mp3-Variante von TeslaCrypt eingefangen - was tun?
 

Hallo wir haben uns im Unternehmens-Netzwerk durch einen Mitarbeiter einen Trojaner eingefangen. So wie es aussieht eine mp3-Variante von TeslaCrypt.

Nun sind in allen Verzeichnissen zu denen der User Schreibberechtigungen hat insbesondere Excel-und Word Dateien verschlüsselt und mit der Endung .mp3 versehen.

Zum Glück hatte der User nicht auf alle Ordner einen Zugriff.

Aber eben auf wichtige Abrechnungs-Unterlagen.

Jetzt das Riesen-Problem. Natürlich machen wir täglich eine Datensicherung auf eine Netzwerk-NAS. Zusätzlich wird regelmäßig das ganze auf eine externe Festplatte gezogen.

Da der User Berechtigungen auf der NAS hat, sind unsere ganzen Datensicherungen jetzt auch mp3 Files (sie heißen zumindest so). Die letzte Sicherung auf der externen Platte ist dann doch nicht so regelmäßig gemacht worden, wie es eigentlich sollte.

Jetzt fehlen uns natürlich wichitge Excel-Files, in denen mehrere Wochen Arbeit und wichtige Daten stecken und an die wir nicht ran kommen.

Es wird entsprechend Lösegeld über Bitcions (1000 $) gefordert.

Wir würden ja ungern zahlen. Aber der Schaden, das alles wieder neu zu erstellen wäre doch mindestens im mittleren 5-stelligen Bereich.

Gibt es überhaupt eine Chance, dass man nachdem man gezahlt hat wirklich eine Entschlüsselung erhält oder ist die Chance wirklich bei 0,0%. Oder gibt es noch andere Möglichkeiten.

Der befallene PC ist aktuell nicht das Problem. Der ist aus, stromlos und vom Netz getrennt und kann zumindest keinen weiteren Schaden mehr anrichten.

Wir sind ziemlich ratlos :confused:

moin

Da habt ihr leider beim Backup geschlampt. Allein schon wegen Brand- oder Überschwemmungsgefahr erstellt man Backups auf mindestens einem (externen) Datenträger, der in einem anderen Brandschutzsektor steht oder nimmt diesen nach dem Backup einfach mit um ihn einem an völlig anderen Ort aufzubewahren...

Gut, das hilft dir jetzt nicht weiter, aber der springende Punkt ist genau das Backup-Thema. Da ihr auf ein NAS gesichert habt, gibt es wohl auch keine Schattenkopien. Die bietet nur ein Windows Server.

Kurz: die Daten sind weg. Wenn du die wiederhaben willst, musst du die Lösesumme zahlen. Selbst ein US-Krankenhaus und das Fraunhofer Institut mussten Kohle abdrücken weil da was in ihrem Konzept nicht passte.

Sicherungskonzept
 

Natürlich steht sie NAS in einem anderen Brandabschnitt/anderen Gebäude als die Server.

Auch gibt es Schattenkopien und das ganze ist mit Veeam auch vernünftig strukturiert.

Das Problem betrifft eben insbesondere einen Server bei dem die Files gesperrt wurden und gerade eben auch die gesamten Sicherungsfilet auf der NAS

Sicher werden wir versuchen das ganze noch besser abzusichern.

Mir geht es jetzt aber primär mal um "Soforthilfe". Hat zahlen überhaupt einen Wert oder ist das nur Verarsche - Geld weg und das war's dann?

Was denn jetzt - wenn das Backup doch vernünftig ist. Ich seh da irgendwie einen kräftigen Widerspruch.

Schattenkopien auf dem NAS? Wie geht das denn? Das NAS läuft mit einem Windows Server?

Mit Schattenkopien meinte ich, dass Veeam Systemabbilder der Server laufend und in mehreren Versionen zu den Sicherungen erzeugt und auf der NAS ablegt. Dieses System läuft unter Win und legt die Dateien auf der NAS ab.

Das ist eigentlich ein sehr gutes Backup-System.

Das Problem war ja nur, dass durch eine Netzwerkfreigabe die NAS mit den Sicherungsfiles für den Trojaner erreichbar war und er uns somit die Sicherungsfiles verschlüsselt hat.

Das sind aber keine Schattenkopien. Das sind die Backupfiles von Veeam.
Die Backupfiles dürfen NICHT von Mitarbeitern erreichbar sein, sonst siehste ja was passiert... :kaffee: