Jump to content

Samoth

Members
  • Content Count

    327
  • Joined

  • Last visited

Community Reputation

10 Neutral

1 Follower

About Samoth

  • Rank
    Member

Recent Profile Visitors

532 profile views
  1. Laut Info vom Kunden durch eine Mail in einer Außenstelle, die per VPN angebunden war. Das war nur der erste infizierte. Als ich dann die übrigen Windows-Applikationsserver zur Verfügung gestellt bekam, war dort auch schon Einiges verschlüsselt. Habe leider keine gesicherte Info, aber ich vermute, um absolut sicher zu sein, dass da nichts mehr hochkommt...? Anzahl der Clients ist mir nicht bekannt, aber mehr als 50 - grob geschätzt. Aktueller Stand SAP: - Einige Server sind leider nicht mehr aus älteren Backups wiederherzustellen - Wiederherstellbare Server wurden mehrfach gescannt und in ein eigenes SAP-Netz gepackt und sind nutzbar - Da die DBs auf Linux laufen war das Glück im Unglück: Keine Infektion auf den Linux-Maschinen. Daher war es nicht zu schwierig den Applikationsserver und den jeweiligen DB-Server wieder zu koppeln Fragen zum Thema: - Evtl. habe ich es auch übersehen, aber hat sich noch jemand dazu geäußert wie ich mit wiederhergestellten Maschinen umgehen soll? Also konkrete Tool-Empfehlungen zum Prüfen, etc.? - Unsere IT hat dann nach Bekanntwerden der Infektion auch gleich den Tunnel zum Kunden dicht gemacht. Wie wahrscheinlich/realistisch ist es denn eigentlich, dass wir uns den Schädling ins eigene Netz ziehen, wenn ich per Site-to-Site-VPN und RDP auf die Kundensysteme zugreife? Viele Grüße einstweilen Samoth
  2. Hallo zusammen, ich wollte mich nach dem Wochenende mal melden. Leider habe ich nicht alle Interna, aber vor Ort wird wohl alles neu gemacht. Bedeutet: - neuer DC mit neuer Domäne - ESX-Hosts neu installiert - Neue Netze und Netzbereiche - Clients neu ausgerollt - Server neu installiert - strikteres Sicherheitskonzept
  3. Details muss ich dann in der Telko mal nachfragen. Wie meinst du es genau? Angeblich ging eine Mail mit Anhang ein.
  4. Hallo zusammen, heute Morgen klingelt das Telefon: SAP-Druckserver geht nicht mehr. Die Analyse zeigt u. a. eine "RyukReadMe.html" und Dateien mit der Endung "RYK", z. B. "loader.cfg.RYK". Wir haben das System dann vom Netz genommen. Der ITler vor Ort könnte uns die komplette Maschine aus einem Snaphot wiederherstellen. Da das System keine Daten in dem Sinn beinhaltet, sondern lediglich PDFs erzeugt, wäre das für uns OK. Ich habe mal ein bisschen was über den Schädling gelesen und da wird von einer möglichen, vorgelagerten Infektion gesprochen, die das Netzwerk durchsucht und erst nach einem gewissen Zeitraum beginnt dann die Verschlüsselung von Daten. Ich weiß also nicht, ob das wiederhergestellte System nun frei von Schädlingen ist. Sicher kommt nun auch der Einwand von euch, es gibt keine 100%ige Sicherheit und am besten sollen wir alles neu installieren, um sicher zu gehenn Das verstehe ich auch. Trotzdem möchte ich mal von euch erfahren, ob und wie ihr solche Maschinen behandelt habt bzw. behandeln würdet, wenn sie erst mal noch nicht gelöscht werden sollen. Es gibt dort auch Systeme, die bisher überhaupt keine Verschlüsselungsaktivität zeigen. Welche Schritte soll ich nach dem Hochfahren der Maschinen unternehmen? - Windows Updates - Viren/Ransom-Scan? Welche Tools empfehlt ihr? Malwarebytes, SpyHunter 5, Kaspersky Anti Ransomware Tool,...? - Sysinternals-Tools? - ... Viele Grüße + mal wieder ein Dankeschön an dieser Stelle! Samoth
  5. Ja hallo und ein Dankeschön an alle Ich schaue mir die kostenlosen Varianten mal an. Nachdem https://de.pdf24.org/ nun schon zwei Mal genannt wurde, werde ich den mal genauer unter die Lupe nehmen.
  6. Hallo zusammen, wenn im privaten Umfeld jemand PDFs erzeugen will, installiere ich aus Gewohnheit immer noch den FreePDF XP inkl. dem GhostScript Paket. Der wird seit längerer Zeit nicht mehr weiterentwickelt, funktioniert aber an sich auch noch unter Windows 10. Ab und an hatte ich jedoch schon das eine oder andere Problem mit dem Teil. Windows 10 bringt ja einen PDF Creator mit, der an sich auch funktioniert. Gibt es denn noch bessere Alternativen dazu? Anforderungen: - Verlässlich PDFs erzeugen - Formate: Von klein (A5) bis groß (A0, CAD-Bereich) - Gute Kompression (gibts das bei PDF eigentlich?) - Leicht zu installieren (wenn möglich auch per CMD mit einem Switch) - Keine Adware im Installer Danke + Grüße Samoth
  7. Hallo zusammen, wollte euch noch am unspektakulären Ende der Story teilhaben lassen: Es scheint einfach die Platte gewesen zu sein. Das Notebook aht die 1 TB Samsung QVO nicht verlässlich erkannt. Und aufgefallen ist mir das nicht, weil die SSD im BIOS zu sehen war wenn ich mal dort rein geschaut habe. Die 500er Samsung 860 EVO wurde in div. Testszenarien jedes einzelne Mal erkannt, daher bleibt die nun im Notebook. Viele Grüße und ganz herzlichen Dank an echt alle, die mich in dem Fall so unterstützt haben!!! :-D Samoth
