Electtrum 4.0.0 instaliert Malware Was tun?

[986S]

Hatte ein Problem mit meiner Wallet. Hab dann Electrum 4.0.0 instaliert. War ein ganz dummer Fehler.

Hab es jetzt gemerkt und den Stecker beim infizierten PC gezogen. Coins von dieser Wallet sind weg. War meine Hot Wallet.

Richtet das Ding noch mehr Schaden an? Oder klaut es noch andere Coins/Passwörter/Dateien?

Der PC ist ein MAC. Muss erst meine ganzen Daten usw... retten. Dort sind auch alle Logindaten usw,,, gespeichert eigentlich mein ganzes digitales leben. Weiß nicht, was diese Maleware noch alles macht und wie ich es jetzt am besten vorgehe.

[1715468802]

1715468802

[1715468802]

1715468802

[1715468802]

1715468802

[1715468802]

1715468802

[1715468802]

1715468802

[N0sferatu]

Tut mir leid dass du deine coins verloren hast!

Stecker ziehen war schonmal gut, wobei es genügen sollte, die LAN Verbindung (bzw. WLAN natürlich auch) zu trennen.
Ich bin leider kein Apple Profi, ich würde aber den PC im abgesicherten Modus starten (siehe: https://support.apple.com/de-de/HT201262) und anschließend Programme wie malwarebytes und tdss killer drüber laufen lassen.

Sicher vorab alle deine Daten - Logins / Passwörter solltest du auf jeden Fall schnellsmöglich ändern.

Solange dein PC aber nicht mit dem Internet verbunden ist, dürfte kein weiterer Schaden entstehen.
(Am besten machst du auch einen Werksreset an deinem Router!)

Außerdem: Immer eine 2FA Authentifizierung oder hardware wallet (Trezor etc.) nutzen, das ist nochmal um einiges sicherer.

[hodlcoins]

Wenn du tatsächlich einen Stealer drauf hattest, kannst du davon ausgehen, das sämtliche Passwörter aktuell verbrannt sind.
Also schnellstmöglich Passwörter, Wiederherstellungsfragen und ähnliches ändern, für jeden Account, Mail, Forum, Wallets, whatever. Auch Passwortsafes.
2FA aktivieren, wenn möglich.

Wie man einen Mac wieder sauber bekommt, weiß ich nicht, aber ich persönlich würde dem Gerät nicht mehr trauen und es neu aufsetzen.
Reine Datenfiles (Bilder, Filme, Dokumente) könnte man via USB sichern und hinterher wieder aufspielen, wenn sie via AV geprüft sind. Mittlerweile kann man ja überall Malware einschleusen.
Du musst davon ausgehen, das evtl. schon Backups versaut sind, auch offline: Die Biester verstecken sich, damit sie Zeit haben möglichst viel mitzunehmen.

[qwk]

Wie man einen Mac wieder sauber bekommt, weiß ich nicht, aber ich persönlich würde dem Gerät nicht mehr trauen und es neu aufsetzen.

Normalerweise sollte es reichen, einen neuen Benutzer anzulegen, und den alten Benutzer zu löschen.
Ausnahme wäre, wenn "Treiber" o.ä. mit installiert wurden.

Im Zweifelsfall würde ich aber auch "aggressiver" vorgehen und das System komplett löschen.

[986S]

Gibt es noch etwas anderes außer Bitcoins klauen was diese Fakeversion auch noch macht? Ist darüber schon etwas bekannt?

[N0sferatu]

Gibt es noch etwas anderes außer Bitcoins klauen was diese Fakeversion auch noch macht? Ist darüber schon etwas bekannt?

Schau dir am Besten mal diesen Artikel an, der stellt so ziemlich alles klar: https://blog.malwarebytes.com/cybercrime/2019/04/electrum-bitcoin-wallets-under-siege/ (leider englisch, bitte nicht hauen)

[hodlcoins]

Du vertraust aber jetzt hoffentlich nicht drauf, das es nur eine Version der Malware gibt und die nix weiter macht?
Ich würde mich nicht so weit aus dem Fenster lehnen jemand anderem zu attestieren das die Kiste exakt genau diesen einen Fiesling hatte, Irrtum ausgeschlossen.
Das würde ich mich ja schon kaum bei meiner eigenen Maschine trauen...

@qwk
Sicher, das es dem User nicht möglich ist, irgendwas ins Betriebssystem einzupflanzen? Ist Mac so gut zu?

[thandie]

Electrum 4.0.0 gibt es doch gar nicht.
Das letzte Release für alle Plattformen ist die jeweilige Version 3.3.5.
Also welche Version hast du denn von wo heruntergeladen?

