Festplatte von encrypter Virus befallen - restore alter Daten

Mitglied: staybb

staybb (Level 2) - Jetzt verbinden

26.03.2016 um 00:48 Uhr, 1113 Aufrufe, 2 Kommentare

Hallo,

bei einem Mitarbeiter hat sich einer dieser berüchtigten encrypter Viren eingefangen. Das schlimme ist, er hat alles encrypted auf was der User Zugriff hatte. Also auch die Netzlaufwerke mit den Abteilungsdaten.
Da es ein kleineres Umfeld ist wird täglich ein sync der Daten auf eine externe Festplatte gesichert. Wie aus einem Krimi hat die externe Platte auf der alle Daten liegen genau seit diesem Tag eine Macke und fängt an surrende Geräusche zu machen. Als der Restore von der externen Platte erfolgte, brach sie auf einmal ab und seit dem macht die Platte nur noch Probleme. Wenn man sie extern anschließt wird sie noch erkannt, sobald man aber einen Kopiervorgang startet bricht es sofort ab. AUch der Zugriff ist extrem langsam.

Jetzt haben wir nur noch 2 Hoffnungen, wobei die Chancen nicht gut stehen werden. Entweder auf dem befallenen System mithilfe einem Restore tool wie PhotoRec versuchen auf die Daten zurückzugreifen bevor der Virus alle dateien verschlüsselt hat. Oder die Backupplatte irgendwie wieder flot zu machen.

Kennt ihr Tools das bei einer fast total defekten Festplatte noch etwas bewirken kann um an die Daten ranzukommen? Sehen tu ich sie ja. Bloß ist der Zugriff extrem langsam.

Was für Optionen gäbe es noch? Im worst case muss die Backup Platte an eine Spezialfirma dann wird es teuer. Es sind aber gut 500GB Dokumente und eigentlich die ganze Firmenpräsenz.

Was würdet ihr tun?

Achja die verschlüsselten Dateien des Virus sind schon deleted.
Mitglied: agowa338
26.03.2016, aktualisiert um 02:15 Uhr
Wenn die Daten produktionskritisch bzw. von hoher Wichtigkeit sind, solltest du dich schnellstens mit einem Datenrettungsexperten z. B. Kroll Ontrack in Verbindung setzen. Da gibt es keine andere Möglichkeit, das Kind ertrinkt bereits im Brunnen.
Die haben Erfahrung und u. a. Spezialgeräte zur Wiederherstellung selbst bei Mechanischen defekten.

Sind dir die Daten nicht ganz so wichtig, kann man ja den Komplettverlust riskieren.
  1. 2 Platte mit gleichem oder mehr Speicherplatz besorgen
  2. Linux Live CD einwerfen und ddrescue nachinstallieren (Das Tool kopiert alle lesbaren Bits von der Platte auf die andere)
  3. Die defekte Platte auf mittels ddrescue auf die 1. neue Platte kopieren
  4. Mittels dd die 1. neue Platte auf die 2. neue kopieren (Nicht mit der zweiten arbeiten, das ist unser Backup, sollten die Daten auf der 1. neuen Platte durch die Wiederherstellungsversuche beschädigt werden mittels dd von der 2. wieder auf die 1. Kopieren und erneut mit der 1. Versuchen)
  5. Überprüfen, welche Dateien unbeschädigt sind (Nur weil die Datei da ist, heißt das nicht, dass sie unbeschädigt bzw. Verwendbar ist)
  6. z. B. Mittels PhotoRec Daten von der einen neuen Platte wiederherstellen

Sind die Daten unwichtig dann in die Tonne und die User belehren.

P. S. Spätestens jetzt ist der Zeitpunkt für ein Redundantes Backup gekommen (muss nichts großes sein, z. B. ein simples NAS mit RAID-1 und Sicherung im Differenziellen Modus mit mehreren Ständen).
Bitte warten ..
Mitglied: Lochkartenstanzer
26.03.2016 um 10:39 Uhr
Zitat von @staybb:

Kennt ihr Tools das bei einer fast total defekten Festplatte noch etwas bewirken kann um an die Daten ranzukommen? Sehen tu ich sie ja. Bloß ist der Zugriff extrem langsam.

