Hallo zusammen,

kaum zwei Tage im Netz bekannt dieser Trojaner, schon eingefangen.
Windows Server 2008 r2.

Da er von keiner Software wohl zu erkennen ist imoment
( Malewarebytes , adwcleaner, hijackthis... )

Er hat die 2. Festplatte im Server befallen - dort wo die ganzen Daten liegen.
Wiederherstellung scheint nicht zu funktionieren - sieht danach aus, dass er die Daten gleich
wieder verschlüsselt.

Ratet ihr dann auch eher, komplett neu zu installieren bzw. vom Backup das Server System etc. wieder herzustellen ?

Danke euch vielmals im voraus.

Moin

Da stellt sich mir die zuerst Frage, wer ein Office-Dokument auf einem Windows Server öffnet

Oder ist das garnicht der Fall und der goldeneye wurde nur auf einem Client ausgeführt und von da aus wurden die Dateien der Freigabe auf diesem Server verschlüsselt?

DAs ist die zweite Festplatte welche im Server verbaut ist - diese dient als Datenspeicherort und ist für jeden Client freigegeben - daher werden auf den Clients dort die excel Dateien etc. geöffnet.

Zitat:

daher werden auf den Clients dort die excel Dateien etc. geöffnet.

Ja, dann wirst du dich ja wohl um die Clients sorgen müssen und nicht um das OS des Servers

Ist das dann wirklich so ?! Dass der eigentliche Trojaner auf einem Client versteckt ist
obwohl die "hinweis.txt" Datei des Trojaners mit der Information - "Sie sind infiziert etc. laden sie sich folgende Datei herunter usw.. " auf dem Server Laufwerk ( 2. HDD ) liegt ?

Klar, das System selbst vom Server scheint nicht infiziert zu sein - da dort keinerlei Dateien verschlüsselt sind - klar lagen dort auch keine excel oder pdf Dateien aber eben das Netzlaufwerk

Danke vielmals

Zitat:

Ist das dann wirklich so ?!

Du hast doch selbst gesagt, dass Office nur auf den Clients gemacht wird und nicht aufm Server!

Es ist doch nun total bräsig zu sagen, dass der Server befallen ist nur weil ein dödeliger Client Dateien von einem Netzlaufwerk verschlüsselt hat...

Besorg dir IT-Hilfe, allein über ein Forum wirst du denke ich das nicht schaffen.

Es ging mir nicht speziell um Hilfe diesen zu beseitigen
meine Hauptfrage war darauf gezielt was Ihr Erfahrenen
vom Trojanboard speziell raten würdet.

Danke dennoch

Was hast du denn jetzt daran immer noch nicht verstanden, dass der Server garnicht betroffen ist?

Es ist schon sinnfrei eine Maßnahme für ein Host einzuleiten, wenn dieser garnicht (direkt) befallen wurde.

Nochmal: du musst den Client finden, der die Zecke hat. Und diesen säubern.

Ja, hatte ich schon verstanden -

Ich mach mich auf die Suche bzw. wie ich ja auch erwähnt hatte, denke ich wird er sich nicht finden lassen - weil er einfach zu neu ist bzw. es bestimmt länger dauert diesen zu lockalisieren anstatt das System an den Clients zurück zu spielen.

Nochmals - danke dir für die Anteilnahme und Kommentare

Ok, ich dachte du hast da irgendeinen Punkt überlesen

Was der goldeneye alles anrichten kann beschreibt heise => https://heise.de/-3564252

Im schlimmsten Fall ist der Rechner also gesperrt weil er die MFT verschlüsselt. Ich würd den Client einfach komplett neu aufsetzen.

Nee, hatte es nicht überlesen

Ja, muss halt wohl alle Clients installieren - da ich ja nicht weiß auf welchem der Übeltäter sitzt
bzw von welchem aus es passierte.

Nochmals recht herzlichen Dank an dich cosinus

Zitat:

Zitat von smothy

Ja, hatte ich schon verstanden -

Ich mach mich auf die Suche bzw. wie ich ja auch erwähnt hatte, denke ich wird er sich nicht finden lassen - weil er einfach zu neu ist bzw. es bestimmt länger dauert diesen zu lockalisieren anstatt das System an den Clients zurück zu spielen.

Nochmals - danke dir für die Anteilnahme und Kommentare

Stimmt so nicht Virenscanner wie Avast und Kaspersky haben Goldeneye drinne in der Erkennung, also könntest du theoretisch damit nach Goldeneye suchen aber die bessere Variante ist den betroffenen PC zu formatieren und neu aufzusetzen.
Was mir bei deinem Fall Bauchschmerzen macht: wenn ich das richtig interpretiere dann war Goldeneye bei euch in einem Netzwerk mit einem Server und mehreren Clients am Werke. Meine Befürchtung: er könnte auf mehreren Geräten/Systemen sein.

Das wundert mich dann -denn auf den Clients habe ich Avast drauf - gut, die Code hatten Sie zuvor wohl noch nicht drin in der Datenbank als er drauf kam - oder weißt du da näheres --- ansonsten müsste ein nachträglicher Scan den Trojaner finden. Aber wie du auch sagtest - ist in dem Fall besser neu zu installieren.

Ich hatte es bei chip.de gelesen das Kaspersky und Avast Goldeneye erkennen:

Zitat:

Nur rund 20 Prozent der großen Viren-Scanner erkennt den Goldeneye-Virus, darunter Avast und Kaspersky.

Quelle: http://praxistipps.chip.de/goldeneye-virus-entfernen-so-gehts_50895

Na ja, ein paar mehr erkennen den schon.

https://virustotal.com/en/file/b5ef16922e2c76b09edd71471dd837e89811c5e658406a8495c1364d0d9dc690/analysis/