Exodus wallet beim restore gehackt | Bitcointalksearch.org

-doubleU-

legendary

Activity: 1078

Merit: 1307

Quote from: Lafu on June 14, 2021, 05:47:04 PM

Quote from: redpanda88 on June 14, 2021, 03:28:23 AM

Hatte jetzt Kontakt mir der Polizei (Abteilung für Cyberkriminalitä), die schauen es sich jetzt mal an.
Festplatte o.ä. wollte er erstmal nicht haben, mal schauen wie es weitergeht.

Da bin ich aber mal gespannt was da rauskommt und vorallem wie lange es dauern wird bis die sich melden und ob die was finden ohne die Festplatte.
Kann mir nicht vorstellen das ohne dem Laptop die da irgendwas finden werden.

Das zeigt das der Fall gar nicht so ernst genommen wird, denn gerade bei solch einem relativ frischen System sollte sich doch durch Forensiker herraus finden lassen was zu diesem Diebstahl geführt hat, um auch eventuell eine kleine Spur zu den Tätern zu finden.
Ohne die HDD bleibt zur Verfolgung nur die Spur des Geldes in der Blockchain, in der Hoffnung das die Täter komplett naiv sind und über einen KYC Account auscashen wollen. Sobald Mixer oder Privacy Coins ins Spiel kommen wird es dann schon schwierig.
Solche Fahndungserfolge, wie im Falle des Lösegeldes von Colonial Pipeline welches durch das FBI sichergestellt wurde, sind doch eher die Ausnahme.

Lafu

legendary

Activity: 2940

Merit: 3030

Quote from: redpanda88 on June 14, 2021, 03:28:23 AM

Hatte jetzt Kontakt mir der Polizei (Abteilung für Cyberkriminalitä), die schauen es sich jetzt mal an.
Festplatte o.ä. wollte er erstmal nicht haben, mal schauen wie es weitergeht.

Da bin ich aber mal gespannt was da rauskommt und vorallem wie lange es dauern wird bis die sich melden und ob die was finden ohne die Festplatte.
Kann mir nicht vorstellen das ohne dem Laptop die da irgendwas finden werden.
Halte uns aufjedenfall auf dem laufenden wenn es neuigkeiten gibt

redpanda88

newbie

Activity: 20

Merit: 1

Quote from: bob123 on June 13, 2021, 10:55:28 AM

Evtl. war ja eine illegale Windows-Kopie installiert (auf diese Frage wurde vom OP nicht eingegangen). Dann wäre die Ursache ja schon gefunden.

Nein, es war und ist keine illegale Windows-Kopie installiert.

Hatte jetzt Kontakt mir der Polizei (Abteilung für Cyberkriminalitä), die schauen es sich jetzt mal an.
Festplatte o.ä. wollte er erstmal nicht haben, mal schauen wie es weitergeht.

bob123

legendary

Activity: 1624

Merit: 2481

Quote from: -doubleU- on June 04, 2021, 05:40:42 PM

Viel Glück! Halte uns bitte mal auf dem laufenden was die Ermittlungsbehörden zu deinem Fall sagen bzw noch ermitteln können.
Zum einen ist es generell interessant wie aktiv (oder eben nicht aktiv) durch Behörden versucht wird solche Verbrechen aufzuklären und zum anderen ist es gerade in dem von dir beschrieben Szenario eigentlich völlig unklar wie dies geschehen konnte, wenn der Rechner wirklich neu war und alle Softwarepakete aus vertrauenswürdigen Quellen stammten.

Ich befürchte, dass da gar nichts dabei raus kommen wird.
I.d.R. stehen zu wenige Kräfte zur Verfügung um "selbstverschuldeten" digitalen Diebstählen auf den Grund zu gehen.

Evtl. war ja eine illegale Windows-Kopie installiert (auf diese Frage wurde vom OP nicht eingegangen). Dann wäre die Ursache ja schon gefunden.
Sonst, diverse komische Downloadquellen oder dubiose Seiten besucht.

Das kann OP im Nachhinein alles gar nicht ausschließen. Da es nicht reproduzierbar ist, wird das hier abschließend wohl nie geklärt werden.
Eins ist sicher.. "einfach so" passiert das nicht.

nixwisser

newbie

Activity: 13

Merit: 1

Sehr dubios, bei mir war es auch am 16.05., als meine wallet leergeräumt wurde ( bis auf ein paar mickrige Coins ) - siehe trezor one gehacked

Lafu

legendary

Activity: 2940

Merit: 3030

Quote from: redpanda88 on June 07, 2021, 06:02:30 AM

Hatt von meinem alten Laptop noch gar nichts kopiert, also Festplatte noch nie rangehängt gehabt (da ich keinen Adapter hatte, da bin ich mir also sicher).

Dann kann es ja nur von deinem neuen Laptop her gekommen sein und denke irgendein programm war da nicht von von der richtigen seite gedownloaded.
Was sollte es sonst noch gewesen sein als eine Schadenssoftware , haben ja jetzt schon alle möglichen ursachen durch.
Irgendwie ganz schön mysteriös die ganze sache bei dir .

redpanda88

newbie

Activity: 20

Merit: 1

Quote from: bct_ail on June 07, 2021, 05:32:39 AM

Stimmt. Vielleicht hat der TE ja auch vor dem Crash Ordner und Dateien von seinem alten Laptop auf seinen neuen kopiert und den eventuellen Schadcode dadurch aufs neue System übertragen. Eine klassische Reinfektion.

Hatt von meinem alten Laptop noch gar nichts kopiert, also Festplatte noch nie rangehängt gehabt (da ich keinen Adapter hatte, da bin ich mir also sicher).

redpanda88

newbie

Activity: 20

Merit: 1

Quote from: bct_ail on June 07, 2021, 05:15:13 AM

- Okay, dann aslo keine andere Person die in Frage kommt. Ich gehe aber davon aus, dass du Windows mit Anmeldepasswort nutzt, oder?
Obwohl natürlich jeder schnell etwas installieren kann, wenn das Betriebssystem nicht gesperrt ist. Andere Möglichkeit wäre noch, dass du einen fremden USB-Stick angeschlossen hast.

Ja, nutze es mit Anmeldepasswort bzw. Fingerabdruck. Fremden USB hatte ich nicht dran...
Werde von Admin- zu User wechseln, danke!

bct_ail

legendary

Activity: 2534

Merit: 2144

https://t1p.de/6ghrf

Quote from: Lafu on June 07, 2021, 05:17:57 AM

Mitt sicherheit gibt es die , aber im normal fall bleibt irgenwas zurück das auf eine Malware oder solches gleichen schließen lässt.
Intressant wäre die alte platte bzw der alte laptop dann was da passiert ist eventuell wurde ja bevor er kapput ging auch was installiert das dies gemacht hat.

Stimmt. Vielleicht hat der TE ja auch vor dem Crash Ordner und Dateien von seinem alten Laptop auf seinen neuen kopiert und den eventuellen Schadcode dadurch aufs neue System übertragen. Eine klassische Reinfektion.

Lafu

legendary

Activity: 2940

Merit: 3030

Quote from: redpanda88 on June 06, 2021, 02:12:14 AM

Gehe stark davon aus, dass ich den Bravebrowser während der Exodusinstallation und auch danach offen hatte, sonst denke ich nichts (bin mir da aber nicht zu 100% sicher).

Kann natürlich gut sein das da auch über ein addon etwas passiert ist.

Quote from: bct_ail on June 05, 2021, 05:08:36 PM

An die Runde hier: Es gibt doch sicherlich Malware, die sich nach der entsprechenden Aktion umgehend selber deinstalliert und die Spuren verwischt, oder?

Mitt sicherheit gibt es die , aber im normal fall bleibt irgenwas zurück das auf eine Malware oder solches gleichen schließen lässt.
Intressant wäre die alte platte bzw der alte laptop dann was da passiert ist eventuell wurde ja bevor er kapput ging auch was installiert das dies gemacht hat.

bct_ail

legendary

Activity: 2534

Merit: 2144

https://t1p.de/6ghrf

Quote from: redpanda88 on June 06, 2021, 02:12:14 AM

Ja, ich bin der Einzige mit Zugriff auf dem Laptop.
Unter der Systemsteuerung steht, das ich der Administrator bin.
Gehe stark davon aus, dass ich den Bravebrowser während der Exodusinstallation und auch danach offen hatte, sonst denke ich nichts (bin mir da aber nicht zu 100% sicher).

- Okay, dann aslo keine andere Person die in Frage kommt. Ich gehe aber davon aus, dass du Windows mit Anmeldepasswort nutzt, oder?
Obwohl natürlich jeder schnell etwas installieren kann, wenn das Betriebssystem nicht gesperrt ist. Andere Möglichkeit wäre noch, dass du einen fremden USB-Stick angeschlossen hast.

- Als Administrator kann sich jedes Programm ohne Nachfrage installieren (was hier wohl passiert ist). Du solltest Windows nur als User ohne Adminrechte nutzen. Bei einer Programminstallation fragt Windows dann nach dem Admin-Kennwort. Wenn das nicht eingegeben wird oder falsch ist, wird das Programm nicht installiert. Also das solltest du ganz schnell ändern.

- Ohne Erinnerung braucht man hier nicht weiter im Nebel zu stochern.

Es scheint wohl so zu sein, dass du dir irgendwann mal Schadcode eingefangen hast.

redpanda88

newbie

Activity: 20

Merit: 1

Quote from: bct_ail on June 05, 2021, 05:08:36 PM

Ich frage nochmal: Bist du der einzige mit Zugang zu dem Laptop?
Hast du als User Adminrechte?
Hattest du während des Exodus-Aktion noch andere Programme auf?

An die Runde hier: Es gibt doch sicherlich Malware, die sich nach der entsprechenden Aktion umgehend selber deinstalliert und die Spuren verwischt, oder?

Ja, ich bin der Einzige mit Zugriff auf dem Laptop.
Unter der Systemsteuerung steht, das ich der Administrator bin.
Gehe stark davon aus, dass ich den Bravebrowser während der Exodusinstallation und auch danach offen hatte, sonst denke ich nichts (bin mir da aber nicht zu 100% sicher).

bct_ail

legendary

Activity: 2534

Merit: 2144

https://t1p.de/6ghrf

Quote from: redpanda88 on June 05, 2021, 08:41:28 AM

Habe jetzt nochmal Malewarebytes und eset-online-scanner drüberlaufen lassen, die finden alle nichts...

Ich frage nochmal: Bist du der einzige mit Zugang zu dem Laptop?
Hast du als User Adminrechte?
Hattest du während des Exodus-Aktion noch andere Programme auf?

An die Runde hier: Es gibt doch sicherlich Malware, die sich nach der entsprechenden Aktion umgehend selber deinstalliert und die Spuren verwischt, oder?

redpanda88

newbie

Activity: 20

Merit: 1

Habe jetzt nochmal Malewarebytes und eset-online-scanner drüberlaufen lassen, die finden alle nichts...

Die Option mit Festplatte an Polizei ist auch ne gute Idee, werde mich schlaumachen.

Und ja, ich halte euch auf dem Laufenden, vielen Dank für die Hilfe von allen Seiten!!!

Lafu

legendary

Activity: 2940

Merit: 3030

Ich würde aufjedenfall alles neu aufsetzen ,bzw neue Festplatte eventuell einbauen mit neuer Installation von Windows.
Die alte Festplatte der Polizei geben wäre auch eine Option,denke das deren Spezialisten eventuell mehr finden werden.
Sollte da wirklich nichts gefunden werden wird die Sache verzwickter.

-doubleU-

legendary

Activity: 1078

Merit: 1307

Quote from: redpanda88 on June 04, 2021, 11:11:27 AM

Quote from: -doubleU- on June 03, 2021, 01:31:23 AM

GGfl. bei der Polizei vor einer Neuinstallion noch mal nachfragen ob IT-Forensiker sich den Rechner nochmals anschauen wollen um die Art und Weise des Diebstals feststellen und dokumentieren zu können. Gerade in deinem Fall gibt es ja relativ wenig Varianten wo die Schadsoftware hergekommen sein könnte. Gleichzeitig erhöht dies vielleicht auch ein wenig den Druck, das sich Spezialisten mit deinem Fall befassen Wink

Ja danke, werde ich versuchen!