  8. Moin zusammen, ich habe nun gestern mal einen simplen Klon auf eine Samsung 500 GB SSD EVO durchgeführt und mehrfach durchgestartet: Bis startete das System jedes Mal. Grüße Samoth
  9. Fastboot werde ich heute Abend checken sobald ich zu Hause bin. Ich glaube mich zu erinnern, dass ich im BIOS noch einen Delay in Sekunden einstellen kann. Hm, keine Idee, ob es einen Unterschied zwischen Reboot und dem Einschalten gibt. Beim Einschalten war nur vorher die Maschine komplett aus. Aber selbst aus dem Zustand heraus klappt es mit dem Start auch nicht immer. Kontaktfehler... Hm. Ja, schon möglich. Aber zwischen den Neustarts bewege ich die Kiste kein Stück, was z. B. einen Wackelkontakt hervorrufen könnte.
  10. Ja, damit ist es auch völlig klar. Ärgerlich, dass das mir das erst zufällig auffiel. Wie gesagt, jetzt kümmere ich mich mal um eine 500er SSD, dann reporte ich wieder Hoffe nur, das wird kein Fall von 8 Jahre altes Notebook geht in meinen Händen kaputt. So einen "Zufall" zu vermitteln ist immer etwas schwierig :-s
  11. Guten Abend zusammen, bin eben erst wieder an die Kiste gekommen und habe auch Neuigkeiten: Der User hat mir heute erzählt (angeblich schon vor ein paar Tagen ), dass er als der Platz knapp wurde die Datenträgerkompression über die Systembereinigung aktiviert hat. Keine Idee, ob es damit zu tun haben könnte. Nach einer Prüfung auf dem (wieder mal gebooteten) Klon war diese Kompression nur auf D: (Daten) aktiv --> habe ich mal deaktiviert. Leider ist der Recovery Manager nicht mehr vorhanden. Ich habe bei HP auch schon ein ähnliches Dokumet gefunden und dort heißt es, dass man in diesem Fall einfach die Recovery-Partition löschen könnte. Würdest du da zustimmen? Ich möchte nur vermeiten die Quellplatte zu bearbeiten und am Ende funktioniert die auch nicht mehr. Genau: 1 Platte im originalen HDD-Fach (SATA-Adapter). Im DVD-Schacht steckt das DVD-RW Laufwerk. Die Bootreihenfolge steht immer auf 1. Optisches Laufwerk und 2. Interne Notebookfestplatte. Habe ich auch schon mal getaucht - keine Veränderung. Plan für heute, weil es schon etwas später ist: Mal den 1:1 Klon laufen lassen. Morgen früh dann ggf. einen RAW-Copy Klon starten und dann morgen Abend mal ein Image anlegen und das wiederherstellen. Ich werde dann morgen in der Firma mal das Samsung-Tool vorbereiten, habe wirklich keine CD-Rohlinge mehr zu Hause. Grüße + einfach auch mal wieder ein Dankeschön Samoth Update: Mir ist eben durch Zufall etwas aufgefallen :-o Ich habe den Rechner neu gestartet und wollte die Bootreihenfolge prüfen. Vorher dachte ich mir, ich mach das Ding jetzt ein paar Mal an und aus und schaue mal ob sich am Verhalten etwas ändert. Und in der Tat: Er startete dann einmal ohne Probleme. Ich hab ihn gleich noch einmal neu gestartet, dann ging es nicht mehr. Also noch mal neu gestartet und über die F10 Taste das Boot-Device ausgewählt... zumindest wollte ich das. Überraschung: nur das CD Laufwerk kann gewählt werden. ich hatte zu dem Zeitpunkt aber nichts im BIOS verändert. Ich werde das morgen mal genauer prüfen, aber ich glaube das Notebook erkennt die SSD nicht verlässlich bei jedem Start. aufgefallen ist mir das nie, weil die Platte jedes Mal im BIOS angezeigt wurde wenn ich mich dort bewegt habe. Falls die Platte nun wirklich nicht jedes Mal beim Starten erkannt wird, werde ich mal eine 500er testen. Oh, Mann... :-/
  12. Leider weiterhin kein Erfolg. Habe nach dem ersten Starten des Klons die HP-Partitionen gelöscht, Laufwerk C: verkleinert und auf das Windows Update geprüft (war installiert) - der nächste Bootvorgang schlägt wieder fehl. Ich werde es dann mal mit dem Samsung-Tool versuchen und im Anschluss eine kleinere SSD testen. Evtl. mache ich auch mal eine frische Windows 7 Installation, um zu sehen wie sich die Kiste dann verhält. Bin natürlich offen für weitere Tipps Grüße Samoth
  13. 1:1 Kopie... das meinte ich oben. Wir reden vom gleichen Das Update checke ich dann, wenn ich wieder zu Hause bin. Danke
  14. - Bisher immer proportional, also mit Größenanpassung. 1:1 wäre definitiv auch noch eine Option. Könnte die Partitionen ja später noch größer ziehen. - Kein Schreibfehler Ist ein 4720s. Was willst du mir damit sagen? - Samsung Evo 840 (alt) und die neue: Samsung MZ-76Q1T0BW SSD 860 QVO 1 TB. Grüße Samoth
  15. Geht das nicht nur, wenn hinter der Partition noch Speicher frei ist? Bei mir wäre direkt hinter C: noch die D: Partition auf der auch relevante Daten liegen.
×
×
  • Create New...