Zurück   Trojaner-Board > Malware entfernen > Diskussionsforum

Diskussionsforum: (Windows Server) Ransomware .wallet

Windows 7 Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches posten. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Bereinigungen von nicht ausgebildeten Usern sind hier untersagt. Wenn du dir einen Virus doer Trojaner eingefangen hast, eröffne ein Thema in den Bereinigungsforen oben.

Antwort
Alt 30.01.2017, 19:24   #1
masterds
 
(Windows Server) Ransomware .wallet - Standard

(Windows Server) Ransomware .wallet



Hallo zusammen.

Leider habe ich mir auf meinem Server Ransomware eingefangen, die Dateien in .wallet umbenennt.
Hergang war folgender:

Ich bemerkte per VPN, dass der Server sehr langsam reagierte und schaute per Remote drauf. Ich konnte nichts offensichtliches sehen, ausser dass eine merkwürdige Datei mit dem Namen "X_Acx.exe" als Prozess aktiv war (allerdingskeine Auslastung etc verursachte). Weil der Server kaum noch reagierte startete ich das System neu - und das war denke ich der Fehler.

Nach dem Neustart wollte besagte Datei Adminrechte, die ich verweigerte. Dann bemerkte ich das Software nicht lief. Nach kurzem Suchen stellte ich fest, dass Dateien in .[p_pant@aol.com].wallet umbenannt wurden. Daraufhin habe ich im Taskmanager sofort die verdächtige Datei gestoppt. Leider hat der Schädling schon die gesamten Daten der externen Platte verschlüsselt. Offenbar ist der Verschlüsselungsvorgang aber erstmal gestoppt, denn neue Dateien auf der externen Platte werden nicht verschlüsselt und der Task im Taskmanager hat sich auch nicht wieder neu gestartet. Ich habe das System jetzt vom Netzwerk getrennt und lasse es laufen, da ich bei einem Neustart befürchte das die Verschlüsselung wieder los geht.

Eine Lösegeldforderung oder ähnliches habe ich nicht erhalten. Ich vermute, weil ich wie oben erwähnt die Adminrechte nicht gegeben habe und mir der Schädling dann die Meldung nicht präsentieren konnte.

Ich habe die Windows Server Sicherung regelmäßig laufen.
Das Sicherungsprotokoll zeigt, dass die Sicherung auch zuletzt heute morgen Fehlerfrei durchgelaufen ist. (Leider ist dies die einzige Sicherung die ich habe, weitere auf externen Medien bestehen leider nicht)

Ich habe die externe Festplatte (exklusiver Zugriff durch Windows Server Sicherung) vom System getrennt, aus Angst das sie infiziert wird. Ich weiss allerdings nicht, ob Sie nicht bereits infiziert ist und auch nicht, ob die Datensicherungen drauf noch brauchbar sind.

Meine Frage ist nun, wie ich weiter vorgehen sollte um den Stand nicht weiter zu verschlimmern.

- Woran kann ich erkennen, ob die Windows Datensicherungen noch brauchbar sind? Schließe ich die externe Festplatte an einem anderen PC an, kann ich nicht darauf zugreifen. Ich vermute das ist ein Schutz vom Windows-Server-Sicherungsprogramm. Kann das sein?
- Kennt jemand dieses ".wallet"-Ding und kann mir vorab schon mal sagen ob es auch die Windows Server Sicherungen unbrauchbar macht/löscht?

Danke schonmal für eure Hilfe und entschuldigt, falls ich kurios schreibe. Ich hab noch immer entsprechenden Puls...

P.S. Über "ID Ransomware" habe ich gerade herausgefunden, dass es sich wohl um eine Art von "Dharma" handelt. Offenbar gibt es hier noch keine Entschlüsselungs-Lösungen...

