Ukash und kein Ende in Sicht

Und da ist er wieder, der unvermeidliche Startbildschirm, der auffordert einen bestimmten Betrag via UKash nach WeißGottWo zu überweisen. Diesmal in einer etwas erpresserischeren Variante. Der Trojaner verschlüsselt eigene Daten - Dateien wie JPGs, MP3s, DOCs etc. etc. (Trojan.Matsnu.1)
Wer bezahlt und den Code eingibt soll angeblich wieder an seine Dateien rankommen - ha Pustekuchen, Pech gehabt.

mieser Erpresser

Zum Glück haben die Erpresser einen einfachen symmetrischen Verschlüsselungmechanismus benutzt, so kann man aus einer bekannten und einer verschlüsselten Datei "gleichen" Inhaltes den Schlüssel errechnen und damit auch alle anderen Dateien wieder entschlüsseln.
Einige findige Programmierer, unter anderem bei Avira haben sich dieser Aufgabe angenommen und passende Tools bereits zum Download bereitgestellt. Nun, jetzt stellt sich die Frage, wenn alle meine Dateien verschlüsselt sind, woher bekomme ich Originale? Ganz einfach, auf jedem Windows-Rechner existieren z.B. Beispielbilder, die auf anderen Windows-Systemen auch vorhanden sind, also einfach vom Nachbarn per USB-Stick besorgen und fertig (für Windows 7 findet man welche hier im TrojanerBoard).

Die Vorgehensweise zum Entfernen des Verschlüsslers ist einfach, man startet das System mit Hilfe einer BootCD, z.B. dem Avira Antivir Rescue System, einem unter Linux laufenden System, welches eben nur den bekannten Virenscanner startet. Alternative dazu ist die Kaspersky Rescue Disk.
Der PC sollte dabei mit dem Internet verbunden sein um Avira aktualisieren zu können (geht am einfachsten über Kabel). Scan über das gesammte System starten und abwarten bis er fertig ist. (Erkannte Viren werden standardmäßig umbenannt - nicht gelöscht). Jetzt den PC hochfahren, als wäre nix gewesen. Dann mit dem eigenen aktualisierten Virenscanner einen zweiten Komplettsuchlauf machen und die (wieder) erkannten Dateien in Quarantäne bringen. Die zurückgebliebenen Autostart-Einträge (hier mit Zufallsnamen) kann man einfach mit den Sysinternals Autoruns entsorgen.

Jetzt das Entschlüsselungsprogramm von Avira HIER besorgen und starten. Als verschlüsselte Datei ist meist bereits eine der Standard - Beispiel - Dateien eingetragen, als entschlüsselte Datei wählt man die passende vom Nachbarn. Jetzt lässt man Aviras Programm direkt auf die ganze Platte (und falls vorhanden auch auf die anderen Platten) los. Das Programm arbeitet relativ zügig und zeigt am Ende an, wieviele Dateien es entschlüsselt hat (hier waren es etwa 3000). Die verschlüsselten Original bleiben dabei erhalten, falls irgendetwas schief geht. Et voila, das Problem ist Geschichte.
Zur Vorsorge empfiehlt es sich aber wie immer, alle möglichen veralteten Programme erst mal zu aktualisieren um zukünftige Infektionen auszuschließen.
Gutes Hilfsmittel dazu ist der Secunia personal Software Inspector.

Nachtrag: Übrigens wird dieses sogenannte RansomWare zur Zeit noch nicht von Microsofts Security Essentials erkannt, daher empfehle ich derzeit ein anderes Antivirenprogramm zu verwenden!
Nachtrag2: So wie es aussieht wurde der Trojaner über eine gefakte Telekom-Mail mit dem Betreff Telekom-Rechnung als Anhang verschickt. Hier mit doppelter Dateiendung .pdf.exe um zu Verschleiern um was es sich wirklich handelt. Nochmal eindringlichst an alle: Dateianhänge erst speichern! Bei der Nachfrage unter welchem Namen erkennt man die doppelte Dateiendung immer. Dateien die sich so zu tarnen versuchen sind IMMER böse.
Nachtrag3: Inzwischen geistert das Ding auch als O2 - und  Vodafone-Rechnung durchs Netz - eins ist aber allen gemein, in der Mail steht eine falsche Kundennummer, ein sehr hoher Rechnungsbetrag und sie enthält einen ausführbaren Anhang.
Nachtrag4: Habe heute eine EMail-Mahnung mit vollkommen überhöhter Summe erhalten :)
In diesem Fall kam der Trojaner als .com - Datei in einer .zip - Datei, welche nochmals gezippt war (um Virenscanner auszutricksen). Avira hat nicht angeschlagen, aber die Kontrolle bei VirusTotal war eindeutig

Windows-Update-Client läuft Amok

Manche Windows - XP - Versionen brauchen gefühlt unendlich lange zum starten. Während dieser Zeit reagiert das Gerät nur sehr schleppend auf Eingaben und die Festplatte hört gar nicht auf zu rödeln.

