seitek
Goto Top

Verschlüsselte Datei auf Netzlaufwerk

Hallo zusammen,
wir haben bei uns gerade das Problem, dass eine Datei, sowie ein Ordner verschlüsselt sind. Natürlich weiß niemand wer diesen Ordner, oder Dateien verschlüsselt hat.
Wie auf dem Bild zu sehen, wird leider auch kein Nutzer mit Zugriff auf die Datei angezeigt. Auch ein Besitzer kann von Windows nicht ermittelt werden.

Besteht noch die Möglichkeit diese Daten wieder zu entschlüsseln? mit Administratorberechtigungen komme ich leider nicht weiter.

Es handelt sich dabei um eine Datei und einen Ordner in einem anderen Verzeichnis. Beide Dateien liegen auf einem Netzwerklaufwerk. Der Ersteller war kein Administrator.

Falls ich wichtige Infos vergessen habe, lasst es mich gerne wissen.

Vielen Dank für eure Hilfe.
verschluesselte_datei

Content-ID: 5920253716

Url: https://administrator.de/forum/verschluesselte-datei-auf-netzlaufwerk-5920253716.html

Ausgedruckt am: 26.12.2024 um 15:12 Uhr

2423392070
2423392070 09.02.2023 um 10:58:04 Uhr
Goto Top
Backup?
Ansonsten schrillen mir die Alarmglocken.
Seitek
Seitek 09.02.2023 um 11:01:04 Uhr
Goto Top
Ja, es gibt ein Backup. Leider wurde die Datei das letzte mal 2020 angefasst. So lange werden Die Backups nicht gespeichert. (Verschlüsselt mit gesichert.)
Lochkartenstanzer
Lochkartenstanzer 09.02.2023 aktualisiert um 11:05:34 Uhr
Goto Top
Moin,

ich sehe da nur eine Möglichkeit: Die Lehrer müssen sich hinsetzen und die Klassenarbeit neu schreiben. face-smile

lks

PS: Und man sollte sich die Sicherheitsinfrastruktur auf dem System mal anschauen. (Alte Nuzter deaktivieren, Paßwörter ändern, etc.)
5175293307
5175293307 09.02.2023 aktualisiert um 11:17:36 Uhr
Goto Top
Zitat von @Lochkartenstanzer:
ich sehe da nur eine Möglichkeit: Die Lehrer müssen sich hinsetzen und die Klassenarbeit neu schreiben. face-smile
OMG, das kannst du denen nicht zumuten, da müssten sie ja "Arbeiten", ob sie das so schnell hinbekommen 🤪.

Rundmail an alle Lehrer: "Wer war das? Bitte melden sonst, Kaffeeentzug für alle für 5 Jahre..."

Bist du denn überhaupt sicher daß es NTFS Verschlüsselt ist und nicht Ransomware dahinter steckt? Wenn ja dann extrahier doch mal den öffentlichen Schlüssel für mehr Infos zur Person
https://ss64.com/nt/cipher.html
2423392070
2423392070 09.02.2023 um 11:17:05 Uhr
Goto Top
Ist es denn überhaupt ein PDF oder war es Mal?
Seitek
Seitek 09.02.2023 um 13:01:25 Uhr
Goto Top
Danke für die Hilfe. Habe in einem Backup noch eine unverschlüsselte Datei gefunden.

Danke an @5175293307 für die Info. Den Verdacht hatte ich auch schon. Wobei es doch sehr komisch ist, dass nur diese eine/zwei Dateien davon betroffen sind.

Viele Grüße.
anteNope
Lösung anteNope 09.02.2023 um 13:41:57 Uhr
Goto Top
Wenn Domäne vorhanden, kannst du via GPO die Verschlüsselung durch Benutzer verbieten. Das passiert manchmal unbeabsichtigt oder auch mit voller Absicht. Einfach die NTFS-Verschlüsselung verbieten und gut ist.

Ich hatte das nämlich bei einem Kunden auch mal. Da kann man nur noch die Entschlüsselung pro Benutzer durchlaufen lassen bis alles entschlüsselt ist. Richtig blöd wird es nur wenn es den Benutzer nicht mehr gibt 😅
Lochkartenstanzer
Lochkartenstanzer 09.02.2023 um 14:52:13 Uhr
Goto Top
Zitat von @anteNope:

Richtig blöd wird es nur wenn es den Benutzer nicht mehr gibt 😅

Deswegen löscht man Benutzer i.d.R. nicht, sondern deaktiviert sie nur. face-smile

lks
Seitek
Seitek 09.02.2023 um 14:58:36 Uhr
Goto Top
Zitat von @anteNope:

Wenn Domäne vorhanden, kannst du via GPO die Verschlüsselung durch Benutzer verbieten. Das passiert manchmal unbeabsichtigt oder auch mit voller Absicht. Einfach die NTFS-Verschlüsselung verbieten und gut ist.