EDIT: Jetzt versteh ich: du bist auch auf die Phishing Attacke reingefallen und der Meldung "Requiered Security Update v4.0.0" gefolgt.
Ja okay, das ist natürlich ärgerlich.

Nach bisherigen Erfahrungswerten richtete die Attacke keinen anderen Schaden an.
Ich würde mich darauf aber trotzdem nicht verlassen, schließlich gehen diese Coder nicht um 22.00 Uhr schlafen sondern tüfteln immer wieder an neuen Szenarien.
Wenn man also selbst nicht in der Lage ist, ein kompromittiertes System zu untersuchen und herauszufinden, wie tief sich eventuelle Bösewichter im System mit Root-Privilegien? eingerichtet haben, sollte man es komplett "neu aufsetzen". Vorher würde ich wichtige Daten via USB sichern, diese dann aber vor einer Wiederherstellung an einem anderen System nochmal untersuchen,.

[qwk]

@qwk
Sicher, das es dem User nicht möglich ist, irgendwas ins Betriebssystem einzupflanzen? Ist Mac so gut zu?

Ähm, wenn man es ganz genau nimmt, ist das auch bei einer Windows-Kiste nicht möglich.
Man muss schon sein System "absichtlich" kaputt konfigurieren, damit das geht.

Wird bei Windows allerdings von jeder zweiten Software verlangt, die dann wieder nur mit Admin-Rechten, Freigaben für die "Firewall", Ausnahmen für die Internet-Sandbox und nach Installation diverser Pseudo-"Treiber" funktioniert.
Der Windows-User ist im Laufe der Zeit konditioniert worden, jeden noch so tiefen Eingriff ins Sicherheitskonzept des Betriebssystems schulterzuckend mit einem Mausklick hinzunehmen, und nur deshalb sind Windows-Kisten in der Praxis unsicher.

Beim Mac ist das noch die Ausnahme, es gibt allerdings mittlerweile auch hier durchaus Software, die ohne guten Grund mit Admin-Rechten installiert werden will.
Wer so etwas dann nutzt, ohne sich vorher zu informieren, ist "selber schuld"

[hodlcoins]

Soweit mir bekannt braucht man keinen Adminuser, Malware kann schon lange auch ohne verdächtige Nachfragen der Benutzerkontenkontrolle vom beschränkten Benutzer aus Systemdaten einspielen.
Man will ja nicht auffallen....
Und es gibt die mit den Wordmakros, ja. Da angelt man halt "dumme" User mit, ähnliches schein hier mit "Electrum 4!!e!elf!" passiert zu sein.

Ich gehe davon aus, das es beim Mac nicht wirklich viel anders ist. Windows ist sehr viel weiter verbreitet und daher erscheint es anfälliger als es ist.
Deine Beispiele mit sind m.E. auch dem System geschuldet, das es viele Programme gar nicht erst für Macs gibt.
Mir jedenfalls sind lange keine Programme mehr untergekommen, die Admin brauchten; die Firewall ist (da auf der gleichen Maschine) eh ein Zaun mit Loch; von einer Internet-Sanbox-Ausnahme hab ich noch nie was gehört und Treiber gibt's nur bei Hardwaresachen oder VM.
Und ich bastel viel an, mit und um PCs herum. Hab ich ein anderes Windows als du?

wobei: vor ungefähr 15, 20 Jahren hatte ich einen Epson-Laserdrucker unter XP, der nur drucken konnte, wenn der User Admin war.
Normale User konnten die Dokumente zwar schicken, aber das Gerät war nicht bereit.
Hat Epson nicht hinbekommen, bis das Gerät kaputt war. Gut, war aus der 98SE-Zeit, Lösung von denen war "kauf ein neues Teil", aber hätte man doch erwarten können das man einen Treiber schafft der das Gerät nutzen kann...

[986S]

Werd ich wohl neu aufsetzen müssen.

Hab da verschiedene Mawerebytesprogramme und Antivirusprogramme drüberlaufen lassen. Da waren ständig Fehlalarme dabei. Die Potcoinwallet wurde z.B. als verdächtig eingestuft und die Vertcoin Wallet usw.... aber Electrum 4.0 und der Rest davon, der irgendwo im Hintergrund ist wurde nicht gefunden.

[y2j89]

Werd ich wohl neu aufsetzen müssen.

Hab da verschiedene Mawerebytesprogramme und Antivirusprogramme drüberlaufen lassen. Da waren ständig Fehlalarme dabei. Die Potcoinwallet wurde z.B. als verdächtig eingestuft und die Vertcoin Wallet usw.... aber Electrum 4.0 und der Rest davon, der irgendwo im Hintergrund ist wurde nicht gefunden.

