Wir haben schon zwei mal einen "Ransomware"-Befall gehabt, trotz AV, EP und diversen anderen Sicherungsvorkehrungen. Zum GlĂĽck haben wir ein ordentliches Backup mit etlichen Snapshots und davon nochmal einen Spiegel.
Bis jetzt konnte man die verschlüsselten Dateien bspw. noch am suffix erkennen. Ändert sich das irgendwann mal, wird es schwer einzelnde Dateien zu recovern. Allenfalls über Das Änderungsdatum wäre das noch per script einfach möglich.
Wenn die Malware sich aber erstmal schlafen legt und dann stück für Stück anfängt Dateien zu verschlüsseln wird es schwieriger sofern man es nicht schnell genug bemerkt. Man kann dann höchstens noch jede Datei einzeln aus individuellen Backupsnapshots recovern.
Das Problem ließe sich sicher mit einer sorgfältigen Rechtelimitierung eingrenzen. Aber bestimmte Managergruppen aus den höheren Ebenen kann man sowas nicht erklären. Die meiste Gefahr geht von ihnen aus, da sie auf "alles" berechtigt werden wollen - dazu auch noch mit Schreibrechten. Und aus bequemlichkeitsgründen müssen auch noch etliche Sicherungsmaßnahmen für diese Leute ausgehebelt werden.Ich frage mich wirklich ob das Überall so läuft?
Mfg