Exchange 2010 Datenbank - Crytolocker während Migration
Hi,
Backup Situation:
Bevor es zu viel Kritik gibt - Ja, wir haben backups auf einer NAS und offline backups. Fast alle nun jedoch Wertlos.
Die Externe Festplatte mit den neusten Backups hatten wir verwendet um Terrabyte an Daten auf den neuen server zu kopieren ohne das Netzwerk zu sehr zu belasten. Das war leider eine Katastrophale Idee da ein Cryptolocker Virus (der erste Virus in über 10 Jahren im ganzen Netzwerk!) genau in dem Moment sein Unwesen treiben muss (Wie so ein Zufall passieren konnte kommt in einem extra Beitrag für die, die etwas lachen/heulen wollen).
Alle Clients sind OK.
Ein Backup vom Exchange Server vom August existiert noch auf einer anderen Externen Festplatte.
Situation:
Wir haben die Outlook Datenbank von Server A (SBS 2011) zu Server B (Virtual SBS 2011) migriert.
Jetzt haben keine Benutzerkonten mehr Exchange Daten auf Server A.
Server B ist nun nicht mehr ansprechbar und natürlich offline.
Das einzige Exchange Server 2010 Backup das wir nun haben ist 4 Wochen alt.
Alle Benutzer hatten sich am Freitag noch angemeldet, sprich die Mails der letzten 4 Wochen sind lokal auf den lokalen PCs.
Alle mails zwischen Freitag & Montag sind damit unbrauchbar - ok.
Wie gehe ich jetzt am besten vor? Mein Gedanke
- Neue Datenbank anlegen (da die Postfächer auf Datenbank auf Server B eingebunden sind)
- Das Backup vom August einspielen (wie? - bis jetzt immer nur 1x eine Datenbank überschrieben und das ist schon Jahre her)
- Die Postfächer an die neue Datenbank binden - wie???
- Die OSTs von den Clients sichern und in PSTs umwandeln (Teilweise sind die OSTs bis zu 20GB groß da die Geschäftsleitung nichts von Archiven hält...) - Muss ich das überhaupt Umwandeln?
- Die letzten 4 Wochen an Daten manuell an jedem Client - Kann ich eventuell Outlook einfach öffnen und der erkennt das ich eine neuere Version der Daten auf dem Client habe?
Hat jemand eine Idee? 30 Clients, 400GB an Daten.
Habe den ganzen Tag schon rum telefoniert und gegoogelt.
Das hier würde ich wohl befolgen: Restore
Danke für eure Hilfe
Backup Situation:
Bevor es zu viel Kritik gibt - Ja, wir haben backups auf einer NAS und offline backups. Fast alle nun jedoch Wertlos.
Die Externe Festplatte mit den neusten Backups hatten wir verwendet um Terrabyte an Daten auf den neuen server zu kopieren ohne das Netzwerk zu sehr zu belasten. Das war leider eine Katastrophale Idee da ein Cryptolocker Virus (der erste Virus in über 10 Jahren im ganzen Netzwerk!) genau in dem Moment sein Unwesen treiben muss (Wie so ein Zufall passieren konnte kommt in einem extra Beitrag für die, die etwas lachen/heulen wollen).
Alle Clients sind OK.
Ein Backup vom Exchange Server vom August existiert noch auf einer anderen Externen Festplatte.
Situation:
Wir haben die Outlook Datenbank von Server A (SBS 2011) zu Server B (Virtual SBS 2011) migriert.
Jetzt haben keine Benutzerkonten mehr Exchange Daten auf Server A.
Server B ist nun nicht mehr ansprechbar und natürlich offline.
Das einzige Exchange Server 2010 Backup das wir nun haben ist 4 Wochen alt.
Alle Benutzer hatten sich am Freitag noch angemeldet, sprich die Mails der letzten 4 Wochen sind lokal auf den lokalen PCs.
Alle mails zwischen Freitag & Montag sind damit unbrauchbar - ok.
Wie gehe ich jetzt am besten vor? Mein Gedanke
- Neue Datenbank anlegen (da die Postfächer auf Datenbank auf Server B eingebunden sind)
- Das Backup vom August einspielen (wie? - bis jetzt immer nur 1x eine Datenbank überschrieben und das ist schon Jahre her)
- Die Postfächer an die neue Datenbank binden - wie???
- Die OSTs von den Clients sichern und in PSTs umwandeln (Teilweise sind die OSTs bis zu 20GB groß da die Geschäftsleitung nichts von Archiven hält...) - Muss ich das überhaupt Umwandeln?
