Locky Virus eingefangen was machen?
 

Hey, wir haben uns heute den Locky Virus eingefangen.
Gegen mittag haben wir festgestellt, dass auf unserem gemeinsamen Serverlaufwerk div. Dateien .locky verschlüsselt sind. SBS Server 2008 mit Kaspersky geschützt

Daraufhin sofort alles ausgeschaltet.

Wie gehen wir nun vor?

Ich hoffe ihr habt zumindest tagesaktuelle backups.
Wenn die Schattenkopien auf dem Windows 2008 Server aktiv sind, kommt ihr auch darüber noch an Dateien von heute um 7 und 12 Uhr dran (Standardeinstellung Schattenkopien)

ok, kann es den nicht sein, dass diese Dateien auch kompromiert sind?

Das hat bitte welche Relevanz?

Die Dateien wurden vom locky verschlüsselt. Ohne den Schlüssel kannst du nix entschlüsseln. Du kannst nur das Backup anwerfen wenn du nix bezahlen willst.

nun ja. ich möchte ja nicht, dass das teil irgendwo noch doch drin steckt.... und dann wiederkommt. daher noch als zweite Frage, welcher scanner wäre der richtige?

Dazu musst du rausfinden welcher Client-PC denn den ransom ausgeführt hat. Den können wir gezielt unter die Lupe nehmen.