Exodus wallet beim restore gehackt | Bitcointalksearch.org

-doubleU-

legendary

Activity: 1078

Merit: 1307

Quote from: Lafu on June 14, 2021, 04:47:04 PM

Quote from: redpanda88 on June 14, 2021, 02:28:23 AM

Hatte jetzt Kontakt mir der Polizei (Abteilung für Cyberkriminalitä), die schauen es sich jetzt mal an.
Festplatte o.ä. wollte er erstmal nicht haben, mal schauen wie es weitergeht.

Da bin ich aber mal gespannt was da rauskommt und vorallem wie lange es dauern wird bis die sich melden und ob die was finden ohne die Festplatte.
Kann mir nicht vorstellen das ohne dem Laptop die da irgendwas finden werden.

Das zeigt das der Fall gar nicht so ernst genommen wird, denn gerade bei solch einem relativ frischen System sollte sich doch durch Forensiker herraus finden lassen was zu diesem Diebstahl geführt hat, um auch eventuell eine kleine Spur zu den Tätern zu finden.
Ohne die HDD bleibt zur Verfolgung nur die Spur des Geldes in der Blockchain, in der Hoffnung das die Täter komplett naiv sind und über einen KYC Account auscashen wollen. Sobald Mixer oder Privacy Coins ins Spiel kommen wird es dann schon schwierig.
Solche Fahndungserfolge, wie im Falle des Lösegeldes von Colonial Pipeline welches durch das FBI sichergestellt wurde, sind doch eher die Ausnahme.

Lafu

legendary

Activity: 3164

Merit: 3290

Quote from: redpanda88 on June 14, 2021, 02:28:23 AM

Hatte jetzt Kontakt mir der Polizei (Abteilung für Cyberkriminalitä), die schauen es sich jetzt mal an.
Festplatte o.ä. wollte er erstmal nicht haben, mal schauen wie es weitergeht.

Da bin ich aber mal gespannt was da rauskommt und vorallem wie lange es dauern wird bis die sich melden und ob die was finden ohne die Festplatte.
Kann mir nicht vorstellen das ohne dem Laptop die da irgendwas finden werden.
Halte uns aufjedenfall auf dem laufenden wenn es neuigkeiten gibt

redpanda88

newbie

Activity: 20

Merit: 1

Quote from: bob123 on June 13, 2021, 09:55:28 AM

Evtl. war ja eine illegale Windows-Kopie installiert (auf diese Frage wurde vom OP nicht eingegangen). Dann wäre die Ursache ja schon gefunden.

Nein, es war und ist keine illegale Windows-Kopie installiert.

Hatte jetzt Kontakt mir der Polizei (Abteilung für Cyberkriminalitä), die schauen es sich jetzt mal an.
Festplatte o.ä. wollte er erstmal nicht haben, mal schauen wie es weitergeht.

bob123

legendary

Activity: 1624

Merit: 2481

Quote from: -doubleU- on June 04, 2021, 04:40:42 PM

Viel Glück! Halte uns bitte mal auf dem laufenden was die Ermittlungsbehörden zu deinem Fall sagen bzw noch ermitteln können.
Zum einen ist es generell interessant wie aktiv (oder eben nicht aktiv) durch Behörden versucht wird solche Verbrechen aufzuklären und zum anderen ist es gerade in dem von dir beschrieben Szenario eigentlich völlig unklar wie dies geschehen konnte, wenn der Rechner wirklich neu war und alle Softwarepakete aus vertrauenswürdigen Quellen stammten.

Ich befürchte, dass da gar nichts dabei raus kommen wird.
I.d.R. stehen zu wenige Kräfte zur Verfügung um "selbstverschuldeten" digitalen Diebstählen auf den Grund zu gehen.

Evtl. war ja eine illegale Windows-Kopie installiert (auf diese Frage wurde vom OP nicht eingegangen). Dann wäre die Ursache ja schon gefunden.
Sonst, diverse komische Downloadquellen oder dubiose Seiten besucht.

