Windows8.1 Coinvault - Privacy en beveiliging

dinsdag 25 november 2014 12:16

Acties:

0 Henk 'm!

Topicstarter

Tweakers,

Ik was samen met mijn vrouw bezig om de verjaardagsfoto's van onze zoon (1 jaar geworden) te kopiëren van de camera naar mijn NAS. Toen het kopiëren bijna voltooid was verscheen groot in beeld de Coinvault Encryption banner. Ik snel op mijn Mac devices geprobeerd de foto's in te lezen die we zojuist hadden gekopieerd maar helaas. Onleesbaar volgens alle tools. Ze zijn dus versleuteld.

Ik heb Coinvault uiteindelijk maar betaald ( 150 euro) een DECRYPT gedrukt, na een minuut of 15 gaf hij aan dat alles decrypted is maar de foto's op zowel de NAS als op het kaartje zijn nog steeds onleesbaar voor een groot deel.
Alles wat lokaal op de laptop stond is wel decrypted inderdaad. Na decryption verwijderd de tool zichzelf weer dus het is ook niet meer mogelijk om de scan nog een keer te draaien of aan de hand van de sleutel een eigen decrypt te draaien?

Weet iemand of het mogelijk is, al duurt het maanden om dmv brute-force of wat dan ook een aantal foto's terug te krijgen???

dinsdag 25 november 2014 12:27

Acties:

0 Henk 'm!

P_Tingen

omdat het KAN

Slecht nieuws:

Is it possible to decrypt files encrypted by CoinVault?
Unfortunately at this time there is no way to retrieve the private key that can be used to decrypt your files without paying the ransom. Brute forcing the decryption key is not realistic due to the length of time required to break an AES encryption key. Also any decryption tools that have been released by various companies will not work with this infection. The only methods you have of restoring your files is from a backup, file recovery tools, or if you're lucky from Shadow Volume Copies.

bron

... en gaat over tot de orde van de dag

dinsdag 25 november 2014 12:30

Acties:

0 Henk 'm!

kamerplant

P_Tingen schreef op dinsdag 25 november 2014 @ 12:27:
Slecht nieuws:

Is it possible to decrypt files encrypted by CoinVault?
Unfortunately at this time there is no way to retrieve the private key that can be used to decrypt your files without paying the ransom.

Maar hij heeft de ransom dus juist wel betaald. Lullig dat het dan nog steeds niet werkt.

🌞🍃

dinsdag 25 november 2014 12:31

Acties:

0 Henk 'm!

GeeMoney

Topicstarter

P_Tingen schreef op dinsdag 25 november 2014 @ 12:27:
Slecht nieuws:

Is it possible to decrypt files encrypted by CoinVault?
Unfortunately at this time there is no way to retrieve the private key that can be used to decrypt your files without paying the ransom. Brute forcing the decryption key is not realistic due to the length of time required to break an AES encryption key. Also any decryption tools that have been released by various companies will not work with this infection. The only methods you have of restoring your files is from a backup, file recovery tools, or if you're lucky from Shadow Volume Copies.

bron

Ik heb dus betaald en inderdaad een aantal files decrypted terug maar na de eenmalige "decrypting" verwijderd de tool zichzelf en ik heb dus nu nog steeds een foto of 200 decrypted staan

dinsdag 25 november 2014 12:33

Acties:

0 Henk 'm!

Weezer-DC

Maar dan was je ook niet aan het kopiëren maar aan het verplaatsen ?

dinsdag 25 november 2014 12:34

Acties:

0 Henk 'm!

GB2

Is heel zuur, ik zou nooit betalen, te vaak gehoord dat het niet werkt of dat je vervolgens meer moet betalen.
Zelfde zoals de overheid zich opsteld bij gijzelneming; niet betalen.

Hopen dat er over een tijdje wat komt die dit kan ontsleutelen.

dinsdag 25 november 2014 12:39

Acties:

0 Henk 'm!

Mint

Misschien kun je contact zoeken met de makers? Ik kan de bron ff niet meer vinden, maar ik meen gelezen te hebben dat iemand dit ook overkwam met een andere encryptietool. Hij werd erdoorheen geloodst door de makers van die tool. Erg dubbel, maar als je daarmee je foto's terugkrijgt is het wellicht de moeite waard.

dinsdag 25 november 2014 12:40

Acties:

0 Henk 'm!

aZuL2001

Probeer het eens met bijv Recuva en kijk dan naar het kaartje.

