Frage Betrug - angeblicher Mircosoft Mitarbeiter hat PC manipuliert! HILFE!

[Robin74]

Hallo Leute, ich weiß nicht, ob das hier der richtige Bereich für dieses Thema ist - zur Not bitte verschieben. Folgendes Problem liegt an:

Gestern ist ein Bekannter auf eine Betrugsmasche reingefallen. Ein angeblicher Microsoft-Mitarbeiter hat bei meinem Bekannten angerufen und ihm mitgeteilt, dass er festgestellt hat, dass der Computer meines Bekannten angeblich mit einer Schadsoftware (Virus) infiziert sei und er dieses Problem jetzt für ihn beheben würde. Mein Bekannter gewährte dem "Mitarbeiter" Zugriff auf den PC via Teamviewer - dieser hat dann 1,5 Stunden alles mögliche am PC eingestellt. Als mein Bekannter sich dann auch noch bei seiner Bank einloggen sollte, wurde er misstrauisch, beendete das Gespräch und trennte den PC vom Netz. Das Ende vom Lied - sein Computer wurde von diesen Leuten mit einem Passwort belegt sodass er sich nicht mehr auf seinem PC einloggen kann - wahrscheinlich wurden auch sämtliche Passwörter ausgespäht. Welche weiteren Manipulationen an Programmen und Dateien vorgenommen wurden, lässt sich nicht mehr nachvollziehen. Zur Sicherheit werden wir jetzt eine neue Festplatte (SSD) besorgen und dort ein neues Betriebssystem aufspielen. Ob eine "Löschung/Formatierung" der alten SSD ausreicht um eventuell vorhandene Trojaner, Viren, etc loszuwerden, das ist hier die Frage. Zur Sicherheit hat er alle Passwörter geändert, den PC komplett vom Netz getrennt und auch das Passwort seines Routers geändert. Heute habe ich die Info bekommen, dass diese Schweinebande über Amazon schon über sein Konto eingekauft hat - XBox-Guthaben.

Frage: Ist es ratsam, noch auf die alte SSD mit den Daten (Dokumente, Bilder, etc.) zuzugreifen um diese zu retten oder ist zu befürchten dass auch einzelne Dateien manipuliert wurden. Gleiches gilt für die angeschalteten externen Festplatten. Kann man hier nich bedenkenlos auf die Daten zugreifen oder lieber alle Festplatten formatieren - wenn ja, reicht das aus um manipulierte Dateien unschädlich zu machen.

 

[Martin Gut]

Als erstes würde ich eine Anzeige bei der Polizei machen und gar nichts an den alten Festplatten verändern. Als 2. würde überlegen, ob auf dem PC Kreditkartendaten gespeichert (durch frühere Zahlungen bei Shops) waren, die möglicherweise geklaut wurden. Dann müsste man diese Kreditkarten sperren lassen.

Grundsätzlich reicht formatieren einer Festplatte aus, dass das neue Dateisystem auf nichts mehr altes zurück greift. Beim Formatieren wird nicht alles überschrieben, aber es ist nur noch mit spezieller Datenrettungssoftware wieder herstellbar. Wenn du eine Festplatte formatierst, brauchst du also keine Angst zu haben, dass von alleine wieder etwas zum Vorschein kommt.

Fotos und Daten würde ich zu retten versuchen. Zuerst würde ich aber einen Virenscanner darüber jagen. Auf allen angeschlossenen Festplatten können die Betrüger genau so rumgefummelt haben wie auf eingebauten. Wenn ihr euch nicht auskennt, kann es aber sinnvoll sein sich fachkundige Hilfe zu holen. Dann kann man auch die Daten auf der eingebauetn Festplatte retten.

