Exodus wallet beim restore gehackt

[redpanda88]

Wichtig ist jedenfalls das dein derzeitiges System als kompromittiert einzustufen ist und du keinesfalls irgend etwas mir Kryptowerten mit dem Rechner tun solltest, bis dieser komplett neu aufgesetzt wurde. Einem Scan mit Windows Defender kann man in diesem Fall leider nicht vertrauen bzw. sich auf ein negatives Ergebnis verlassen.
GGfl. bei der Polizei vor einer Neuinstallion noch mal nachfragen ob IT-Forensiker sich den Rechner nochmals anschauen wollen um die Art und Weise des Diebstals feststellen und dokumentieren zu können. Gerade in deinem Fall gibt es ja relativ wenig Varianten wo die Schadsoftware hergekommen sein könnte. Gleichzeitig erhöht dies vielleicht auch ein wenig den Druck, das sich Spezialisten mit deinem Fall befassen  

Ja danke, werde ich versuchen!

Interesant wären die Quellen aus denen er den ccleaner und jdownloader bezogen hat.
Dann könnte man das mal in einer VM und Wireshark mal prüfen bzw. Nachvollziehen.
Aber jetzt wo das Kind schon im Brunnen liegt, nur von Akademischen Interesse.

Beide Programme habe ich von der offiziellen Homepage downgeloaded, leider habe ich die Installationsdateien nicht mehr.

Teams habe ich auch noch installiert, auch von der microsoft-Homepage, hab gerade nochmal den Braveverlauf gecheckt...

[moderators note: 2 posts merged]

[1714869839]

1714869839

[1714869839]

1714869839

[1714869839]

1714869839

[-doubleU-]

GGfl. bei der Polizei vor einer Neuinstallion noch mal nachfragen ob IT-Forensiker sich den Rechner nochmals anschauen wollen um die Art und Weise des Diebstals feststellen und dokumentieren zu können. Gerade in deinem Fall gibt es ja relativ wenig Varianten wo die Schadsoftware hergekommen sein könnte. Gleichzeitig erhöht dies vielleicht auch ein wenig den Druck, das sich Spezialisten mit deinem Fall befassen 

Ja danke, werde ich versuchen!

Viel Glück! Halte uns bitte mal auf dem laufenden was die Ermittlungsbehörden zu deinem Fall sagen bzw noch ermitteln können.
Zum einen ist es generell interessant wie aktiv (oder eben nicht aktiv) durch Behörden versucht wird solche Verbrechen aufzuklären und zum anderen ist es gerade in dem von dir beschrieben Szenario eigentlich völlig unklar wie dies geschehen konnte, wenn der Rechner wirklich neu war und alle Softwarepakete aus vertrauenswürdigen Quellen stammten.
Der zeitliche Zusammenhang isst ja völlig klar nachvollziehbar, aber wie es geschehen konnte würde sicher Erkenntnisse bringen damit in Zukunft der selbe Fehler nicht auch anderen passiert.

[Lafu]

Ich würde aufjedenfall alles neu aufsetzen ,bzw neue Festplatte eventuell einbauen mit neuer Installation von Windows.
Die alte Festplatte der Polizei geben wäre auch eine Option,denke das deren Spezialisten eventuell mehr finden werden.
Sollte da wirklich nichts gefunden werden wird die Sache verzwickter.

[redpanda88]

Habe jetzt nochmal Malewarebytes und eset-online-scanner drüberlaufen lassen, die finden alle nichts...

Die Option mit Festplatte an Polizei ist auch ne gute Idee, werde mich schlaumachen.

Und ja, ich halte euch auf dem Laufenden, vielen Dank für die Hilfe von allen Seiten!!!

[bct_ail]

Habe jetzt nochmal Malewarebytes und eset-online-scanner drüberlaufen lassen, die finden alle nichts...

Ich frage nochmal: Bist du der einzige mit Zugang zu dem Laptop?
Hast du als User Adminrechte?
Hattest du während des Exodus-Aktion noch andere Programme auf?

An die Runde hier: Es gibt doch sicherlich Malware, die sich nach der entsprechenden Aktion umgehend selber deinstalliert und die Spuren verwischt, oder?

[redpanda88]

Ich frage nochmal: Bist du der einzige mit Zugang zu dem Laptop?
Hast du als User Adminrechte?
Hattest du während des Exodus-Aktion noch andere Programme auf?