Wel op een andere pc dan de besmette.

Abort, Retry, Quake ???

dinsdag 25 november 2014 12:41

Acties:

0 Henk 'm!

Weezer-DC

aZuL2001 schreef op dinsdag 25 november 2014 @ 12:40:
Probeer het eens met bijv Recuva en kijk dan naar het kaartje.

Wel op een andere pc dan de besmette.

Dit is wel een goede, als de sd kaart alleen ze index kwijt is van het bestandsysteem staan de foto's er nog op !

dinsdag 25 november 2014 13:02

Acties:

0 Henk 'm!

Ramon

Ik neem aan dat je al je PC's en kaartjes helemaal hebt gecleared, formatted en gescand, geupdate naar de laatste versies?

En nee natuurlijk niet betalen. NOOIT betalen. Ook al was het maar 5 euro.

Check mijn V&A ads: https://tweakers.net/aanbod/user/9258/

dinsdag 25 november 2014 13:41

Acties:

0 Henk 'm!

GeeMoney

Topicstarter

aZuL2001 schreef op dinsdag 25 november 2014 @ 12:40:
Probeer het eens met bijv Recuva en kijk dan naar het kaartje.

Wel op een andere pc dan de besmette.

Scan loopt nu, bedankt voor de tip inderdaad.
Ik heb de kaart gelijk alleen lezen gezet en ben nu aan het scannen.
Tot nu toe 1400 items maar ik kan nog niet zien of dit encrypted items zijn of reguliere... (en hoe actueel ze zijn)

Ramon schreef op dinsdag 25 november 2014 @ 13:02:
Ik neem aan dat je al je PC's en kaartjes helemaal hebt gecleared, formatted en gescand, geupdate naar de laatste versies?

En nee natuurlijk niet betalen. NOOIT betalen. Ook al was het maar 5 euro.

Ik heb er anders wel net geen 200 foto's decrypted mee terug gekregen. Echter ruim 200 ook niet.
En geloof me die 150 euro overleef ik wel als ik daarmee ook alle foto's had terug gehad....

[ Voor 35% gewijzigd door GeeMoney op 25-11-2014 13:43 ]

dinsdag 25 november 2014 16:43

Acties:

0 Henk 'm!

GeeMoney

Topicstarter

Helaas, de scan levert ook de "decrypted" files aan. Dit betekend dus dat hij daadwerkelijk de originele files heeft bewerkt/versleuteld en niet een kopie gemaakt, versleuteld en originele heeft weggegooid (zoals op internet staat) .

Hij is ook bezig grote PBM files te recoveren (gigabytes per stuk) ik kan nog niet goed ontdekken wat daarin zou staan en of ik daar nog wat uit kan halen?

dinsdag 25 november 2014 16:49

Acties:

0 Henk 'm!

SinergyX

____(>^^(>0o)>____

Ramon schreef op dinsdag 25 november 2014 @ 13:02:
Ik neem aan dat je al je PC's en kaartjes helemaal hebt gecleared, formatted en gescand, geupdate naar de laatste versies?

En nee natuurlijk niet betalen. NOOIT betalen. Ook al was het maar 5 euro.

En dan ook NOOIT je foto's meer terugkrijgen, daar kom je ook niet verder mee. Dure les om je backups in orde te hebben, maar vooralsnog is het bijna onmogelijk je foto's buiten betaling terug te krijgen.

^{Nog 1 keertje.. het is SinergyX, niet SynergyX}
_{Im as excited to be here as a 42 gnome warlock who rolled on a green pair of cloth boots but was given a epic staff of uber awsome noob pwning by accident.}

dinsdag 25 november 2014 16:54

Acties:

0 Henk 'm!

Rannasha

Does not compute.

Het klinkt raar, maar ik zou, zoals al eerder is aangeraden, contact opnemen met de makers van de rommel. Gek genoeg wordt er bij sommige varianten van deze malware best redelijke "klantenservice" geleverd.