Viele Grüße
MasterD
__________________
Gruß
Dennis

Geändert von masterds (30.01.2017 um 19:48 Uhr)

Alt 31.01.2017, 20:14   #2
felix1
/// Helfer-Team
 
(Windows Server) Ransomware .wallet - Standard

(Windows Server) Ransomware .wallet



Es wäre schon mal zielführend gewesen, zu posten welcher Art Windowsserver hier im Einsatz ist. Genaues BS und Patchstand.
Hast Du die Platte mal an ein Nicht-Windowssystem angeschlossen?
Und, wie Du schon eruiert hast, noch kein Decoder vorhanden ist, hast Du schlechte Karten.
Und wenn Du keine weiteren Sicherungen hast, sind die Karten noch schlechter. Dann solltest Du Dir für die Zukunft mal ein Datensichrungskonzept zulegen. Da Du einen MS-Server betreibst, sollte hier wohl eine Firma involviert sein. Diese solltest Du mal damit beauftragen.
__________________

__________________

Antwort

Themen zu (Windows Server) Ransomware .wallet
aktiv, auslastung, dateien, externe festplatte, festplatte, folge, frage, infiziert, langsam, namen, netzwerk, neu, neue, neustart, prozess, remote, schutz, schädling, server, software, suche, system, taskmanager, tiere, windows



Ähnliche Themen: (Windows Server) Ransomware .wallet


  1. Ransomware DMALocker 3.0 in Netzwerkumgebung - Nicht alle Clients und Server sind betroffen - Jemand Erfahrung damit
    Diskussionsforum - 25.07.2016 (3)
  2. BKA-Erfolge gegen Cybercrime: "Auch wir haben eine Bitcoin-Wallet"
    Nachrichten - 02.06.2016 (0)
  3. Windows Ransomware identifizieren für Entschlüsselungsversuch
    Plagegeister aller Art und deren Bekämpfung - 09.11.2015 (2)
  4. Windows 7: Ransomware Cryptowall Virus HELP_DECRYPT
    Plagegeister aller Art und deren Bekämpfung - 09.07.2015 (18)
  5. Internet Browser: Jolley Wallet
    Log-Analyse und Auswertung - 14.11.2014 (10)
  6. DOPPELPOST --- Windows 7: Jolley Wallet
    Mülltonne - 10.11.2014 (2)
  7. Dogecoin: Wallet-Anbieter Dogevault gehackt
    Nachrichten - 13.05.2014 (0)
  8. Microsoft zieht Sicherheitsspatch für Windows und Windows Server zurück
    Nachrichten - 13.04.2013 (1)
  9. Avira nicht kompatibel mit Windows 8 und Windows Server 2012
    Nachrichten - 05.11.2012 (0)
  10. Google lässt Kunden wieder mit Wallet zahlen
    Nachrichten - 15.02.2012 (0)
  11. Google legt Prepaid-Kreditkarten wegen Wallet-Lücke auf Eis
    Nachrichten - 13.02.2012 (0)
  12. Forensiker erforschen Google Wallet
    Nachrichten - 15.12.2011 (0)
  13. Service Pack 1 zu Windows 7 und Windows Server 2008 R2 veröffentlicht
    Nachrichten - 25.02.2011 (0)
  14. Service Pack 1 für Windows 7 und Windows Server 2008 R2 ist fertig
    Nachrichten - 25.02.2011 (0)
  15. Sicheres System nach Angriff auf E-Wallet!
    Diskussionsforum - 24.09.2010 (57)
  16. Windows 2003 Server W32/Downadupjob.gen!A infiziert C:/windows/tasks/AT1.job
    Log-Analyse und Auswertung - 08.04.2010 (3)
  17. Windows 7 und Windows Server 2008 R2 sind fertig
    Nachrichten - 22.07.2009 (0)

Zum Thema (Windows Server) Ransomware .wallet - Hallo zusammen. Leider habe ich mir auf meinem Server Ransomware eingefangen, die Dateien in .wallet umbenennt. Hergang war folgender: Ich bemerkte per VPN, dass der Server sehr langsam reagierte und - (Windows Server) Ransomware .wallet...
Archiv
Du betrachtest: (Windows Server) Ransomware .wallet auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.