Und erkläre deinem Kollegen, dass es keine Bank, kein Kreditkartenunternehmen, keine Geschäfte und keinen PC-Kundendienst gibt, der einem von sich aus anruft um Probleme zu beheben. Er soll nie mehr persönliche Daten an solche Leute rausgeben und niemandem Zugriff auf dem PC geben, den er nicht selbst organisiert hat. Wenigstens ist er bei den Zahlungsdaten kritisch geworden.

 

[goch]

Frage: Ist es ratsam, noch auf die alte SSD mit den Daten (Dokumente, Bilder, etc.) zuzugreifen um diese zu retten oder ist zu befürchten dass auch einzelne Dateien manipuliert wurden. Gleiches gilt für die angeschalteten externen Festplatten. Kann man hier nich bedenkenlos auf die Daten zugreifen oder lieber alle Festplatten formatieren - wenn ja, reicht das aus um manipulierte Dateien unschädlich zu machen.

Also erstmal ist schon vieles richtig gemacht!

Es besteht immer die Gefahr, dass Daten kompromittiert sind. Daher ist die Übernahme / Wiederherstellung dieser Daten eine Riskio Abschätzung. Ich würde mit einem speziellen Linux Live System Booten, und die extern angeschlossenee SSD so gut wir möglich mit scannen und überprüfen. Das einfachste Tool dafür ist vermutlich folgende: Heise Desinfec't
Dann könnte man wichtigste Daten rauskopieren - aber ein Restrisiko bleibt. Ich persönlich würde es als nicht allzu hoch einschätzen.

Ob eine "Löschung/Formatierung" der alten SSD ausreicht um eventuell vorhandene Trojaner, Viren, etc loszuwerden, das ist hier die Frage.

Auch hier besteht ein, recht kleines, Restrisiko. In einer Sicherheitsbehörde würde die SSD geshredderd werden. Hier würde ich ebenfalls mit einem speraten Live-System die SSD korrekt formatieren (keine Schnellformatierung), z.B. hiermit: DBAN

Zusätzlich würde ich bei dem bestehenden PC auch ein BIOS reset und oder Update machen, um zu verhindern, dass ggf. Schadcode dort eingeschleust wurde (ist bei dieser Masche aber eher unwahrscheinlich).

 

[Chiara]

Es kommt drauf an, wie professionell von den Mitarbeitern "gearbeitet" wurde.
Theoretisch ist es möglich, auch das BIOS und die Firmware der Komponenten zu kompromittieren.
Wenn du wirklich sicher gehen willst, dass nichts mehr übrig ist, dann musst du den kompletten PC (außer das Netzteil, das Gehäuse und Lüfter) neu kaufen.
Es wird aber selten so gründlich gearbeitet (von Geheimdiensten wie die CIA abgesehen)

Das Formatieren der Festplatte ist auf jeden Fall nicht ausreichend, es müssen mindestens alle Partitionen ebenfalls gelöscht werden.
Am Besten wäre ein Low Level Format, dann sind auch möglicherweise versteckte Partitionen weg.

Daten zu retten ist durchaus möglich, es bleibt jedoch ein Restrisiko. Alle ausführbaren Dateien und Systemdateien sind tabu.
Bilder können in der Regel problemlos gerettet werden. Hier ist eine neue Infektion nur durch das Ausnutzen von Sicherheitslücken im Betrachtungsprogramm möglich. Bei anderen Dokumenten ist das ein bisschen schwieriger. E-mails sind ebenfalls schwierig zu retten.
Die Datenrettung sollte nur mit einer Linux DVD und einer FTP Verbindung zu einem sicheren Computer mit der neuen Festplatte durchgeführt werden.
Auf keinen Fall darf die verseuchte Festplatte und eine neue Festplatte gemeinsam am gleichen Computer betrieben werden!

Der Router sollte auf Werkseinstellungen zurückgesetzt werden (direkt am Router durch Drücken der entsprechenden Taste), und das Passwort darf nicht von einem kompromittierten Rechner geändert werden, weil die Tastatureingaben sonst mitgelesen werden.

