Unterstützung Schadsoftware

Bei einem Kunden erschienen am Laptop plötzlich verschiedenen Meldungen und Aufforderungen das man sich aufgrund einer Schadsoftware an Microsoft wenden sollte. Ein Zugriff auf die Daten und eine Nutzung des Laptops war nicht mehr möglich.

Das Gerät wurde zur Analyse gebracht und der Kunde sofort über weitere notwendige Maßnahmen informiert.

Wichtig ist in so einem Fall das man Online Zugänge, soweit noch möglich sichert indem man Passwörter ändert und ggf. eine Zwei-Faktor-Authentifizierung einrichtet.

Beim vorliegenden Fall konnte bei der Überprüfung des Email Account bereits festgestellt werden, dass ein unberechtigter Zugang erfolgt ist. Im Konto wurde eine unbekannte Handynummer zur Kontowiederherstellung hinterlegt. Diese wurde im weiteren Verlauf entfernt, dass Passwort geändert und die korrekte Telefonnummer eingegeben.

Weitere Online Zugänge z.B. Online-Banking wurden kontrolliert und gesichert. Es erfolgte eine Sperrung aller Konten bei der entsprechenden Bank und weitere Maßnahmen zur Gefahrenabwehr.

Bei dem betroffenen Gerät wurde dann mit einer speziellen Software ein 1:1 Image (eine exakte Kopie) der Festplatte erstellt.

Die Post-Mortem-Analyse erfolgte mit einer Forensik Software die im Anschluss zahlreiche Daten aufbereitet zur Verfügung stellt. Angefangen vom Details des Betriebssystems, der zuletzt genutzten Programme bis hin zu den Aktivitäten im Internet. So konnte der Tag der Schadsoftware Infektion und die besuchten Websites nachvollzogen werden.

Da das System kompromittiert war, musste dieses aus Sicherheitsgründen komplett neu aufgesetzt werden. Persönliche Daten wurde in einer sicheren Umgebung abgespeichert und im Anschluss wiederhergestellt.

Forensik Software Autopsy

Autopsy ist die führende Open-Source-Plattform für digitale Forensik. Es analysiert die wichtigsten Dateisysteme (NTFS, FAT, ExFAT, HFS+, Ext2/Ext3/Ext4, YAFFS2), indem es alle Dateien mit einem Hashwert versieht, Standardarchive (ZIP, JAR usw.) entpackt, alle EXIF-Werte von Bildern extrahiert und Schlüsselwörter in einen Index einträgt. Einige Dateitypen wie Standard-E-Mail-Formate oder Kontaktdateien werden ebenfalls geparst und katalogisiert.

Nutzer können diese indizierten Dateien nach jüngsten Aktivitäten durchsuchen oder einen Bericht im HTML- oder PDF-Format erstellen, der wichtige jüngste Aktivitäten zusammenfasst.