Kurz zum Verständnis, ich mach den Admin nebenher ( war klar)
und eigentlich nur für die Clients, Netzwerk, Drucker...
Für die Server haben wir ein Systemhaus.

Um unsere Situation zu Verstehen müsste ich zu weit ausholen,
deshalb nur in Stichworten

-Alter File/ David Mail- Faxserver 6 Jahre alt-

Roadmapp:
1. neuer Server mit VM - 2. Telefonanlage in Cloud - 3. Telefon- Faxmanagement Lösung -
4. Exchange Server - 5. David Migration - 6. David und alten Server abschalten.

Bei 2 und 3 haben wir Probleme mit der Zuverlässigkeit bekommen, was zur Folge hatte,
dass der ganze Prozess ins Stocken geraten ist und bisher nicht sauber zu ende gebracht wurde .
In den Weihnachtsferien ist uns die Hardware mit der ESX abgeraucht, so das wir schnell
Hilfe brauchten. Die ESX wurde wieder hergestellt, leider wurde hierbei eine VM vergessen.
Und genau auf dieser VM lief Veeam .
Die genauen Hintergründe sind noch etwas komplizierter.
Fakt ist aber, unser Backup ist von Weihnachten
Aber selbst wenn dieses aktuell gewesen wäre, es hätte vermutlich nicht verwendet werden
können, da die gesicherte Platte in einem Dateisystem formatiert war, welches Veeam nicht
versteht.

Wir sind gerade dabei BitCoins zu kaufen.

Von welchem Filesystem sprichst du da?

Laut Info von gestern Nacht ist es wohl ReFS.
Laut Info von heute Mittag wohl doch nicht.
Wie gesagt -> Systemhaus

Ach ja, seit ca. 10 Minuten läuft Locky Decrypter,
die ersten Daten sind wieder da.

https://helpcenter.veeam.com/backup/...m_support.html

Zitat:

ReFS (ReFS is supported only if Veeam Backup & Replication is installed on Microsoft Windows Server 2012 or Microsoft Windows Server 2012 R2).

Ziemlich clever

Hallo zusammen!

Leider hat es uns auch erwischt: 5 VMs und 3 Hosts. Nachdem es aktuell nicht wirklich eine Möglichkeit gibt die Daten zu rekonstruieren - unsere letzte womöglich sichere Datensicherung ist leider vom 19.02.2016 - wollte ich nachfragen, ob jemand bezahlt, der Decrypter alles freigegeben hat und wie es mit Nacharbeiten aussieht...

Schon einmal vielen Dank!

Es haben schon einige bezahlt und den Schlüssel zur Entschlüsselung dann bekommen. Du kannst aber auch Pech haben und auf Trittbrettfahrer hereinfallen.

Das Risiko liegt nun bei dir, wenn du garnichts bezahlst sind deine Daten auf jeden Fall weg, bezahlst du, kannst du deine Daten wiederbekommen.

Warum sind keine Schattenkopien auf den Windows-Servern aktiviert???

Wenn ich das richtig gesehen habe, dann wurden die Schattenkopieen ausgehebelt. Ich habe vom 19.02.2016 ein Vollbackup (VEEAM), dass ich gerade vom NAS auf eine externe Harddisk kopiere und dann mounten möchte um zu überprüfen, ob die Sicherung befallen ist oder nicht.
Anschließend würden wir entscheiden, ob wir die hoffentlich nicht befallene Sicherung zurückspielen und die Arbeit der letzten Tage verlieren oder bezahlen.

Bezahlen wäre mir eigentlich am liebsten. So erkaufen wir uns Zeit, können weiterarbeiten und vielleicht sind die Antivierenhersteller so weit, dass sie locky rückstandsfrei entfernen können.
Aktuell habe ich hier etwas gefunden:
https://www.xgadget.de/anleitung/anleitung-locky-trojaner-entfernen/
Mehrere Einträge sind bei uns reproduzierbar.

Das Problem an locky ist nicht die Entfernung, sondern seine Verschlüsselungsroutine!

Das ist uns bewußt. Unsere Bedenken sind, dass wir uns freikaufen und unser befallenes System kurze Zeit später wieder von locky reaktiviert und somit verschlüsselt wird. Vielleicht liegen wir hier völlig falsch und locky hat nur verschlüsselt und das war es..

Weitere Frage:
Ich habe mehrere Meinungen bezüglich locky aufgetan:
1. locky hat sich vor einiger Zeit im System vergraben und ist jetzt erst aktiv geworden. Sprich: Sicherungen von vor 5 Tagen sind somit nicht sinnvoll.

2. locky ist nach dem Befall sofort aktiv geworden und hat konvertiert und später sein "Arbeit" gezeigt.

Welcher Punkt passt?

lt. heise war die Infektion schon vorher da, aber locky hat "geschlafen" also zeitgesteuert sein Unheil angerichtet. Das hat den Vorteil für die Erpresser, dass die Admins der betroffenen Systeme so nicht mehr so schnellen herausfinden können, wann und wie genau und das System infiziert wurde.
Die letzten Sicherungen sind alle sinnvoll, das gibt es sicher noch Daten darin die noch nicht verschlüsselt sind. Man muss auch nicht panische hinter jeder Datei eine Manipulation mit bösem eingeschleusten code herbeireden

Zitat:

Zitat von Alter_Sack

Weitere Frage:
Ich habe mehrere Meinungen bezüglich locky aufgetan:
1. locky hat sich vor einiger Zeit im System vergraben und ist jetzt erst aktiv geworden. Sprich: Sicherungen von vor 5 Tagen sind somit nicht sinnvoll.

2. locky ist nach dem Befall sofort aktiv geworden und hat konvertiert und später sein "Arbeit" gezeigt.

Bei uns ging es sofort los. User hat sich bei einem URI vertippt und es ging los, bei anderen hat die Bombe getickt. Mit dem Decryptor kommt man wohl wieder an die Daten aber nicht an ein vertrauenswürdiges System.
Wenn die Attacke von einem Client ausging ist die Welt ja noch in Ordnung (wobei dann die Frage wäre wie es eure Hosts zerdeppern kann). Daten wiederherstellen (aus Backup oder vom decryptor), Backup erstellen, dafür sorgen, dass das Backup auch wirklich läuft (min. 1x täglich) und dann ist man gegen das Schlimmste abgesichert.
Wenn die Attacke nicht von einem Standarduser/-client kam habt Ihr eh ein ganz anderes Problem und der nächste Ärger ist vorprogrammiert.

Kurzes Update:
Mittwoch war unser Ausbruch und wir haben vom Dienstag Abend ein Backup aller virtualisierten Server eingespielt.
Aktuell läuft alles sehr gut und wir sind guter Hoffnung. Mein persönliches Bauchgefühl sagt aber leider noch immer:

Schauen wir mal, dann sehen wir schon.