Klar, die Benutzer dürfen natürlich keine Zugriff auf die Backups haben, verbietet sich ja schon aus Datenschutzgründen. Die serverseitigen Schattenkopien sind ausserdem auch nie von den Viren gelöscht worden, der Virus löscht falls er Admin-Rechte auf dem lokalen PC hat zwar die die Schattenkopien aber auf dem Server sind noch alle Dateien mit dem Stand des letzten Snapshot vorhanden. System-Neuinstallation ist bei ALLEN mir bekannten Cryptoviren vollkommen unnötig, die verwenden allesamt kein Rootkit, ersetzen/infizieren keine Systemdateien, bei JEDER Infektion die mir untergekommen ist (bestimmt 30 - 40 Stück) war der Virus nachher eine ganz normale EXE Datei im %TEMP% Verzeichnis des Benutzers der den Virus aufgerufen hat, manchmal alternativ auch im %AppData% oder %LocalAppData% Verzeichnis. Warum? Es ist nicht erforderlich hier große Verrenkungen zu betreiben um den Virus zu verstecken. Die Anwender sind unbedarft genaug dass sie eh alles anklicken was nicht bei 3 auf den Bäumen ist und ein Crypto-Virus hat ja nichts davon dass er wochenlang unbemerkt auf dem Rechner ist, nach 2-3 Stunden ist der mit seiner "Arbeit" durch.
... Mehr anzeigen