Viel Glück! Halte uns bitte mal auf dem laufenden was die Ermittlungsbehörden zu deinem Fall sagen bzw noch ermitteln können.
Zum einen ist es generell interessant wie aktiv (oder eben nicht aktiv) durch Behörden versucht wird solche Verbrechen aufzuklären und zum anderen ist es gerade in dem von dir beschrieben Szenario eigentlich völlig unklar wie dies geschehen konnte, wenn der Rechner wirklich neu war und alle Softwarepakete aus vertrauenswürdigen Quellen stammten.
Der zeitliche Zusammenhang isst ja völlig klar nachvollziehbar, aber wie es geschehen konnte würde sicher Erkenntnisse bringen damit in Zukunft der selbe Fehler nicht auch anderen passiert.

redpanda88

newbie

Activity: 20

Merit: 1

Quote from: -doubleU- on June 03, 2021, 01:31:23 AM

Wichtig ist jedenfalls das dein derzeitiges System als kompromittiert einzustufen ist und du keinesfalls irgend etwas mir Kryptowerten mit dem Rechner tun solltest, bis dieser komplett neu aufgesetzt wurde. Einem Scan mit Windows Defender kann man in diesem Fall leider nicht vertrauen bzw. sich auf ein negatives Ergebnis verlassen.
GGfl. bei der Polizei vor einer Neuinstallion noch mal nachfragen ob IT-Forensiker sich den Rechner nochmals anschauen wollen um die Art und Weise des Diebstals feststellen und dokumentieren zu können. Gerade in deinem Fall gibt es ja relativ wenig Varianten wo die Schadsoftware hergekommen sein könnte. Gleichzeitig erhöht dies vielleicht auch ein wenig den Druck, das sich Spezialisten mit deinem Fall befassen Wink

Ja danke, werde ich versuchen!

Quote from: o_solo_miner on June 03, 2021, 02:05:17 PM

Interesant wären die Quellen aus denen er den ccleaner und jdownloader bezogen hat.
Dann könnte man das mal in einer VM und Wireshark mal prüfen bzw. Nachvollziehen.
Aber jetzt wo das Kind schon im Brunnen liegt, nur von Akademischen Interesse.

Beide Programme habe ich von der offiziellen Homepage downgeloaded, leider habe ich die Installationsdateien nicht mehr.

Teams habe ich auch noch installiert, auch von der microsoft-Homepage, hab gerade nochmal den Braveverlauf gecheckt...

[moderators note: 2 posts merged]

o_solo_miner

legendary

Activity: 2405

Merit: 1459

-> morgen, ist heute, schon gestern <-

Interesant wären die Quellen aus denen er den ccleaner und jdownloader bezogen hat.
Dann könnte man das mal in einer VM und Wireshark mal prüfen bzw. Nachvollziehen.
Aber jetzt wo das Kind schon im Brunnen liegt, nur von Akademischen Interesse.

Lafu

legendary

Activity: 2940

Merit: 3030

Quote from: bob123 on June 03, 2021, 10:38:03 AM

Etwas anderes installiert neben CCleaner und JDownloader?

Habe das schon ein paar mal gefragt aber irgendwie keine antwort dazu bekommen !
Und ja es muss eingentlich so sein das der neu Laptop mit irgendwas infiziert war oder ist.
Vorher hatte er ja auch keine probleme , aber solange er nicht schreibt was genau passiert ist können wir nur raten.

bob123

legendary

Activity: 1624

Merit: 2481

Quote from: redpanda88 on June 02, 2021, 02:27:37 PM

Exodus auf dem alten Rechner ist schon mindestens 3 Jahre her.
Auf dem neuen hatte ich Exodus am 16.05 um 20:16 Uhr runtergeladen, gleich installiert, um 20:17 Uhr - 20:20 Uhr gingen alle (9) Transaktionen ab (siehe oben).

Da lässt sich ja mit sehr hoher Wahrscheinlichkeit daraus schließen, dass es irgendwie mit dem neuen Rechner zusammen hängt.

Hast du evtl. eine nicht-lizensierte Version von Windows genutzt? Diese gecrackten Versionen sind immer mit Schadsoftware bestückt.
Oder irgendeine andere Software? Eine andere Person? War der Rechner bereits mit einem Betriebssystem ausgestattet beim Kauf (evtl. hat jemand den Rechner gekauft, Malware installiert und zurückgegeben?)?
Etwas anderes installiert neben CCleaner und JDownloader?

bct_ail

legendary

Activity: 2534

Merit: 2144

https://t1p.de/6ghrf

Bist du der einzige, der Zugang zum Laptop hat`

Quote from: -doubleU- on June 03, 2021, 01:31:23 AM

Wichtig ist jedenfalls das dein derzeitiges System als kompromittiert einzustufen ist und du keinesfalls irgend etwas mir Kryptowerten mit dem Rechner tun solltest, bis dieser komplett neu aufgesetzt wurde.

Vorm Neuaufsetzen würde ich ein Image ziehen und es wegpacken. Neu aufsetzen lieber mit Linux als Windows.

MishaMuc

hero member

Activity: 1428

Merit: 589

Quote from: redpanda88 on June 02, 2021, 05:04:14 AM

Ja das denke ich auch, ich komm nur trotzdem nicht hin, ich kenne mich leider auch nicht so gut aus...
Bist du aus München, weil du in deinem Namen Muc stehen hast. Wohne nämlich auch dort, vielleicht könntest du mir ja persönlich helfen...? Sorry meine Aufdringlichkeit, bin aber echt ratlos...

