Neu super GAU System mit Verschlüssellngstrojaner befallen

Mike02

Gut bekanntes Mitglied
17. Dezember 2012
432
19
Hallo Leute,

ich hoffe ihr könnt mir hier helfen.

Seit Samstag sind wir von einem Verschlüssellungstrojaner betroffen und das system ist lahm gelegt. Leider sind auch alle Backupdateien auf der eingebundenen Backupplatte verschlüsselt.

Vor ca. einem Monat hatte ich mal ein Backup vom VM auf eine andere Festplatte kopiert um etwas auf einem anderen System zu testen. Diese können wir nun wieder einspielen.

Wie ist das jetzt mit den ganzen Aufträgen seit diesem tag (ca. 5000) und den neu angelegten Artikel (die im JTL Shop wie auch bei Amazon und Ebay) online sind.

1. werden alle Aufträge neu abgeholt und sind die die bereits versendet wurden dann auch als versendet in der Wawi ?
2. kann ich die neuen Artikel die ja im Shop online aber nicht in der alten wawi vorhanden sind über den Shop in die Wawi importieren?

Gruß Mike
 

NETZdinge.de

Sehr aktives Mitglied
7. April 2010
2.117
282
Also die Aufträge kommen alle als neu rein. Die kannst du dann „ohne Versand abschließen“…

Für die neuen Artikel würde ich eine Exportvorlage aus dem Shop nutzen und die Artikel damit per Ameise in die Warenwirtschaft einlesen… Damit würde ich anfangen, bevor der Worker gestartet wird und Aufträge ein gelesen werden.

und für die Zukunft empfehle ich neben dem lokalen Back-up auch ein Back-up außer Haus… mit der Software sqlbackupandftp Kann man das wunderbar machen.
 
  • Gefällt mir
Reaktionen: Horus Sirius

Mike02

Gut bekanntes Mitglied
17. Dezember 2012
432
19
Hallo,

danke dir.

Das Backup war ausser Haus. Nur leider war es als Netzlaufwerk auf dem Server eingebunden und wurde nun so auch befallen. Wir haben jetzt einen zweiten Server mit 2x 2TB angemietet und werden in Zukunft alle Backups dort speichern und diese natürlich nicht als Laufwerk mit einbinden. Aus Fehlern wird mann immer schlauer.

Gruß
Mike
 

Mike02

Gut bekanntes Mitglied
17. Dezember 2012
432
19
Hallo,

noch eine Frage.

Ich habe jetzt gerade die Datei aus JTLShop als CSV exportiert. Leider werden die Preise teilweise als Datum 02. Feb usw angezeigt. Ist das egal beim Impritieren und sind die preise dann in der Wawi richtig ?
 

NETZdinge.de

Sehr aktives Mitglied
7. April 2010
2.117
282
Hallo,

danke dir.

Das Backup war ausser Haus. Nur leider war es als Netzlaufwerk auf dem Server eingebunden und wurde nun so auch befallen. Wir haben jetzt einen zweiten Server mit 2x 2TB angemietet und werden in Zukunft alle Backups dort speichern und diese natürlich nicht als Laufwerk mit einbinden. Aus Fehlern wird mann immer schlauer.

Gruß
Mike

Ja, das meine ich ja, entkoppelt...
 

NETZdinge.de

Sehr aktives Mitglied
7. April 2010
2.117
282
Hallo,

noch eine Frage.

Ich habe jetzt gerade die Datei aus JTLShop als CSV exportiert. Leider werden die Preise teilweise als Datum 02. Feb usw angezeigt. Ist das egal beim Impritieren und sind die preise dann in der Wawi richtig ?

nimm die CSV wie sie ist für die Ameise oder öffne mit Open Office... excel Hat leider dumme Eigenart, die Daten interpretieren zu wollen…

In Excel kannst du aber auch in das Feld A1 klicken und dann über die Sektion Daten die Datei importieren… Google mal... Dann kommt ein Fenster, in dem du die Trennzeichen und so weiter wählst und dann kannst du für jede Spalte den Datentyp wählen... Da machst du einfach Text. Dann werden Zahlen nicht als Datum interpretiert…
 

MichaelH

Sehr aktives Mitglied
17. November 2008
13.810
1.540
ad Mike02

Das klingt alles sehr hemdsärmelig.
Erstell dir zuerst eine Gesamt-Vorgangsweise zur Lösung.