- Die letzten 4 Wochen an Daten manuell an jedem Client - Kann ich eventuell Outlook einfach öffnen und der erkennt das ich eine neuere Version der Daten auf dem Client habe?
Hat jemand eine Idee? 30 Clients, 400GB an Daten.
Habe den ganzen Tag schon rum telefoniert und gegoogelt.
Das hier würde ich wohl befolgen: Restore
Danke für eure Hilfe
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 502186
Url: https://administrator.de/forum/exchange-2010-datenbank-crytolocker-waehrend-migration-502186.html
Ausgedruckt am: 26.12.2024 um 08:12 Uhr
9 Kommentare
Neuester Kommentar
Zunächst mal mochte ich Dir/Euch mein aufrichtiges Mitgefühl aussprechen. Ja und dann muss einfach die Kritik kommen!
Für mich stellt sich die grundsätzliche Frage, wer sich denn ein solches "Backupkonzept" ausgedacht bzw. abgesegnet hat!? OK, jetzt war es ein Verschlüsselungstrojaner, aber es hätte ja genau so ein Brand oder ein Einbruchdiebstahl sein können. Gerade wenn man schon für eine preiswerte HDD-Lösung für die Offsite-Sicherung nutzt, ist ein Rhythmus von 4 Wochen einfach viel zu wenig. Die externe HDD hätte ja auch einfach kaputt gehen können...
Ja, ich weiß schon, warum ich immer noch (tägliche )Tape-Backups bevorzuge. Da sind die Backups dann auch sicher vor Verschlüsselungstrojanern.
Ich hoffe zumindest, dass Ihr aus diesem Vorfall Eure lehren zieht und Euer Backupkonzept zukünftig überarbeitet.
Ich würde mir kompetente Unterstützung suchen. Dazu sollte man natürlich wissen, welcher Kryptotrojaner genau zugeschlagen hat. Evtl. muss/ sollte man auch alle Clients neu aufsetzten.
Die Exchange Datenbank muss doch eigentlich noch auf dem Server vorhanden sein, oder sind alle Partition verschlüsselt worden!?
Für mich stellt sich die grundsätzliche Frage, wer sich denn ein solches "Backupkonzept" ausgedacht bzw. abgesegnet hat!? OK, jetzt war es ein Verschlüsselungstrojaner, aber es hätte ja genau so ein Brand oder ein Einbruchdiebstahl sein können. Gerade wenn man schon für eine preiswerte HDD-Lösung für die Offsite-Sicherung nutzt, ist ein Rhythmus von 4 Wochen einfach viel zu wenig. Die externe HDD hätte ja auch einfach kaputt gehen können...
Ja, ich weiß schon, warum ich immer noch (tägliche )Tape-Backups bevorzuge. Da sind die Backups dann auch sicher vor Verschlüsselungstrojanern.
Ich hoffe zumindest, dass Ihr aus diesem Vorfall Eure lehren zieht und Euer Backupkonzept zukünftig überarbeitet.
Ich würde mir kompetente Unterstützung suchen. Dazu sollte man natürlich wissen, welcher Kryptotrojaner genau zugeschlagen hat. Evtl. muss/ sollte man auch alle Clients neu aufsetzten.
Die Exchange Datenbank muss doch eigentlich noch auf dem Server vorhanden sein, oder sind alle Partition verschlüsselt worden!?
Zitat von @cymode:
Wir haben Monatliche off-site Backups auf Externe HDD „A“ und Wöchentliche Off-Site auf HDD „B“ welche in dem Moment am Server angeschlossen war.
Das Euer "Konzept" eher nicht so dolle war, habt Ihr ja jetzt schon gemerkt...Wir haben Monatliche off-site Backups auf Externe HDD „A“ und Wöchentliche Off-Site auf HDD „B“ welche in dem Moment am Server angeschlossen war.
Die NAS steht in einem Brandschutzraum 2 Häuser weiter.
Die Datenbank auf Sever A ist leer da alles rüber ging.
Die Datenbank auf Server B ist verschlüsselt.
Hmm, irgendwie komisch. Mit welchem Account bzw. Credentials wurde denn da verschlüsselt!? Ist ja wohl kaum ein normaler User gewesen, der versehentlich eine Email geöffnet hat, oder!?Die Datenbank auf Server B ist verschlüsselt.
Scheint mir eher so, dass Eure gesamte Domain kompromitiert ist. Darf man erfahren, welcher Cryptotrojaner zugeschlagen hat, oder ist das ein Geheimnis!?