Sorry, ich glaub da bin ich nicht der richtige. Wenn du dir Hoffnung machst, deine Coins so wieder zu bekommen, dann muss ich dich eh enttäuschen. Natürlich wäre es trotzdem sehr interessant, wie das alles abgelaufen ist. Und da wäre vermutlich - wie von Mole schon geschrieben - ein Fachmann am Besten für geeignete.

-doubleU-

legendary

Activity: 1078

Merit: 1307

Quote from: mole0815 on June 02, 2021, 06:03:23 PM

Für mein Gefühl muss ein Keylogger der auf deinen seed in Verbindung mit einem Bot der die Daten sofort verarbeitet hat im Spiel gewesen sein!?

Die Funds sind leider unwiederbringlich weg Lips sealed

Nach ansehen der Transaktionen würde ich dies genau so vermuten, da der zeitliche Zusammenhang eigentlich eindeutig ist und die Empfängeradressen auch sehr stark diesen Anschein erwecken. Das die Ermittlungsbehörden da etwas erreichen halte ich für nahezu ausgschlossen, ist doch für viele Bearbeiter totales "Neuland" und wenn der Fall nicht bei Spezialisten landet wird da wohl leider nur ein Brief kommen das die Ermittlungen ergebnislos eingestellt wurden. Undecided

@redpanda88
Wichtig ist jedenfalls das dein derzeitiges System als kompromittiert einzustufen ist und du keinesfalls irgend etwas mir Kryptowerten mit dem Rechner tun solltest, bis dieser komplett neu aufgesetzt wurde. Einem Scan mit Windows Defender kann man in diesem Fall leider nicht vertrauen bzw. sich auf ein negatives Ergebnis verlassen.
GGfl. bei der Polizei vor einer Neuinstallion noch mal nachfragen ob IT-Forensiker sich den Rechner nochmals anschauen wollen um die Art und Weise des Diebstals feststellen und dokumentieren zu können. Gerade in deinem Fall gibt es ja relativ wenig Varianten wo die Schadsoftware hergekommen sein könnte. Gleichzeitig erhöht dies vielleicht auch ein wenig den Druck, das sich Spezialisten mit deinem Fall befassen Wink

mole0815

staff

Activity: 2310

Merit: 2632

Join the world-leading crypto sportsbook NOW!

Klingt schon unwahrscheinlich aber mal laut gedacht kam mir das in den Sinn.
Wie sonst? Exodus war es nicht... CCleaner oder der Downloader vielleicht?

Das WLAN würde ich fast ausschließen denn dann wäre es schon früher passiert und nicht erst zeitgleich mit der Neuinstallation.

Für mein Gefühl muss ein Keylogger der auf deinen seed in Verbindung mit einem Bot der die Daten sofort verarbeitet hat im Spiel gewesen sein!?

Die Funds sind leider unwiederbringlich weg Lips sealed

redpanda88

newbie

Activity: 20

Merit: 1

Quote from: mole0815 on June 02, 2021, 05:34:24 AM

Sowas kann man nicht ausschließen. Ein Mitarbeiter? Oder jemand bestellt das Ding, sendet es manipuliert zurück und hofft, dass der nächste Käufer abgezockt werden kann? Beides durchaus möglich... leider.

Aber ist das nicht auch irgendwie unwahrscheinlich? Wie hoch ist die Wahrscheinlichkeit, dass er/sie genau jemanden "erwischt", der dann ein Exodus-Wallet hat? Auf 100 Laptopts sind das ja vielleicht 3 oder so? Oder liege ich da komplett falsch?

Lafu

legendary

Activity: 2940

Merit: 3030

Die Adresse sieht mir aufjedenfall nach einer Hacker Adresse aus !
https://etherscan.io/address/0xa3920289d54f33f706879a43e6ac2a74c38f2608#analytics

Am 20, Mai 2021 waren dort 81.64661256117549 ETH in der Adresse !

Auch hier bei den Transactions is ein gewisses muster zu erkennen wenn man dort auf transactions click sieht man es !

https://etherscan.io/address/0xa3920289d54f33f706879a43e6ac2a74c38f2608#analytics

Im 2 tages rhythmus kammen da Coins rein von immer unterschiedlichen adressen .
Also denke ich das du nicht alleine bist dem Coins geklaut wurden.

redpanda88

newbie

Activity: 20

Merit: 1

Quote from: bob123 on June 02, 2021, 07:49:22 AM

Könntest du dazu bitte eine präzise Timeline erstellen mit allen relevanten Daten (Zeitpunkt der Installation von Exodus auf dem alten/neuen Rechner, Zeitpunkt der Transaktionen, etc...).

Exodus auf dem alten Rechner ist schon mindestens 3 Jahre her.
Auf dem neuen hatte ich Exodus am 16.05 um 20:16 Uhr runtergeladen, gleich installiert, um 20:17 Uhr - 20:20 Uhr gingen alle (9) Transaktionen ab (siehe oben).

MM_Group_

member

Activity: 72

Merit: 12

Ich habe es jetzt nirgends gesehen, falls ich es überlesen habe, sorry.
Die Restbestände in XRP und Stellar kommen daher, dass man das nicht versenden kann. Die Coins sind da quasi gelockt.
Wollte das nur kurz hinzufügen, falls ein neuer Leser sich das fragt.

bob123

legendary

Activity: 1624

Merit: 2481

Quote from: redpanda88 on June 02, 2021, 01:08:20 AM

CCleaner

Bitte niemals wieder so einen Müll installieren.
Keine Ahnung wer dir dazu geraten hat, aber nimm von dieser Person nie wieder Tipps bezüglich PC's und alles was auch nur im entferntesten damit zu tun hat an.

Quote from: redpanda88 on June 02, 2021, 03:01:54 AM

Ich habe für die Polizei eine Excel angefertigt, mit allen Transaktionen, die abgegangen sind [...]

Wird dir leider nichts bringen. Die Polizei weiß quasi nicht mal was Bitcoin sind.
Dein Geld wirst du leider nicht mehr wiederbekommen.

Das einzige was dir übrig bleibt: Herausfinden wie das passiert ist und für die Zukunft verhindern.

