Habt ihr da so viele Server stehen? :D
Alle mit Windows 2003 oder sind da auch andere OS betroffen?

Ja haben wir, überwiegend sind es 2008R2 Server. Nein die SLES sind bisher nicht betroffen, laufen aber auch nicht als Terminalserver bei uns.


Bisher keine verschlüsselte Dateien mehr aufgetaucht. Komplette Farm neu gestartet,
und mit Malwarebytes und Trendmicro Officescan gescannt was das Zeug hält.
TEUTEUTEU :-)

Linux-Server können auch nicht betroffen sein. Selbst wenn die als Terminalserver liefen.
Denn der Schadcode des Verschlüsselungstrojaners ist windows-only und wie du weißt kann man ausführbaren Code nicht einfach auf eine andere Plattform nativ ausführen.

Wenn kann das nur indirekt passieren, also ein Windows-Rechner den Verschlüsselungsmist hat und ausführt und dabei ein smbshare zB eines Linux-Servers als rw gemappt (samba/smb) hat - die Verschlüsselungsviecher gehen ja schon seit einiger Zeit auf Netzlaufwerke los. Das Linux-System (wie zB ein NAS) wird dabei aber nicht kompromittiert sondern nur die Dateien des shares verschlüsselt wenn der Client denn Schreibzugriffe hat.

Es gibt zwar mittlerweile die erste Verschlüsselungszecke für Linux, aber der greift nur magento an (shopsystem?) und die das benutzen, müssen eigentlich alles falsch machen, was man nur falsch machen kann, sonst läuft der encoder1 ins Leere. Siehe Linux.Encoder.1: Ransomware greift Magento-Nutzer an - Golem.de