Hallo,
Ich arbeite in einer Firma im Einzelhandel.

Jeden Tag mache ich vor Feierabend eine Sicherung unserer Datenbank des Warenwirtschaftssystems und meiner Arbeitsdaten. Diesen Freitag das letzte mal gemacht (03.07.2015).

Heute Morgen komme ich in die Firma und setze mich wieder an den Server (Mein Arbeitsplatz / ist ein Desktop PC mit Win7 64bit und dient als Server für unser WWS). Ein Kollege spricht mich an das er seine Dateien nicht mehr vom Server öffnen kann. Diese enthielten alle auf einmal die normale Endung - Bsp.: Umsatzliste.xlsx PLUS !helpfiledeskript111@gmail.com.crypt, also Umsatzliste.xlsx!helpfiledeskript111@gmail.com.crypt.

Der Server wurde sofort von mir aus dem Netzwerk getrennt. (Kabel raus).
Andere Arbeitsplätze in der Firmen Domäne sind nicht betroffen.

Es sind nicht alle Daten davon betroffen. Die Daten die in einem Ordner mit Zugriffsrechten für nur bestimmte Personen abgelegt waren sind nicht verändert worden. Sind diese denn auch wirklich unberührt?

Am Wochenende hat niemand in der Firma gearbeitet also ist es irgendwann zwischen Freitag 17:30 Uhr und Heute Morgen passiert.

Die Sicherung der Daten die ich am Freitag gemacht habe ist unberührt.

Wir möchten gleich den Server neu aufsetzen da sonst keiner hier im Haus arbeiten kann.
Bislang haben wir uns eine neue Externe Festplatte gekauft und kopieren gerade alle Wichtigen Daten (ob beschädigt oder nicht) darauf.

Im Netz finde ich leider nichts dazu.

Da hat jmd einen Verschlüsselungstrojaner auf dem Server ausgeführt. Mal gut, dass du jeden Tag deine Daten sicherst, denn die verschlüsselten Dateien von aktuellen Varianten der Verschlüsselungstrojaner lassen sich nicht mehr entschlüsseln - bzw nur wenn man viel viel Glück hat.

Hallo,
vielen Dank für die rasche Antwort. Aber es war keiner mehr an dem Ding. Wie kann der über das Wochenende auf den Server kommen.......
Ich öffne keinen Spam und gehe nur auf Seriöse Seiten und lade auch nur von Seriösen und ich sag mal geprüften Seiten etwas runter.

Ich möchte nur verstehen wie das passieren kann um es in Zukunft zu verhindern.

Wie könnte ich das Problem mit der Wiederherstellung angehen?
Hast Du da einen Tip?

Muss ja nicht auf dem Server ausgeführt worden sein. Es reicht wenn jmd auf seinem Client-Rechner die Malware ausführte - und die Freigabe vom Server war auf dem Client als Netzlaufwerk gemappt.

Dateien kannst du über das letzte Backup bzw Schattenkopien (wenn aktiviert und noch vorhanden) wiederherstellen. Aber dass man die Dateien entschlüsseln kann ist ziemlich unwahrscheinlich.

Schade.... aber die Dateien die nicht von der Umbenennung betroffen sind, meint ihr ich kann die verwenden? Ohne mir das ding direkt wieder einzufangen?

Die Antwort hast du dir doch selbst gegeben. Wenn die nicht verändert wurden kannst du was daraus schließen?

Ich werte das mal als ein "Ja" Danke für die schnelle Hilfe!!! Falls ich noch näheres herausfinde woher und warum das passiert ist, werde ich meine Erfahrung gerne hier teilen. LG

Was wär denn die Alternative Daten einfach wegschmeißen aus Angst da könnte irgendwas mit sein obwohl die nicht verändert worden sind - macht ja nun keinen Sinn oder

Wenn du zuviel Angst hast dann sichte die gesicherten Daten erst von einem sicheren System aus also zB die externe Platte an einen Linux-Rechner anschließen und schauen ob die Office-Dateien sich mit LibreOffice öffnen lassen.

Wer die Malware ausgeführt hast kannst du ja in etwa eingrenzen. Du siehst welche Freigaben betroffen sind und welche nicht. Vllt lässt sich daraus ableiten welche Benutzerkennung den Dreck versehentlich gestartet hat und vllt sogar welches der Client-PC war.