 

[Abductee]

Wenn nur das Benutzerpasswort geändert wurde ist es ja nicht so tragisch, mit einem Linux-USB Stick starten und die Daten sichern.
Das gibts auch in Kombination mit Virenscanner von der ct.

Desinfec't

Desinfec't ist eine Antivirus-Live-DVD von heise Security, die das Windows-System im ruhenden Zustand überprüft.

www.heise.de

 

[Robin74]

Danke Leute, das hilft mir erstmal weiter. Die neue SSD ist bestellt. Mein Bekannter bringt mir morgen den PC vorbei, dann versuche ich die wichtigsten Daten von der alten SSD auf einen alten PC, der nicht ans Netz angeschlossen ist, zu sichern. Dabei werde ich gleich das neuste UEFI aufspielen. Das Gleiche gilt auch für die verbaute HDD - dort versuche ich die Daten zu retten und dann wird alles formatiert und die Partitionen werden gelöscht. Ist echt übel, da an diesem PC noch externe HDDs angeschlossen waren - was soll mit denen geschehen? Die Täter haben bei ebay und Amazon XBox-Guthaben gekauft, die betroffenen Händler wurden informiert und die Konten vorerst gesperrt. Die sind echt schnell, die Kollegen!

 

[Besterino]

Scheisse sowas.

Hoffe mal, dass die nicht auch direkt eine Bitlocker-Verschlüsselung angeworfen haben, dann ist nämlich womöglich essig mit der Datenrettung.

Ansonsten empfiehlt es sich grds. immer, ein Image zu ziehen und alles weitere ausschließlich mit diesem Image zu machen. Dann hast Du für etwaige Profi-Datenretter oder sonstige Forensiker (z.B. der Strafverfolgungsbehörden) noch den unberührten Original-Datenträger (das ist wirklich wichtig, wenn die noch eine Chance haben sollen). Als Ziel für solche Images eignen sich dann insbesondere virtuelle Datenträger, also entweder Abbilddateien oder sonstige virtuelle Formate wie z.B. VHD(X) o.ä. - das hängt dann aber auch von dem jeweils zur Imageerstellung genutzten Tool ab.

Willst Du die SSD einfach nur "plattmachen", gibt es tausende Möglichkeiten, hier nur zwei recht simple und gleichzeitig ganz gute Möglichkeiten:

1. Secure Erase z.B. übers BIOS
2. "clean" bzw. "cleanall" über diskpart (clean löscht nur die Partitions- und Volumeinformationen, cleanall überschreibt jedes einzelne Bit und dauert deutlich länger)

Jetzt ist es leider in der Tat echt schwierig nachzuvollziehen, WAS die Freunde da alles gemacht haben. Ich würde in jedem Fall auch das BIOS des Mainboards (neu) flashen, am besten mit einer automatischen Flash-Funktion per USB-Stick, wenn das Mainboard das anbietet. Wenn's geht, auch Graka neu flashen und Firmware der SSD/HDDs ebenfalls.

Versteht sich von selbst, das die Kiste, vor allem Datenträger, Mainboard und sonstige flashbare Komponenten von ihr, auf keinen Fall mehr in irgendein Netzwerk rein darf - weder WLAN, noch Kabel noch sonst irgendwas (also auch in keinen anderen Rechner, der am Netz hängt) - bis nicht sichergestellt ist, dass die Komponenten wirklich sauber sind.

Wenn das Profis sind, können die in kürzester Zeit diverse Rootkits und sonstwas aufspielen, die sich fies tief festzecken und eben auch mit "mal eben OS neu installieren" nicht wegzubekommen sind. Und der Freund hatte offenbar über eine Stunde Zeit...

 

[Chiara]

da an diesem PC noch externe HDDs angeschlossen waren - was soll mit denen geschehen?

Wichtige Daten von den externen Festplatten ebenfalls sichern (am besten über einen lokalen FTP Server auf dem sicheren PC, die Windows Freigabe ist zu unsicher, EternalBlue und so...).
Dann die externen Festplatten formatieren, zusammen mit den internen Platten, und Windows neu aufsetzen.

