Spam PostNL

Pos schreef op donderdag 16 oktober 2014 @ 10:36:
Zoals TeQ99 meldt, heb je het origineel EN encrypted bestand nodig. Van daaruit bepaald de decrypt software de sleutel.

Wat ik zou voorstellen bij de mensen bij wie het hele systeem en backups encrypted zijn: maak een nieuw bestand van van meer dan 2MB welke de ransomware encrypt, zet dit direct op een usb (zo heb je het origineel), sla het daarna op op je pc, voer de ransomware wederom uit (indien mogelijk) zodat het nieuwe bestand ook encrypted wordt en volg daarna de aanwijzingen van TeQ99 nogmaals.

Ik heb helaas niet de mogelijkheid een VM te bouwen hier.

Echter is dit geen garantie dat het werkt, hier ook meerdere non-encrypted en encrypted files geprobeerd. Maar helaas een no-go. Lijkt te werken, tot je het decrypte bestand wilt zien. dan krijg je een melding dat welk programma dan ook er niets mee kan. - helaas

Het virus rukt op...

http://www.nu.nl/internet...rack-en-trace-e-mail.html
nieuws: Fox-IT waarschuwt voor verspreiding Torrentlocker-malware in Nederland

Hopelijk vindt Fox-IT of wie dan ook de juiste key. To be continued

Ik volg de bitcoin adressen op de blockchain.

Dit is 1 van de adressen die ik aantrof in een randsome note.
https://blockchain.info/address/1K3Z8tEDyo5FHtsGmxTZ4tbeuJdMMjEE72

Totaal ontvangen € 8,494.38

Die stuurt het dan weer door naar
https://blockchain.info/n...whVD9cWR59jfeinLMzag2GZ43

Totaal ontvangen € 33,638,232.14 Sinds maart dit jaar.
Eindsaldo € 41,209.47

En vanuit daar gaat het weer naar allemaal verschillende bitcoin adressen.

TeQ99 schreef op donderdag 16 oktober 2014 @ 16:57:
Ik volg de bitcoin adressen op de blockchain.

Dit is 1 van de adressen die ik aantrof in een randsome note.
https://blockchain.info/address/1K3Z8tEDyo5FHtsGmxTZ4tbeuJdMMjEE72

Totaal ontvangen € 8,494.38

Die stuurt het dan weer door naar
https://blockchain.info/n...whVD9cWR59jfeinLMzag2GZ43

Totaal ontvangen € 33,638,232.14 Sinds maart dit jaar.
Eindsaldo € 41,209.47

En vanuit daar gaat het weer naar allemaal verschillende bitcoin adressen.

Jezus Christus, 43,043,380.03

Die mensen, wie het ook mogen zijn, lachen zich op dit moment kapot.

Hier heb ik ook een PC staan die besmet is door TorrentLocker, de mensen waarvan die is hebben inderdaad een mail ontvangen en geopend, straks maar even vertellen wat er aan de hand is. De kans op herstel is minimaal.

Echt een rot virus, zo krijgen mensen wel een hekel aan pc's

Hoop dat ze de dader vinden ( vast niet, hoor bijna nooit dat de dader word opgepakt van zo iets ) Misschien als ze het betalingsverkeer volgen of ip adres en kunnen terug volgen naar de bron.
Ik hoop dat spam filters en virusscanners snel update's hiervoor uitbrengen, zodat er minder snel mensen geïnfecteerd raken. Ik neem aan dat dit niet alleen in Nederland is ?

ach ze moeten enkel een hekel krijgen aan zichzelf, dat ze te goedgelovig waren om erin te trappen...
Maar daarom ook de uitspraak van social engineers:
"mensen zijn (en blijven) de zwakste schakel in (online) beveiliging."

en waarom een worm of zelfverspreidend virus maken ofzo als je ze gewoon een mailtje kunt sturen en ze het zelf kunt laten uitvoeren en installeren ?
minder moeite nodig, meer impact... want zij die zo dom waren dat uit te voeren, gaan vaak ook minder rap aan de bel hangen dat er problemen met hun pc zijn...

Inmiddels de decryptlocker uitgeprobeerd, maar helpt spijtig genoeg niet.

Ik heb gelukkig nog geen klachten vanuit mijn familie- en vriendenkringen gehoord en zelf ben ik wel alert genoeg op dit soort mails om er niet in te tuinen.

Als ik het zo lees is het wel een nasty virus dus om er van af te komen...
Ik heb maar even een openbare waarschuwing op mijn Facebook pagina gezet met linkjes naar o.a. het nieuwsartikel en dit topic om de mensen in mijn kringen die wat minder ICT kennis hebben te waarschuwen.
Hij staat openbaar en voel vrij om hem te delen: https://www.facebook.com/joennuh/posts/649820871781932

Wij hebben uiteindelijk maar de beslissing genomen om te betalen.
Heb de bitcoins overgemaakt en wonder boven wonder de link gekregen en heb alles kunnen decrypten.

Het werkte in eerste instantie niet dus we hebben zelfs nog contact opgenomen met onze vriendelijke afpersers en een mail teruggekregen, daarna kon ik het programma downloaden en alles decrypten.

500 euro lichter maar wel erg blij dat we alles weer terughebben.

Hi Goeij

Ik ben eigenlijk wel benieuwd in hoeverre jouw link ook voor ons van toepassing kan zijn. Heb zelf ook al een Cryptolocker Decrypter gekregen en uitgeprobeerd. Inderdaad met dezelfde screenshots, maar na de herstart waren onze bestanden nog steeds decrypted.
Zou je mij een bericht kunnen sturen met de link? Mocht het werken dan maak ik me hier intern sterk om de helft mee te betalen. Gedeelte smart is halve smart zullen we maar zeggen... Ik hoor van je!

Greetz Gerard

Ik weet niet of dat gaat werken, zal niet iedere pc met een identieke sleutel zijn encrypt.

gerardbrom schreef op vrijdag 17 oktober 2014 @ 10:23:
Hi Goeij

Ik ben eigenlijk wel benieuwd in hoeverre jouw link ook voor ons van toepassing kan zijn. Heb zelf ook al een Cryptolocker Decrypter gekregen en uitgeprobeerd. Inderdaad met dezelfde screenshots, maar na de herstart waren onze bestanden nog steeds decrypted.
Zou je mij een bericht kunnen sturen met de link? Mocht het werken dan maak ik me hier intern sterk om de helft mee te betalen. Gedeelte smart is halve smart zullen we maar zeggen... Ik hoor van je!

