semiprofiadminutzer
Goto Top

Und plötzlich war es da!

hallo liebe it gemeinde,seit ganz kurzer zeit habe ich in ALLEN Ordnern folgende Dateien: {RecOveR}-behha__.htm {RecOveR}-behha__.png und {RecOveR}-behha__.txt
was ist das ? der pc ist in einer Domäne, er ist der einzige, der das hat!
beste grüße

Content-Key: 300713

Url: https://administrator.de/contentid/300713

Ausgedruckt am: 19.03.2024 um 09:03 Uhr

Mitglied: VGem-e
VGem-e 02.04.2016 aktualisiert um 07:58:08 Uhr
Goto Top
Moin,

befürchte leider, dass Du Dir da so genannte Ransomware, also einen Verschlüsselungstrojaner, eingefangen hast!!

Bin grad mobil unterwegs, deswegen bitte selbst mal nachgoogeln, welche Version das ist.

Auf jeden Fall, mindestens diesen PC SOFORT vom Netzwerk nehmen, wenn nicht schon geschehen!

Weiteres sagt Dir dann hier das Forum oder auch z.B. unter www.heise.de/thema/Ransomware

Ergänzende Empfehlung, dass Du auf jeden Fall Spezialisten ins Haus holen solltest, falls Dir selbst das nötige Fachwissen fehlt.


Gruß
VGem-e
Mitglied: Sheogorath
Sheogorath 02.04.2016 um 08:00:39 Uhr
Goto Top
Moin,

1. Ausschalten!

2. Platte ausbauen

3. Restbestand an Daten über ein sogenanntes Live-System sichern (falls notwendig)

4. Mailpostfächer online nach Verdächtigen Mails mit Dateianhängen durchsuchen und diese Löschen

5. Den Rechner neuaufsetzen

Mal so als ganz schnelle Lösung. Man kann hier noch viel mehr tun, aber das sind so die einfachsten Schritte die für Firmen wie für Privat-Leute gilt.

Solltest du auf der Kiste keine Adminrechte haben, da du damit nur arbeitest und der Rechner deinem Unternehmen gehört:

1. Ausschalten

2. EDV-Anrufen

3. Hoffen


Gruß
Chris
Mitglied: SemiprofiAdminutzer
SemiprofiAdminutzer 02.04.2016 um 08:10:45 Uhr
Goto Top
danke für die schnelle antwort! die platten müssen raus? reicht hier nicht ein löschen der Partitionen und neu aufsetzen? das sind drei ssd platten!
gruß
Mitglied: Sheogorath
Sheogorath 02.04.2016 um 08:23:15 Uhr
Goto Top
Moin,

Beim Platten ausbauen ging es primär um die Datensicherung. Willst du diese nicht machen, kannst du das natürlich lassen. Alternativ kannst du eben das Live-System direkt auf dem Rechner ausführen um die Sicherung zu machen. Nur das System solltest du halt wirklich nicht mehr starten.

Gruß
Chris
Mitglied: tomolpi
tomolpi 02.04.2016 um 10:04:38 Uhr
Goto Top
Und du schreibst der Rechner ist in einer Domäne, schau da dann auch auf Shares und so nach!
Mitglied: SemiprofiAdminutzer
SemiprofiAdminutzer 02.04.2016 um 11:00:21 Uhr
Goto Top
Habe alleOrdner nachgeschaut und keine weiteren dieser Dateien gefunden. Habe alle für ausgebaut und ersetzt. Setze jetzt win10 neu auf. Kann ich Dateien von den alten fp kopieren und wieder verwenden?
Mitglied: Lochkartenstanzer
Lochkartenstanzer 02.04.2016 um 11:01:22 Uhr
Goto Top
Moin,

zuzüglich zu der Aktion, die Kiste plattzumachen, solltest Du alle anderen Kisten und die Server überprüfen, ob die auch Symptome zeigen.

lks
Mitglied: SemiprofiAdminutzer
SemiprofiAdminutzer 02.04.2016 aktualisiert um 14:13:33 Uhr
Goto Top
ich habe auf verschiedenen Laufwerken das gleiche, diese Laufwerke/ordner liegen alle auf den Servern, was tun???
hier ist es einmal ein physisches Laufwerk und ein anderes mal ein ordner auf einem anderem Laufwerk
ich habe bis jetzt noch keine Auswirkungen, kann ich die Daten einfach kopieren und auf ein anderes Laufwerk einfügen?
Mitglied: keine-ahnung
keine-ahnung 02.04.2016 um 14:53:44 Uhr
Goto Top
Zitat von @SemiprofiAdminutzer:

ich habe auf verschiedenen Laufwerken das gleiche, diese Laufwerke/ordner liegen alle auf den Servern, was tun???
hier ist es einmal ein physisches Laufwerk und ein anderes mal ein ordner auf einem anderem Laufwerk
ich habe bis jetzt noch keine Auswirkungen, kann ich die Daten einfach kopieren und auf ein anderes Laufwerk einfügen?
Gähm isch ower ... zieh die LAN-Kabel!

LG, Thomas
Mitglied: Lochkartenstanzer
Lochkartenstanzer 02.04.2016, aktualisiert am 04.04.2016 um 10:11:16 Uhr
Goto Top
Zitat von @keine-ahnung:

Gähm isch ower ... zieh die LAN-Kabel!

Lieber Panzersicherung ziehen (Achtung, wird aua machen, wenn man nicht die richtigen Handschuhe hat!) face-smile

Danach alle Kabel ziehen und dann angefangen mit dem Server (und danach einzeln für alle Rechner):

  • Hochfahren von eime Rettungssystem, z.B. knoppix, wenn ncihts andres da ist.
  • Sichern der Datenbestände
  • ggf. prüfen mit desinfect oder einem anderen multiscanner--tool (nicht im laufenden System!)
  • Bei Funden auf jeden Fall neu installieren und Daten von Backup zruückspielen.
  • sollte der malwarescanner ncihts finden, bleibt es Deiner Risikobereitschaft üebrlassen, ob Du frisch intallierst.
  • das ganze für jeden rechne reinzeln durchführen udn dabei achten, daß man nciht vom petentiell infizierten System bootet!

lks

PS. Alternativ kannst Du mal ein dutzend Bitcoins einkaufen, um möglichst schnell wieder an Deine Daten zu kommen, sobald Du die Daten hast, wo die Bitcoins hinsollen.
Mitglied: Digi-Quick
Digi-Quick 04.04.2016 aktualisiert um 10:14:59 Uhr
Goto Top
Das scheint ja wieder eine ganz neue Variante von Ransomware zu sein.
Google spuckt jedenfalls nichts zu "behha__.txt" etc. aus, ausser diesem Thread!
Mitglied: SemiprofiAdminutzer
SemiprofiAdminutzer 04.04.2016 um 14:16:27 Uhr
Goto Top
Ja, es ist die neue Form des Tesla Virus, die ganz neue Version 4.0
Aussage von unseren IT'lern