Wichtig ist die konsequente Trennung zwischen dem infizierten Rechner und dem anderen PC.
Windows Freigabe auf jeden Fall deaktivieren, die Netzwerkverbindung in Windows auf "öffentliches Netzwerk" stellen.

Vor dem Sichern solltest du stichprobenartig schauen, ob sich die Dokumente überhaupt noch öffnen lassen.
Wer weis was der Betrüger alles angestellt hat. Wenn du Pech hast, ist alles verschlüsselt...

Und das Linux nach Möglichkeit von einer DVD starten, weil die Daten auf der DVD nicht von einem Virus verändert werden können.
Bei einem USB Stick ist das nicht so, da kann das Linux ebenfalls kompromittiert werden.

 

[Besterino]

Neee...nix FTP. Das Ding bitte zu nix mehr irgendwie connecten!

Zumal nach meinem Verständnis man eh nicht mehr mit einem lokalen Benutzer an die Daten kommt.

 

[Robin74]

Also nicht nur die SSD austauschen sondern auch das Mainboard, den Arbeitsspeicher und die Grafikkarte? Echt jetzt?

Wenn du wirklich sicher gehen willst, dass nichts mehr übrig ist, dann musst du den kompletten PC (außer das Netzteil, das Gehäuse und Lüfter) neu kaufen.

Ich muss sagen, dass eure Tipps hier mein Können doch überschreiten. Was wäre die Alternative? Wir haben hier im Ort einen IT-Laden - den PC dort mal hinbringen? Oder eben doch alles ersetzen mit neuer Hardware? Bin gerade echt überfragt. :-(

 

[HerrRossi]

Der MS Defender findet auch Bios Malware: https://itigic.com/de/microsoft-defender-can-scan-find-viruses-in-uefi/

Der Angreifer war wahrscheinlich ein Call Center Fuzzy aus Indien oder Bangladesh, kein Megahacker der NSA oder sonst eines Geheimdienstes. Es besteht imho kein Grund, die Hardware zu verschrotten, ich würde mir aber an deiner Stelle jemand suchen, der sich ein bisschen besser mit der Materie auskennt.

Ich würde den Rechner mit c't disinfect oder Kaspersky Rescue Disk überprüfen und alle befallenen Dateien löschen, dann mit Ubuntu die wichtigsten Dateien retten, dann die SSD mit GPartEd "plattmachen" und mit einem "secure erase" alle Daten richtig entfernen. Danach kann man dann hingehen und Windows neu installieren.

Das BIOS neu zu flashen kann nicht schaden, auch die Firmware der SSDs kann man neu aufspielen, bei der Grafikkarte ist das imho nicht nötig.

 

[Martin Gut]

Am Arbeitsspeicher und am Prozessor kann man nichts kaputt gemacht haben. Diese haben kein BIOS, das man umprogrammieren könnte. Das BIOS von Mainboard und Grafikkarte kann mit speziellen Tools umprogrammiert werden. Dafür muss man sich aber schon sehr gut auskennen. Ich vermute nicht, dass das gemacht wurde, garantieren kann man es aber nicht zu 100%.

Was ist für ein Mainboard verbaut? Es gibt solche, mit einem Dualbios, das man problemlos zurück setzen kann.

Wenn man bei der Grafikkarte ein aktuelles BIOS aufspielt, sollte es eigentlich auch in Ordnung sein.

Ich denke auch, dass es einfacher wäre das von einem Fachmann machen zu lassen. Nur mit unserer Beratung über das Forum ist eine solche Aktion doch recht schwierig, wenn man sich nicht so damit auskennt. Wir sehen ja auch nicht genau, was da passiert ist.