Greetz Gerard

Ik denk eerlijk gezegd dat het alleen werkt als je betaald hebt, volgens mij houden ze het op afstand in de gaten oid. Ik kreeg eerst de link niet, nadaty ik de vraag had gesteld via hun site kreeg ik na een poosje opeens een scherm waar ik de software kon downloaden.

let goed op: als je betaalt, hou dan heel goed je transactie in de gaten. Het is theoretisch mogelijk voor iemand anders om jouw transacie te gebruiken om te doen alsof zij betaald hebben. dus: als je betaald hebt hou het adres in de gaten via blockchain.info https://blockchain.info/a...o5FHtsGmxTZ4tbeuJdMMjEE72 en zodra je transactie 1 bevestiging heeft verifieer dan de betaling. je zou ook kunnen proberen om te kijken of het ook al werkt zonder 1 bevestiging, dat heb ik niet geprobeerd.

En daarom ben ik dus al blij dat ik alleen maar op Linux machine's werk.

Ik hou dit in de gaten voor klanten van mijzelf !

En voor de liefhebbers:

dit zijn de gegevens van mail die ik van onze vrienden de afpersers heb gekregen:

--> Van: decrypthelp@mail15.com Tijd: 2014-10-16 15:43:50
--> Aan: XXXXXXX Actie: Toegestaan
--> Onderwerp: decryption Reden:
--> Size: 2775 Aflever Status: Afgeleverd
--> Bron IP: web21.pochta.ru[80.68.248.201] Aflever Detail: 250 2.6.0 378fda7ec37ef9edb6a740ccfe28a72d80f2afe2@mail.qip.ru [InternalId=10306932] Queued mail for delivery
--> ID: 1413467030-0495ae2db63c610001-Fe3pRh Delivery Time: 2014-10-16 15:43:51
--> Score: 0.7
--> Bestemmings server: xxxxxxx
--> Bekijk Bericht
--> Bekijk Bron
--> View Bayesian Data

Maar dit zijn wel slimme hackers dat ze wel zorgen dat je data niet helemaal kwijt bent. Dat je ervoor kan betalen.

Dan moet je je afvragen wat is je data waard? En heb je je data direct nodig. Want hackers zijn slim maar er zijn ook weer slimme hackers die het probleem willen oplossen alleen kost dat wat tijd.

En een vervolg les natuurlijk is je data wat waard => backuppen, nu betaal je 500 euro.
Maar een simpele backup was al veel goedkoper geweest.

Ik heb hier ook een pc van een klant staan met dit virus, tot nu toe heeft nog niets geleid tot het decrypten van de bestanden. En natuurlijk hebben ze ook geen backup gemaakt.

Joostje123 schreef op vrijdag 17 oktober 2014 @ 10:37:
Dan moet je je afvragen wat is je data waard? En heb je je data direct nodig. Want hackers zijn slim maar er zijn ook weer slimme hackers die het probleem willen oplossen alleen kost dat wat tijd.

Je mag er bij dit soort ransomware niet per se op rekenen dat er na verloop van tijd wel een universeel werkende decryption tool komt. Als de ransomware goed in elkaar zit, dan wordt voor ieder slachtoffer een andere key gebruikt bij het versleutelen. En dan krijgt ieder slachtoffer ook een ander betaal-adres te zien, waardoor de maker van de malware mensen een persoonlijke decryption-tool kunnen sturen die alleen voor die specifieke machine werkt.

Deze ransomware lijkt wat simpeler (sowieso: een Bitcoin-adres voor betalingen dat hergebruikt wordt? Iemand heeft een basiscursusje Bitcoin-commercie nodig), maar er zijn al versies geweest die beter in elkaar zaten.

Je hebt helemaal gelijk Joostje123. Uiteraard hebben we hier ook backups van alle servers, maar diverse pc's hadden gesharede c-schijven en ondanks Sophos antivirus heeft het virus zijn werk gedaan. En ja... binnen ons bedrijf was 1 'sukkel' die de link opende, captcha-code invoerde, zip ophaalde, uitpakte en het programma zijn werk liet doen.....

Afijn, we staan weer op scherp, gelukkig zijn onze databasebestanden niet aangetast en kunnen we gewoon verder. Maar heel veel collega's gaan erg blij worden van mij als ik kan decrypten. Zou de nodige voldoening geven zo net voor 't weekend

Zelf ook het mailtje binnen gekregen en via mijn telefoon hierop geklikt.
Er kwam een melding "Openen in Mijnpakket app" zoals altijd bij PostNL en hierop direct geklikt. Hier stond de melding dat je niet op dit soort mailtjes moest klikken, nou te laat dus

Gezien dit op mijn telefoon was ga ik ervan uit dat het geen kwaad kan? Na mijn weten heb ik verder ook niets gedowload (kwam ook op de HTTPS pagina van PostNL.nl uit).

Lijkt me inderdaad via je mobiel niet echt uit te maken.

Iemand deze al geprobeerd: ?
http://www.bleepingcomputer.com/forums/t/547708/torrentlocker-ransomware-cracked-and-decrypter-has-been-made/

Lijkt me sterk dat hier een algemene decrypttool voor gevonden voor gaat worden aangezien er nogal sterke encryptie gebruikt is. er was wel een site van foxit maar dat werkte voor zover ik weet via in beslag genomen encryptie-keys die verkregen waren bij een inval.

Persoonlijk kon ik het niet proberen omdat ik geen bestand had wat niet encrypt is, maar heb ergens gelezen dat het ook niet werkt.

Heb in het verleden ook al is zo'n decrypt iets gehad, heeft er iemand toevallig al een herstel gebruikt van een paar dagen terug ?, ( lijkt me te makkelijk maar you never know )

Ja heb systeemherstel gedaan naar de vorige maand maar werkt ook niet. Heb ook Shadow Explorer gebruikt om schaduwkopieen terug te halen. Maar dit was gebeurt op een schijf waar dat uit stond dus daar kon ik ook niets van terughalen.

Verwijderd schreef op vrijdag 17 oktober 2014 @ 10:55:
Iemand deze al geprobeerd: ?
http://www.bleepingcomputer.com/forums/t/547708/torrentlocker-ransomware-cracked-and-decrypter-has-been-made/

Lijkt me sterk dat hier een algemene decrypttool voor gevonden voor gaat worden aangezien er nogal sterke encryptie gebruikt is. er was wel een site van foxit maar dat werkte voor zover ik weet via in beslag genomen encryptie-keys die verkregen waren bij een inval.

