sie entweder schauen, ob der betroffene Crypto-Trojaner bereits bekannt und sein Verschlüsselungsalgorithmus bekannt sind und eventuell bereits Gegenmaßnahmen exisitieren (die Sie dann vollziehen können) oder abwarten, ob die Verschlüsselung zeitnah geknackt wird. In keinem Fall sollten Sie die betreffende Festplatte wieder in Betrieb nehmen – es existieren bereits Trojaner, die nach einer bestimmten Zeit einer Nichtzahlung des Lösegelds die verschlüsselten Daten automatisch zerstören. Lieber eine „frische Platte“ einbauen und das Betriebssystem neu installieren. Eventuell lassen sich die „alten“ Daten später noch retten.
Ist Ihnen das alles zu (zeit-)aufwändig, haben Sie noch zwei Möglichkeiten: Sie vergessen die Daten, ärgern sich schwarz und setzen den Computer neu auf. Oder – Sie zahlen das Lösegeld. Das wird von Experten zwar nicht empfohlen, ist aber in manchen Fällen unumgänglich, um wichtige Daten wiederherzustellen zu können. Im Regelfall werden Ihre Daten nach Zahlung wieder entschlüsselt – sonst würde das „Geschäftsmodell“ der Erpresser nicht funktionieren. In jedem Fall gilt: Seien Sie beim nächsten Fall vorsichtiger!
Foto: bleepingcomputer.com
Gefälschte Antivirus-Meldungen
Fake-Warnmeldungen des Virenscanners gehören zu den sichersten Anzeichen dafür, dass das System kompromittiert wurde. Vielen Anwendern ist nicht bewusst, dass in dem Moment, wo eine derartige Meldung aufkommt, das Unheil bereits geschehen ist. Ein Klick auf „Nein“ oder „Abbrechen“, um den Fake-Virusscan aufzuhalten, genügt natürlich nicht – die Schadsoftware hat sich bestehende Sicherheitslücken bereits zunutze gemacht und ist ins System eingedrungen. Beliebte Einfallstore sind die Java Runtime Environment und die Adobe-Produkte.
Bleibt die Frage: Warum löst die Malware diese „Viruswarnung“ überhaupt aus? Ganz einfach: Der vorgebliche Prüfvorgang, der immer Unmengen an „Viren“ auftut, wird als Lockmittel für den Kauf eines Produkts eingesetzt. Wer auf den dargestellten Link klickt, gelangt auf eine professionell anmutende Website, die mit positiven Kundenbewertungen und Empfehlungen zugepflastert ist. Dort werden Kreditkartennummer und andere Rechnungsdaten abgefragt – und immer noch viel zu viele Nutzer fallen auf diese Masche herein und geben ihre Identität freiwillig an die Kriminellen ab, ohne etwas davon zu merken.
Was zu tun ist: Computer ausschalten, sobald die gefälschte Antivirus-Meldung aufschlägt. (Achtung: Sie müssen natürlich wissen, wie eine „echte“ Meldung Ihres Virenscanners aussieht.) Wenn noch etwas zu sichern ist und das problemlos geschehen kann, machen. Aber je schneller der Rechner hinuntergefahren wird, desto besser. Anschließend im „abgesicherten Modus“ neustarten (ohne Netzwerkverbindung) und die vormals neuinstallierte Software deinstallieren (was häufig klappt). Wie auch immer – wichtig ist, das System in einen Zustand zu bringen, der dem vor der Kompromittierung entspricht. Wenn das gelingt, sollte sich das System wieder normal starten lassen und keine Fake-Meldungen mehr ausstoßen. Was nun noch bleibt, ist ein umfassender Systemtest und ein kompletter Virenscan, um die letzten Reste der Malware zu entfernen.
Unerwünschte Browser-Toolbars
Wahrscheinlich das zweithäufigste Zeichen einer Unterwanderung: Der Browser kommt mit verschiedenen neuen Toolbars daher, die allesamt Hilfe versprechen. Solange es nicht das Produkt eines bekannten Anbieters ist (und selbst dann), sollten diese Erweiterungen entfernt werden.
Was zu tun ist: Die meisten Browser lassen es zu, sich alle installierten Toolbars anzeigen zu lassen. Entfernen Sie alle, die Sie nicht unbedingt behalten möchten. Wird die verdächtige Toolbar nicht aufgelistet oder lässt sie sich nicht ohne weiteres löschen, sollte der Browser auf seine Standardeinstellungen zurückgesetzt werden. Klappt auch das nicht, gehen Sie so vor wie beim oben aufgeführten Punkt „Gefälschte Antivirus-Meldungen“.
