An der Stelle wo die Daten lagen, liegt aktuell nichts mehr und im Schutzverlauf wird nichts mehr angezeigt (was gestern noch der Fall gewesen ist).

In dem Ordner "Windows Defender" konnte ich ebenfalls nichts finden.
Wiederherstellung per CMD ist ebenfalls fruchtlos verlaufen.

Was ich aktuell gerade probiere, dass ich schaue, ob man noch was Gelöschtes wiederherstellen kann, das dauert aber bis ich da was Genaueres weiß.

Naja. Ist die Frage ob die Erpresser direkten Zugriff auf deinen Rechner hatten oder "nur" die Malware ablief.
Hattest du echt keine Bedenken beim Thema Backup, wenn mal irgendwie ein Feuer ausbricht oder ein defektes Bauteil alle Platten abschießt?

Der muss Zugriff gehabt haben.
Ich gehe davon aus, dass er über einen offenen Port Zugriff auf RDP hatte.
Schadsoftware kann nur über eine Internetseite gekommen sein und bezweifle ich, dass das der Fall gewesen ist.

Natürlich gab es Bedenken, dass mal was schiefgehen kann und für die "normale" Variante ist man mit 1-2 Backups halbwegs gut aufgestellt. In meinem Fall kamen halt paar ungünstige Faktoren (für meine Konstellation!) zusammen, die alles halt sehr schlecht dastehen lassen.
Noch ist nicht alles verloren und ich werde daraus lernen und andere vielleicht auch.

Ransomware kommt normalerweise per E-Mail rein. Irgendein besch... Anhang, meist ZIP- oder mittlerweile auch ISO-Dateien die als Container für das böse Programm dienen.

Diese Aussage versteh ich nicht. Deine Daten und auch alle Backups wurden verschlüsselt. Viel schlimmer gehts nun wirklich nicht mehr.

E-Mail Anhang kann ich (denke ich) ausschließen, da auf dem PC keine eMails gelesen werden.
Virensoftware hat auf den anderen PCs im Netzwerk keinerlei Warnung herausgegeben.
Aktuell läuft Norton 360 und auch da haben Scanns (alle 4PCs) nichts hervorgebracht.

Vieles spricht für das Szenario, was ich vermute, offener RDP Port.:headbang:

Wir sind im Gespräch mit dem "Erpresse" und mit etwas Glück kommen wir eventuell an die noch benötigten Dateien.

Sowas wie Norton ist völlig überflüssig und auch viel zu oft kontraproduktiv.
Dir ist bekannt, dass schon lange in Windows ein Virenscanner eingebaut ist?

Wie geschrieben, ist auf dem einen PC zu Testzwecken, der Virenschutz "vernachlässigt" worden.
Das ist in meinen Augen der entscheidende Fehler gewesen (für den Befall).
Hinzu kommt dann "schlechtes" Backup "Management".

Willst du sagen, dass "Windows Defender vollkommen ausreicht?

Nein, das war nicht der Fehler. Ich hab hier leider schwer den Eindruck, dass du den Virenscanner für das Allerwichtigste hält. Das ist er aber bei Weitem nicht. Das Wichtigste überhaupt ist: Angriffsfläche reduzieren und Sicherheitslücken schließen zB durch zeitnahes Installieren von Sicherheitsupdates. Natürlich sind auch gut durchdachte Backkonzepte essentiell.


Warum stellen so viele den Windows Defender in Frage? :wtf:
Und warum kommt immer diese Fokussierung auf den Virenscanner? Du hast doch am eigenen Leib erlebt, dass der Virenscanner den Schaden nicht verhindern konnte.

Windows Defender wurde auf dem einen PC deaktiviert, da wir Probleme hatten von außen auf den PC zukommen und dann vergessen zeitnah wieder einzuschalten.
Wie man sieht, kann dieses kleine Zeitfenster langen, um Probleme ohne Ende zu bekommen, wie halt immer im Leben, es sind oftmals nur wenige Sekunden.

Letztendlich ist es, in meinen Augen, ein Zusammenspiel von (Fehl-)Verhalten und Software.

Norton habe ich nachträglich installiert um zuschauen ob der noch was anderes findet.
Primär lief der Windows Defender.
Vor paar Jahren hieß es immer, die "anderen" sind besser, daher wahrschlich diese "abwertende" Einschätzung/Erwartung.

Selbst wenn der Defender aktiviert gewesen wäre, wäre das noch keine Garantie dafür gewesen das er die Ransomware erkannt und unschädlich gemacht und das verschlüsseln der Dateien verhindert hätte. Wie cosinus schon sagte: viele User verlassen sich zu sehr auf ihren Virenschutz und auch auf deren Schutzfuktionen vor Ransomware, egal ob das der Defender ist oder ein Drittanbieter Virenschutz.

Wie hätte man es verhindern können?

Dazu müsste man den genauen Befall kennen, schwierig zu beantworten.

100 % lässt sich das niemals verhindern.

Wichtig ist halt das Backup. Wichtiger als alle Updates und Virenscanner.

Dazu müsste man wissen, wie das System infiziert wurde. :)

Wenn du Mail ausschließen kannst, bleibt (von der Wahrscheinlichkeit her) meiner Meinung fast nur noch Drive-By oder illegale Software. :D

Und wenn jemand via RDP auf dem System gewesen sein sollte, dann fehlts hier sehr weit. Vor allem stellt sich dann die Frage, von welchem anderen Gerät eine Verbindung aufgebaut wurde... und dann stellt sich gleich wieder die Frage, wie kam die Malware auf den anderen Rechner...

Ist mittlerweile auch egal, euer Sicherheitskonzept hat Lücken.


Sofern du alle Daten extern gesichert hast, kannst du eine saubere Neuinstallation in Angriff nehmen. Dein Sicherheitskonzept solltest du auch gleich überprüfen.

Alles andere kann man guten Gewissens nicht empfehlen.


Die größte Schwachstelle sitzt vor dem Gerät. ;)

Hauptsache, man lernt daraus. :)

Im Übrigen:
Geld an die Erpresser zu zahlen, ist das Dümmste, was man machen kann.

Stand jetzt, gehe ich von einem offene RDP Port aus.
Mails werden auf dem Gerät nicht gelesen und auch öffnen wir keine Anhänge unbedacht.

Das mit dem Backup haben wir schon geändert.

Ich gehe von einem RDP Port als Einfalltor aus, wo der Angreifer darüber Software heruntergeladen und diese dann ausgeführt hat.
Es ist auf dem Desktop ein Ordner erstellt worden, mit den Namen "svchost" darin sind diverse Programme (s.exe) und Bat Dateien (closeapps.bat, vss.bat) sowie "Regestrier Änderung Datei" gewesen. Sowie 2-3 Datein die von Windows Defener entfernt worden sind.

Das es Lücken hat, habe ich gemerkt. :headbang:

"Die größte Schwachstelle sitzt vor dem Gerät." mein reden... ;-)

Habe ich schon.

Ob es dumm ist, würde ich nicht sagen.
Es ist die einzige Hoffnung/Chance, die ich habe, kurzfristig an Daten zu kommen.
Die Personen machen so oder weiter und der Fehler ist mir unterlaufen.
Security Firmen haben mir wenig Aussichten auf Erfolg gegeben und auch da kann es sehr sehr teuer werden.

Meine Hoffnung ist gewesen, dass es dafür schon einen Weg zu m entschlüsseln gibt, so wie es aktuell aussieht, gibt es keinen.
Also bleibt nur die Chance/Hoffnung, dass der "Erpresser" etwas Anstand besitzt und nach Zahlung die Daten freigibt. Mir ist bewusst, dass ich das Geld nicht wiedersehe, aber das habe ich bei beiden Szenarien (Dattenretter oder Erpresser).