Hallo zusammen.

Leider habe ich mir auf meinem Server Ransomware eingefangen, die Dateien in .wallet umbenennt.
Hergang war folgender:

Ich bemerkte per VPN, dass der Server sehr langsam reagierte und schaute per Remote drauf. Ich konnte nichts offensichtliches sehen, ausser dass eine merkwürdige Datei mit dem Namen "X_Acx.exe" als Prozess aktiv war (allerdingskeine Auslastung etc verursachte). Weil der Server kaum noch reagierte startete ich das System neu - und das war denke ich der Fehler.

Nach dem Neustart wollte besagte Datei Adminrechte, die ich verweigerte. Dann bemerkte ich das Software nicht lief. Nach kurzem Suchen stellte ich fest, dass Dateien in .[p_pant@aol.com].wallet umbenannt wurden. Daraufhin habe ich im Taskmanager sofort die verdächtige Datei gestoppt. Leider hat der Schädling schon die gesamten Daten der externen Platte verschlüsselt. Offenbar ist der Verschlüsselungsvorgang aber erstmal gestoppt, denn neue Dateien auf der externen Platte werden nicht verschlüsselt und der Task im Taskmanager hat sich auch nicht wieder neu gestartet. Ich habe das System jetzt vom Netzwerk getrennt und lasse es laufen, da ich bei einem Neustart befürchte das die Verschlüsselung wieder los geht.

Eine Lösegeldforderung oder ähnliches habe ich nicht erhalten. Ich vermute, weil ich wie oben erwähnt die Adminrechte nicht gegeben habe und mir der Schädling dann die Meldung nicht präsentieren konnte.

Ich habe die Windows Server Sicherung regelmäßig laufen.
Das Sicherungsprotokoll zeigt, dass die Sicherung auch zuletzt heute morgen Fehlerfrei durchgelaufen ist. (Leider ist dies die einzige Sicherung die ich habe, weitere auf externen Medien bestehen leider nicht)

Ich habe die externe Festplatte (exklusiver Zugriff durch Windows Server Sicherung) vom System getrennt, aus Angst das sie infiziert wird. Ich weiss allerdings nicht, ob Sie nicht bereits infiziert ist und auch nicht, ob die Datensicherungen drauf noch brauchbar sind.

Meine Frage ist nun, wie ich weiter vorgehen sollte um den Stand nicht weiter zu verschlimmern.

- Woran kann ich erkennen, ob die Windows Datensicherungen noch brauchbar sind? Schließe ich die externe Festplatte an einem anderen PC an, kann ich nicht darauf zugreifen. Ich vermute das ist ein Schutz vom Windows-Server-Sicherungsprogramm. Kann das sein?
- Kennt jemand dieses ".wallet"-Ding und kann mir vorab schon mal sagen ob es auch die Windows Server Sicherungen unbrauchbar macht/löscht?

Danke schonmal für eure Hilfe und entschuldigt, falls ich kurios schreibe. Ich hab noch immer entsprechenden Puls...

P.S. Über "ID Ransomware" habe ich gerade herausgefunden, dass es sich wohl um eine Art von "Dharma" handelt. Offenbar gibt es hier noch keine Entschlüsselungs-Lösungen...

Viele Grüße
MasterD

Es wäre schon mal zielführend gewesen, zu posten welcher Art Windowsserver hier im Einsatz ist. Genaues BS und Patchstand.
Hast Du die Platte mal an ein Nicht-Windowssystem angeschlossen?
Und, wie Du schon eruiert hast, noch kein Decoder vorhanden ist, hast Du schlechte Karten.
Und wenn Du keine weiteren Sicherungen hast, sind die Karten noch schlechter. Dann solltest Du Dir für die Zukunft mal ein Datensichrungskonzept zulegen. Da Du einen MS-Server betreibst, sollte hier wohl eine Firma involviert sein. Diese solltest Du mal damit beauftragen.