An die Runde hier: Es gibt doch sicherlich Malware, die sich nach der entsprechenden Aktion umgehend selber deinstalliert und die Spuren verwischt, oder?

Ja, ich bin der Einzige mit Zugriff auf dem Laptop.
Unter der Systemsteuerung steht, das ich der Administrator bin.
Gehe stark davon aus, dass ich den Bravebrowser während der Exodusinstallation und auch danach offen hatte, sonst denke ich nichts (bin mir da aber nicht zu 100% sicher).

[bct_ail]

Ja, ich bin der Einzige mit Zugriff auf dem Laptop.
Unter der Systemsteuerung steht, das ich der Administrator bin.
Gehe stark davon aus, dass ich den Bravebrowser während der Exodusinstallation und auch danach offen hatte, sonst denke ich nichts (bin mir da aber nicht zu 100% sicher).

- Okay, dann aslo keine andere Person die in Frage kommt. Ich gehe aber davon aus, dass du Windows mit Anmeldepasswort nutzt, oder?
Obwohl natürlich jeder schnell etwas installieren kann, wenn das Betriebssystem nicht gesperrt ist. Andere Möglichkeit wäre noch, dass du einen fremden USB-Stick angeschlossen hast.

- Als Administrator kann sich jedes Programm ohne Nachfrage installieren (was hier wohl passiert ist). Du solltest Windows nur als User ohne Adminrechte nutzen. Bei einer Programminstallation fragt Windows dann nach dem Admin-Kennwort. Wenn das nicht eingegeben wird oder falsch ist, wird das Programm nicht installiert. Also das solltest du ganz schnell ändern.

- Ohne Erinnerung braucht man hier nicht weiter im Nebel zu stochern.

Es scheint wohl so zu sein, dass du dir irgendwann mal Schadcode eingefangen hast.

[Lafu]

Gehe stark davon aus, dass ich den Bravebrowser während der Exodusinstallation und auch danach offen hatte, sonst denke ich nichts (bin mir da aber nicht zu 100% sicher).

Kann natürlich gut sein das da auch über ein addon etwas passiert ist.

An die Runde hier: Es gibt doch sicherlich Malware, die sich nach der entsprechenden Aktion umgehend selber deinstalliert und die Spuren verwischt, oder?

Mitt sicherheit gibt es die , aber im normal fall bleibt irgenwas zurück das auf eine Malware oder solches gleichen schließen lässt.
Intressant wäre die alte platte bzw der alte laptop dann was da passiert ist eventuell wurde ja bevor er kapput ging auch was installiert das dies gemacht hat.

[bct_ail]

Mitt sicherheit gibt es die , aber im normal fall bleibt irgenwas zurück das auf eine Malware oder solches gleichen schließen lässt.
Intressant wäre die alte platte bzw der alte laptop dann was da passiert ist eventuell wurde ja bevor er kapput ging auch was installiert das dies gemacht hat.

Stimmt. Vielleicht hat der TE ja auch vor dem Crash Ordner und Dateien von seinem alten Laptop auf seinen neuen kopiert und den eventuellen Schadcode dadurch aufs neue System übertragen. Eine klassische Reinfektion.

[redpanda88]

- Okay, dann aslo keine andere Person die in Frage kommt. Ich gehe aber davon aus, dass du Windows mit Anmeldepasswort nutzt, oder?
Obwohl natürlich jeder schnell etwas installieren kann, wenn das Betriebssystem nicht gesperrt ist. Andere Möglichkeit wäre noch, dass du einen fremden USB-Stick angeschlossen hast.

Ja, nutze es mit Anmeldepasswort bzw. Fingerabdruck. Fremden USB hatte ich nicht dran...
Werde von Admin- zu User wechseln, danke!

[redpanda88]

Stimmt. Vielleicht hat der TE ja auch vor dem Crash Ordner und Dateien von seinem alten Laptop auf seinen neuen kopiert und den eventuellen Schadcode dadurch aufs neue System übertragen. Eine klassische Reinfektion.

Hatt von meinem alten Laptop noch gar nichts kopiert, also Festplatte noch nie rangehängt gehabt (da ich keinen Adapter hatte, da bin ich mir also sicher).