Könntest du dazu bitte eine präzise Timeline erstellen mit allen relevanten Daten (Zeitpunkt der Installation von Exodus auf dem alten/neuen Rechner, Zeitpunkt der Transaktionen, etc...).

mole0815

staff

Activity: 2310

Merit: 2632

Join the world-leading crypto sportsbook NOW!

redpanda88 das mit dem

und

button müssen wir wohl noch etwas üben

Musste jetzt alle deine Beiträge nacharbeiten damit es hier nicht wieder rund geht mit Reports.

Bitte keine Doppelpostings verfassen und Antworten so gut es geht in einzelne Beiträge zusammenfassen.
Das geht ganz easy wenn du unter dem "Antwortfenster" die "Insert Quote" Möglichkeit verwendest... aber klar am Anfang und wenn man etwas durch den Wind ist nach so einer Action kann das schon mal passieren. Nicht böse gemeint und jetzt kann es hier mit der Ursachenforschung weiter gehen.

Sieht leider wirklich nach geplant/systematisch abgeräumt aus.

Quote from: redpanda88 on June 02, 2021, 03:59:26 AM

Online bei Euronics bestellt... (du meinst, dass da dann schon was draufgewesen sein könnte?)

Sowas kann man nicht ausschließen. Ein Mitarbeiter? Oder jemand bestellt das Ding, sendet es manipuliert zurück und hofft, dass der nächste Käufer abgezockt werden kann? Beides durchaus möglich... leider.

redpanda88

newbie

Activity: 20

Merit: 1

Quote from: MishaMuc on June 02, 2021, 04:48:26 AM

Quote

Exodus hab ich am 16.05 um 20:16 runtergeladen gehabt, dann gleich installiert

20:17 Uhr gingen die ETH weg.
Lag also sehr sicher an deinem Install / System.

Ja das denke ich auch, ich komm nur trotzdem nicht hin, ich kenne mich leider auch nicht so gut aus...
Bist du aus München, weil du in deinem Namen Muc stehen hast. Wohne nämlich auch dort, vielleicht könntest du mir ja persönlich helfen...? Sorry meine Aufdringlichkeit, bin aber echt ratlos...

Quote from: -doubleU- on June 02, 2021, 04:17:36 AM

Quote from: MishaMuc on June 02, 2021, 04:04:52 AM

War der Laptop noch original verpackt?

Diese Frage erweitere ich mal... War das Garantiesiegel der Verpackung noch ungebrochen und Windows noch nicht aktiviert oder wäre es möglich das dieser "neue" Laptop bereits bei einem anderen Kunden von Euronics im Einsatz war und aus einer Retoure stammte?

Quote from: ?? on ??

Hab jetzt nochmal Microsoft-Virenscan laufen lassen, der erkennt nix.

Ein Windows Virenscan erkennt solche Schadsoftware leider nur selten, da diese sich im aktiven System meist sehr gut "tarnt".
Um sicher zu gehen solltest du mit einem externen Medium eine Linux Live Distribution starten und von dieser einen Virenscan anstoßen. Ich nutze dafür immer gern das Heise Desinfec't Paket.

Danke für den Vorschlag, ich blicke da aber echt nicht durch, bin leider nicht sonderlich bewandert in solchen Dingen. Habe gerade Windows Defender offline laufen lassen, der findet auch nix.

[moderators note: 2 posts merged]

MishaMuc

hero member

Activity: 1428

Merit: 589

Quote

Exodus hab ich am 16.05 um 20:16 runtergeladen gehabt, dann gleich installiert

20:17 Uhr gingen die ETH weg.
Lag also sehr sicher an deinem Install / System.

redpanda88

newbie

Activity: 20

Merit: 1

Quote from: MishaMuc on June 02, 2021, 04:18:53 AM

Siehst sehr systematisch leergeräumt aus. mMn definitiv geplant/automatisiert.

Du hast am 16.05. ebenfalls den Laptop erstmalig mit Exodus genutzt, korrekt?
Weißt du noch wann du die Version installiert hast?

Exodus hab ich am 16.05 um 20:16 runtergeladen gehabt, dann gleich installiert

Quote from: MishaMuc on June 02, 2021, 04:04:52 AM

Neben Schadsoftware durch CCleaner und Browser die einzig logische Möglichkeit.
Prüfe mal den hash von den beiden auch.

War der Laptop noch original verpackt?

Die beiden Installationsdateien habe ich leider nicht mehr...
Der Laptop sah Originalverpackt aus, Siegel war dran (sofern ich mich richtig erinnere). Also mich hat jetzt nichts stutzig gemacht...
Das einzige was ich mich jetzt erinnere ist, dass die Garantie im Lenovo Vantage damals nicht der 14/05 war, sondern schon vorher... Jetzt steht da jedoch 14.05 (Tag, andem ich den Laptop das erste mal eingeschalten habe.

Windows hat sich ganz "normal" verhalten, also "Willkommen usw.", dann upgedatet und fertig. Ich musste jedoch keinen Registrierungscode oder ähnliches eingeben.

[moderators note: 2 posts merged]

MishaMuc

hero member

Activity: 1428

Merit: 589

Quote from: redpanda88 on June 02, 2021, 04:12:40 AM

1: https://etherscan.io/tx/0xe12346a9c45bb2d0b41337596c6d76ad5abceefcefb304119bc5bc4c5b0f33e9
2: https://mempool.space/tx/39e90096d6c279425b6137d5832195831436ba47c16c6465af4e344bc02ac3f9
3: https://xrpscan.com/tx/38C8F8663DC214C73FBB476C5752B5A7DFE3FBD1B98AFF08E29BC465D1FC38EC
4: https://blockchair.com/litecoin/transaction/73d1b69fd0658d66bf6b39fd00acd5cc870ff417e079d564568b9c65a0fd6028
5: https://stellar.expert/explorer/public/tx/35b4a3ca872177108b2c22e730da8e3ed0f8087907affbc438007db888a56ce4
6: https://etherscan.io/tx/0xe563fe114be70b2e5de862ddbb70a0a5cf8e6e1b338c3fc04dda5480a36ea813
7: https://explorer.bitcoingold.org/insight/tx/f98e5c6dc71c70be1c2484c76bf94f8eba40a2ccf6e8aa08d39b67851a3a3d49
8: https://etherscan.io/tx/0x800aba03463ef631ca415a403c34da7c8091ae4d65d0e046e6809050b41e3daf
9: https://etherscan.io/tx/0xd5e349e5368edecc6a841bf43555d2bcd436cba4332bf105050ca072013f1b6c

Das waren alle Transaktionen...