Schau dir die anderen "Fehlalarme" zur Sicherheit bitte genau an! Nicht auszuschließen, dass die Malware nicht als "Electrum 4.0" im Hintergrund sich eingenistet hat, sondern als "beliebtes shitcoinwallet v.X.0", um möglichst nicht aufzufallen! Also falls dir da irgendwas komisch oder du dir nicht sicher bist, ob du die entsprechende Wallet tatsächlich mal installiert hast, dann lieber plätten/deinstallieren etc.

[986S]

Das warem Wallet die ich alle mal instaliert habe. Nichts neues.

Wenn ich mir z.B. Trezor oder Ledger hole.

Was hindert dann die Leute von Ledger oder Trezor daran ein falsches Update zu machen und die Coins zu klauen? Oder wäre es nicht möglich? Warum würde das dann nicht funktionieren?

[thandie]

Das warem Wallet die ich alle mal instaliert habe. Nichts neues.

Wenn ich mir z.B. Trezor oder Ledger hole.

Was hindert dann die Leute von Ledger oder Trezor daran ein falsches Update zu machen und die Coins zu klauen? Oder wäre es nicht möglich? Warum würde das dann nicht funktionieren?

Trezor oder auch andere vertrauenswürdige Akteure veröffentlichen immer den Code sowie alle Änderungen, Pull requests, commits et cetera.

Beispiele:
https://github.com/trezor
https://github.com/spesmilo

Bei allen Anwendungen wie Bridges, Nodes, Wallets, Skripte usw. in Bezug auf Crypto sollte man OpenSource bevorzugen. Denn dann siehst nicht nur du sondern auch Millionen anderer User und Entwickler, um was es sich handelt und ob dort eventuell irgendwas "Böses" versteckt oder versucht zu verstecken wurde, ob es Bugs oder kritische Sachen gibt. Es würde also sofort zu Tage gebracht werden.

Darüber hinaus handelt es sich bei Trezor um eine Firma, die mit ihren Hardware-Wallets (höchst)wahrscheinlich sehr viel Geld verdient. Warum sollten sie also deine Coins stehlen, wo doch jeder weiß, wer dort was gecodet hat und wer dort für was zuständig ist. Bisher gab es bei derartigen Anbietern gelegentlich Bugs oder mehr bzw. weniger kritische Lücken, die meist recht schnell gestopft worden sind. Aber Fälle von absichtlichen Diebstahl sind mir bisher nicht bekannt.

Wenn du jetzt sagst: hmm, ich will aber 100%ige Sicherheit! Dann würde ich sagen: bei Trezor bekommst du auf Grund der Erfahrungen von Nutzern in aller Welt eine sehr gute Sicherheit, die restlichen % müssen aus deinem Vertrauensvorschuß und aus deinem sachgemäßen Handeln entstehen.

Und ich würde dir ebenfalls empfehlen, dich mit all den Anwendungen auseinanderzusetzen. Denn bsw. die Phishing-Meldungen bei Electrum gibt es schon seit dem letzten Jahr, zusammen mit einem großen Hinweis auf der originalen Webseite und vielen Kommentaren, Hinweisen oder Warnungen auf GitHub. Wenn man also derartige Dinge nutzt, hat man auch eine Eigenverantwortung und sollte nicht einfach irgendwas installieren oder anklicken.

[986S]

Das es dummheit war weiß ich auch. Der Schaden macht zum Glück nur einen kleinen Prozentsatz von meinem Portfolio aus. Ich hatte mächtig Glück, dass einige andere Coins die auch auf dem Mac waren nicht weg sind.

ich meine jetzt nicht nur mich, sondern, dass die als Firma oder jemand anderes z.B. ein Entwickler alle Trezor Wallets gleichzeitig irgendwie knackt und dann damit abhaut.

Die Coins, die da drauf liegen sind mit Sicherheit deutlich mehr Wert als die Firma Trezor. Oder Ledger.

[thandie]

Das es dummheit war weiß ich auch. Der Schaden macht zum Glück nur einen kleinen Prozentsatz von meinem Portfolio aus. Ich hatte mächtig Glück, dass einige andere Coins die auch auf dem Mac waren nicht weg sind.

ich meine jetzt nicht nur mich, sondern, dass die als Firma oder jemand anderes z.B. ein Entwickler alle Trezor Wallets gleichzeitig irgendwie knackt und dann damit abhaut.

Die Coins, die da drauf liegen sind mit Sicherheit deutlich mehr Wert als die Firma Trezor. Oder Ledger.

Jemanden als dumm zu bezeichnen, davon bin ich weit entfernt. Wenn das so rüberkam, dann bitte ich natürlich um Verzeihung.
Vielleicht würde ich es eher fehlendes Bewußtsein oder etwas Sorglosigkeit nennen.