Hier een 20 tal originele bestanden aangeleverd gekregen, geen van allen werkte.
De infectie was afgelopen maandag gebeurd.

Zonet kreeg ik toevallig deze mail binnen van PostNL:

Beste R,

Het is u vast niet ontgaan. Deze week werd bekend dat er besmette e-mails uit naam van PostNL worden verstuurd. Verschillende media hebben hier aandacht aan besteed en wij hebben u op de hoogte gesteld via een bericht op de MijnPakket Homepage en op social media.

Wat is er precies gebeurd?
Cybercriminelen versturen mails die doen geloven dat een koerier een pakket niet kon afleveren. Er wordt gevraagd op een link te klikken.Wanneer u op deze link klikt, download u schadelijke software die u bedreigt en vervolgens geld vraagt.

Via deze mail adviseren wij u nogmaals om deze e-mail meteen te deleten en niet op de link te klikken.

Verdere uitleg kunt u lezen op deze pagina.

Met vriendelijke groet,

Carlos Mendes Aguiar
Directeur Commercie

En klikken op de link? Haha

Rupie schreef op vrijdag 17 oktober 2014 @ 21:20:
Zonet kreeg ik toevallig deze mail binnen van PostNL:

[...]

Lol je was me voor, die kreeg ik vanmiddag ook. Ze gooien het nu over een andere boeg. Wel slim om door in te spelen op de ontstane ophef. Lekker stelletje.

Via deze mail adviseren wij u nogmaals om deze e-mail meteen te deleten en niet op de link te klikken.

Verdere uitleg kunt u lezen op deze pagina.

Ik kreeg de mail eerder op de avond en lag in een scheur. Een waarschuwing voor het niet klikken op links van mails van PostNL maar voor meer informatie moet je op een link klikken die hierop lijkt: http://subscriber.e-mark.nl/link****.html.

Eerst doen ze er al twee dagen over om tot zo'n mail te komen (blog van Fox-IT was op 15 oktober) en dan produceert een communicatieafdeling zoiets...

En dan na twee (!) klikken verder kom je pas op een pagina met uitleg die ik wat matig vind.

[ Voor 14% gewijzigd door gertvdijk op 17-10-2014 22:25 ]

gertvdijk schreef op vrijdag 17 oktober 2014 @ 22:22:

En dan na twee (!) klikken verder kom je pas op een pagina met uitleg die ik wat matig vind.

Dat is wel laakbaar. Je zou verwachten dat ze dat al klaar hebben leggen maar waarschijnlijk wachten ze af en hopen ze dat het een storm in een glas water is. Lekker weer.

gertvdijk schreef op vrijdag 17 oktober 2014 @ 22:22:
[...]

Ik kreeg de mail eerder op de avond en lag in een scheur. Een waarschuwing voor het niet klikken op links van mails van PostNL maar voor meer informatie moet je op een link klikken die hierop lijkt: http://subscriber.e-mark.nl/link****.html.

Eerst doen ze er al twee dagen over om tot zo'n mail te komen (blog van Fox-IT was op 15 oktober) en dan produceert een communicatieafdeling zoiets...

En dan na twee (!) klikken verder kom je pas op een pagina met uitleg die ik wat matig vind.

Puur belachelijk dat de link in hun eigen mail ook als uitermate verdacht uitziet.
Had de mail ook gehad en zo direct na het lezen en bekijken van de link (zonder aan te klikken) gelijk naar de prullenbak verwezen.

Niet zo netjes om de link niet transparant te maken inderdaad, maar andere kant: het kan zelden kwaad om slechts op een link te klikken. Zolang je maar alert blijft en zorgt dat je niet gaan inloggen op phising-sites of bestanden gaat downloaden en vervolgens uitvoeren is er niets aan de hand.
Mensen die niet weten waar ze mee bezig zijn raad ik uiteraard gewoon aan zulke mailtjes weg te gooien

Verder is het mailtje van PostNL wél in correct Nederlands geschreven, dat is ook een groot verschil

---

En voor de mensen die hun bestanden kwijt zijn: tja, niet lullig bedoeld, maar hiervoor heb je nou backups. Nu kun je je bestanden nog terugkrijgen door €500 af te tikken, maar er kunnen genoeg andere dingen gebeuren waardoor je bestanden permanent kwijt bent.

[ Voor 33% gewijzigd door Compizfox op 17-10-2014 22:59 ]

Compizfox schreef op vrijdag 17 oktober 2014 @ 22:46:
het kan zelden kwaad om slechts op een link te klikken. Zolang je maar alert blijft en zorgt dat je niet gaan inloggen op phising-sites of bestanden gaat downloaden en vervolgens uitvoeren is er niets aan de hand.

Fout. Ken je CSRF? of XSS met session hijacking?
NIET zomaar op links klikken is het juiste advies.

Daar heb je een punt, maar het is volgens mij niet/nauwelijks mogelijk om je PC geïnfecteerd te krijgen op die manier.

Daarnaast kun je aan CSRF en XSS als gebruiker niet echt iets doen; elke willekeurige website die je bezoekt kan zo'n attack bevatten en als zo'n attack lukt is dat meer de schuld van de 'slachtoffersite' dan van jou als gebruiker.

[ Voor 3% gewijzigd door Compizfox op 17-10-2014 22:59 ]

Ziet er weer mooi uit! Is dit nou nep of moet ik even testen met linux ?!


UPDATE: Echt dus!

https://twitter.com/PostNL/status/523206687386533889

gaat naar

http://www.postnl.nl/klan...ing+voor+besmette+e-mails

[ Voor 47% gewijzigd door freedzed6 op 17-10-2014 23:27 ]

Neeeeee echt serieus? Wat een losers... De linkjes in de mail lijken compleet spam. Zelfs de FB en Twitter-links zijn niet als zodanig herkenbaar.
Ennuh "Carlos Mendes Aguiar - Directeur Commercie" wasdat voor maffioso? Dat maakt de mail ook niet geloofwaardig.

Yup, want met een mediterraanse naam kun je natuurlijk geen directeur commercie zijn? Wellicht even je eigen denkpatronen heroverwegen hier, ManiacsHouse...

