2
Festplatte von encrypter Virus befallen - restore alter Daten
Hallo,
bei einem Mitarbeiter hat sich einer dieser berüchtigten encrypter Viren eingefangen. Das schlimme ist, er hat alles encrypted auf was der User Zugriff hatte. Also auch die Netzlaufwerke mit den Abteilungsdaten.
Da es ein kleineres Umfeld ist wird täglich ein sync der Daten auf eine externe Festplatte gesichert. Wie aus einem Krimi hat die externe Platte auf der alle Daten liegen genau seit diesem Tag eine Macke und fängt an surrende Geräusche zu machen. Als der Restore von der externen Platte erfolgte, brach sie auf einmal ab und seit dem macht die Platte nur noch Probleme. Wenn man sie extern anschließt wird sie noch erkannt, sobald man aber einen Kopiervorgang startet bricht es sofort ab. AUch der Zugriff ist extrem langsam.
Jetzt haben wir nur noch 2 Hoffnungen, wobei die Chancen nicht gut stehen werden. Entweder auf dem befallenen System mithilfe einem Restore tool wie PhotoRec versuchen auf die Daten zurückzugreifen bevor der Virus alle dateien verschlüsselt hat. Oder die Backupplatte irgendwie wieder flot zu machen.
Kennt ihr Tools das bei einer fast total defekten Festplatte noch etwas bewirken kann um an die Daten ranzukommen? Sehen tu ich sie ja. Bloß ist der Zugriff extrem langsam.
Was für Optionen gäbe es noch? Im worst case muss die Backup Platte an eine Spezialfirma dann wird es teuer. Es sind aber gut 500GB Dokumente und eigentlich die ganze Firmenpräsenz.
Was würdet ihr tun?
Achja die verschlüsselten Dateien des Virus sind schon deleted.
bei einem Mitarbeiter hat sich einer dieser berüchtigten encrypter Viren eingefangen. Das schlimme ist, er hat alles encrypted auf was der User Zugriff hatte. Also auch die Netzlaufwerke mit den Abteilungsdaten.
Da es ein kleineres Umfeld ist wird täglich ein sync der Daten auf eine externe Festplatte gesichert. Wie aus einem Krimi hat die externe Platte auf der alle Daten liegen genau seit diesem Tag eine Macke und fängt an surrende Geräusche zu machen. Als der Restore von der externen Platte erfolgte, brach sie auf einmal ab und seit dem macht die Platte nur noch Probleme. Wenn man sie extern anschließt wird sie noch erkannt, sobald man aber einen Kopiervorgang startet bricht es sofort ab. AUch der Zugriff ist extrem langsam.
Jetzt haben wir nur noch 2 Hoffnungen, wobei die Chancen nicht gut stehen werden. Entweder auf dem befallenen System mithilfe einem Restore tool wie PhotoRec versuchen auf die Daten zurückzugreifen bevor der Virus alle dateien verschlüsselt hat. Oder die Backupplatte irgendwie wieder flot zu machen.
Kennt ihr Tools das bei einer fast total defekten Festplatte noch etwas bewirken kann um an die Daten ranzukommen? Sehen tu ich sie ja. Bloß ist der Zugriff extrem langsam.
Was für Optionen gäbe es noch? Im worst case muss die Backup Platte an eine Spezialfirma dann wird es teuer. Es sind aber gut 500GB Dokumente und eigentlich die ganze Firmenpräsenz.
Was würdet ihr tun?
Achja die verschlüsselten Dateien des Virus sind schon deleted.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 300113
Url: https://administrator.de/contentid/300113
Printed on: April 23, 2024 at 12:04 o'clock
2 Comments
Latest comment
Wenn die Daten produktionskritisch bzw. von hoher Wichtigkeit sind, solltest du dich schnellstens mit einem Datenrettungsexperten z. B. Kroll Ontrack in Verbindung setzen. Da gibt es keine andere Möglichkeit, das Kind ertrinkt bereits im Brunnen.
Die haben Erfahrung und u. a. Spezialgeräte zur Wiederherstellung selbst bei Mechanischen defekten.
Sind dir die Daten nicht ganz so wichtig, kann man ja den Komplettverlust riskieren.
Sind die Daten unwichtig dann in die Tonne und die User belehren.
P. S. Spätestens jetzt ist der Zeitpunkt für ein Redundantes Backup gekommen (muss nichts großes sein, z. B. ein simples NAS mit RAID-1 und Sicherung im Differenziellen Modus mit mehreren Ständen).
Die haben Erfahrung und u. a. Spezialgeräte zur Wiederherstellung selbst bei Mechanischen defekten.
Sind dir die Daten nicht ganz so wichtig, kann man ja den Komplettverlust riskieren.
- 2 Platte mit gleichem oder mehr Speicherplatz besorgen
- Linux Live CD einwerfen und ddrescue nachinstallieren (Das Tool kopiert alle lesbaren Bits von der Platte auf die andere)
- Die defekte Platte auf mittels ddrescue auf die 1. neue Platte kopieren
- Mittels dd die 1. neue Platte auf die 2. neue kopieren (Nicht mit der zweiten arbeiten, das ist unser Backup, sollten die Daten auf der 1. neuen Platte durch die Wiederherstellungsversuche beschädigt werden mittels dd von der 2. wieder auf die 1. Kopieren und erneut mit der 1. Versuchen)
- Überprüfen, welche Dateien unbeschädigt sind (Nur weil die Datei da ist, heißt das nicht, dass sie unbeschädigt bzw. Verwendbar ist)
- z. B. Mittels PhotoRec Daten von der einen neuen Platte wiederherstellen
Sind die Daten unwichtig dann in die Tonne und die User belehren.
P. S. Spätestens jetzt ist der Zeitpunkt für ein Redundantes Backup gekommen (muss nichts großes sein, z. B. ein simples NAS mit RAID-1 und Sicherung im Differenziellen Modus mit mehreren Ständen).
Zitat von @staybb:
Kennt ihr Tools das bei einer fast total defekten Festplatte noch etwas bewirken kann um an die Daten ranzukommen? Sehen tu ich sie ja. Bloß ist der Zugriff extrem langsam.
Kennt ihr Tools das bei einer fast total defekten Festplatte noch etwas bewirken kann um an die Daten ranzukommen? Sehen tu ich sie ja. Bloß ist der Zugriff extrem langsam.
Moin,
Hardwaredefekte können durchj keine ncoh so guten Tools behoben werden. Wenn die Daten wirklich wichtig und (viel) Geld wert sind, solltet Ihr sofort einen Dienstleister kontaktieren und schauen, daß Ihr nicht selber dran rumdoktert.
Ansonsten würde ich ja normalerweise sagen, dann nimmt man halt einfach ein älteres Backup, wenn das neueste nicht mehr geht, aber ich vermute habt Ihr fahrlässigerweise nur eine Generation Backups statt mehreren (>2) vorgehalten.
Falls die Daten wichtig sind aber euch ncoiht genug Geld wert, um einen Dienstleister zu beauftragen, solltet Ihr als erstes ein Image mit ddrescue ziehen, damit zumindest die fuktionierenden Sektoren der Platte gerettet werden können.
Danach kann man mit testdisk o.ä. von dem Image (das ihr vorher nochmal sichert!) die Daten herunterzukratzen.
Auf jeden fall ist das eine Aufgabe für einen, der sich damit auskennt, wenn die daten wichtig sind. Ansonsten einfach alle slöschen und from scrath frisch anfangen.
lks
