@Twostone
Eigntlich hatte ich den Micro-Server als Streaming- und eMail-Server gedacht.
Heißt ein paar Filme sind auf der Festplatte ( natürlich legal ) und diese dann im Heimnetzwerk per TV ansehbar.
Der eMail-Server von Tobit.David läuft ohne Probleme - eMails sind nicht verschlüsselt worden.
Mehr hatte ich da, bis dato, eigl. nicht mit vor.
---
Also es sind hauptsächlich Daten im User-Verzeichnis betroffen, wie halt .doc und .pdf-Dateien. Dort waren auch ein paar Bilder dabei, die ebenfalls verschlüsselt wurden.
Ich habe zwei User auf dem Würfel: Einmal den Admin ( dieses User-Verzeichnis ist komplett frei von Verschlüsselungen! ) und eben mein User-Verzeichnis, wo sämtliche Daten und Verzeichnisse betroffen sind.
Es sind aber auch Log-Files auf C: betroffen, die z.B. von Intel automatisch erstellt werden ( onBoard-Grafik ), diese sind zwar völlig unwichtig, wurden aber verschlüsselt. Genauso wie das Verzeichnis von meinem Canon Drucker-Treiber auf C:. Auch das wurde komplett verschlüsselt, obwohl das lediglich der Treiber für den Drucker ist, also eigl. völlig wertloser Kram.
Von dem Streaming-Server Serviio wurde das komplette Verzeichnis verschlüsselt. Da war zwar nichts drauf, aber alles davon ist infiziert. Microsoft OneDrive-Verzeichnis des einen Users auch.
Allerdings wurde die Datei 'ntuser.ini' verschlüsselt, diese ist im User-Verzeichnis ( also in diesem Falle: C:\Users\Betroffener User ). Die Ordner unter C:\Users\Öffentlich sind zwar ebenfalls komplett verschlüsselt, da war allerdings nichts abgelegt.
Vom Firefox wurden ebenfalls die Daten im AppData-Ordner des Users unbrauchbar gemacht.
Ebenfalls komisch ist, auf der HDD mit dem Mail-Server wurde das Verzeichnis des Mail-Servers selbst nicht verschlüsselt ( dort, wo die eMails eingehen und verteilt werden ), jedoch der Client schon. Und die Verschlüsselungs-Meldung kam nur bei einem User, nicht aber bei dem Admin-User selbst. Es waren auch die Bild- und Textdatei, die beim Anmelden im Autostart sind ( habe ich oben angehängt ) nur bei einem User.
Ansonsten kann ich nichts erkennen, wie und vor allem wodurch der Angreifer kam. Alle User sind mit Kennwörtern geschützt ( bei der Anmeldung in Windows selbst ).
Was 'sein kann', ich mir aber nicht vorstellen kann, dass der Angriff durch eine eMail ausgelöst wurde. Aber wie ich schon sagte, verdächtige eMails lösche ich sofort und öffne niemals einen Anhang ( schon gar keine .exe oder .pdf, dessen Absender ich nicht kenne ). Daher verstehe ich das absolut nicht.
Mir ist auch aufgefallen, dass der Desktop-PC scheinbar nicht betroffen ist, da dort nicht eine einzige Datei verschlüsselt ist. Am Würfel habe ich eine Systemwiederherstellung gemacht auf 2 Tage vor dem Angriff. Dort war das eMail Client-Verzeichnis wieder unverschlüsselt ( nicht das eMail Server-Verzeichnis! ), heute schaue ich in das selbe Verzeichnis und es ist wieder mit .WALLET-Dateien verschlüsselt.
Auf dem Würfel war auch Java installiert, evtl. war das ein Eintritts-Tor. Ansonsten wüsste ich wirklich nicht, was die Einladung gewesen sein könnte!
---
Wäre eine Hardware-Firewall evtl. interessant? Aber kann ich diese Einfach zwischen den Würfel klemmen und diese Firewall dann an die FRITZ!Box? Momentan ist der Würfel am Switch, wo alle LAN-Geräte im Haus dran hängen und dieser Switch ist an der FRITZ!Box. Würde es gehen, dass ich an den zweiten LAN-Anschluss der FRITZ! dann die Hardware-Firewall klemme und dort dann nur den Würfel? Ist dieser dann weiterhin so erreichbar wie bisher oder muss da was konfiguriert / eingestellt werden? Oder wird diese Hardware-Firewall einfach wie der DLink-Switch aktuell einfach nur angeklemmt und der Rest wird automatisch abgefiltert?
Habe da von 'https://www.alternate.de/Netgear/FVS318G-v2-Firewall/html/product/1183452?' eine recht günstige Firewall gefunden, wenn diese ausreichend wäre?!
Kenne mich in der Materie aber überhaupt nicht aus, da ich das noch nie benötigt habe. Bisher reichte immer die FRITZ!Box + Switch und ich hatte auch so einen Fall noch nie erleben müssen. Bisher war das Schlimmste mal vor ein paar Jahren ein Virus auf dem Desktop-PC, der aber wohl von einer unseriösen Seite kam. Seitdem war ich immer doppelt vorsichtig, was lade ich von wo herunter - und seit dem hatte ich auch nichts weiteres mehr auf den Rechnern ( bis auf ein paar Cookies ).
Mit VPN habe ich mal experimentiert, allerdings verlief die Anmeldung über die FRITZ!Box und vom iPhone klappte das auch ganz gut, aber wie das per PC geht habe ich nicht hinbekommen. Ist es auch wirklich nötig im eigenen Netzwerk mit VPN auf den Würfel zu gehen? Der eMail-Server läuft über die Mail-App des iPhones und wird per SSL-Verschlüsselung angesprochen.
---
Was ich in der Ereignisanzeige noch gefunden habe, sind diese Aufzeichnungen zum Zeitpunkt der Verschlüsselungen ( gibt noch mehr Einträge, aber ich habe keine Ahnung, was da passiert ist ):
Anhang anzeigen 1.txt Anhang anzeigen 2.txt Anhang anzeigen 3.txt Anhang anzeigen 4.txt
![Kenny [CH]](https://pics.computerbase.de/forum/avatars/s/368/368069.jpg?1218633259){kind=avatar}