Ich hatte das nämlich bei einem Kunden auch mal. Da kann man nur noch die Entschlüsselung pro Benutzer durchlaufen lassen bis alles entschlüsselt ist. Richtig blöd wird es nur wenn es den Benutzer nicht mehr gibt 😅

Danke für den Tipp. Das werde ich berücksichtigen.
anteNope
anteNope 10.02.2023 um 09:30:42 Uhr
Goto Top
Zitat von @Seitek:
Danke für den Tipp. Das werde ich berücksichtigen.

Also man kann sich ein Skript bauen, was einfach das gesamte Laufwerk auf dem Server durchgeht und entschlüsselt was verschlüsselt ist. Am einfachsten ist es, dies als "ausführen als" im Server direkt laufen zu lassen. Einmal pro Benutzer und dann sollte alles entschlüsselt sein. Leider habe ich das Skript nicht mehr und das ist locker ~5 Jahre her ...

Hier die Einstellungen für die GPO:
clipboard01
TwistedAir
TwistedAir 11.02.2023 um 12:38:54 Uhr
Goto Top
Moin,

der Thread ist ja schon gelöst, der TO dank eines vorhandenen Backups glücklich. face-smile

Rein Interesse halber: heute Morgen bin ich durch Zufall über das Sysinternals-Tool "EFSDump" https://learn.microsoft.com/en-us/sysinternals/downloads/efsdump gestolpert. Hätte dieses dem TO geholfen den Verursacher zu ermitteln, um dann wie von @anteNope vorgeschlagen zu entschlüsseln? Nur, dass dann nicht alle Benutzer durchprobiert werden müssten...

Gruß
TA
anteNope
anteNope 13.02.2023 um 12:12:12 Uhr
Goto Top
Zitat von @TwistedAir:
https://learn.microsoft.com/en-us/sysinternals/downloads/efsdump gestolpert. Hätte dieses dem TO geholfen den Verursacher zu ermitteln

Durchaus interessant. Bei uns lagen die überall verstreut auf dem abzuschaffenden Server. Wir hatten damals einfach die Brechstange genutzt 😅
5175293307
5175293307 13.02.2023 um 12:53:15 Uhr
Goto Top
Cipher kann es auch mit Bordmitteln:
cipher /c test.txt
3063370895
3063370895 13.02.2023 um 12:59:06 Uhr
Goto Top
Zitat von @5175293307:

Cipher kann es auch mit Bordmitteln:
cipher /c test.txt

Was ist denn mit Wurstel passiert
StefanKittel
StefanKittel 27.02.2023 um 14:01:29 Uhr
Goto Top
Zitat von @Lochkartenstanzer:
Deswegen löscht man Benutzer i.d.R. nicht, sondern deaktiviert sie nur. face-smile
Mache ich auch so.

Wobei es aus Datenschutz sicht nicht erlaubt ist.
Laut Datenschutzfraggle müssen alte Benutzer Accounts und Profile gelöscht werden.
Die Profile dürfen auch nicht archiviert werden. Könnte ja privates bei sein face-wink

Stefan
Lochkartenstanzer
Lochkartenstanzer 27.02.2023 um 16:01:31 Uhr
Goto Top
Zitat von @StefanKittel:

Zitat von @Lochkartenstanzer:
Deswegen löscht man Benutzer i.d.R. nicht, sondern deaktiviert sie nur. face-smile
Mache ich auch so.

Wobei es aus Datenschutz sicht nicht erlaubt ist.
Laut Datenschutzfraggle müssen alte Benutzer Accounts und Profile gelöscht werden.
Die Profile dürfen auch nicht archiviert werden. Könnte ja privates bei sein face-wink

Laut GODB mußt Du das alles aber aufheben. face-smile

lks
StefanKittel
StefanKittel 27.02.2023 um 16:55:49 Uhr
Goto Top
Zitat von @Lochkartenstanzer:
Laut GODB mußt Du das alles aber aufheben. face-smile
Und auch laut GODB musst Du bestimmte Dinge, abgelehnte Bewerbungen und ausgeschiedene Mitarbeiter, sofort löschen.
Der Verantwortliche ist eh Schuld. Egal ob A oder B.
2423392070
2423392070 27.02.2023 um 17:03:01 Uhr
Goto Top
Die GODB regelt die Datensparsamkeit?
Das zum Montag?