Zurück   Trojaner-Board > Malware entfernen > Diskussionsforum

Diskussionsforum: Ebenfalls .locky

Windows 7 Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches posten. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Bereinigungen von nicht ausgebildeten Usern sind hier untersagt. Wenn du dir einen Virus doer Trojaner eingefangen hast, eröffne ein Thema in den Bereinigungsforen oben.

Antwort
Alt 18.02.2016, 13:27   #16
Rainer205
 
Ebenfalls .locky - Standard

Ebenfalls .locky



Kurz zum Verständnis, ich mach den Admin nebenher ( war klar)
und eigentlich nur für die Clients, Netzwerk, Drucker...
Für die Server haben wir ein Systemhaus.

Um unsere Situation zu Verstehen müsste ich zu weit ausholen,
deshalb nur in Stichworten

-Alter File/ David Mail- Faxserver 6 Jahre alt-

Roadmapp:
1. neuer Server mit VM - 2. Telefonanlage in Cloud - 3. Telefon- Faxmanagement Lösung -
4. Exchange Server - 5. David Migration - 6. David und alten Server abschalten.

Bei 2 und 3 haben wir Probleme mit der Zuverlässigkeit bekommen, was zur Folge hatte,
dass der ganze Prozess ins Stocken geraten ist und bisher nicht sauber zu ende gebracht wurde .
In den Weihnachtsferien ist uns die Hardware mit der ESX abgeraucht, so das wir schnell
Hilfe brauchten. Die ESX wurde wieder hergestellt, leider wurde hierbei eine VM vergessen.
Und genau auf dieser VM lief Veeam .
Die genauen Hintergründe sind noch etwas komplizierter.
Fakt ist aber, unser Backup ist von Weihnachten
Aber selbst wenn dieses aktuell gewesen wäre, es hätte vermutlich nicht verwendet werden
können, da die gesicherte Platte in einem Dateisystem formatiert war, welches Veeam nicht
versteht.

Wir sind gerade dabei BitCoins zu kaufen.

Alt 18.02.2016, 14:02   #17
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Ebenfalls .locky - Standard

Ebenfalls .locky



Von welchem Filesystem sprichst du da?
__________________

__________________

Alt 18.02.2016, 17:12   #18
Rainer205
 
Ebenfalls .locky - Standard

Ebenfalls .locky



Laut Info von gestern Nacht ist es wohl ReFS.
Laut Info von heute Mittag wohl doch nicht.
Wie gesagt -> Systemhaus

Ach ja, seit ca. 10 Minuten läuft Locky Decrypter,
die ersten Daten sind wieder da.
__________________

Alt 18.02.2016, 21:58   #19
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Ebenfalls .locky - Standard

Ebenfalls .locky



https://helpcenter.veeam.com/backup/...m_support.html

Zitat:
ReFS (ReFS is supported only if Veeam Backup & Replication is installed on Microsoft Windows Server 2012 or Microsoft Windows Server 2012 R2).
Ziemlich clever
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 25.02.2016, 10:02   #20
Alter_Sack
 
Ebenfalls .locky - Standard

Ebenfalls .locky



Hallo zusammen!

Leider hat es uns auch erwischt: 5 VMs und 3 Hosts. Nachdem es aktuell nicht wirklich eine Möglichkeit gibt die Daten zu rekonstruieren - unsere letzte womöglich sichere Datensicherung ist leider vom 19.02.2016 - wollte ich nachfragen, ob jemand bezahlt, der Decrypter alles freigegeben hat und wie es mit Nacharbeiten aussieht...

Schon einmal vielen Dank!


Alt 25.02.2016, 10:10   #21
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Ebenfalls .locky - Standard

Ebenfalls .locky



Es haben schon einige bezahlt und den Schlüssel zur Entschlüsselung dann bekommen. Du kannst aber auch Pech haben und auf Trittbrettfahrer hereinfallen.