Siehe es mal so:
Wenn du mit dem Rennrad unterwegs bist, schaust du ab und an, ob der Reifendruck noch stimmt, ob die Bremsen absolut in Ordnung sind, ob der Helm okay ist und ordentlich sitzt, ob das Schaltwerk einwandfrei funktioniert et cetera.
Das Auto bringt man regelmäßig zur Inspektion und im Winter werden ganz selbstverständlich die Profilreifen aufgezogen.
Warum macht man sich nicht im IT- Bereich und besonders, wenn es wie bei Crypto um eigene Vermögenswerte geht, auch mal etwas mehr Gedanken um die Sicherheit, die ja sonst auch für jeden von uns in vielen Altagsbereichen selbstverständlich ist?


Und was Trezor oder Ledger angeht.
Selbst wenn sie das vorhätten, so müsste das ja gleichzeitig geschehen. Und das würde nur klappen, wenn alle User auch gleichzeitig mit ihren Hardware-Wallets online sind und auch noch die Privaten Schlüssel eingegeben hätten.
Das ist schonmal ausgeschlossen. Würden sie die Coins mal hier und mal dort stehlen, würde das innerhalb weniger Stunden public werden. Die Beute wäre letztendlich minimal, die Firma im Sack und die Typen einige Monate später alle im Knast. Deshalb halte ich eine solche Aktion bzw. den Nutzen für wenig erfolgreich. Das wäre ja so, als hätte ich ein Security-Unternehmen für die größten Banken der Welt, würde diese dann ausnehmen und jeder wüßte bescheid. Wie lange würde es wohl dauern, bis man mich eingebuchtet hätte?  

[986S]

Ich dachte eher daran, dass die alle recovery Codes sammeln und dann alles aufeinmal wegräumen.

[thandie]

Ich dachte eher daran, dass die alle recovery Codes sammeln und dann alles aufeinmal wegräumen.

Also falls jemand meinen Recovery Seed in die Hände bekommt, kann er damit trotzdem nichts anfangen, da ich die größeren Wallets mit verschiedenen Passphrasen gesichert habe.
Gibt man nur den Recovery Seed ein, sind diese Wallets nicht sichtbar, da dafür die entsprechende Passphrase, die wie ein zusätzliches Wort des Seeds agiert, notwendig ist.

https://wiki.trezor.io/User_manual:Security_best_practices

Nachtrag:
Vielleicht würde ich das noch wie folgt ergänzen.
Man kann sinnvollerweise die Hardware-Wallet auch über andere Anwendungen wie bsw. Electrum als Client managen. Und noch etwas besser, man setzt seinen eigenen Electrum-Server dazu auf.
Dann hast du auch nichts mit dem Web-Client von Trezor (https://wallet.trezor.io) zu tun.
Du mußt dann eben immer mal wieder auf GitHub nachschauen, ob es eine neue Firmware für deinen Trezor gibt oder wichtige Updates für die Clienten und Server, damit du auch immer auf dem aktuellen Stand bist.

Und wenn du dann immer noch skeptisch bist, lege dir einfach nur noch Paper-Wallets an.

[rs69]

Hallo,
verstehe nicht, wie sowas passieren kann? Wer installiert sich denn eine Wallet aus dubioser Quelle? Gerade bei solcher Software sollte doch jeder besonders vorsichtig sein und nicht auf alles Klicken was über den Weg läuft. Bitte klärt mich auf wie so ein Missgeschick passieren kann, damit ich mich davor schützen kann.

[thandie]

Hallo,
verstehe nicht, wie sowas passieren kann? Wer installiert sich denn eine Wallet aus dubioser Quelle? Gerade bei solcher Software sollte doch jeder besonders vorsichtig sein und nicht auf alles Klicken was über den Weg läuft. Bitte klärt mich auf wie so ein Missgeschick passieren kann, damit ich mich davor schützen kann.

Sorglosigkeit, Desinteresse, fehlende Sensibilität, Gottvertrauen? Keine Ahnung.

Momentan wird wieder vor einer weiteren Sicherheitslücke des Remote Desktop Services in Windows-Client- und Windows-Server-Versionen gewarnt.
Geschätz sind etwa 1 Million Rechner bzw. Systeme verwundbar, es wird dringend zum Update geraten. Selbst für XP und Vista wurde nochmal ein Patch rausgebracht. Das muß man sich mal vorstellen. 
Und willst du wissen, welche OS Versionen teilweise in dem für mich zuständigen Finanzamt oder dem Bürgeramt laufen? Nein sicher nicht! Diese Idioten.


Also rein theoretisch müßten jetzt alle Betroffenen (außer Win 8 und 10) schleunigst reagieren.
Allein mir fehlt der Glaube und ich weiß auch nicht, weshalb das immer wieder so ist.