Compizfox schreef op vrijdag 17 oktober 2014 @ 22:57:
Daar heb je een punt, maar het is volgens mij niet/nauwelijks mogelijk om je PC geïnfecteerd te krijgen op die manier.

iceheart schreef op vrijdag 17 oktober 2014 @ 23:33:
Yup, want met een mediterraanse naam kun je natuurlijk geen directeur commercie zijn? Wellicht even je eigen denkpatronen heroverwegen hier, ManiacsHouse...

Dat zeg ik niet. Misschien jouw denkpatronen eens in context plaatsen waar dit topic over gaat.
De combi van die naam met 'Directeur Commercie'. Sorry hoor maar dit kwam bij mij toch over als een geweldig verzonnen nep-functie. Dit in combinatie met de rest van de mail en de onduidelijk links.

[ Voor 9% gewijzigd door ManiacsHouse op 17-10-2014 23:55 ]

Zijn naam levert wel PostNL gerelateerde functies op......

Ben zelf wel even in de war. Kreeg eerst een mail binnen met de waarschuwing, had er zo op geklikt als ik meer zou willen weten. Niet gedaan, gelukkig, toen de tweede mail binnen kwam dacht ik even dat dat de echte spam mail was. De links gecheckt, de eerste verwijst naar een rare e-mark link, de tweede verwijst (lijkt het) gewoon naar de PostNL site. Als het goed is, is er geen zending aangeboden: heb niks besteld. Is het nodig je adres te verifieren?

Nu ik als ICT-gast al in een knoop ligt, snap ik wel dat de gemiddelde gebruiker hier zo in trapt.

iceheart schreef op vrijdag 17 oktober 2014 @ 23:33:
Yup, want met een mediterraanse naam kun je natuurlijk geen directeur commercie zijn?

Hij is gelukkig geen directeur communicatie...

(...) [uitleg spammail] Wanneer u op deze link klikt (spammail / mail 1), downloadt u schadelijke software die u bedreigt en vervolgens geld vraagt.

Via deze e-mail (OK, dit bericht dus / mail 2) adviseren wij u nogmaals om deze e-mail meteen te deleten (deleten? deze mail? dus mail 2 verwijderen?) en niet op de link te klikken. (uit 'deze mail' of uit 'deze e-mail'? die je hieronder geeft?)

Verdere uitleg kunt u lezen op deze pagina. (hier mag ik niet op klikken en eigenlijk lees ik dit niet eens want de mail is al gedeletet.)

Verwijderd schreef op vrijdag 17 oktober 2014 @ 10:14:
Wij hebben uiteindelijk maar de beslissing genomen om te betalen.
Heb de bitcoins overgemaakt en wonder boven wonder de link gekregen en heb alles kunnen decrypten.

Het werkte in eerste instantie niet dus we hebben zelfs nog contact opgenomen met onze vriendelijke afpersers en een mail teruggekregen, daarna kon ik het programma downloaden en alles decrypten.

500 euro lichter maar wel erg blij dat we alles weer terughebben.

[afbeelding]

Les van vandaag: Misdaad loont.

[ Voor 90% gewijzigd door Gamebuster op 18-10-2014 02:50 ]

Ik heb vandaag ook de mail van PostNL ontvangen... wat onhandig inderdaad om aan te geven dat je e.e.a. niet moet doen en vervolgens een Link presenteert voor verdere uitleg...

Anyways... Familie, vrienden en werk maar een bericht gestuurd... genoeg digibeten

Werk zelf alleen met OSX en Unix systemen... dus zal er denk ik weinig last van hebben maar toch!

En daarbij... pakketjes downloaden en uitpakken

Echt, die communicatie van postnl is compleet maf! Ik heb 'm maar gerapporteerd bij http://www.fraudehelpdesk.nl/vraag-en-meldformulier (die was afgelopen zaterdag bij Kassa.)

Wellicht dat zij de communicatiepipo's van postnl duidelijk kunnen maken dat dit ongeveer de stomst mogelijke manier is om hierover te communiceren.

Thalaron schreef op zaterdag 18 oktober 2014 @ 08:47:
Ik heb vandaag ook de mail van PostNL ontvangen... wat onhandig inderdaad om aan te geven dat je e.e.a. niet moet doen en vervolgens een Link presenteert voor verdere uitleg...

En nog erger: Die link gaat niet naar een PostNL website waardoor het sterk lijkt op nóg een malware bericht!
Komt nog bij dat het domein waar de mail vandaan komt geen reverse-DNS heeft.

Alles bij elkaar ziet die waarschuwingsmail van PostNL er minstens net zo dodgy uit als de originele mail.

[ Voor 18% gewijzigd door Croga op 18-10-2014 10:06 ]

De Webcare van PostNL wist niets van de waarschuwingsmail die was verstuurd, dus die waren ook redelijk in paniek. Maar o-o-o wat slecht dat ze een link in die laatste mail hebben gezet.

Dt is echt schandalig, nu gaan mensen deze mail gebruiken om mensen er natuurlijk weer in te lokken.
ZUCHT
Stom bedrijf, idioten...

Croga schreef op zaterdag 18 oktober 2014 @ 10:05:
[...]

En nog erger: Die link gaat niet naar een PostNL website waardoor het sterk lijkt op nóg een malware bericht!
Komt nog bij dat het domein waar de mail vandaan komt geen reverse-DNS heeft.

Alles bij elkaar ziet die waarschuwingsmail van PostNL er minstens net zo dodgy uit als de originele mail.

"Maar e-mark is toch een vertrouwde partij dat weten al onze klanten toch wel" gaat vast wel weer de officiele reactie worden, waarna de volgende spam-run links bevat naar domeinen gelijkend op e-mark...

En zo blijven we bezig.

Croga schreef op zaterdag 18 oktober 2014 @ 10:05:
[...]

En nog erger: Die link gaat niet naar een PostNL website waardoor het sterk lijkt op nóg een malware bericht!
Alles bij elkaar ziet die waarschuwingsmail van PostNL er minstens net zo dodgy uit als de originele mail.

My thoughts exactly! Kreeg deze mail vanochtend en was wel benieuwd of deze mail van meneer Mendes Aguiar nu wel of geen malware poging was, zeker met die rare link erin. Vond net deze discussie bij Tweakers, dus daarmee is het duidelijk. Maar wat een prutswerk van PostNL....

Even los van dit alles, PostNL heeft geen phisingbericht gemaakt en of verstuurd. Alle service die zij dus bieden in de vorm van waarschuwingsmails is dus een aardigheidje, vind niet dat je ze dat teveel mag aanrekenen, ze proberen het (denk ik) ook gewoon goed te doen ook al is het misschien een beetje haastig gegaan?