Die meisten mit Schadcode behafteten Toolbars lassen sich schon allein dadurch verhindern, dass alle installierten Applikationen auf dem neuesten Stand sind. Und auch dadurch, dass Sie bei der Installation kostenloser Software während des Einrichtungsvorgangs ein wenig darauf achten, was alles mit installiert werden soll und entsprechende Toolbars deaktivieren.
Die 10 besten Browser-Erweiterungen für sicheres Surfen
Foto: ra2 studio, Fotolia.com
Ein beliebter Verbreitungsweg für Viren sind Downloads aus dem Web. Das Add-on Vtzilla übergibt Ihre Downloads an den kostenlosen, webbasierten Virenscanner VirusTotal, bevor sie die Festplatte erreichen. Für seine Untersuchungen benutzt er mehrere Scan-Engines und lässt die Dateien nur auf Ihren PC, wenn sie „schadstofffrei“ sind. Virustotal bietet Erweiterungen für Firefox, Chrome und den Internet Explorer.
Seitdem der Kurznachrichtendienst Twitter immer populärer wird, wächst auch das Aufkommen an verkürzten Internetadressen, sogenannten Mini-URLs. Erzeugt werden sie von URL-Verkürzern wie etwa Bit.ly oder t.co. Die Dienste lassen beliebig lange Adressen auf wenige Zeichen zusammenschnurren. Das Problem dabei ist, dass man als Empfänger solcher Links nicht erkennen kann, wo sie einen hinführen und ob es sich vielleicht um eine Site handelt, die mit einer gewissen Wahrscheinlichkeit Virencode enthält. Mit den Erweiterungen Long URL Please (Firefox) und Long URL (Chrome steht nicht mehr zur Verfügung!) lösen Sie dieses Problem. Nach der Installation übersetzt es auf Webseiten die gekürzten Adressen in die Originale, sodass Sie erkennen können, wohin der Mausklick auf eine Adresse führt.
Verbindungen verschlüsseln
Wenn Sie mit Ihrem Notebook unterwegs ins Internet gehen, etwa über öffentliche Hotspots oder das WLAN Ihres Hotels, kann der Betreiber des Zugangs problemlos Ihren Datenstrom überwachen. Sie haben aber die Möglichkeit, das zumindest teilweise zu verhindern, indem Sie Https Everywhere (Firefox) oder SSL Enforcer (Chrome) verwenden. Die Erweiterungen sorgen dafür, dass beim Aufrufen populärer Internetseiten automatisch die verschlüsselte Version angesteuert wird, wenn eine solche vorhanden ist. Leitfaden zum Verschlüsseln des gesamten Internetverkehrs (https://pixelprivacy.com/resources/how-to-encrypt-your-traffic/)
Die größte Gefahr geht im Internet immer noch von verborgenen, in Webseiten eingebetteten Scripts aus, also von kleinen Programmen, die von der Javascript-Engine des Internet-Browsers automatisch ausgeführt werden. Einige Anwender deaktivieren daher Javascript, was heute jeder Browser über seine Einstellungen erlaubt. Doch damit machen sie auch viele Internetseiten unbrauchbar, die bei ihrem Bedienkonzept auf diese Script-Sprache setzen. Das Videoportal Youtube ist das prominenteste Beispiel dafür. Scripts verbieten: Einen Ausweg bieten die Browser-Add-ons Noscript (Firefox) und Notscripts (Chrome). Beide basieren auf einer Positivliste, in die Sie alle Websites eintragen, die Sie als vertrauenswürdig einschätzen, also etwa Youtube oder die Internetseite von PC-WELT. Bei allen anderen Sites blocken die Add-ons die Ausführung von Javascript und Java.
Die Abkürzung WOT (Web of Trust) steht nicht einfach nur für eine Browser-Erweiterung, sondern gleichzeitig auch für eine ganze Internet-Community. Sie hat es sich zum Ziel gemacht, das Netz sicherer zu machen und auf Betrug hinzuweisen. Diese Software zeigt Ihnen in der Adressleiste den Sicherheitsstatus der aufgerufenen Site an.
WOT für Chrome gibt es hier. (Ist seit Anfang November aus Sicherheitsgründen gesperrt!)
Download für Firefox
Bei Cocoon für Firefox handelt es sich nicht nur um eine einfache Browser-Erweiterung, sondern um ein ganzes Sicherheitskonzept, das unter anderem einen amerikanischen Proxy-Server umfasst. Nach Installation und Gratis-Registrierung können Sie Ihren Internet-Datenverkehr über den Cocoon-Server in den USA laufen lassen. Er sorgt dafür, dass Viren nicht bis zu Ihrem PC vordringen, blockiert Cookies und verhindert, dass Ihr Browser die Adressen der zuletzt besuchten Webseiten speichert. Cocoon lässt sich ein- und ausschalten.