Het is een bizarre situatie, maar als je er over nadenkt is het wel enigszins logisch dat het voor de verspreiders van de malware gunstig als algemeen bekend is dat na betaling alle bestanden volledig hersteld worden. Als daar aan getwijfeld wordt, zullen er minder mensen betalen.

|| Vierkant voor Wiskunde ||

dinsdag 25 november 2014 16:55

Acties:

0 Henk 'm!

GeeMoney

Topicstarter

SinergyX schreef op dinsdag 25 november 2014 @ 16:49:
[...]

En dan ook NOOIT je foto's meer terugkrijgen, daar kom je ook niet verder mee. Dure les om je backups in orde te hebben, maar vooralsnog is het bijna onmogelijk je foto's buiten betaling terug te krijgen.

Inderdaad, betaling is de enige remedie tot nu toe bekend.
Ik heb van alles een back-up behalve deze nieuwe foto's natuurlijk, de back-up ging na kopie gemaakt worden maarja daar heb ik nu dus niets aan.
Tip voor mensen die camera's gaan legen/kopieren etc. zet je kaart op alleen lezen. (gebeurd mij dus ook nooit meer)
Ik heb er in ieder geval nog ruim 200 kunnen "redden".

Iemand nog een suggestie wat .pbm files nog kunnen betekenen? Ik krijg weinig terug op het net. Ze bevatten toch bmp data als ik het goed begrijp maar verder weinig info

Rannasha schreef op dinsdag 25 november 2014 @ 16:54:
Het klinkt raar, maar ik zou, zoals al eerder is aangeraden, contact opnemen met de makers van de rommel. Gek genoeg wordt er bij sommige varianten van deze malware best redelijke "klantenservice" geleverd.

Het is een bizarre situatie, maar als je er over nadenkt is het wel enigszins logisch dat het voor de verspreiders van de malware gunstig als algemeen bekend is dat na betaling alle bestanden volledig hersteld worden. Als daar aan getwijfeld wordt, zullen er minder mensen betalen.

Ik ontvang graag contact gegevens maar ik kan niets terug vinden...

[ Voor 27% gewijzigd door GeeMoney op 25-11-2014 16:57 ]

dinsdag 25 november 2014 17:02

Acties:

0 Henk 'm!

SinergyX

____(>^^(>0o)>____

Zijn nu alle ransomwares met bitcoins? Of is dit de variant erop?

^{Nog 1 keertje.. het is SinergyX, niet SynergyX}
_{Im as excited to be here as a 42 gnome warlock who rolled on a green pair of cloth boots but was given a epic staff of uber awsome noob pwning by accident.}

dinsdag 25 november 2014 17:05

Acties:

0 Henk 'm!

Vondelpark

Deze ransomware besmettingen zijn dramatisch, gezien de AES versleuteling.
Er staan hier nog een aantal pc's met hetzelfde probleem.
Er staat nu een supportvraag uit bij ESET, als ik daar succes mee heb, dan geef ik je een DM.

Computer says, noo

dinsdag 25 november 2014 17:23

Acties:

0 Henk 'm!

GeeMoney

Topicstarter

Vondelpark schreef op dinsdag 25 november 2014 @ 17:05:
Deze ransomware besmettingen zijn dramatisch, gezien de AES versleuteling.
Er staan hier nog een aantal pc's met hetzelfde probleem.
Er staat nu een supportvraag uit bij ESET, als ik daar succes mee heb, dan geef ik je een DM.

Dank je, ik heb nu een sloot pbm, pgm files. Gigabytes groot maar ik zou niet weten of daar nog iets uit te halen is.

Verder kansloos om te ontsleuteln inderdaad.

dinsdag 25 november 2014 17:28

Acties:

0 Henk 'm!

SinergyX

____(>^^(>0o)>____

Faster supercomputer (as per Wikipedia): 10.51 Pentaflops = 10.51 x 1015 Flops [Flops = Floating point operations per second]

No. of Flops required per combination check: 1000 (very optimistic but just assume for now)

No. of combination checks per second = (10.51 x 1015) / 1000 = 10.51 x 1012

No. of seconds in one Year = 365 x 24 x 60 x 60 = 31536000

No. of Years to crack AES with 128-bit Key = (3.4 x 1038) / [(10.51 x 1012) x 31536000]
= (0.323 x 1026)/31536000
= 1.02 x 1018
= 1 billion billion years

Holy... Doe maar niet

^{Nog 1 keertje.. het is SinergyX, niet SynergyX}
_{Im as excited to be here as a 42 gnome warlock who rolled on a green pair of cloth boots but was given a epic staff of uber awsome noob pwning by accident.}

dinsdag 25 november 2014 17:56

Acties:

0 Henk 'm!

Ramon

SinergyX schreef op dinsdag 25 november 2014 @ 16:49:
[...]