Ik kreeg die laatste mail en het maar meteen gedelete, zag er veels te sketchy uit inderdaad. Wat een prutsers, dat ze zo'n slecht overwogen mail hebben gestuurd en dan ook nog eens zoveel later dan toen de problemen begonnen!

chaoscontrol schreef op zaterdag 18 oktober 2014 @ 10:55:Alle service die zij dus bieden in de vorm van waarschuwingsmails is dus een aardigheidje, vind niet dat je ze dat teveel mag aanrekenen, ze proberen het (denk ik) ook gewoon goed te doen ook al is het misschien een beetje haastig gegaan?

Eens hoor. We kunnen van een bedrijf met een omzet van een paarmiljard per jaar, en een verwacht bedrijfsresultaat van 260 miljoen euro natuurlijk niet echt verwachten dat ze even nadenken over dit soort dingen. Dat zou niet realistisch zijn.

Goede dag allemaal,

Ik weet niet of het is toegestaan, maar als het wel zo is, wilt iemand mij een privé bericht sturen met daar in de link dit in die mail stond?

M.v.g.
Rvdk.

Verwijderd schreef op zaterdag 18 oktober 2014 @ 12:08:
Ik weet niet of het is toegestaan, maar als het wel zo is, wilt iemand mij een privé bericht sturen met daar in de link dit in die mail stond?

Welke mail?

Room42 schreef op zaterdag 18 oktober 2014 @ 12:21:
[...]

Welke mail?

Mijn excuses voor de onduidelijke vraag.
ik bedoelde: "Die phishing mail".

Weet iemand eigenlijk of HitManPro's CryptoGuard werkt als bescherming tegen deze bad boy?

Klik op de link en kom er achter

Ik heb nog geen mail van postNL in de bus gekregen, maar wel iets in de vorm van

Notice to Appear,

The copy of the court notice is attached to this letter.
Please, read it thoroughly.

Truly yours,
Clerk to the Court,
Alena Tailor

met als bijlage een 72kB zip bestandje.

Het ziet er naar uit dat verschillende hackers gretig gebruik van accountlijsten die afgelopen maanden zijn buitgemaakt.

Het bitcoinaddress 17gH1u6VJwhVD9cWR59jfeinLMzag2GZ43 waar alle transacties op uit komen is al voor veel criminele activiteiten gebruikt: http://www.welivesecurity.com/2014/09/04/torrentlocker-now-targets-uk-royal-mail-phishing/
onderanderen:

-phishing met fake postNL/ DHL/ UK post emails.
-het stelen van bitcoin wallets
-verkopen van nep mining-hardware.

chaoscontrol schreef op zaterdag 18 oktober 2014 @ 10:55:
Even los van dit alles, PostNL heeft geen phisingbericht gemaakt en of verstuurd. Alle service die zij dus bieden in de vorm van waarschuwingsmails is dus een aardigheidje, vind niet dat je ze dat teveel mag aanrekenen, ze proberen het (denk ik) ook gewoon goed te doen ook al is het misschien een beetje haastig gegaan?

"Service" dit is gewoon ordinaire imagereparatie hoor.
Als postnl niets doet dan loopt hun imago een immense deuk op. Als dit je overkomt (als bedrijf) en je wilt dat ooit je mailtjes niet direct in het spam-filter belanden moet je wel een mail eruit doen dat je er niets mee te maken hebt.

Het enige wat ze goed proberen te houden is hun imago en dat is niet erg en redelijk logisch, alleen moet je dan niet daarmee weer een flater slaan.

Zag vanmorgen vroeg dat ik de bewuste PostNL mail ook gehad heb.
Stond in m'n XS4ALL Webmail Spam folder

[ Voor 3% gewijzigd door Karloe op 19-10-2014 16:16 ]

Ik laat wel eens wat bezorgen middels Post.NL en had de mail van Carlos Mendes afgelopen vrijdag ook in m'n mailbox zitten (de mails waar het initieel mee begon heb ik niet).



Wel raar dat er gewaarschuwd word voor links welke niet te herleiden zijn terwijl er in de waarschuwingsmail dan weer een link geplaatst is welke juist aan die voorwaarden voldoet.

Linkje zo meteen eens bekijken in een VM welke nergens heen kan.



Óf is dat al niet meer nodig

[ Voor 8% gewijzigd door Will_M op 19-10-2014 18:17 ]

Heb deze bovenstaande mail ook gehad, en via mijn mobiel geopend, maar die verwijst naar een info site van post nl. Waar ( voor zo ver ik zie ) niks verdachts aan is.

Ik snap de voorzichtigheid, de mail is niet erg slim opgesteld.

Verwijderd schreef op zondag 19 oktober 2014 @ 18:37:

Ik snap de voorzichtigheid, de mail is niet erg slim opgesteld.

En dat is dat zachtjes uitgedrukt, gewoon van de zotte dat ze niet begrijpen dat dit soort links juist nog meer argwaan oproept

Dat het argwaan oproept is niet erg, wat ik pas erg vind is juist dat mensen nu leren dat zulke links ook in legitieme mails staan... Wat je echt niet wilt is dat helpdesken gaan zeggen 'jahoor, daar kunt u best op klikken, dat is gewoon onze mailinglistsoftware'. Net zo erg als 'jahoor, u moet gewoon even ok klikken als de browser een veiligheidswaarschuwing geeft'. NEE!

De imagoschade voor postnl maakt me niet uit - die verdienen ze van harte. Maar dit speelt ook vooral de phishers in de kaart, en dat vind ik een groot probleem. Mensen leren nu van postnl dat je soms ook legitieme mails zulke links bevatten. Jaren van training het raam uit... :\

Verwijderd schreef op vrijdag 17 oktober 2014 @ 10:34:
En voor de liefhebbers:

dit zijn de gegevens van mail die ik van onze vrienden de afpersers heb gekregen:

--> Van: decrypthelp@mail15.com Tijd: 2014-10-16 15:43:50
--> Aan: XXXXXXX Actie: Toegestaan
--> Onderwerp: decryption Reden:
--> Size: 2775 Aflever Status: Afgeleverd
--> Bron IP: web21.pochta.ru[80.68.248.201] Aflever Detail: 250 2.6.0 378fda7ec37ef9edb6a740ccfe28a72d80f2afe2@mail.qip.ru [InternalId=10306932] Queued mail for delivery
--> ID: 1413467030-0495ae2db63c610001-Fe3pRh Delivery Time: 2014-10-16 15:43:51
--> Score: 0.7
--> Bestemmings server: xxxxxxx
--> Bekijk Bericht
--> Bekijk Bron
--> View Bayesian Data

Heb je niet toevallig een wireshark log van het moment dat je de tool starte totdat hij klaar was met decrypten? Ik vraag me af of de decrypt tool verbinding maakt met een server, of dat ze gewoon per "klant" een aangepaste versie compileren waar de juiste sleutel in zit.