Siehst sehr systematisch leergeräumt aus. mMn definitiv geplant/automatisiert.

Du hast am 16.05. ebenfalls den Laptop erstmalig mit Exodus genutzt, korrekt?
Weißt du noch wann du die Version installiert hast?

-doubleU-

legendary

Activity: 1078

Merit: 1307

Quote from: MishaMuc on June 02, 2021, 04:04:52 AM

War der Laptop noch original verpackt?

Diese Frage erweitere ich mal... War das Garantiesiegel der Verpackung noch ungebrochen und Windows noch nicht aktiviert oder wäre es möglich das dieser "neue" Laptop bereits bei einem anderen Kunden von Euronics im Einsatz war und aus einer Retoure stammte?

Quote from: ?? on ??

Hab jetzt nochmal Microsoft-Virenscan laufen lassen, der erkennt nix.

Ein Windows Virenscan erkennt solche Schadsoftware leider nur selten, da diese sich im aktiven System meist sehr gut "tarnt".
Um sicher zu gehen solltest du mit einem externen Medium eine Linux Live Distribution starten und von dieser einen Virenscan anstoßen. Ich nutze dafür immer gern das Heise Desinfec't Paket.

redpanda88

newbie

Activity: 20

Merit: 1

1: https://etherscan.io/tx/0xe12346a9c45bb2d0b41337596c6d76ad5abceefcefb304119bc5bc4c5b0f33e9
2: https://mempool.space/tx/39e90096d6c279425b6137d5832195831436ba47c16c6465af4e344bc02ac3f9
3: https://xrpscan.com/tx/38C8F8663DC214C73FBB476C5752B5A7DFE3FBD1B98AFF08E29BC465D1FC38EC
4: https://blockchair.com/litecoin/transaction/73d1b69fd0658d66bf6b39fd00acd5cc870ff417e079d564568b9c65a0fd6028
5: https://stellar.expert/explorer/public/tx/35b4a3ca872177108b2c22e730da8e3ed0f8087907affbc438007db888a56ce4
6: https://etherscan.io/tx/0xe563fe114be70b2e5de862ddbb70a0a5cf8e6e1b338c3fc04dda5480a36ea813
7: https://explorer.bitcoingold.org/insight/tx/f98e5c6dc71c70be1c2484c76bf94f8eba40a2ccf6e8aa08d39b67851a3a3d49
8: https://etherscan.io/tx/0x800aba03463ef631ca415a403c34da7c8091ae4d65d0e046e6809050b41e3daf
9: https://etherscan.io/tx/0xd5e349e5368edecc6a841bf43555d2bcd436cba4332bf105050ca072013f1b6c

Das waren alle Transaktionen...

MishaMuc

hero member

Activity: 1428

Merit: 589

Quote from: redpanda88 on June 02, 2021, 03:59:26 AM

Quote from: MishaMuc on June 02, 2021, 03:47:54 AM

Woher stammt der neue Laptop?

Online bei Euronics bestellt... (du meinst, dass da dann schon was draufgewesen sein könnte?)

Neben Schadsoftware durch CCleaner und Browser die einzig logische Möglichkeit.
Prüfe mal den hash von den beiden auch.

War der Laptop noch original verpackt?

redpanda88

newbie

Activity: 20

Merit: 1

Quote from: MishaMuc on June 02, 2021, 03:47:54 AM

Woher stammt der neue Laptop?

Online bei Euronics bestellt... (du meinst, dass da dann schon was draufgewesen sein könnte?)

MishaMuc

hero member

Activity: 1428

Merit: 589

Woher stammt der neue Laptop?
Die Transaktionen kannst du theoretisch auch hier posten.

redpanda88

newbie

Activity: 20

Merit: 1

Quote from: -doubleU- on June 01, 2021, 06:09:22 PM

Sehr Mysteriös das ganze... Wurden auf die Empfängeradressen (der Diebe) auch Coins transferiert welche nicht von dir stammen? Würdest du eventuell die entsprechenden Transaktionen hier offen legen? Hat der Exodus Support noch einen anderen Hinweis gegeben, außer das du die Behörden einschalten sollst?

Ich habe für die Polizei eine Excel angefertigt, mit allen Transaktionen, die abgegangen sind, die kann ich dir gerne per privater Nachricht schicken oder?

Vom Support habe ich bisher eine Antwort, also da geht alles sehr zäh. Nicht wie hier, vielen Dank für eure Tipps/Hilfe/Einsatz!

Quote from: -doubleU- on June 02, 2021, 01:26:08 AM

Dann könnte es eventuell der CCleaner gewesen sein, welcher unerwünschte Software auf dein System eingeschleust hat.
Dieses Tool hat in der Vergangenheit schon öfters für Schlagzeilen gesorgt, da auch kompromittierte Versionen im Umlauf waren. Je nach dem wo du dieses Installationsquelle herrunter geladen hast, wäre dies zumindest eine potentielle Möglichkeit die mir hier sofort ins Auge fällt.
Selbst Microsoft steht diesem Tool seit einiger Zeit skeptisch gegenüber -> https://t3n.de/news/windows-defender-warnt-einstiges-1305306/

Habe den CCleaner unter der offiziellen Homepage runtergeladen... Und ohne anderer "angehänger Software".
Hab jetzt nochmal Microsoft-Virenscan laufen lassen, der erkennt nix.

