|
Goldeneye Verschlüsselungs-Trojaner eingefangen Hallo zusammen, kaum zwei Tage im Netz bekannt dieser Trojaner, schon eingefangen. Windows Server 2008 r2. Da er von keiner Software wohl zu erkennen ist imoment ( Malewarebytes , adwcleaner, hijackthis... ) Er hat die 2. Festplatte im Server befallen - dort wo die ganzen Daten liegen. Wiederherstellung scheint nicht zu funktionieren - sieht danach aus, dass er die Daten gleich wieder verschlüsselt. Ratet ihr dann auch eher, komplett neu zu installieren bzw. vom Backup das Server System etc. wieder herzustellen ? Danke euch vielmals im voraus. |
Moin Da stellt sich mir die zuerst Frage, wer ein Office-Dokument auf einem Windows Server öffnet :confused: Oder ist das garnicht der Fall und der goldeneye wurde nur auf einem Client ausgeführt und von da aus wurden die Dateien der Freigabe auf diesem Server verschlüsselt? |
DAs ist die zweite Festplatte welche im Server verbaut ist - diese dient als Datenspeicherort und ist für jeden Client freigegeben - daher werden auf den Clients dort die excel Dateien etc. geöffnet. |
Zitat:
|
Ist das dann wirklich so ?! Dass der eigentliche Trojaner auf einem Client versteckt ist obwohl die "hinweis.txt" Datei des Trojaners mit der Information - "Sie sind infiziert etc. laden sie sich folgende Datei herunter usw.. " auf dem Server Laufwerk ( 2. HDD ) liegt ? Klar, das System selbst vom Server scheint nicht infiziert zu sein - da dort keinerlei Dateien verschlüsselt sind - klar lagen dort auch keine excel oder pdf Dateien aber eben das Netzlaufwerk Danke vielmals |
Zitat:
Du hast doch selbst gesagt, dass Office nur auf den Clients gemacht wird und nicht aufm Server! Es ist doch nun total bräsig zu sagen, dass der Server befallen ist nur weil ein dödeliger Client Dateien von einem Netzlaufwerk verschlüsselt hat... Besorg dir IT-Hilfe, allein über ein Forum wirst du denke ich das nicht schaffen. |
Es ging mir nicht speziell um Hilfe diesen zu beseitigen meine Hauptfrage war darauf gezielt was Ihr Erfahrenen vom Trojanboard speziell raten würdet. Danke dennoch |
Was hast du denn jetzt daran immer noch nicht verstanden, dass der Server garnicht betroffen ist? Es ist schon sinnfrei eine Maßnahme für ein Host einzuleiten, wenn dieser garnicht (direkt) befallen wurde. Nochmal: du musst den Client finden, der die Zecke hat. Und diesen säubern. |
Ja, hatte ich schon verstanden - Ich mach mich auf die Suche bzw. wie ich ja auch erwähnt hatte, denke ich wird er sich nicht finden lassen - weil er einfach zu neu ist bzw. es bestimmt länger dauert diesen zu lockalisieren anstatt das System an den Clients zurück zu spielen. Nochmals - danke dir für die Anteilnahme und Kommentare |
Ok, ich dachte du hast da irgendeinen Punkt überlesen :wtf: Was der goldeneye alles anrichten kann beschreibt heise => https://heise.de/-3564252 Im schlimmsten Fall ist der Rechner also gesperrt weil er die MFT verschlüsselt. Ich würd den Client einfach komplett neu aufsetzen. |
Nee, hatte es nicht überlesen :) Ja, muss halt wohl alle Clients installieren - da ich ja nicht weiß auf welchem der Übeltäter sitzt bzw von welchem aus es passierte. Nochmals recht herzlichen Dank an dich cosinus |
Zitat:
Was mir bei deinem Fall Bauchschmerzen macht: wenn ich das richtig interpretiere dann war Goldeneye bei euch in einem Netzwerk mit einem Server und mehreren Clients am Werke. Meine Befürchtung: er könnte auf mehreren Geräten/Systemen sein. |
Das wundert mich dann -denn auf den Clients habe ich Avast drauf - gut, die Code hatten Sie zuvor wohl noch nicht drin in der Datenbank als er drauf kam - oder weißt du da näheres --- ansonsten müsste ein nachträglicher Scan den Trojaner finden. Aber wie du auch sagtest - ist in dem Fall besser neu zu installieren. |
Ich hatte es bei chip.de gelesen das Kaspersky und Avast Goldeneye erkennen: Zitat:
|
Na ja, ein paar mehr erkennen den schon. https://virustotal.com/en/file/b5ef16922e2c76b09edd71471dd837e89811c5e658406a8495c1364d0d9dc690/analysis/ |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 02:06 Uhr. |
Copyright ©2000-2025, Trojaner-Board