Hallo zusammen,


ich habe ein ernsthaftes Problem.
Die Daten unserer Terrastation sind anscheinend plötzlich verschlüsselt.
Die PDF, Excell und Word Dokumente haben plötzlich alle ein anderes Format und lassen sich nicht mehr öffnen.
Die Endung lautet neuerdings recovery@inbox.com .
Ich muss die Daten unbedingt retten und bin mit meinem Latein am Ende.
Die Festplatten wurden bereits zur Datenrettungsfirma ontrack kroll geschickt da ich zuerst ein Raidfehler vermutete. Dort konnte man allerdings nichts machen und die vermuten ebenfalls einen Virus. Die ersten 20k der Dateien seien angeblich überschrieben.
Ich wäre unendlich dankbar wenn irgend jemand helfen könnte.
Wäre auch bereit dafür zu zahlen.

Hi,

bei den neuen Verschlüsselungstrojaner-Varianten gibt es keine Möglichkeit mehr zu entschlüsseln. Wenn überhaupt nur wenn man den Erpressern das Lösegeld gibt, aber sicher ist das auch nicht.

Logische Konseqenz lautet daher nur, dass man die Daten aus dem letzten Backup zurückholen musst.

Wenn ihr keins habt, habt ihr leider unverantwortlich gehandelt.

leider haben wir kein back up .
Das letzte Back up ist 1 Jahr alt.
Wir wären ja auch bereit gewesen Lösegeld zu zahlen wenn wir nur wüssten an wen ...
Ich dachte es ist vielleicht schon ausreichend an recovery@inbox.com ein Mail zu schreiben.
Aber die Mailadresse ist wohl gesperrt.
Sieht wohl schlecht aus was. Das ist wirklich frustrierend das es so etwas gibt.
Ich dachte eigentlich mit Raid 1 wäre ich auf der sicheren Seite was Datensicherung angeht.
So Mist wäre mir jetzt nicht in den Sinn gekommen.

Zitat:

Ich dachte eigentlich mit Raid 1 wäre ich auf der sicheren Seite was Datensicherung angeht.

Das ist leider ein Riesenirrtum!!

RAID1 ist sehr sicher - aber nur was Festplattenausfälle anbelangt! Wenn versehentlich Daten gelöscht oder mutwillig verschlüsselt oder zerstört werden, dann helfen nur Backups!

Ihr habt die Sache leider nicht zu Ende gedacht. Auch wenn das RAID-System bzw. der RAID-Controller defekt ist, kommt man manchmal nur mit einem Riesenaufwand oder garnicht mehr an die Daten, weil ein RAID-Controller je nach Hersteller und Firmware die Daten unterschiedlich auf die einzelnen Platten verstreuen kann.

Das die Terrastation mit Linux läuft hat mich fälschlicherweise zur Annahme gebracht, das Sie dadurch auch gegen Viren besser geschützt sei.
Da aber durch Windows Rechner darauf zugegriffen wurde spielt das wohl keine Rolle.
Mittlerweile finde ich Raid gar nicht mehr so toll und frage mich ob ich Raid für den Privatgebrauch überhaupt nutzen soll.
Denn du sagst ja selbst, wenn das Raid abschmiert kann das ebenfalls zum Datenverlust führen. Da bringen auch 2 intakte Festplatten nichts.

Ich hatte noch irgendwie die Hoffnung die Daten retten zu können.
Aber sieht wohl net gut aus.
Einfach nur mies, so Leute die so etwas machen sollte man einsperren.

Zitat:

das Sie dadurch auch gegen Viren besser geschützt sei.

Ist sie ja auch. Der Schädling wurde ja auf einem Windows-Client ausgeführt. Nur wenn der Client Schreibrechte auf einer Samba-Freigabe hat, dann auch der ausgeführte Schädling.

Zitat:

Mittlerweile finde ich Raid gar nicht mehr so toll und frage mich ob ich Raid für den Privatgebrauch überhaupt nutzen soll.