Das Risiko liegt nun bei dir, wenn du garnichts bezahlst sind deine Daten auf jeden Fall weg, bezahlst du, kannst du deine Daten wiederbekommen.

Warum sind keine Schattenkopien auf den Windows-Servern aktiviert???
__________________
--> Ebenfalls .locky

Alt 25.02.2016, 11:27   #22
Alter_Sack
 
Ebenfalls .locky - Standard

Ebenfalls .locky



Wenn ich das richtig gesehen habe, dann wurden die Schattenkopieen ausgehebelt. Ich habe vom 19.02.2016 ein Vollbackup (VEEAM), dass ich gerade vom NAS auf eine externe Harddisk kopiere und dann mounten möchte um zu überprüfen, ob die Sicherung befallen ist oder nicht.
Anschließend würden wir entscheiden, ob wir die hoffentlich nicht befallene Sicherung zurückspielen und die Arbeit der letzten Tage verlieren oder bezahlen.

Bezahlen wäre mir eigentlich am liebsten. So erkaufen wir uns Zeit, können weiterarbeiten und vielleicht sind die Antivierenhersteller so weit, dass sie locky rückstandsfrei entfernen können.
Aktuell habe ich hier etwas gefunden:
https://www.xgadget.de/anleitung/anleitung-locky-trojaner-entfernen/
Mehrere Einträge sind bei uns reproduzierbar.

Alt 25.02.2016, 11:30   #23
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Ebenfalls .locky - Standard

Ebenfalls .locky



Das Problem an locky ist nicht die Entfernung, sondern seine Verschlüsselungsroutine!
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 25.02.2016, 11:55   #24
Alter_Sack
 
Ebenfalls .locky - Standard

Ebenfalls .locky



Das ist uns bewußt. Unsere Bedenken sind, dass wir uns freikaufen und unser befallenes System kurze Zeit später wieder von locky reaktiviert und somit verschlüsselt wird. Vielleicht liegen wir hier völlig falsch und locky hat nur verschlüsselt und das war es..

Weitere Frage:
Ich habe mehrere Meinungen bezüglich locky aufgetan:
1. locky hat sich vor einiger Zeit im System vergraben und ist jetzt erst aktiv geworden. Sprich: Sicherungen von vor 5 Tagen sind somit nicht sinnvoll.

2. locky ist nach dem Befall sofort aktiv geworden und hat konvertiert und später sein "Arbeit" gezeigt.

Welcher Punkt passt?

Alt 25.02.2016, 12:00   #25
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Ebenfalls .locky - Standard

Ebenfalls .locky



lt. heise war die Infektion schon vorher da, aber locky hat "geschlafen" also zeitgesteuert sein Unheil angerichtet. Das hat den Vorteil für die Erpresser, dass die Admins der betroffenen Systeme so nicht mehr so schnellen herausfinden können, wann und wie genau und das System infiziert wurde.
Die letzten Sicherungen sind alle sinnvoll, das gibt es sicher noch Daten darin die noch nicht verschlüsselt sind. Man muss auch nicht panische hinter jeder Datei eine Manipulation mit bösem eingeschleusten code herbeireden
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 25.02.2016, 16:11   #26
MightyMarc
 
Ebenfalls .locky - Standard

Ebenfalls .locky



Zitat:
Zitat von Alter_Sack Beitrag anzeigen
Weitere Frage:
Ich habe mehrere Meinungen bezüglich locky aufgetan:
1. locky hat sich vor einiger Zeit im System vergraben und ist jetzt erst aktiv geworden. Sprich: Sicherungen von vor 5 Tagen sind somit nicht sinnvoll.