Kan iemand mij ook het linkje doorsturen van dat mailtje? Wil er ook even mee testen in een VM..

3raser schreef op dinsdag 21 oktober 2014 @ 12:00:
[...]


Heb je niet toevallig een wireshark log van het moment dat je de tool starte totdat hij klaar was met decrypten? Ik vraag me af of de decrypt tool verbinding maakt met een server, of dat ze gewoon per "klant" een aangepaste versie compileren waar de juiste sleutel in zit.

De decrypt tool maakt geen verbinding met een server. De trojan die de boel encrypt maakt wel verbinding met een c&c server.

De decrypt tool is per slachtoffer. je hebt een zogenaamde user code check de url "user_code="
Als je betaalt krijg je de decrypt software. Ik heb een aantal klanten gehad die betaalt hebben.
vandaar deze info.

De encryptie is inmiddels gewijzigd. De eerste infectie hadden een simpele XOR encryptie en tot 2mb van een file werd gecrypt. Wat voor encrypte er nu is weet ik niet.

De mensen die willen testen met de laatste encryptie variant ik heb de dropper en de decryption tool van 1 slachtoffer dus het totale pakket.

Url op aanvraag (Bevat alleen het virus en decryption voor de geinfecteerde omgeving) Niet te gebruiken op een andere pc/server.

[ Voor 22% gewijzigd door TeQ99 op 23-10-2014 15:08 ]

Op mijn onderstaande manier heb ik vandaag het postnl virus van mijn computer verwijderd:

Ik heb mijn HD verwijderd en een andere (oude) lege HD ingebouwd. Hierdoor kon ik wel in mijn bios komen en heb ik op deze HD Windows geinstalleerd. Mijn geinfecteerde HD heb ik daarna als slave ingebouwd. Door mijn computer op mijn oude HD op te starten, heb ik de partitie met Windows op de geinfecteerde HD geformarteerd (*). Daarna heb ik mijn oude HD verwijderd en op de voorheen geinfecteerde HD Windows opnieuw geinstaleerd. Ik ben natuurlijk wel hetgeen wat op mijn Windows partitie stond kwijt, maar daar staat bij mij niets belangrijk, dat staat op mijn D partitie en die heb ik op deze manier behouden.

* Windows gaf aan dat ik dit deel niet kon formateren, maar hij heeft de bestanden wel verwijderd of onherkenbaar gemaakt.

Misschien is het niet de beste oplossing, kost deze veel tijd en weten andere betere oplossingen, maar ik kon geen andere verzinnen en ook niets op Google vinden. Ik hoop dat ik andere hiermee kan helpen.

Verwijderd schreef op vrijdag 24 oktober 2014 @ 22:24:
Misschien is het niet de beste oplossing, kost deze veel tijd en weten andere betere oplossingen, maar ik kon geen andere verzinnen en ook niets op Google vinden. Ik hoop dat ik andere hiermee kan helpen.

Gewoon de Windows CD (of USB stick) er in steken en zeggen "formateer die oude Windows partitie maar"?

Dat is de makkelijkste ja.

Verwijderd schreef op zaterdag 25 oktober 2014 @ 20:44:
Beste Croga,

Jouw logica werkte in het verleden altijd, maar helaas niet in dit Postnl geval.

Het Postnl virus blokkeerde bij mij het toetsenbord voordat ik bij de Bios kwam. Ik kon dus niet in de Bios komen, niet in de veilige modus opstarten en hij blokkeerde ook het afsluiten van Windows en/of het opnieuw opstarten.

Direct na de opstart in Windows kon ik mijn toetsenbord gebruiken en nadat het virus de betaalmelding startte blokkeerde mijn totale computer. Reset of aan/uit was dan noodzakelijk maar ik kon niet naar de veilige modus.

Ik reageer normaal gesproken nooit op een forum, maar ik hoop dat ik hiermee mensen kan helpen.

Vreemd ik heb dit gedrag helemaal niet gezien met dit virus.
Het virus is ook niet actief na de encryptie. Hij past je explorer startup aan om die randsome note te laten zien.
Ik kon gewoon in veilige mode in mijn bios etc. Het interesseert ze namelijk niets. Decrypten kan je ze toch niet.

Verwijderd schreef op zaterdag 25 oktober 2014 @ 20:54:
Croga,

Met het virus op de HD heb ik meerdere keren geprobeerd om (meerdere versies op meerdere manieren van) Windows opnieuw te installeren. Tijdens de installaties die ik gebruikte, start Windows halverwege opnieuw op. Het virus voorkomt het afsluiten van Windows en als je opnieuw opstart (via aan/uit of de reset) start het systeem op dezelfde manier op als voorheen en ben je het eerste deel van de installatie kwijt.

Het lukte mij helaas niet om Windows op de geinfecteerde schijf te installeren. Dit is me in de voorgaande 20+ jaren nooit eerder voorgekomen. Het Postnl virus is een complex virus.

Alleen door de primaire schijf slave te maken en te formatteren heb ik deze weer bruikbaar kunnen maken.

Niet om lullig te doen (en dat meen ik echt) maar ik heb zelden zoveel onwaarheden in 1 enkele post gezien (vooral het deel mbt de installatie van Windows. Master/slave gebeuren met harde schijven is ook al een jaar of 10 niet meer aan de orde - iig niet meer sinds SATA aan de orde is).
Het verwijderen van de boot partitie (system partitie) bij de installatie van Windows zou al voldoende moeten zijn om de bootloader wat schoner te krijgen.
Ook het verhaal over niet in de BIOS te kunnen komen etc kan niet kloppen (helemaal niet omdat je hier wel in zou kunnen komen na het verwijderen van de schijf).
Ik kan van alles bedenken waarom in jouw specifieke geval windows niet goed wilde installeren (boot volume niet in orde) maar dat blijft speculeren. Door deze ransomware zou het in ieder geval niet gekomen zijn gezien de vele omschrijvingen van andere slachtoffers.