Du musst dir klar werden wozu RAID gut ist, was es kann und was nicht.
Es ist für Hochverfügbarkeit gedacht. Nämlich dass ein Server noch normal weiter operieren kann, auch wenn eine Platte im RAID ausgefallen ist. Die kann man im bestenfalls im laufenden Betrieb austauschen und der Endbenutzer merkt davon garnix.

Ein RAID hat noch nie Backups ersetzt.

Zitat:

Denn du sagst ja selbst, wenn das Raid abschmiert kann das ebenfalls zum Datenverlust führen. Da bringen auch 2 intakte Festplatten nichts.

Eben. Deswegen macht man Backup. RAID ist nur für Hochverfügbarkeit da. Ein Ausfall einer Platte ist aber deutlich wahrscheinlicher als dass der RAID-Controller abkachelt.

Zitat:

Ich hatte noch irgendwie die Hoffnung die Daten retten zu können.

Mit viel viel viel Glück => http://www.trojaner-board.de/116851-...strojaner.html

Vielen dank erst einmal für die Hilfe.
Ich schaue mir die wiederherstellungsprogramme mal durch.

Kleine Nebenfrage.
Was würdest du denn für Backups im privaten Bereich empfehlen?
Ne einfache USB Platte zur Sicherung der Daten auf dem Heim PC ?

Privater Bereich? Dein Posting klang hier so, als hättest du ne kleine Firma die ihre Daten auf der TeraStation hatte.
Und kein Privatmensch schickt seine Platten nach Kroll, die dann für mehrere Tausend Euro die Daten restaurieren...

Je nachdem wie wichtig die Daten sind musst du mehrere USB-Platten haben und entsprechend häufig sichern, die USB-Platten dabei immer rotieren. Und die Backup-Platten werden nur dann an den Rechner angeschlossen wenn ein Backup gemacht wird. Den Rest der Zeit werden sie an einem sicheren Ort verwahrt. Und nicht alle Platten an ein und denselben Ort, sondern an unterschiedlichen sicheren Orten. Wegen Brand oder Flut oder so....

Passend zum Thema => http://www.trojaner-board.de/115678-...r-backups.html

Die Frage im privaten Bereich hat auch nichts mit der Ausgangsfrage zu tun.
Aber danke

Die Firma in der ich arbeite hat die Daten auf der Terrastation und die sind nun verschlüsselt.
Komischerweise wurden alle Freigaben befallen obwohl nur wenige Mitarbeiter Zugriff auf alle Freigaben hatte.
.exe Dateien sind unverändert. Nur halt PDF, Excell und Word.
Wir haben auch weitere Terrstations, die sind komischerweise nicht befallen.
Sieht schlecht aus.

Dann hatte ein Windows-Client die Malware ausgeführt, mit der gerade ein Mitarbeiter gearbeitet hat, der Schreibrechte auf allen Samba-Shares der betroffenen TeraStation hat(te) - anders kann das nicht sein, denn um die Daten darauf zu ändern, muss man Schreibrechte haben.

Was jede Variante eines Verschlüsselungstrojaner genau macht weiß niemand. Es ist aber leicht vorstellbar, dass es Programme (*.exe) in Ruhe lässt und sich auf Samba-Freigaben nicht direkt austobt, sondern nur wenn diese als Netzlaufwerk gemappt sind. Das Ausprobieren sämtlicher Server-Hostnamen durch UNC-Pfade würde viel zu lange dauern.

Ein unglücklicher Zufall das ausgerechnet der betroffene Client zugriff auf alle Ordner hatte.
Danke noch einmal.

Bei SMB/Samba bestimmt nicht der Client sondern der Benutzername plus dazugehörigem Passwort, ob man Zugriff auf ein Share bekommt und wenn ja nur ro oder rw.... (Benutzerauth statt Clientauth wie zB bei NFS)