Du musst Wareneingänge als auch Warenausgänge für die Lagerführung erstellen (ggf. Lagerbestand heute - im Shop exportieren, als Kontrolle deiner Maßnahmen)
Am Ende "sollte" der Lagerbestand korrekt sein.
Weiters kommst du nicht umhin sämtliche Belege zu erstellen - Rechnungen, Gutschriften, etc. denn du hast ja nichts davon.
Dies mit gleichen Nummern zu schaffen wird dir wohl nicht gelingen.
Zahlungen, automatische, manuelle.
etc.

Ich würde erst mal die Bude dicht machen und für die Wiederherstellung der Daten von 1 Monat (5000 Aufträge) mind. 2-3 Tage oder gar 1 Woche ansetzen, damit du am Ende wieder sauber bist.
Und fortlaufend eine Datensicherung machen damit du ggf. wieder zu einem Punkt in deiner Gesamtarbeit zurückkehren kannst, wenn du etwas versaut bzw. dazugelernt hast.

Keine leichte Aufgabe, viel Erfolg !!
 

NETZdinge.de

Sehr aktives Mitglied
7. April 2010
2.117
282
Naja, eine Inventur tut es auch... Belege, ja, bei mir liegen die im Drucker und auf dem Mailserver, sind also da... das müsste man prüfen, wenn da natürlich nix da ist, da ist’s blöd...

Aber dann könnte man einen neuen Nummernkreis anfangen und den Rest nebenbei sukzessive aufarbeiten...

Weihnachtsgeschäft eine Woche nicht machen, ist wohl keine gute Option…
 

Verkäuferlein

Sehr aktives Mitglied
29. April 2012
2.343
838
Seit Samstag sind wir von einem Verschlüssellungstrojaner betroffen und das system ist lahm gelegt. Leider sind auch alle Backupdateien auf der eingebundenen Backupplatte verschlüsselt.

Meine erste Frage wäre ja, seid Ihr entsprechend versichert?
Denn davon hängt meines Erachtens das weitere Vorgehen ab.

Dann gibt es diverse Fragen:
1.) Polizei einschalten?
2.) Welcher Verschlüsselungstrojaner?
3.) Wie ist der Infektionsweg?
4.) Gibt es eventuell Entschlüsselungsprogramme?
5.) Wenn versichert: Hat / zahlt die Versicherung IT-Forensiker / Fachleute, die bei der Entschlüsselung helfen können?
6.) Welchen alternativen Weg der Rekonstruktion von Daten gibt es?

Klar kann man auch mit #6 anfangen oder das parallel betreiben, um einen Plan B zu haben. Aber unter Umständen lässt sich das Ganze eben auch entsprechend einfacher lösen, wenn z.B. schon ein Entschlüsselungsweg bekannnt ist.
 

John

Sehr aktives Mitglied
3. März 2012
2.592
496
Berlin
Interessant. Wie hat der Trojaner es geschafft, die eigentliche eazybusiness.mdf Datenbank Datei zu verschlüsseln? Ist die nicht während des Betriebs des SQL Servers für externe Schreibzugriffe gesperrt? Oder hat der Trojander den DB Server gekillt und dann verschlüsselt?
 
  • Gefällt mir
Reaktionen: Horus Sirius

Mike02

Gut bekanntes Mitglied
17. Dezember 2012
432
19
hat den Datenbankserver verschlüsselt.

Wir hatten zum Glück doch noch externe Datenbanksicherungen und konnten die Wawi auf den Stand 1 Stunde vor der verschlüsselung herstellen.

Alles gut ... keine Daten verloren ... zumindest was die wawi betrifft
 

PAO1908

Sehr aktives Mitglied
11. Oktober 2012
471
32
Schweiz
Hallo zusammen
Ich sichere auf ein Dropbox drive, sehe ich es richtig, dass in einem solchen Fall wie oben die Sicherungen, auch bestehende, ebenfalls unbrauchbar werden?
 

DaPole88

Gut bekanntes Mitglied
2. September 2015
211
24
Hallo.

ich kann nur eins empfehlen:

SQLBackupAndFTP


In der Gratisversion funktioniert das Backup etc. Man bekommt aber nach 30 Tagen aber keine Emails bzw alle features, die bezahlt werden müsse, werden abgeschaltet.

Das Tool zippt die Datenbank und ballert das direkt auf dem FTP (z.B. Dort wo die Webseite gehostet wird)

Ist in meinen Augen eine der besten Sicherungen, die man machen kann. Dort kommt kein Trojaner ran.

