Zitat:

-Besteht die Möglichkeit, dass alle Daten "irgendwohin" hochgeladen wurden?

Ja. Aber eigentlich haben die Erpresser "nur" darauf abgesehen, die Dateien zu verschlüsseln um Kohle zu erpressen.

Zitat:

-Besteht die Möglichkeit, dass das gemeinsame Netzwerk infiziert wurde/ist? Ich habe seit heute 10:00 Uhr einen Win7 Rechner den niemand mehr braucht per LAN Kabel am selben Router angeschlossen um zu checken, ob sich irgendwas tut (=mit xipr verschlüsselte Files). Das ist bis jetzt, etwa 9Std später, nicht der Fall.

Auch hier: theoretisch ja. Einmal ausgeführt versucht ein (aktueller) ransom alles zu verschlüsseln was er kann. Auch Netzlaufwerke und Freigaben, die nicht als Netzlaufwerk gemapt sind. Und es wird versucht, alle Schattenkopien zu löschen, das klappt meistens wenn Adminrechte im Spiel sind (weil der User eh alles ohne richtig lesen abnickt wenn die UAC aufpoppt )

Das sind die primären Absichten eines ransoms. Dazu gehört eigentlich nicht das System, auf dem er ausgeführt wurde, zu kompromittieren - und eigentlich noch weniger andere Rechner, das wäre wohl noch eine Nummer schwieriger remote. Aber halt eben Daten verschlüsseln lokal und auf SMB-Shares. Sowas wie petya hat gar den MBR versucht zu manipulieren => Petya: Erpressungs-Trojaner riegelt gesamten Rechner ab | heise Security

Wie man also deutlich sieht, ist es schon fahrlässig ständig mit Adminrechtenzu arbeiten. Aber unter Windows bedeuten eingeschränkte Rechte leider zu häufig: dies und das geht nicht oder nur megaumständlich. Die UAC (Benutzerkontensteuerung) nervt leider nur, wird nicht richtig gelesen und sofort wird mit einem Klick auf 'ja" alles vom Anwender durchgewinkt.

Zitat:

Zitat von cosinus

Ja. Aber eigentlich haben die Erpresser "nur" darauf abgesehen, die Dateien zu verschlüsseln um Kohle zu erpressen.


Auch hier: theoretisch ja. Einmal ausgeführt versucht ein (aktueller) ransom alles zu verschlüsseln was er kann. Auch Netzlaufwerke und Freigaben, die nicht als Netzlaufwerk gemapt sind. Und es wird versucht, alle Schattenkopien zu löschen, das klappt meistens wenn Adminrechte im Spiel sind (weil der User eh alles ohne richtig lesen abnickt wenn die UAC aufpoppt )

Das sind die primären Absichten eines ransoms. Dazu gehört eigentlich nicht das System, auf dem er ausgeführt wurde, zu kompromittieren - und eigentlich noch weniger andere Rechner, das wäre wohl noch eine Nummer schwieriger remote. Aber halt eben Daten verschlüsseln lokal und auf SMB-Shares. Sowas wie petya hat gar den MBR versucht zu manipulieren => Petya: Erpressungs-Trojaner riegelt gesamten Rechner ab | heise Security

Wie man also deutlich sieht, ist es schon fahrlässig ständig mit Adminrechtenzu arbeiten. Aber unter Windows bedeuten eingeschränkte Rechte leider zu häufig: dies und das geht nicht oder nur megaumständlich. Die UAC (Benutzerkontensteuerung) nervt leider nur, wird nicht richtig gelesen und sofort wird mit einem Klick auf 'ja" alles vom Anwender durchgewinkt.

Danke für die Antwort.
Verstehe. Also eine Heimnetzwerkgruppe mit Freigaben o.ä. ist nicht konfiguriert. Unter Netzwerk am Arbeitsplatz werden bei uns zwar die anderen PCs angezeigt, das müsste daran liegen das hier 3 PCs über die selbe LAN Verkabelung an den Router gehen, ich kann sie aber nicht öffnen oder anschauen.
Es ging mir tatsächlich auch "nur" um diese anderen beiden Rechner.

Ist es möglich herauszufinden, was für ein Trojaner es ist und so auf seine Fähigkeiten/Folgen zu schließen? Gerade im Hinblick darauf, ob eine vollständige Formatierung ausreicht um den betroffenen PC wieder gangbar zu machen.
Genauso wärs auch interessant, was mit den anderen PCs im Haus ist. Müsste der Trojaner nicht "sofort" loslegen? Wenn ja, dann wären wir ja jetzt sicher? Der PC der jetzt bald knappe 12 Stunden läuft hat keinerlei Verschlüsselungsanzeichen....

Danke nochmal!