Die Erweiterung FlashBlock blockiert auf Websiten sämtliche Flash-Inhalte. Inhalte, die Sie sehen möchten, können Sie dann freigeben. Das Sicherheitsplus ergibt sich immer dann, wenn das Flash-Plugin von Adobe wieder mal eine Sicherheitslücke hat. Kriminelle versuchen dann über manipulierte Flash-Inhalte, Ihren PC zu kapern. und unten für Firefox.
Die Chrome-Erweiterung hilft Facebook-Nutzern, die Datenschutzeinstellungen ihres Facebook-Kontos zu kontrollieren und besser einzustellen. Tatsächlich bietet Facebook für für die Datenschutzeinstellungen eine ganze Menge Schalter. Doch im Interesse der Facebook-Macher liegt es nun mal, dass die Nutzer möglichst viel von sich verraten. Entsprechend sind die Grundeinstellungen recht freizügig.
Cookies sollen dem Anwender die Benutzung von Websites erleichtern. So erkennt Sie zum Beispiel Amazon wieder, wenn sie die Seite erneut aufrufen. Doch Cookies nützen nicht nur dem Anwender. Anzeigenvermarkter verwenden Cookies zum Anlegen von Nutzerprofilen. Aus diesem Grund besitzt jeder Browser Funktionen, um die Annahme von Cookies zumindest grob zu steuern. Wenn Sie wissen wollen, welche Cookies auf Ihrem PC vorhanden sind, und Sie feinere Werkzeuge für deren Verwaltung suchen, können Sie Cookie Monster und testen. Diese Erweiterung gibt Ihnen umfangreiche Möglichkeiten zum Überwachen und Löschen der kleinen Dateien an die Hand.
Ghostery kontrolliert beim Surfen im Internet alle die Cookies, die primär dafür gemacht sind, das Surfverhalten eines Nutzers auszuspionieren. Es registriert etwa das Facebook-Cookie immer dann, wenn es von einer anderen Seite als von www.facebook.com ausgeliefert wird. Wenn Sie den Firefox beenden, löscht Ghostery alle unerwünschten Cookies.
Umgeleitete Web-Suchen
Cyberkriminelle verdienen daran, dass Internetnutzer woanders „landen“ als sie eigentlich wollen. Die Klicks auf einer bestimmten Website werden für sie direkt in Bares umgewandelt – oft ohne dass die jeweiligen Seitenbetreiber überhaupt wissen, dass der Traffic aus einer Besucher-Umleitung resultiert.
Aufzufinden ist dieser Typ Malware bei infizierten Browsern schnell per Suchmaschine: Einfach einige sehr generische Wörter wie „goldfish“ oder „puppy“ eintippen und prüfen, ob mehrmals die gleichen Websites in den Ergebnislisten aufschlagen – diese haben meist kaum einen belastbaren Bezug zu den gesuchten Begriffen. Leider sind viele der heutigen Websuchumleitungen mithilfe diverser Proxy-Server aber so getarnt und gut versteckt, dass die gefälschten Ergebnisse für betroffene Nutzer selten direkt sichtbar sind. Häufig sind es auch Toolbars, die die Redirects auslösen. Technisch versierte Anwender, die sicher gehen wollen, können auf Tools zur Überwachung des Netzwerkverkehrs zurückgreifen. Der Traffic, der auf einem kompromittierten Computer aus- und eingeht, unterscheidet sich signifikant von dem auf einem sauberen Rechner.
Was zu tun ist: Das Gleiche, das bereits erwähnt wurde. Das Entfernen von Toolbars und sonstiger Malware sollte genügen.
Häufige Popup-Fenster
Aufpoppende Fenster nerven. Sie sind aber auch ein Beleg dafür, dass der Rechner gehackt wurde. Liefern Websites, die für ein solches Verhalten in der Regel nicht bekannt sind, zufällige Browser-Pop-ups aus, wurde das System unterwandert. Es ist immer wieder spannend zu sehen, welche Seiten den Anti-Popup-Mechanismus des Browsers aushebeln können. Es ist wie ein Kampf gegen Spam – nur schlimmer.
Was zu tun ist: Typischerweise werden derartige Popup-Fenster durch einen der drei bereits geschilderten Fälle erzeugt. Auch hier hilft das Entfernen von Toolbars und anderen Schadprogrammen.
Zur Seite
1 2 3
- Bilder Geisbruchtreff „2023“ - 28. August 2023
- Aktuelle Termine - 30. Dezember 2022
- Bilder Geisbruchtreff „2022“ - 30. August 2022