2. locky ist nach dem Befall sofort aktiv geworden und hat konvertiert und später sein "Arbeit" gezeigt.
Bei uns ging es sofort los. User hat sich bei einem URI vertippt und es ging los, bei anderen hat die Bombe getickt. Mit dem Decryptor kommt man wohl wieder an die Daten aber nicht an ein vertrauenswürdiges System.
Wenn die Attacke von einem Client ausging ist die Welt ja noch in Ordnung (wobei dann die Frage wäre wie es eure Hosts zerdeppern kann). Daten wiederherstellen (aus Backup oder vom decryptor), Backup erstellen, dafür sorgen, dass das Backup auch wirklich läuft (min. 1x täglich) und dann ist man gegen das Schlimmste abgesichert.
Wenn die Attacke nicht von einem Standarduser/-client kam habt Ihr eh ein ganz anderes Problem und der nächste Ärger ist vorprogrammiert.
__________________
When you contact tech support, a lot of people feel like they're either talking to an idiot or being treated like one.

Alt 01.03.2016, 12:58   #27
Alter_Sack
 
Ebenfalls .locky - Standard

Ebenfalls .locky



Kurzes Update:
Mittwoch war unser Ausbruch und wir haben vom Dienstag Abend ein Backup aller virtualisierten Server eingespielt.
Aktuell läuft alles sehr gut und wir sind guter Hoffnung. Mein persönliches Bauchgefühl sagt aber leider noch immer:

Schauen wir mal, dann sehen wir schon.

Antwort

Themen zu Ebenfalls .locky
blöd, board, client, clients, dateien, daten, daten verschlüsselt, ebenfalls, excel, festgestellt, gestellt, gestern, gewisse, gewissen, micro, nicht, nichts, scan, trend, trend micro, verschlüsselte, verschlüsselung, weiteren, weiße




Ähnliche Themen: Ebenfalls .locky


  1. neuer Verschlüsselungstrojaner erstellt *.locky Dateien
    Diskussionsforum - 11.05.2016 (77)
  2. Ebenfalls GVU Trojaner
    Log-Analyse und Auswertung - 19.12.2012 (9)
  3. ebenfalls BRD Trojaner
    Log-Analyse und Auswertung - 31.07.2012 (6)
  4. Ebenfalls GVU-Trojaner
    Plagegeister aller Art und deren Bekämpfung - 21.07.2012 (3)
  5. Ebenfalls 50€ Virus
    Plagegeister aller Art und deren Bekämpfung - 12.04.2012 (5)
  6. Ebenfalls der 50€ Virus
    Plagegeister aller Art und deren Bekämpfung - 27.12.2011 (11)
  7. Ebenfalls der 50€ Virus
    Alles rund um Windows - 27.12.2011 (5)
  8. Ebenfalls BKA-Virus
    Plagegeister aller Art und deren Bekämpfung - 25.12.2011 (21)
  9. ebenfalls die 50€ Geschichte
    Plagegeister aller Art und deren Bekämpfung - 19.12.2011 (5)
  10. Ebenfalls:Windows Blockade
    Plagegeister aller Art und deren Bekämpfung - 14.12.2011 (7)
  11. Ebenfalls BKA Trojaner
    Plagegeister aller Art und deren Bekämpfung - 04.09.2011 (39)
  12. Ebenfalls Sparkassen Tan-abfrage
    Plagegeister aller Art und deren Bekämpfung - 15.12.2010 (3)
  13. Ebenfalls problem mit google
    Log-Analyse und Auswertung - 14.12.2010 (13)
  14. Ebenfalls Googlsuche umgeleitet.
    Plagegeister aller Art und deren Bekämpfung - 12.12.2010 (1)
  15. Ebenfalls Icq
    Plagegeister aller Art und deren Bekämpfung - 10.11.2010 (4)
  16. Ebenfalls Msn-Trojaner
    Plagegeister aller Art und deren Bekämpfung - 20.06.2008 (12)
  17. Ebenfalls about:blank
    Log-Analyse und Auswertung - 22.08.2004 (1)

Zum Thema Ebenfalls .locky - Kurz zum Verständnis, ich mach den Admin nebenher ( war klar) und eigentlich nur für die Clients, Netzwerk, Drucker... Für die Server haben wir ein Systemhaus. Um unsere Situation zu - Ebenfalls .locky...
Archiv
Du betrachtest: Ebenfalls .locky auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.