Hallo, ein Kollege hat heute eine Mail "[Vigor2820 Series] New voicemail message from..." (genauen Betreff habe ich leider nicht) geöffnet und auch gleich den ZIP Anhang geöffnet und angeklickt. Absenderadresse kam aus unserer Domain.*

*Zum Schutze des Kollegen, zeitgleich wurde an unserer VOIP-Analage rumgebaut und er hat extra angerufen, ob es eine Voicemail geben könnte und der schlaue Kopf an unserer Anlage hat ihm diese Möglichkeit bestätigt.

Also das Laptop bzw. die für ihn wichtigen Daten sind hinüber und mit dem Schaden müssen wir leben. Backup gab es keine aktuelles, da der Rechner die letzten drei Wochen mit im Urlaub war.

Nun mein eigentliches Anliegen, der Laptop war via VPN mit unserem Server verbunden und unsere Projektverzeichnisse erscheinen als Laufwerksverknüpfung. Soweit ich mich eingelesen habe, greift der Zepto auch auf solche Ressourcen zu.

Bei einer Suche auf dem Server habe ich keine *.zepto Endungen gefunden. Nun habe ich noch alle Dateien per PowerShell nach dem Parameter "lastwritetimeutc" durchkämmt. Von unseren 126593 Dateien wurden 167 in den letzten 2 Tagen angefasst, dass passt zu unserem normalen Arbeitsalltag und öffnen kann man diese auch (Stichproben).

Frage: Würde man die verschlüsselten Dateien überhaupt per "lastwritetimeutc" finden oder ist da so ein Virus schlauer und ändert dieses Datum nicht?

Haben die Dateien in der Regel immer eine neue Endung und bleibt der alte Name als Stamm erhalten?

Vielen Dank und Gruß Aysberg

Per VPN? Hatte der Kollege denn über dei VPN-Verbindung direkt schreibenden Zugriff auf die Netzlaufwerke?

Denn wenn der solange unterwegs war wird er wohl sich außerhalb der Firma nicht mit einem AD-Konto angemeldet haben können oder doch? Ne gewisse Zeit wird das gecacht, aber irgendwann meckert Windows (als Client/Domänenmitglied) dass kein Anemeldeserver verfügbar sei wenn man versucht sich mit einem AD-Konto anzumelden.

Und wenn nur mit lokalem Konto gearbeitet wurde, gibt es normalerweise erst Zugriff auf Shares der Server wenn man User+Pass eingetippselt hat

Das ist hier nur ein kleines Büro und da läuft ein SmallBusinessServer, Da ist momentan Verbindung per VPN und Schreib-/Lesezugriffe ein und das selbe.
Ich gehe jetzt anhand meiner Analyse davon aus, dass nichts passiert ist. Hätte halt nur gern Auskunft über dieses LetzeÄnderung LetzterZugriff Thema. Aber wenn alle Stricke reißen, teste ich das in einer VM.

Wieso willst du das denn so umständlich per PS machen. Eine Suche nach den letzten veränderten Dateien sollte reichen. Wie soll denn der Client den Datumsstempel auf dem Fileserver manipulieren? Dir ist schon klar, dass der Client den Schadcode ausführt, nicht der Fileserver?

Aber du kannst ja beides machen. Suche per PS und dann ne normale Suche zB nach zepto Dateien und zuletzt geändert.

Ich habe das eben getestet, ich kann problemlos die Attribute der Dateien, die ich auf dem Server erstellt habe ändern, also könnte das ein Trojaner auch. Insofern ist deine Aussage nur bei entsprechender Rechtevergabe richtig. Trotzdem vielen dank.

Und noch einmal, bitte nicht das für und wieder und warum in Frage stellen oder mach doch einfach Backups, denn das ist hier nicht die Frage.

Ist es möglich per letzter Zugriff/letzte Änderung verschlüsselten Dateien auf die Spur zu kommen oder sind die Schädlinge da schlauer und behalten die alten Datei Attribute bei? Gibt es da Erfahrungswerte?

Nochmals Danke.

Zitat:

Zitat von Aysberg

Und noch einmal, bitte nicht das für und wieder und warum in Frage stellen oder mach doch einfach Backups, denn das ist hier nicht die Frage.

Was soll das WO bitte hab ich das getan?

Zitat:

Zitat von Aysberg

Ist es möglich per letzter Zugriff/letzte Änderung verschlüsselten Dateien auf die Spur zu kommen oder sind die Schädlinge da schlauer und behalten die alten Datei Attribute bei? Gibt es da Erfahrungswerte?

Die Antwort hast du dir doch selbst gegeben, wenn jeder Client jeden Datumsstempel ändern kann wie er will...

Ich habe freundlich Danke gesagt, Dieses BackToTopic Kommentar war auch nicht an dich sondern allgemein gehalten. Entschuldigung, wenn das schroff ankam.

Und nein ich habe meine Frage nicht selbst beantwortet, denn es ging nicht darum was ein User macht, sondern ob diese Schädlinge, der Zepto im speziellen, dies so praktizieren. Da ich eben nach reichlich googeln dazu keine Aussage gefunden habe.

Erneut Danke für dein Feedback.

Das ist doch völlig wumpe ob der User oder der Schädling das macht! Was der User kann kann auch ein ausgeführter Schädling.

Ich versteh dein Problem nicht. Einen Beweis, dass die Dateien auf dem Fileserver nicht verschlüsselt sind gibt es so jedenfalls wenn du nur auf dem Datumstempel achtest.