Das kann OP im Nachhinein alles gar nicht ausschließen. Da es nicht reproduzierbar ist, wird das hier abschließend wohl nie geklärt werden.
Eins ist sicher.. "einfach so" passiert das nicht.

nixwisser

newbie

Activity: 13

Merit: 1

Sehr dubios, bei mir war es auch am 16.05., als meine wallet leergeräumt wurde ( bis auf ein paar mickrige Coins ) - siehe trezor one gehacked

Lafu

legendary

Activity: 3164

Merit: 3290

Quote from: redpanda88 on June 07, 2021, 05:02:30 AM

Hatt von meinem alten Laptop noch gar nichts kopiert, also Festplatte noch nie rangehängt gehabt (da ich keinen Adapter hatte, da bin ich mir also sicher).

Dann kann es ja nur von deinem neuen Laptop her gekommen sein und denke irgendein programm war da nicht von von der richtigen seite gedownloaded.
Was sollte es sonst noch gewesen sein als eine Schadenssoftware , haben ja jetzt schon alle möglichen ursachen durch.
Irgendwie ganz schön mysteriös die ganze sache bei dir .

redpanda88

newbie

Activity: 20

Merit: 1

Quote from: bct_ail on June 07, 2021, 04:32:39 AM

Stimmt. Vielleicht hat der TE ja auch vor dem Crash Ordner und Dateien von seinem alten Laptop auf seinen neuen kopiert und den eventuellen Schadcode dadurch aufs neue System übertragen. Eine klassische Reinfektion.

Hatt von meinem alten Laptop noch gar nichts kopiert, also Festplatte noch nie rangehängt gehabt (da ich keinen Adapter hatte, da bin ich mir also sicher).

redpanda88

newbie

Activity: 20

Merit: 1

Quote from: bct_ail on June 07, 2021, 04:15:13 AM

- Okay, dann aslo keine andere Person die in Frage kommt. Ich gehe aber davon aus, dass du Windows mit Anmeldepasswort nutzt, oder?
Obwohl natürlich jeder schnell etwas installieren kann, wenn das Betriebssystem nicht gesperrt ist. Andere Möglichkeit wäre noch, dass du einen fremden USB-Stick angeschlossen hast.

Ja, nutze es mit Anmeldepasswort bzw. Fingerabdruck. Fremden USB hatte ich nicht dran...
Werde von Admin- zu User wechseln, danke!

bct_ail

legendary

Activity: 2660

Merit: 2229

https://t1p.de/6ghrf

Quote from: Lafu on June 07, 2021, 04:17:57 AM

Mitt sicherheit gibt es die , aber im normal fall bleibt irgenwas zurück das auf eine Malware oder solches gleichen schließen lässt.
Intressant wäre die alte platte bzw der alte laptop dann was da passiert ist eventuell wurde ja bevor er kapput ging auch was installiert das dies gemacht hat.

Stimmt. Vielleicht hat der TE ja auch vor dem Crash Ordner und Dateien von seinem alten Laptop auf seinen neuen kopiert und den eventuellen Schadcode dadurch aufs neue System übertragen. Eine klassische Reinfektion.

Lafu

legendary

Activity: 3164

Merit: 3290

Quote from: redpanda88 on June 06, 2021, 01:12:14 AM

Gehe stark davon aus, dass ich den Bravebrowser während der Exodusinstallation und auch danach offen hatte, sonst denke ich nichts (bin mir da aber nicht zu 100% sicher).

Kann natürlich gut sein das da auch über ein addon etwas passiert ist.

Quote from: bct_ail on June 05, 2021, 04:08:36 PM

An die Runde hier: Es gibt doch sicherlich Malware, die sich nach der entsprechenden Aktion umgehend selber deinstalliert und die Spuren verwischt, oder?

Mitt sicherheit gibt es die , aber im normal fall bleibt irgenwas zurück das auf eine Malware oder solches gleichen schließen lässt.
Intressant wäre die alte platte bzw der alte laptop dann was da passiert ist eventuell wurde ja bevor er kapput ging auch was installiert das dies gemacht hat.

bct_ail

legendary

Activity: 2660

Merit: 2229

https://t1p.de/6ghrf

Quote from: redpanda88 on June 06, 2021, 01:12:14 AM

Ja, ich bin der Einzige mit Zugriff auf dem Laptop.
Unter der Systemsteuerung steht, das ich der Administrator bin.
Gehe stark davon aus, dass ich den Bravebrowser während der Exodusinstallation und auch danach offen hatte, sonst denke ich nichts (bin mir da aber nicht zu 100% sicher).

