Zepto verschlüsselte Dateien identifizieren

Aysberg

Hallo, ein Kollege hat heute eine Mail "[Vigor2820 Series] New voicemail message from..." (genauen Betreff habe ich leider nicht) geöffnet und auch gleich den ZIP Anhang geöffnet und angeklickt. Absenderadresse kam aus unserer Domain.*

*Zum Schutze des Kollegen, zeitgleich wurde an unserer VOIP-Analage rumgebaut und er hat extra angerufen, ob es eine Voicemail geben könnte und der schlaue Kopf an unserer Anlage hat ihm diese Möglichkeit bestätigt.

Also das Laptop bzw. die für ihn wichtigen Daten sind hinüber und mit dem Schaden müssen wir leben. Backup gab es keine aktuelles, da der Rechner die letzten drei Wochen mit im Urlaub war.

Nun mein eigentliches Anliegen, der Laptop war via VPN mit unserem Server verbunden und unsere Projektverzeichnisse erscheinen als Laufwerksverknüpfung. Soweit ich mich eingelesen habe, greift der Zepto auch auf solche Ressourcen zu.

Bei einer Suche auf dem Server habe ich keine *.zepto Endungen gefunden. Nun habe ich noch alle Dateien per PowerShell nach dem Parameter "lastwritetimeutc" durchkämmt. Von unseren 126593 Dateien wurden 167 in den letzten 2 Tagen angefasst, dass passt zu unserem normalen Arbeitsalltag und öffnen kann man diese auch (Stichproben).

Frage: Würde man die verschlüsselten Dateien überhaupt per "lastwritetimeutc" finden oder ist da so ein Virus schlauer und ändert dieses Datum nicht?

Haben die Dateien in der Regel immer eine neue Endung und bleibt der alte Name als Stamm erhalten?

Vielen Dank und Gruß Aysberg