Frag im PC-Shop zuerst, ob sie schon solche Reparaturen gemacht haben. Es versteht auch nicht unbedingt jeder Verkäufer genug davon, dass ihr noch retten könnt was möglich ist und danach sicher sein könnt dass ihr keine Probleme mehr habt.

 

[Besterino]

Der Witz ist doch, dass man selbst kein Profi sein muss, wenn man die richtigen Tools hat bzw. einem einer die an die Hand gibt. Wenn ICH sowas machen würde, würde ich also ein Skript basteln, was im ersten Schritt die Hardware ggf inkl. BIOS-Versionen analysiert und dann danach entsprechend bekannter Verwundbarkeiten zu der jeweiligen Komponente aus meiner Datenbank die richtige Attacke oder ggf. einfach auch nur das passende vorgefertigte BIOS/Firmware usw. auswählen und flashen. Geht razzfazz und fertig, maximale Verseuchung. Da ich ja vorher weiß, was ich will, nicht besonders vorsichtig im Hinblick auf Entdeckung sein muss und vor allem ja schon Vollzugriff habe (oder eben nur ganz am Anfang mal verschaffen muss), muss man da keine großen Kapriolen drehen.

Ich sage nicht, dass irgendwer irgendwas verschrotten muss! Nur dass echt Vorsicht geboten ist und man am besten einen Profi um Rat fragt. Das bin ich aber auch definitiv nicht. Der Schrauber umme Ecke im PC Shop allerdings im Zweifel auch nicht...

 

[pedi]

ICH würde den pc neu aufsetzen, und alle passwörter ändern.
dieses ganze herumgedokter mit dem defender und co. ist sinnlos und unsicher, da keiner weiß, was schon alles so gemacht wurde.
ich versteh auch nicht, wie blauäugig man heute noch sein kann, und alles zu glauben, was so am telefon gesagt wird.
im TV und internet wird schon lange vor diesen anrufen gewarnt. wie kann man nur darauf hereinfallen?

 

[Martin Gut]

Und nicht vergessen, alle Passwörter von Logins (Mail, Shops, Software, ...) abändern. Es kann sein, dass solche Daten geklaut wurden und die damit später in diesen Konten rumfummeln.

 

[Besterino]

@pedi: das neu Aufsetzen steht völlig außer Frage. Die Frage ist nur, was man darüber hinaus noch machen sollte/muss.

 

[pedi]

das was Martin Gut geschrieben hat, und vorsichtiger sein.

 

[goch]

Mein Bekannter bringt mir morgen den PC vorbei, dann versuche ich die wichtigsten Daten von der alten SSD auf einen alten PC, der nicht ans Netz angeschlossen ist, zu sichern.

Auch das würde ich nicht tun. Besser mit einem Live System (nochmal, Heise Desinfect wie oben verlinkt kaufen). Dann scannen und ggf. etwas retten, zB auf einen USB Stick. Dann die SSD sicher löschen. Zum Thema BIOS würde ich einfach ein BIOS Update machen, wenn eines Verfügbar ist. Dann kannst einfach das Hersteller Tool des Mainboards nehmen.

 

[Dummbatz]

Dazu habe ich mal eine Frage.

BIOS ändern on the Fly ohne Reboot ist möglich ??

 

[Martin Gut]

BIOS ändern on the Fly ohne Reboot ist möglich ??

Wie meinst du das? Möchtest du ein neues BIOS aufspielen oder Änderungen in den BIOS-Einstellungen machen (welche)?

In die BIOS-Einstellungen kommst du ja immer während dem booten, bevor das Betriebssystem gestartet wird. Wenn du die gemachten Einstellungen sicherst und das BIOS verlässt, startet der PC neu. Wenn der PC mit Windows gestartet ist, kannst du keine Veränderungen mehr an den BIOS-Einstellungen machen. Es gibt nur einzelne Tools für Übertakter, mit denen man auch im laufenden Betrieb gewisse Veränderungen an der Lüftersteuerung und dem Prozessortakt vornehmen kann.