- Okay, dann aslo keine andere Person die in Frage kommt. Ich gehe aber davon aus, dass du Windows mit Anmeldepasswort nutzt, oder?
Obwohl natürlich jeder schnell etwas installieren kann, wenn das Betriebssystem nicht gesperrt ist. Andere Möglichkeit wäre noch, dass du einen fremden USB-Stick angeschlossen hast.

- Als Administrator kann sich jedes Programm ohne Nachfrage installieren (was hier wohl passiert ist). Du solltest Windows nur als User ohne Adminrechte nutzen. Bei einer Programminstallation fragt Windows dann nach dem Admin-Kennwort. Wenn das nicht eingegeben wird oder falsch ist, wird das Programm nicht installiert. Also das solltest du ganz schnell ändern.

- Ohne Erinnerung braucht man hier nicht weiter im Nebel zu stochern.

Es scheint wohl so zu sein, dass du dir irgendwann mal Schadcode eingefangen hast.

redpanda88

newbie

Activity: 20

Merit: 1

Quote from: bct_ail on June 05, 2021, 04:08:36 PM

Ich frage nochmal: Bist du der einzige mit Zugang zu dem Laptop?
Hast du als User Adminrechte?
Hattest du während des Exodus-Aktion noch andere Programme auf?

An die Runde hier: Es gibt doch sicherlich Malware, die sich nach der entsprechenden Aktion umgehend selber deinstalliert und die Spuren verwischt, oder?

Ja, ich bin der Einzige mit Zugriff auf dem Laptop.
Unter der Systemsteuerung steht, das ich der Administrator bin.
Gehe stark davon aus, dass ich den Bravebrowser während der Exodusinstallation und auch danach offen hatte, sonst denke ich nichts (bin mir da aber nicht zu 100% sicher).

bct_ail

legendary

Activity: 2660

Merit: 2229

https://t1p.de/6ghrf

Quote from: redpanda88 on June 05, 2021, 07:41:28 AM

Habe jetzt nochmal Malewarebytes und eset-online-scanner drüberlaufen lassen, die finden alle nichts...

Ich frage nochmal: Bist du der einzige mit Zugang zu dem Laptop?
Hast du als User Adminrechte?
Hattest du während des Exodus-Aktion noch andere Programme auf?

An die Runde hier: Es gibt doch sicherlich Malware, die sich nach der entsprechenden Aktion umgehend selber deinstalliert und die Spuren verwischt, oder?

redpanda88

newbie

Activity: 20

Merit: 1

Habe jetzt nochmal Malewarebytes und eset-online-scanner drüberlaufen lassen, die finden alle nichts...

Die Option mit Festplatte an Polizei ist auch ne gute Idee, werde mich schlaumachen.

Und ja, ich halte euch auf dem Laufenden, vielen Dank für die Hilfe von allen Seiten!!!

Lafu

legendary

Activity: 3164

Merit: 3290

Ich würde aufjedenfall alles neu aufsetzen ,bzw neue Festplatte eventuell einbauen mit neuer Installation von Windows.
Die alte Festplatte der Polizei geben wäre auch eine Option,denke das deren Spezialisten eventuell mehr finden werden.
Sollte da wirklich nichts gefunden werden wird die Sache verzwickter.

-doubleU-

legendary

Activity: 1078

Merit: 1307

Quote from: redpanda88 on June 04, 2021, 10:11:27 AM

Quote from: -doubleU- on June 03, 2021, 12:31:23 AM

GGfl. bei der Polizei vor einer Neuinstallion noch mal nachfragen ob IT-Forensiker sich den Rechner nochmals anschauen wollen um die Art und Weise des Diebstals feststellen und dokumentieren zu können. Gerade in deinem Fall gibt es ja relativ wenig Varianten wo die Schadsoftware hergekommen sein könnte. Gleichzeitig erhöht dies vielleicht auch ein wenig den Druck, das sich Spezialisten mit deinem Fall befassen Wink

Ja danke, werde ich versuchen!