Beste Grüße

PS: Ich hatte es damals so konfiguriert, dass 2 mal am Tag gesichert wird.... Zum Glück nicht gebraucht, aber sicher ist sicher :)
 
  • Gefällt mir
Reaktionen: SebiW

hula1499

Sehr aktives Mitglied
22. Juni 2011
5.154
1.073
Ist in meinen Augen eine der besten Sicherungen, die man machen kann. Dort kommt kein Trojaner ran.

Ich möchte ja jetzt nicht wieder der Spielverderber sein...aber das würde ich so nicht unterschreiben.

Je nach eingesetztem Script werden:
.) Netzlaufwerke gesucht und dort "weitergearbeitet"
.) geprüft ob diverse FTP Clients installiert sind und ob man sich mit dem Eindringlingsscript dorthin auch verbinden kann (Filezilla, als Beispiel, hat in alten Versionen das PW unverschlüsselt abgespeichert).

SQLBackupAndFTP ist jetzt kein unbekannter Kleiner, keine Ahnung ob der auch in diversen Scripts mitgeprüft wird.
Das hat jetzt nichts mit dem Programm selbst zu tun, wir sichern damit auch alle 2 Stunden auf diverse Stellen inhouse/outhouse und von dort dann nochmals weiter, aber ganz "sicher" darf man auch damit auch nicht sein.
 

Robin

Gut bekanntes Mitglied
22. August 2014
137
18
Ich schmeiße mal SQL Backupmaster in den Raum. Einfach einzurichten und funktioniert in der kostenlosen Version für mich einwandfrei. Die Datenbank wird auch automatisch nach der Sicherung in ein .zip Archiv gewandelt. Habe ein tägliches Backup per FTP auf meinen Webserver und ein Backup meiner Datenbank auf einer externen Festplatte.
 
  • Gefällt mir
Reaktionen: Horus Sirius

Xantiva

Sehr aktives Mitglied
28. August 2016
1.787
313
Düsseldorf
Erst mal Glückwunsch für das Backup, was nur eine Stunde alt war!

Ich habe vor kurzem mein altes QNAP NAS gegen ein neues ausgetauscht. Das ermöglicht mittlerweile Snapshots vom Inhalt, der dann unveränderlich ist (sein soll) und als Schutz vor solchen Verschlüsselungen angepriesen wird. Nicht destotrotz werden die Daten dann auch noch mal in der Cloud gesichert.
 

Shopworker.de

Offizieller Servicepartner
SPBanner
4. Januar 2011
4.114
542
Arnsberg, Sauerland
@Xantiva Mir hat ein Itler vor einigen Wochen auch erzählt, dass es quasi "nur beschreibbare" Backuplösungen gibt, die dann vor Verschlüsselungstrojanern schützen sollen.
Hast du mal nen Link zu der von dir gekauften Lösung?
Danke, Stephan
 

JonasHillmann

Neues Mitglied
15. Dezember 2020
3
0
Hallo,

so beknackt die Antwort auf sein mag... ich kann Dir nicht helfen bzgl. Schutz vor zukünftigen Fall, kann aber aus einer Erfahrung einer befreundeten Firma berichten. Deren Datenbank wurde aufgrund eines mit "Standard-Passwort" versehenen VPN-Zugang (selber schuld) befallen bzw gehackt. Dahinter steckt in dem Fall eine russische Hackergruppe, die im Internet mit professionellem Kundensupport aufwartete (Hotline, Service-Chat, mehrsprachiger Service) und nach Zahlung einer Pauschale die Verschlüsselung auch wieder aufhob. Selten verschlüsselt Dir jemand Deine Daten aus reinem Jux. Das sind oftmals knallharte (kriminielle) Geschäftsmodelle. Diese besagte befreundete Firma windete sich durch die Zahlung des "Lösegeldes" und danach Aufbau einer professionellen Firewall-Infrastruktur aus der Sache raus und kam mit einem blauen Auge davon
Die Frage, die Du Dir selber beantworten musst, ist natürlich, ob Du Dich auf sowas einlassen willst, wie groß der Schaden ist, also ob es wirtschaftlich sinniger ist, Lösegelder zu bezahlen oder die Daten anderweitig zu recovern.

Da Dein Post allerdings vom 29.11. ist, vermute ich stark, dass Du schon ein deutliches Stück weiter bist und ein Freikaufen sowieso nicht mehr zur Debatte steht. Allerdings sollte man die Option zumindest immer im Blick haben. Am besten jedoch vorab durch entsprechende Schutzmechanismen verhindern, dass man überhaupt in diese Lage kommt...

Lg
Jonas
 

Ähnliche Themen