Overigens valt dit "virus" nou niet echt onder de noemer virus (in de zin van zichzelf repliceren en andere machines bsemetten - files, ook als deze op shares staan - encrypten is geen replicatie van het virus) maar is dit echt een schoolvoorbeeld van ransomware.

[ Voor 9% gewijzigd door Killah_Priest op 27-10-2014 14:08 ]

Dit type ransomware blijft zichzelf ontwikkelen en er zullen steeds meer varianten gaan komen op deze ransomware, hierdoor zullen standaard Antivirus oplossingen het moeilijk hebben om dit op te lossen.

Via onder link hieronder word uitgelegd hoe Webroot hier mee om kan gaan en bij een infectie het systeem binnen enkele seconden kan herstellen.

http://www.contec.nl/nl/news/cryptolockerpostnl-virus

Maar er is nog geen mogelijkheid om alles te decrypten, heb je er ook niet veel aan.

Verwijderd schreef op zaterdag 25 oktober 2014 @ 20:44:
Het Postnl virus blokkeerde bij mij het toetsenbord voordat ik bij de Bios kwam. Ik kon dus niet in de Bios komen, niet in de veilige modus opstarten en hij blokkeerde ook het afsluiten van Windows en/of het opnieuw opstarten.

Ik weet niet wat er met je BIOS mis is maar het heeft zeker niet te maken met het "virus". Simpelweg omdat de schijf überhaupt nog niet aangesproken is op dat moment en er dus helemaal niets geblokkeerd kán worden.

Verwijderd schreef op zaterdag 25 oktober 2014 @ 20:54:Met het virus op de HD heb ik meerdere keren geprobeerd om (meerdere versies op meerdere manieren van) Windows opnieuw te installeren. Tijdens de installaties die ik gebruikte, start Windows halverwege opnieuw op. Het virus voorkomt het afsluiten van Windows en als je opnieuw opstart (via aan/uit of de reset) start het systeem op dezelfde manier op als voorheen en ben je het eerste deel van de installatie kwijt.

Lijkt er sterk op dat je hebt geprobeert te installeren door simpelweg de Windows partitie te selecteren bij installatie. Dat werkt inderdaad niet; die is encrypted. Door tijdens installatie alle partities te verwijderen alvorens nieuwe aan te maken en díe selecteren voor installatie werkt het echter wel. De partitietabel is niet aangetast dus dat kan niet mis gaan en de oude partitie weg gooien en opnieuw aanmaken zorgt er voor dat datgene wat wél aangetast is verwijdert wordt.

Het lukte mij helaas niet om Windows op de geinfecteerde schijf te installeren. Dit is me in de voorgaande 20+ jaren nooit eerder voorgekomen. Het Postnl virus is een complex virus.

De PostNL RANSOMWARE (het is geen virus) is verre van complex. Nog sterker, het is enorm eenvoudig. En door het te begrijpen kun je er ook omheen werken.

Hallo,
Ik ben helaas ook de sjaak met dit virus.
Gister besmetting opgelopen na openen van een bijlage wat wordt document leek.
Was flink aan het stressen omdat iets op een website niet werkte en lette dus even iets minder op.

Had ongeveer een uur daarvoor een bericht gestuurd naar een incasso bureau (intrum Justitia) en kreeg dus een mail terug die van Intrum Justitia af leek te komen met als bijlage een wordt document. die dus geopend en gelijk was mijn hele systeem gecodeerd.

Heb van alles geprobeerd om te unlocken maar alle opties werken niet, ook niet die met 1 goed bestand en 1 geinfecteerd bestand, daarna kan ik nog niet openen omdat bestand beschadigd is.
geprobeerd terug te zetten naar eerder herstelpunt, helpt ook niet.
recover software geprobeerd maar meeste vinden 0 bestanden en andere slechts handje vol.
Wordt behoorlijk wanhopig want heb geld eigenlijk echt niet om te betalen, maar bestanden verloren laten gaan is ook geen optie omdat het om alle foto's gaat die we van onze kinderen hebben van afgelopen 9 jaar. Als we verloren laten gaan hebben we dus helemaal geen foto's meer van onze kinderen

Maar om te betalen zou ik ergens een flitslening moeten afsluiten met dure rente en om dat terug te betalen zouden we dus een maand geen huur en electra kunnen betalen. Dat later inhalen is ook geen optie omdat we al zeer zwaar in de schulden zitten en al in de WSNP terecht dreigen te komen.
Ben al sinds gistermiddag 16:00 bezig hiermee en heb maar 2 uurtjes geslapen vanacht, verder de hele tijd hiermee bezig.

Heb al naar de makers van dit virus gemaild om te kijken of er niet over de hoogte te onderhandelen is maar nog geen reactie. heb ook nog maar 55 uur voordat het verdubbeld naar 905 euro losgeld.

Wie kan me hierbij nog helpen??

Als je niet wilt betalen en zo stom geweest ben om geen back-up de maken, dan heb je simpelweg pech.

MAAK NOU IS EEN BACK-UP VAN JE BELANGRIJKE BESTANDEN MENSEN!

garriej schreef op woensdag 05 november 2014 @ 10:03:
Als je niet wilt betalen en zo stom geweest ben om geen back-up de maken, dan heb je simpelweg pech.

MAAK NOU IS EENS EEN BACK-UP VAN JE BELANGRIJKE BESTANDEN MENSEN!

Eens! (Ik bedoel, ik ben het met je eens).

Overigens ben ik zelf ook niet heilig. Ik moet ook nog steeds een goede backup inregelen. Ik mis alleen het vertrouwen in veel applicaties. Ik zoek iets als Crashplan, maar dan zonder cloud-gerelateerde zaken, dus dat ik 100% zeker ben dat het van mij naar B gaat, en niet via Amerika. Mét compressie, de-duplicatie, encryptie en VSS.

[ Voor 38% gewijzigd door Room42 op 05-11-2014 10:16 ]

Het erge is dat ik tot 3 maanden terug een backup dienst had van KPN backup online.
Maar doordat mijn bedrijf stopte en we zwaar in de schulden terecht gekomen zijn heb ik alles moeten beeindigen met oogpunt op mogelijk komende WSNP.
En niet willen betalen.... uiteraard wil ik liever niet betalen maar kan het ook niet zonder nog grotere schulden te gaan maken en nog dieper in de problemen te komen.