Ein Blick in den Taskmanager offenbart eine "wuauclt.exe" und eine "svchost.exe" die jeweils einen dreistelligen Speicherbereich verschlingen und hohe Prozessorlast verursachen. 

Der Auslöser ist tatsächlich die "wuauclt.exe", der "Windows Update Automatic Update Client", welcher aus nicht geklärtem Grund Amok läuft. Er wird von der "svchost.exe" (dem Überprozess wenn man so will) gestartet, weshalb diese sich ebenfalls so sehr aufbläht.

Taskmanager mit wuauclt.exe

Abhilfe ist ganz einfach - man schießt den "wuauclt.exe" - Prozess einfach im Taskmanager ab und erfreut sich seines wieder lauffähigen Systems. Das Windows - Update nimmt dabei keinen Schaden, denn die "wuauclt.exe" wird sogleich neu gestartet, jedoch ohne nochmal die wahnsinnig hohe Speicherauslastung oder die Prozessorlast zu verursachen.

Nun mag es aber dem ein oder anderen lästig sein, erstmal den Taskmanager zu starten, denn dieser Vorgang dauert ja nunmal gefühlt ewig. Gute Erfahrung habe ich mit einem kleinen selbstgeschriebenen Batch-Programm gemacht, welches man z.B. in den Autostart-Ordner von Windows stecken kann und das bei jedem Computerstart den Updateclienten erstmal prophylaktisch über den Jordan schickt. Ein Doppelklick auf die auf dem Desktop liegende Datei tuts aber auch.

Hier ist es:

@echo off

set ProgEXE=wuauclt.exe
set tempdatei=TempDatei.txt

tasklist /FI "IMAGENAME eq %ProgEXE%" /FO CSV>%tempdatei%
for /F "skip=2 tokens=1 delims=," %%f in (%tempdatei%) do (
    echo gefiltert: [%%f]
    if "%%f"==""%ProgEXE%"" pcwkill /f %ProgEXE%

del /F/Q %tempdatei%

Zur Erklärung:
in den ersten beiden Zeilen werden die Variablen gesetzt für den Prozess den es abzuschiessen gilt
und für einen temporären Zwischenspeicher.
Dann wird das Programm TaskList ausgeführt, es stammt aus Microsofts Powertoy-Sammlung und zeigt in der Konsole die Liste der laufenden Programme an. Diese wird gleich nach dem Updater durchsucht. Wenn er läuft wird er sofort abgeschossen. Dazu bediene ich mich bei einem weiteren kleinen Helferlein. Das Progrämmchen PCWKill der PCWelt Redaktion erlaubt das kommandozeilengesteuerte Abschiessen einzelner Prozesse. Natürlich könnte ich auch das bei Windows integrierte Tool nehmen, aber das hat bei verschiedenen Win-Versionen verschiedene Namen und verschiedene Parameter und so müsste ich die Datei jedesmal anpassen.
Am Schluss wird natürlich aufgeräumt. Die Datei habe ich kill_up.bat genannt.

Soll das Programm automatisch gestartet werden, so empfiehlt es sich dieses erst zeitverzögert auszuführen, da man nie genau sagen kann, wann der Windows-Updater loslegt. Lösungen für dieses Problem gibts einige, ich habe mich für eine schnelle Variante mittels VBScript entschieden:

set wshell = CreateObject("Wscript.shell")

wscript.sleep 40000

wshell.run "C:\Beispielpfad\kill_up.bat"

Das ganze speichert man als z.B. kill_up.vbs im Autostart-Ordner (anpassen des Beispielpfades nicht vergessen) von Windows und die 40 Sekunden Zeitverzögerung schaffen dem Updater einen genügend großen Vorsprung vor unserem Killer!

Nachtrag: hab die 30 Sekunden Verzögerung in 40 geändert, nachdem es bei einigen Rechnern nicht geklappt hat (zur Not kann man natürlich auch die kill_up.vbs nochmal von Hand starten)

Update vom 30.01.2014 (!!!): Laut c't hat Microsoft für diesen Februar-Patchday ein Update angekündigt, welches dieses Problem ein für alle Mal aus der Welt schaffen soll - super, 2 Monate vor Schluss...