Moin,

Hardwaredefekte können durchj keine ncoh so guten Tools behoben werden. Wenn die Daten wirklich wichtig und (viel) Geld wert sind, solltet Ihr sofort einen Dienstleister kontaktieren und schauen, daß Ihr nicht selber dran rumdoktert.

Ansonsten würde ich ja normalerweise sagen, dann nimmt man halt einfach ein älteres Backup, wenn das neueste nicht mehr geht, aber ich vermute habt Ihr fahrlässigerweise nur eine Generation Backups statt mehreren (>2) vorgehalten.

Falls die Daten wichtig sind aber euch ncoiht genug Geld wert, um einen Dienstleister zu beauftragen, solltet Ihr als erstes ein Image mit ddrescue ziehen, damit zumindest die fuktionierenden Sektoren der Platte gerettet werden können.

Danach kann man mit testdisk o.ä. von dem Image (das ihr vorher nochmal sichert!) die Daten herunterzukratzen.

Auf jeden fall ist das eine Aufgabe für einen, der sich damit auskennt, wenn die daten wichtig sind. Ansonsten einfach alle slöschen und from scrath frisch anfangen.

lks
Bitte warten ..
Heiß diskutierte Inhalte
Off Topic
Realistische Gehaltsvorstellung für eine "IT-Allroundkraft"
gelöst JiggyLeeVor 1 TagFrageOff Topic23 Kommentare

Hallo an alle, ich hege momentan den Wunsch mich von der alten verstaubten Behörden Bürokratie und langweiliger Aufgaben los zu lösen und in einem ...

LAN, WAN, Wireless
Starlink im Unternehmen?
0xFFFFVor 9 StundenFrageLAN, WAN, Wireless29 Kommentare

Guten Morgen Admins, leider leiden wir darunter, dass wir uns hier in DE noch in einem Entwicklungsland was die Internetanbindung angeht, sehr. Nun kam ...

Microsoft
Datenkrake - Browser
DennisWeberVor 1 TagErfahrungsberichtMicrosoft10 Kommentare

Hallo zusammen, ich empfehle euch mal definitiv in "Temp" Verzeichnis eures Browsers zu schauen. Es war für mich erschreckend, wie viele wichtige Dokumente und ...

Netzwerkmanagement
Sicherheitsrisiken Synology DS Admin Konto
RitchtoolsVor 1 TagFrageNetzwerkmanagement6 Kommentare

Hallo Zusammen, ich habe die Pflege von einem Firmen NAS übernommen (Synology) es sind mehrere Rechner im Netzwerk die auf Daten zugreifen. Leider hat ...

Off Topic
Klimaanlage im Serverraum
gelöst imebroVor 5 StundenFrageOff Topic19 Kommentare

Hallo, wir haben einen kleinen Serverraum (viell. 5 - 6 m²), in dem ein Serverschrank steht. Der Raum hat kein Fenster!!! Darin befinden sich ...

Grafikkarten & Monitore
Monitorhalterung mit 80cm Armlänge
ben1300Vor 1 TagFrageGrafikkarten & Monitore7 Kommentare

Guten Abend ! ich bin auf der Suche nach einer Monitorhalterung, im besten Fall ohne Bohrung für einen 28" Monitor (Vesa Halterung). Nun kommt ...

Windows 10
Windows 10 hängt bei Neustart immer bei "Bitte warten" über Stunden
gelöst Odde23Vor 7 StundenFrageWindows 1023 Kommentare

Ich habe seit längerem, um genau zu sein seit gut einem Jahr, da wurde der Rechner gekauft, das Problem, dass der Rechner bei einem ...

Cloud-Dienste
Cloud PBX bzw. IP Telefon für Ausland
decehakanVor 1 TagFrageCloud-Dienste3 Kommentare

Hallo Zusammen, Ich suche Cloud Telefon ( Cloud PBX, IP-Telefon), sodass ich von Ausland aus über eine deutsche Rufnummer auf mein Handy erreichbar bin. ...