[moderators note: 2 posts merged]

-doubleU-

legendary

Activity: 1078

Merit: 1307

Dann könnte es eventuell der CCleaner gewesen sein, welcher unerwünschte Software auf dein System eingeschleust hat.
Dieses Tool hat in der Vergangenheit schon öfters für Schlagzeilen gesorgt, da auch kompromittierte Versionen im Umlauf waren. Je nach dem wo du dieses Installationsquelle herrunter geladen hast, wäre dies zumindest eine potentielle Möglichkeit die mir hier sofort ins Auge fällt.
Selbst Microsoft steht diesem Tool seit einiger Zeit skeptisch gegenüber -> https://t3n.de/news/windows-defender-warnt-einstiges-1305306/

redpanda88

newbie

Activity: 20

Merit: 1

Quote from: Lafu on June 01, 2021, 07:55:31 PM

Was wurde denn alles installiert bevor du die Exodus Wallet installiert hast ?

CCleaner, Brave Browser und jDownloader (aber damit nix runtergeladen o.ä.)

Lafu

legendary

Activity: 2940

Merit: 3030

Hort sich für mich nach Malware und wie -doubleU- bereits geschrieben hat nach Keylogger und anderer Schadenssoftware aus !
Was wurde denn alles installiert bevor du die Exodus Wallet installiert hast ?
Mit sicherheit irgendwo ist da was noch am laufen und auch dafür spricht eine Schadenssoftware denn sonst wären deine Coins ,
bereits an deinem alten Laptop verschwunden , der war also sicher und der neue hatte bestimmt was drauf .
Sorry wegen deinem verlust .

-doubleU-

legendary

Activity: 1078

Merit: 1307

Quote from: ?? on ??

Hash/Signatur richtig

Also schon mal keine Fake Wallet.
Daher bleibt eigentlich nur eine Schadsoftware (Keylogger), welche du dir am ersten Tag der Gerätenutzung, noch vor dem Download der Exodus Installationsdatei, eingefangen haben müsstest.
Oder jemand hatte physischen Zugriff auf deinen Seed und hat deinen Gerätedefekt ausgenutzt, aber dagegen spricht eigentlich die zeitliche Abfolge.

Sehr Mysteriös das ganze... Wurden auf die Empfängeradressen (der Diebe) auch Coins transferiert welche nicht von dir stammen? Würdest du eventuell die entsprechenden Transaktionen hier offen legen? Hat der Exodus Support noch einen anderen Hinweis gegeben, außer das du die Behörden einschalten sollst?

redpanda88

newbie

Activity: 20

Merit: 1

Quote from: mole0815 on June 01, 2021, 05:09:38 PM

Also sagt die Prüfung der Installationsdatei, dass die Signatur korrekt ist?

Hat dein neues Notebook Windows Defender standardmäßig aktiviert?

Hast du damit „rumgespielt“ oder war Exodus der erste Download?

Und eine Frage noch zum Abschluss. Wo war dein Seed (recovery Phrase) gesichert bzw. könnte der abgegriffen worden sein? Lips sealed

Ja, habe ich...
Nein, den hatte ich handschriftlich aufbewahrt...

Sorry, jetzt richtig gemacht: Hash/Signatur richtig, sprich exakt diesselbe wie von dir angegeben

[moderators note: 2 posts merged]

-doubleU-

legendary

Activity: 1078

Merit: 1307

Quote from: redpanda88 on June 01, 2021, 05:05:37 PM

Prüfung gerade durchgeführt, dann kommt raus, das Exodus schon installiert ist.

Ähh, reden wir aneinander vorbei?
Hast du mittels Command Prompt den Hash der Installationsdatei ermittelt und mit dem von mir verlinkten Hash verglichen?

Quote from: redpanda88 on June 01, 2021, 04:53:04 PM

Rest war: 1 Stellar, 20 XRP und 0.0010395 Ether.
Also v.a. die ersten beiden: echt komisch...

Auch dies ist relativ einfach erklärbar.
1 Stellar und 20 XRP sind die jeweiligen Mindestbeträge dieser Coins welche auf einer Wallet eingezahlt werden müssen um diese Adresse zu aktivieren und diese Mindestgebühr ist auch nicht abhebbar und konnte daher nicht transferiert werden.
Bei Ether wurde wahrscheinlich eine hohe Gebühr für die Transaktion verwendet um die Transaktion möglichst schnell durch zu bekommen. Ungenutztes Gas (Gebühr), wenn es doch günstiger geht, verbleibt in der Wallet.

mole0815

staff

Activity: 2310

Merit: 2632

Join the world-leading crypto sportsbook NOW!

Also sagt die Prüfung der Installationsdatei, dass die Signatur korrekt ist?

Hat dein neues Notebook Windows Defender standardmäßig aktiviert?

Hast du damit „rumgespielt“ oder war Exodus der erste Download?

Und eine Frage noch zum Abschluss. Wo war dein Seed (recovery Phrase) gesichert bzw. könnte der abgegriffen worden sein? Lips sealed

redpanda88

newbie

Activity: 20

Merit: 1

Prüfung gerade durchgeführt, dann kommt raus, das Exodus schon installiert ist.
eigenes WLAN ja, ob Betriebssystem sauber ist => am neuen Laptop sicher ja, weil der war 1 Tag alt, beim alten kann ich das nicht so genau sagen (wüsste erhrlich gesagt auch nicht wie...)

-doubleU-

legendary

Activity: 1078

Merit: 1307

Quote from: redpanda88 on June 01, 2021, 04:46:48 PM

Kann ich die Quelle der Installationsdatei (vorliegend) irgendwie sehen?

Du kannst nur den Hash der vorliegenden Datei verifizieren wie mole0815 dir mit dem passenden Link schon gezeigt hat.
Hier noch der passende Link zu den Downloadhashes der Originaldatei zum vergleichen.

Quote from: redpanda88 on June 01, 2021, 04:53:04 PM

Um 20:14 Exodus downgeloaded, dann restored, um 20:17 Uhr - 20:20 Uhr am 16.05 ging dann alles weg. Also insgesamt ca. 50.000€, was sich aus 9 unterschiedlichen Währungen zusammensetzte.