Maar als niet gedecodeerd kan worden zal ik wel moeten, alle foto's van onze kinderen kwijtraken is ook geen optie.
Had de Politie ook gebeld (nee niet in de verwachting dat die degene oppakken) en die hebben me doorverwezen naar een speciale helpdesk, zit nu te wachten tot die terugbellen.

Room42 schreef op woensdag 05 november 2014 @ 10:12:
[...]

Eens! (Ik bedoel, ik ben het met je eens).

Overigens ben ik zelf ook niet heilig. Ik moet ook nog steeds een goede backup inregelen. Ik mis alleen het vertrouwen in veel applicaties. Ik zoek iets als Crashplan, maar dan zonder cloud-gerelateerde zaken, dus dat ik 100% zeker ben dat het van mij naar B gaat, en niet via Amerika. Mét compressie, de-duplicatie, encryptie en VSS.

De encryptie is nu wel goed geregeld met deze ransomware.

Room42 schreef op woensdag 05 november 2014 @ 10:12:
[...]

Eens! (Ik bedoel, ik ben het met je eens).

Overigens ben ik zelf ook niet heilig. Ik moet ook nog steeds een goede backup inregelen. Ik mis alleen het vertrouwen in veel applicaties. Ik zoek iets als Crashplan, maar dan zonder cloud-gerelateerde zaken, dus dat ik 100% zeker ben dat het van mij naar B gaat, en niet via Amerika. Mét compressie, de-duplicatie, encryptie en VSS.

Ik ben ook geen heilige, maar vakantie foto's ect. staan op een externe HDD, die nooit aan de computer zit gekoppeld(behalve als ik foto's overzet ). Dat is mijn "back-up" verder zal het me een worst wezen wat er op de PC staat, alles is toch wel terug te vinden in de mail ('t meeste dat belangrijk is word verstuurd of iets dergelijks).

had voorheen dat soort zaken ook op een externe hardeschijf staan. maar 2 keer gehad dat als ik de backup op die hardeschijf nodig had dat die hardeschijf net stuk wa.
Enige dat ik kan proberen of dat ik vanaf die oude schijven nog een deel van mijn bestanden kan recoveren maar dan nog steeds meer als een jaar kwijt.

Maar begreep elders dat dit virus de originle bestanden verwijderd en daar encrypted bestanden voor terugzet. Vreemd vind ik echter dat als ik recovery software zoals recuva probeer hij ook echt geen enkel verwijderd bestand kan vinden.

Tja je hebt verwijderen en verwijderen he. Dus als ze echt gezero'd worden of overschreven word door random data. dan is het echt vamenos.

dan zou je met recover software altijd nog data moeten vinden maar de meeste recover programma's vinden helemaal niks.
Maar zit blijkbaar niks anders op dan te gaan betalen wordt nog dieper in de schulden steken dus.

Met SSD's is het recoveren wel verleden tijd. Door TRIM is data die je weggooit ook echt weg.

fish schreef op woensdag 05 november 2014 @ 20:43:
Tja je hebt verwijderen en verwijderen he. Dus als ze echt gezero'd worden of overschreven word door random data. dan is het echt vamenos.

De bestanden worden niet verwijderd, ze worden versleuteld en om de sleutel te krijgen moet je betalen. Simpel, je bestanden staan dus nog steeds gewoon op je PC.

Ehm dat zijn dus niet meer "jouw" bestanden het zijn nieuwe versleutelde versies van jouw bestand

Verwijderd schreef op donderdag 06 november 2014 @ 07:28:
dan zou je met recover software altijd nog data moeten vinden maar de meeste recover programma's vinden helemaal niks.
Maar zit blijkbaar niks anders op dan te gaan betalen wordt nog dieper in de schulden steken dus.

jezelf dieper in de schulden steken voor een paar foto's?
ach ja die paar euro die je moet terug betalen met extra hoge rente kan er dan ook nog wel bij of niet?

superwashandje schreef op donderdag 06 november 2014 @ 10:49:
[...]

jezelf dieper in de schulden steken voor een paar foto's?
ach ja die paar euro die je moet terug betalen met extra hoge rente kan er dan ook nog wel bij of niet?

Of je leest even terug wat de reden is:

Wordt behoorlijk wanhopig want heb geld eigenlijk echt niet om te betalen, maar bestanden verloren laten gaan is ook geen optie omdat het om alle foto's gaat die we van onze kinderen hebben van afgelopen 9 jaar. Als we verloren laten gaan hebben we dus helemaal geen foto's meer van onze kinderen

Ik zou de foto's van mijn kleine ook kost wat kost terug willen, alleen is de timing voor Vossie uitermate ongelukkig.

wie zegt dat ik dat niet gelezen heb? het zal dan wel aan mij liggen maar zo snel mogelijk uit de financiele problemen komen zou bij mij hoger op het prioriteiten lijstje staan dan het behouden van foto's waarbij er nog meer financiele problemen ontstaan.

superwashandje schreef op donderdag 06 november 2014 @ 12:31:
wie zegt dat ik dat niet gelezen heb? het zal dan wel aan mij liggen maar zo snel mogelijk uit de financiele problemen komen zou bij mij hoger op het prioriteiten lijstje staan dan het behouden van foto's waarbij er nog meer financiele problemen ontstaan.

Puur uit interesse, heb je zelf een kind?

Ik zou zelf nooit in een situatie als Vossie terecht komen. Deels omdat ik (gelukkig) nauwelijks risico loop om in de WSNP terecht te komen, en deels omdat ik wel een goede backup heb van belangrijke zaken.

Maar ik begrijp hem volkomen.

Nee ik heb geen kind maar krijg genoeg foto's van mijn lieve nichtje door mijn zus opgestuurd om het wel te begrijpen. Ik zeg ook niet dat ik het niet erg zou vinden om al die foto's kwijt te raken ondanks dat Ik zelf weinig om dat soort dingen geef. ik ben vooral opgevoed om goed op mijn financiële situatie te letten. En dat zou voor mij dus echt wel de prioriteit hebben.
Dat er nog meer belangrijke bestanden kwijt zijn die nodig zijn om schulden af te betalen is voor mij een veel betere reden om te betalen maar dit komt in een latere post pas ter sprake...
Verder zal ik de laatste zijn die een ander verteld wat hij/zij met zijn geld moet doen maar als je er al voor in de schulden zit kan het geen kwaad om wat te relativeren lijkt me.
Anyway best offtopic dus ik laat het hier wel bij.