Guten Tag,

ich bin kein Admin und auch kein IT-Fachmann (sondern Ansprechparnter unseres IT-Dienstleisters).

Wir haben vorgestern die "Bewerbung" mit dem Excel-Makro-Anhang per E-Mail bekommen, der Goldeneye verbreitet. Der E-Mail-Client (Outlook) wie auch Office 2010 laufen im Terminalserver. User hat dort keine Admin-Rechte.

Die Excel-Datei wurde geöffnet, der Button "Inhalte aktivieren" gedrückt und das Makro ausgelöst.

Ja, das war total blöde - bitte verkneift Euch ebenso blöde Sprüche - das hilft einfach grad gar nix

Allerdings war sehr schnell eine VBA-Makro-Fehlermeldung zu sehen (ich habe nirgends gelesen, dass diese Fehlermeldung "mit zum Trick" gehört). Daraufhin wurde die Excel-Datei wieder geschlossen.

Unsere Server laufen unter Windows 2008 R2: Terminalserver und Fileserver, auf zwei getrennten virtuellen Maschinen (VMWare).

Bis heute ist nix passiert:

• Wir haben Terminal- und Fileserver mit unserem Virenschutz Trend Micro (erkennt angeblich Goldeneye) komplett scannen lassen - ohne Auffälligkeiten.
• Es gibt auch nirgends die Textdateien, die Goldeneye ablegen soll.
• Nach Schließen und Neustart der betroffenen Terminalserver-Umgebung gab es keinerlei Auffälligkeiten.
• Bis jetzt sind keine verschlüsselten Dateien aufgetaucht.

Alles unauffällig.

Wir haben Datensicherung vom Terminalserver von einem Tag vor dem Vorfall auf unserem NAS (Synology). Datensicherung vom Fileserver war offenbar schon überschrieben, bevor wir die Backup gestoppt haben; der Stand von vor dem Vorfall ist leider schon 1 Woche alt (auf USB am NAS gesichert).

Sind wir mit einem blauen Auge davon gekommen?
Wenn nein: Was genau ist zu befürchten?
Mit welchen Maßnahmen soll ich meinen IT-Dienstleister beauftragen?

Danke für Eure Hilfe!!

Wenn nix verschlüsselt wurde und der User auch keine Adminrechte hatte, müsst ihr den Dienstleister zu garnix beauftragen.

Solche ransoms verrichten idR sehr schnell sofort ihr Werk und stürzen sich auf alle Dateien, die sie zu fassen kriegen. Verschlüsseln können sie die, die der User alle erreichen kann, also auch Netzlaufwerke, und auf denen der User, der den Schund anklickte, auch Schreibrechte hat.

Wenn nun garnix verschlüsselt wurde muss ja irgendwas diese Fehlermeldung ausgelöst haben und das Ding wurde gestoppt bevor es überhaupt losging. Warum der Fehler kam kann dir allerdings niemand ohne die Fehlermeldung sagen.

Ist denn wirklich nix verschlüsselt? Auch Netzlaufwerke gesichtet?
Welche Schreibrechte auf welchen Netzlaufwerken hat der Unglücksraben-User denn?

Zitat:

Zitat von cosinus

Warum der Fehler kam kann dir allerdings niemand ohne die Fehlermeldung sagen.

Wie das so ist: die Fehlermeldung wurde weggeklickt.
Leider finde ich die Quelle nicht mehr, aber von einer Makro-Fehlermeldung hat schon jemand berichtet und bei dem ist auch bislang nix passiert. Hängt vielleicht mit den fehlenden Admin-Rechten zusammen

Zitat:

Zitat von cosinus

Ist denn wirklich nix verschlüsselt? Auch Netzlaufwerke gesichtet?

Nun, wir haben nicht sämtliche Verzeichnisse und Dateien geprüft. Aber eine ausführliche Stichprobe zeigte keinerlei Probleme und wir arbeiten seit 2 Tagen ohne jede Störung am System.

Zitat:

Zitat von cosinus

Welche Schreibrechte auf welchen Netzlaufwerken hat der Unglücksraben-User denn?

Leider Schreibrechte auf alle Laufwerke einschl. NAS (allerdings ausgewählte Verzeichnisse)

Also, Adminrechte werden definitiv nicht benötigt. Jedenfalls nicht um Files zu verschlüsseln. Adminrechte braucht Goldeneye dann, wenn es die MFT verschlüsseln oder Schattenkopien löschen will.

Man kann nur vermuten was da los war und die Fehlermeldung ausgelöst hat, vllt doch irgendwas Restriktiveres bedingt durch die Server-Edition von Windows? Oder einem Virenscanner? Man weiß es leider nicht.

Haben die Dateien auf den Netzlaufwerken denn was abbekommen oder sind auch da alle noch intakt?

Hatte die Meldung von heise nicht mehr komplett in Erinnerung, aber es wurde schon am 6.12. geschrieben, dass die vom Makro erstellten EXE Files unter Windows Server 2012 nicht laufen

https://heise.de/-3561396

Zitat:

Zitat von heise.de

Update - 06.12.2016, 14:36 Uhr

Der Schadcode läuft ersten Erkenntnissen nach nicht auf allen Betriebssystemen. Während der Trojaner unter Windows 7, Windows 10 und Server 2008 anscheinend problemlos Daten verschlüsselt, scheint dies auf Windows Server 2012 nicht zu funktionieren.