Viel Glück! Halte uns bitte mal auf dem laufenden was die Ermittlungsbehörden zu deinem Fall sagen bzw noch ermitteln können.
Zum einen ist es generell interessant wie aktiv (oder eben nicht aktiv) durch Behörden versucht wird solche Verbrechen aufzuklären und zum anderen ist es gerade in dem von dir beschrieben Szenario eigentlich völlig unklar wie dies geschehen konnte, wenn der Rechner wirklich neu war und alle Softwarepakete aus vertrauenswürdigen Quellen stammten.
Der zeitliche Zusammenhang isst ja völlig klar nachvollziehbar, aber wie es geschehen konnte würde sicher Erkenntnisse bringen damit in Zukunft der selbe Fehler nicht auch anderen passiert.

redpanda88

newbie

Activity: 20

Merit: 1

Quote from: -doubleU- on June 03, 2021, 12:31:23 AM

Wichtig ist jedenfalls das dein derzeitiges System als kompromittiert einzustufen ist und du keinesfalls irgend etwas mir Kryptowerten mit dem Rechner tun solltest, bis dieser komplett neu aufgesetzt wurde. Einem Scan mit Windows Defender kann man in diesem Fall leider nicht vertrauen bzw. sich auf ein negatives Ergebnis verlassen.
GGfl. bei der Polizei vor einer Neuinstallion noch mal nachfragen ob IT-Forensiker sich den Rechner nochmals anschauen wollen um die Art und Weise des Diebstals feststellen und dokumentieren zu können. Gerade in deinem Fall gibt es ja relativ wenig Varianten wo die Schadsoftware hergekommen sein könnte. Gleichzeitig erhöht dies vielleicht auch ein wenig den Druck, das sich Spezialisten mit deinem Fall befassen Wink

Ja danke, werde ich versuchen!

Quote from: o_solo_miner on June 03, 2021, 01:05:17 PM

Interesant wären die Quellen aus denen er den ccleaner und jdownloader bezogen hat.
Dann könnte man das mal in einer VM und Wireshark mal prüfen bzw. Nachvollziehen.
Aber jetzt wo das Kind schon im Brunnen liegt, nur von Akademischen Interesse.

Beide Programme habe ich von der offiziellen Homepage downgeloaded, leider habe ich die Installationsdateien nicht mehr.

Teams habe ich auch noch installiert, auch von der microsoft-Homepage, hab gerade nochmal den Braveverlauf gecheckt...

[moderators note: 2 posts merged]

o_solo_miner

legendary

Activity: 2483

Merit: 1482

-> morgen, ist heute, schon gestern <-

Interesant wären die Quellen aus denen er den ccleaner und jdownloader bezogen hat.
Dann könnte man das mal in einer VM und Wireshark mal prüfen bzw. Nachvollziehen.
Aber jetzt wo das Kind schon im Brunnen liegt, nur von Akademischen Interesse.

Lafu

legendary

Activity: 3164

Merit: 3290

Quote from: bob123 on June 03, 2021, 09:38:03 AM

Etwas anderes installiert neben CCleaner und JDownloader?

Habe das schon ein paar mal gefragt aber irgendwie keine antwort dazu bekommen !
Und ja es muss eingentlich so sein das der neu Laptop mit irgendwas infiziert war oder ist.
Vorher hatte er ja auch keine probleme , aber solange er nicht schreibt was genau passiert ist können wir nur raten.

bob123

legendary

Activity: 1624

Merit: 2481

Quote from: redpanda88 on June 02, 2021, 01:27:37 PM

Exodus auf dem alten Rechner ist schon mindestens 3 Jahre her.
Auf dem neuen hatte ich Exodus am 16.05 um 20:16 Uhr runtergeladen, gleich installiert, um 20:17 Uhr - 20:20 Uhr gingen alle (9) Transaktionen ab (siehe oben).

Da lässt sich ja mit sehr hoher Wahrscheinlichkeit daraus schließen, dass es irgendwie mit dem neuen Rechner zusammen hängt.

Hast du evtl. eine nicht-lizensierte Version von Windows genutzt? Diese gecrackten Versionen sind immer mit Schadsoftware bestückt.
Oder irgendeine andere Software? Eine andere Person? War der Rechner bereits mit einem Betriebssystem ausgestattet beim Kauf (evtl. hat jemand den Rechner gekauft, Malware installiert und zurückgegeben?)?
Etwas anderes installiert neben CCleaner und JDownloader?

Topic: Exodus wallet beim restore gehackt (Read 648 times)