[Lafu]

Hatt von meinem alten Laptop noch gar nichts kopiert, also Festplatte noch nie rangehängt gehabt (da ich keinen Adapter hatte, da bin ich mir also sicher).

Dann kann es ja nur von deinem neuen Laptop her gekommen sein und denke irgendein programm war da nicht von von der richtigen seite gedownloaded.
Was sollte es sonst noch gewesen sein als eine Schadenssoftware , haben ja jetzt schon alle möglichen ursachen durch.
Irgendwie ganz schön mysteriös die ganze sache bei dir .

[nixwisser]

Sehr dubios, bei mir war es auch am 16.05., als meine wallet leergeräumt wurde ( bis auf ein paar mickrige Coins ) - siehe trezor one gehacked

[bob123]

Viel Glück! Halte uns bitte mal auf dem laufenden was die Ermittlungsbehörden zu deinem Fall sagen bzw noch ermitteln können.
Zum einen ist es generell interessant wie aktiv (oder eben nicht aktiv) durch Behörden versucht wird solche Verbrechen aufzuklären und zum anderen ist es gerade in dem von dir beschrieben Szenario eigentlich völlig unklar wie dies geschehen konnte, wenn der Rechner wirklich neu war und alle Softwarepakete aus vertrauenswürdigen Quellen stammten.

Ich befürchte, dass da gar nichts dabei raus kommen wird.
I.d.R. stehen zu wenige Kräfte zur Verfügung um "selbstverschuldeten" digitalen Diebstählen auf den Grund zu gehen.

Evtl. war ja eine illegale Windows-Kopie installiert (auf diese Frage wurde vom OP nicht eingegangen). Dann wäre die Ursache ja schon gefunden.
Sonst, diverse komische Downloadquellen oder dubiose Seiten besucht.

Das kann OP im Nachhinein alles gar nicht ausschließen. Da es nicht reproduzierbar ist, wird das hier abschließend wohl nie geklärt werden.
Eins ist sicher.. "einfach so" passiert das nicht.

[redpanda88]

Evtl. war ja eine illegale Windows-Kopie installiert (auf diese Frage wurde vom OP nicht eingegangen). Dann wäre die Ursache ja schon gefunden.

Nein, es war und ist keine illegale Windows-Kopie installiert.

Hatte jetzt Kontakt mir der Polizei (Abteilung für Cyberkriminalitä), die schauen es sich jetzt mal an.
Festplatte o.ä. wollte er erstmal nicht haben, mal schauen wie es weitergeht.

[Lafu]

Hatte jetzt Kontakt mir der Polizei (Abteilung für Cyberkriminalitä), die schauen es sich jetzt mal an.
Festplatte o.ä. wollte er erstmal nicht haben, mal schauen wie es weitergeht.

Da bin ich aber mal gespannt was da rauskommt und vorallem wie lange es dauern wird bis die sich melden und ob die was finden ohne die Festplatte.
Kann mir nicht vorstellen das ohne dem Laptop die da irgendwas finden werden.
Halte uns aufjedenfall auf dem laufenden wenn es neuigkeiten gibt

[-doubleU-]

Hatte jetzt Kontakt mir der Polizei (Abteilung für Cyberkriminalitä), die schauen es sich jetzt mal an.
Festplatte o.ä. wollte er erstmal nicht haben, mal schauen wie es weitergeht.

Da bin ich aber mal gespannt was da rauskommt und vorallem wie lange es dauern wird bis die sich melden und ob die was finden ohne die Festplatte.
Kann mir nicht vorstellen das ohne dem Laptop die da irgendwas finden werden.

Das zeigt das der Fall gar nicht so ernst genommen wird, denn gerade bei solch einem relativ frischen System sollte sich doch durch Forensiker herraus finden lassen was zu diesem Diebstahl geführt hat, um auch eventuell eine kleine Spur zu den Tätern zu finden.
Ohne die HDD bleibt zur Verfolgung nur die Spur des Geldes in der Blockchain, in der Hoffnung das die Täter komplett naiv sind und über einen KYC Account auscashen wollen. Sobald Mixer oder Privacy Coins ins Spiel kommen wird es dann schon schwierig.
Solche Fahndungserfolge, wie im Falle des Lösegeldes von Colonial Pipeline welches durch das FBI sichergestellt wurde, sind doch eher die Ausnahme.