Trojaner eingefangen gcaesar2@aol.com.xtbl
 

Hallo liebes Forum,

ich habe folgendes Problem:

ich habe einen Server 2012 r2 und auf diesem befinden sich Freigaben auf die Clients zugreifen.
Leider hat einer dieser Clients die Daten die sich in diesen Freigaben befinden verschlüsselt und zwar mit einer Ransomware mit der Endung gcaeser2@aol.com.xtbl.

So mein Ziel ist es nicht den Client zu bereinigen der wird einfach neu installiert, mein Ziel ist es an die Daten zu kommen denn erstaunlicherweiße hat der Trojaner/Ransomware auch die NAS auf der sich die Sicherungen befinden verschlüsselt.

D.h. ich habe keine Dateien.


Was habe ich versucht?

Ich habe das Tool von Kaspersky und den DecryptHelper versucht. Kaspersky macht leider garnichts und der DecryptHelper sagt immer die Dateien sind unterschiedlich groß obwohl ich glücklicherweiße aber tatsächlich einige verschlüsselte und einige unverschlüsselte Dateien habe die zusammenpassen.

Ich hoffe ich mache etwas falsch oder jemand kennt eine Lösung für die Ransomware.

Vielen Dank für eure Hilfestützen

Wende dich bitte damit an die Abteilung Plagegeister aller Art und deren Bekämpfung: http://www.trojaner-board.de/plagege...n-bekaempfung/ Im Vorfeld kannst du wenn du willst, du schon mal hier: https://id-ransomware.malwarehuntert...php?lang=de_DE in Erfahrung bringen ob es für die Ransomware an die du geraten bist, ein Entschlüsselungstool gibt.
Bedenke dabei eines: alle im Netzwerk befindlichen Geräte und Datenträger wie Festplatten, NAS, externe USB Festplatten, USB Sticks usw die nicht offline sind(ausgeschaltet)werden von Ransomware heimgesucht und darauf befindliche Dateien von der Ransomware verschlüsselt.

Server 2012 r2:glaskugel::glaskugel::glaskugel:
Bei professionell genutzten Netzwerken bin ich äußerst skeptisch. Da gehört professionelle Hilfe hin. Wir sind nicht bereit, hier Gewinnmaximierung in unserer Freizeit zu betreiben.
Mache Dir keine Hoffnung, die Daten sind weg.

Keine Extra Sicherung auf Band vorhanden?

Backups sind nur was für Weicheier :blabla:

Mal im Ernst: Wenn die Clients über die Freigaben was verschlüsselt haben und hoffentlich KEIN User Rechte an den administrativen Freigaben auf den Server hatte, sollten - sofern denn aktiviert - die Daten noch in den Schattenkopien (Vorgängerversionen) liegen:

http://i.imgur.com/y3MMIrs.png Vorgängerversionen

• Rechtsklicke eine verschlüsselte Datei und klicke auf Einstellungen
• Klicke Vorgängerversionen.
• Dieser Tab listet alle Kopien der gewählten Datei und wann sie gesichert wurde.
• Um eine bestimmte Version der Datei wiederherzustellen, klick Kopiere und wähle einen Ordner, in dem die Datei gespeichert werden soll.
• Falls Du die existierende Datei mit der Version ersetzen willst, klicke Wiederherstellen
• Falls Du den Inhalt der Datei vorher prüfen möchtest, klicke Öffnen

Erst wenn da auch nix ist, würde ich auf den externen Backups schauen.
Nur wenn garnix mehr geht oder man einfach nur wissen will was für nen ransom man hat, den Link vom purzelbär folgen [https://id-ransomware.malwarehuntert...php?lang=de_DE]