Sie verwenden einen veralteten Browser!

Die Seite kann inkorrekt angezeigt werden.

  • Zu Favoriten hinzufügen
    Registerkarte hinzufügen

War ein Antivirus installiert?

Gelesen: 351 Kommentare: 10 Rating: 12

Mittwoch, 26. August 2020

Kennen Sie den Spruch: „Wenn der Polizist alle überwacht, wer überwacht dann den Polizisten?“ Dasselbe könnte man sich auch bei Virenschutzprogrammen fragen. Hier ist eine kurze Anfrage an unseren technischen Support:

Der Server netschool ist betroffen.
Alle Dateien wurden in das Format id-36C0CA08.[rogstrix@keemail.me].harma umgewandelt.

Der Autor der Anfrage ist unser Kunde. Wir finden Informationen zu seiner Lizenz:

Lizenzdaten:
Seriennummer: ххх
Kunde: Bildungseinrichtung XXX
Produkt: Bundle (Dr.Web Bundle für Schulen (Safe School))

….

und die Arbeit beginnt:

Falls das betroffene System eingeschaltet ist und Sie vermuten, dass die Ransomware noch ausgeführt wird, schalten Sie den PC sofort aus: Der infizierte PC muss von den anderen Geräten im Netzwerk isoliert werden, sonst werden alle lokalen Festplatten, Netzwerklaufwerke und Wechseldatenträger infiziert, für die der Nutzer Schreibberechtigung hat.

Kopieren Sie alle wichtigen Daten, die nicht betroffen wurden, von der Festplatte, ohne das infizierte System einzuschalten, indem Sie die Festplatte an einen anderen PC anschließen oder mithilfe von LiveDisk laden. Außerdem können Sie Sicherungskopien der verschlüsselten Daten erstellen – für den Fall, dass die betroffene Festplatte ausfällt. Prüfen Sie, ob Schattenkopien des Systems erhalten geblieben sind. Wenn ja, erstellen Sie nach Möglichkeit eine Kopie des Systemabbilds, um die Daten aus den Schattenkopien wiederherstellen zu können.

Nutzen Sie das Tool dwsysinfo.exe, um einen Bericht über die infizierte Workstation zu erstellen.

Wir haben schon mehrmals über das Tool geschrieben und werden hier nicht näher darauf eingehen. Wir möchten den ersten Teil der Antwort näher erläutern. Leider reagieren viele Nutzer oft falsch auf die Erkennung eines Schadprogramms – Sie arbeiten auf dem infizierten PC weiter. Aber einige Daten könnten noch gerettet werden...

Haben Sie eine Virenaktivität erkannt, schalten Sie den PC sofort ab, ohne auf eine Lösegeldforderung zu warten. Diese zeugt davon, dass der Cyberkriminelle bereits alles, was für ihn von Interesse ist, verschlüsselt oder gestohlen hat.

Aber dies war nur ein Vorwort – Wir möchten eigentlich ein anderes Thema anschneiden. Hier ist das Ergebnis der Analyse des Vorfalls:

Der Cyberkriminelle soll sich wohl im System über RDP angemeldet haben, indem er das Passwort knackte. Dies bestätigen Einträge im Systemprotokoll.

Es gab keinen Antivirus im System.

D.h. der Kunde besitzt eine Lizenz, aber hat das Virenschutzprogramm nicht installiert. Der Antivirus wurde nicht gelöscht – Es hätte entsprechende Einträge im Protokoll gegeben. Er wurde überhaupt nicht installiert.

Solche Geschichten machen uns traurig. Die erworbene Lizenz wird nicht aktiviert. Soll sie wohl Viren durch ihre Existenz erschrecken? Und wenn etwas passiert, sagt man: Wir besitzen einen Antivirus, trotzdem wurde das System infiziert. Man verschweigt aber, dass der Antivirus nicht installiert wurde.

Leider kommt so etwas nicht selten vor. Unternehmen erwerben eine Lizenz, aber setzen diese nicht ein, da sie „keine Angst“ vor Viren haben.

#Antivirus #Virenscan #Trojaner #Ransomware

„Die komplette Wahrheit über Viren & Co.“ empfiehlt

Überwachen Sie alle Aktivitäten auf Ihrem PC. Wenn Sie einen Virenscanner installiert haben, prüfen Sie regelmäßig, ob er aktiv ist. Ihre Kinder mögen ihn deinstalliert haben, um eine durch das Antivirenprogramm gesperrte Website zu besuchen. Alles kann passieren...

[Twitter]

Aufgrund von technischen Einschränkungen von VK und Facebook können wir keine Dr.Web Punkte vergeben.

Ihre Meinung ist uns wichtig

Um einen Kommentar zu publizieren, müssen Sie sich über Ihr Konto auf der Webseite von Doctor Web einloggen. Wenn Sie noch kein Konto haben, können Sie es anlegen.

Kommentare der Teilnehmer