Das ist uns bewußt. Unsere Bedenken sind, dass wir uns freikaufen und unser befallenes System kurze Zeit später wieder von locky reaktiviert und somit verschlüsselt wird. Vielleicht liegen wir hier völlig falsch und locky hat nur verschlüsselt und das war es..

Weitere Frage:
Ich habe mehrere Meinungen bezüglich locky aufgetan:
1. locky hat sich vor einiger Zeit im System vergraben und ist jetzt erst aktiv geworden. Sprich: Sicherungen von vor 5 Tagen sind somit nicht sinnvoll.

2. locky ist nach dem Befall sofort aktiv geworden und hat konvertiert und später sein "Arbeit" gezeigt.

Welcher Punkt passt?

Zitat:

Zitat von Alter_Sack

Weitere Frage:
Ich habe mehrere Meinungen bezüglich locky aufgetan:
1. locky hat sich vor einiger Zeit im System vergraben und ist jetzt erst aktiv geworden. Sprich: Sicherungen von vor 5 Tagen sind somit nicht sinnvoll.

2. locky ist nach dem Befall sofort aktiv geworden und hat konvertiert und später sein "Arbeit" gezeigt.

Bei uns ging es sofort los. User hat sich bei einem URI vertippt und es ging los, bei anderen hat die Bombe getickt. Mit dem Decryptor kommt man wohl wieder an die Daten aber nicht an ein vertrauenswürdiges System.
Wenn die Attacke von einem Client ausging ist die Welt ja noch in Ordnung (wobei dann die Frage wäre wie es eure Hosts zerdeppern kann). Daten wiederherstellen (aus Backup oder vom decryptor), Backup erstellen, dafür sorgen, dass das Backup auch wirklich läuft (min. 1x täglich) und dann ist man gegen das Schlimmste abgesichert.
Wenn die Attacke nicht von einem Standarduser/-client kam habt Ihr eh ein ganz anderes Problem und der nächste Ärger ist vorprogrammiert.

Kurzes Update:
Mittwoch war unser Ausbruch und wir haben vom Dienstag Abend ein Backup aller virtualisierten Server eingespielt.
Aktuell läuft alles sehr gut und wir sind guter Hoffnung. Mein persönliches Bauchgefühl sagt aber leider noch immer:

Schauen wir mal, dann sehen wir schon.