Hier wird tatsächlich ein Zusammenhang bestehen, bei so einem zeitnahen leer räumen der Wallet. War der neue Laptop/Rechner noch komplett frisch aufgesetzt oder bereits länger in Nutzung? Da es bereits einen halben Monat her ist werden wohl alle Transaktionen bestätigt sein, so das auch ein DS nicht mehr in Frage kommt. Undecided

redpanda88

newbie

Activity: 20

Merit: 1

Warum noch etwas verbleibend war kann ich leider nicht sagen:
Rest war: 1 Stellar, 20 XRP und 0.0010395 Ether.
Also v.a. die ersten beiden: echt komisch...

Dacht ich mir auch schon, dass es ein zeitlicher "Zufall" war, fände ich aber total "verrückt", da ich das vorherige Wallet schon seit Jahren immer wieder nutze... Also nicht, dass ich jetzt 1 Jahr nichts mehr mitbekommen hätte und ich dass dann deswegen erst festgestellt hatte...
Um 20:14 Exodus downgeloaded, dann restored, um 20:17 Uhr - 20:20 Uhr am 16.05 ging dann alles weg. Also insgesamt ca. 50.000€, was sich aus 9 unterschiedlichen Währungen zusammensetzte.

mole0815

staff

Activity: 2310

Merit: 2632

Join the world-leading crypto sportsbook NOW!

Willkommen im Forum.

Zuerst mal -> shit! Tut mir leid um deinen Verlust Undecided

Gemeinsam sollten wir das Problem aber nachvollziehen und für die Zukunft vermeiden können.

Ob die Datei in Ordnung ist kannst du so prüfen: https://support.exodus.com/article/131-how-to-verify-that-your-exodus-download-is-authentic

Betriebssystem ist sauber? Eigenes WLAN verwendet?

redpanda88

newbie

Activity: 20

Merit: 1

Ich hoffe unter der offiziellen Seite, habe gerade nochmal den Verlauf durchgeschaut:
https://www.exodus.com/download/
War damals (am 16. Mai) die Version 21.5.14
Kann ich die Quelle der Installationsdatei (vorliegend) irgendwie sehen?

-doubleU-

legendary

Activity: 1078

Merit: 1307

Quote from: redpanda88 on June 01, 2021, 03:22:59 PM

Hat irgendjemand hier eine Idee, was ich tun könnte?

Ich befürchte auch hier im Forum können wir nicht viel mehr tun als das was der Exodus Support dir angeboten hat.
Zu verstehen was eigentlich passiert ist.

Solch ein Verlust ist natürlich heftig, aber bestätigte Transaktionen sind nunmal nicht rückgängig zu machen. Man kann nur versuchen zu verstehen was passiert ist um beim nächsten mal nicht den selben Fehler zu begehen. Mit etwas Glück sind die Empfängeradressen schon von anderen Aktionen bekannt, so das es einen Hinweis für die Ermittlungsbehörden gibt. Aber zu 99% sind deine Coins leider verloren. Tut mir echt leid dir nichts anderes sagen zu können.

Was ich nicht verstehe, warum sind noch 15€ verblieben? Meist wird komplett abgeräumt.
Ein Fake Download wäre eine Möglichkeit, falls du die Wallet nicht von der richtigen Quelle herrunter geladen hast. Oder du hattest bereits eine Schadsoftware auf dem Rechner und der Crash passt nur zufällig in den Zeitraum.
Wann würden die Coins aus deiner Wallet weg transferiert? Sind alle Transaktionen bereits bestätigt oder könnte man eventuell mittels eines DoubleSpend noch etwas retten?

Koal-84

legendary

Activity: 2436

Merit: 1065

Quote from: redpanda88 on June 01, 2021, 04:19:23 PM

Nein, ich hatte einen Fahrradsturz, wo der Lappi gecrasht ist. Also vorher lief alles einwandfrei. Hatte dann den neuen Laptop da und wollte alles schnellstmöglich wiederherstellen...
Habe heute die alte Festplatte angesteckt, Wallet schaut leider genauso mager aus :-(
Windows 10 war und ist das Betriebssystem

Sehr eigenartig auf den ersten Blick, ich habe mir einmal die FAQ angesehen. Wo hast du die Wallet runter geladen, hast du einen Link?

https://support.exodus.com/article/42-how-do-i-restore-from-my-secret-12-word-phrase

redpanda88

newbie

Activity: 20

Merit: 1

Nein, ich hatte einen Fahrradsturz, wo der Lappi gecrasht ist. Also vorher lief alles einwandfrei. Hatte dann den neuen Laptop da und wollte alles schnellstmöglich wiederherstellen...
Habe heute die alte Festplatte angesteckt, Wallet schaut leider genauso mager aus :-(
Windows 10 war und ist das Betriebssystem

Koal-84

legendary

Activity: 2436

Merit: 1065

War war der alte Laptop kaputt? Hardwaredefekt oder wie in einem anderen Thread vermutlich Schadsoftware?

https://bitcointalksearch.org/topic/trezor-one-gehacked-5339868

Welches Betriebssystem war installiert?

redpanda88

newbie

Activity: 20

Merit: 1

Liebe Leute,

großen Entsetzens habe ich festgestellt, dass mein Exodus-Wallet gehackt wurde.
Alter Laptop kaputt, am Neuen Exodus installiert, mit der 12 word recovery Phrase restored und dann kam die bittere Erkenntnis: fast alles weg (15€ blieben).
Der Schaden ist leider beträchtlich (ja ich weiß heute leider besser den je, dass Hardwallets die bessere Wahl gewesen wären).
Hat irgendjemand hier eine Idee, was ich tun könnte? Der Support von Exodus meinte, Sie könnten mir helfen zu verstehn, was genau passiert ist und hat vorgeschlagen zur örltichen Behörde zu gehen, wo ich gestern war. Die meinten, dass Sie leider nicht viele Möglichkeiten hätten, aber Sie schauen (was auch immer das bedeuten mag).
Viele Hoffnungen habe ich leider nicht mehr, aber ich möchte nichts unversucht lassen und bin um jede Hilfe froh!

Liebe Grüße

Topic: Exodus wallet beim restore gehackt (Read 571 times)