En dan ook NOOIT je foto's meer terugkrijgen, daar kom je ook niet verder mee. Dure les om je backups in orde te hebben, maar vooralsnog is het bijna onmogelijk je foto's buiten betaling terug te krijgen.

Punt is dat deze malware alleen effectief verspreid zal worden als mensen betalen. Als niemand meer betaalt dan zal deze hele circus vanzelf ophouden. Eigenlijk is het eenzelfde soort verhaal als bij heling.

[ Voor 5% gewijzigd door Ramon op 25-11-2014 17:56 ]

Check mijn V&A ads: https://tweakers.net/aanbod/user/9258/

dinsdag 25 november 2014 18:01

Acties:

0 Henk 'm!

ADDG

GeeMoney schreef op dinsdag 25 november 2014 @ 17:23:
[...]

Dank je, ik heb nu een sloot pbm, pgm files. Gigabytes groot maar ik zou niet weten of daar nog iets uit te halen is.

Verder kansloos om te ontsleuteln inderdaad.

Op de wiki pagina over pbm/pgm stond de volgende link om pbm om te zetten misschien heb je er wat aan: http://www.coolutils.com/Online/PBM-to-JPG

dinsdag 25 november 2014 18:14

Acties:

0 Henk 'm!

Krullebol.nl

Ik kwam na wat zoeken deze guide nog tegen, ook voor het terugkrijgen van je bestanden.. Wellicht is dit wat?

http://www.2-spyware.com/...lt?et_comment_like=313549

dinsdag 25 november 2014 20:51

Acties:

0 Henk 'm!

GeeMoney

Topicstarter

Krullebol.nl schreef op dinsdag 25 november 2014 @ 18:14:
Ik kwam na wat zoeken deze guide nog tegen, ook voor het terugkrijgen van je bestanden.. Wellicht is dit wat?

http://www.2-spyware.com/...lt?et_comment_like=313549

Bedankt voor het zoeken, die applicaties kunnen files renoveren maar geen files decrypten... En zoals internet eerder aangaf dat originele files gekopieerd worden en de kopieën versleuteld worden is dus niet waar. De originele files worden versleuteld.

Deze recoverytools hebben dus helaas in mijn geval originele encrypted files terug gehaald...

woensdag 26 november 2014 00:06

Acties:

0 Henk 'm!

TheVMaster

Moderator WOS

>>MOVE>> BV

woensdag 26 november 2014 00:18

Acties:

0 Henk 'm!

Thralas

Afbeeldingslocatie: http://www.bleepstatic.com/swr-guides/c/coinvault/coinvault-thmb.jpg

Ik zie daar een invulveld voor een key/IV. Werden die ingevuld nadat je op 'Check payment' drukte? Zoja, lijkt me slim als je deze goed bewaart. Lijkt me dat dat gewoon de AES-key is waar alles mee is versleuteld, dan zou je al je andere files ook terug moeten kunnen krijgen, ook al lukt dat eventueel niet met de malware zelf.

Zie ook http://www.bleepingcomputer.com/virus-removal/coinvault-ransomware-information

Als ik deze writeup mag geloven lijkt het op plain AES-CBC.

Indien je de key/IV inderdaad hebt zou je kunnen proberen om je files handmatig te decrypten, bijvoorbeeld met OpenSSL; aes-128-cbc of aes-256-cbc afhankelijk van de keylengte. Kom je d'r niet uit, post dan de key/IV en een sample file waarvan je zeker weet dat 'ie encrypted is..

[ Voor 43% gewijzigd door Thralas op 26-11-2014 00:40 ]

woensdag 26 november 2014 08:09

Acties:

0 Henk 'm!

GeeMoney

Topicstarter

Thralas schreef op woensdag 26 november 2014 @ 00:18:
[afbeelding]

Ik zie daar een invulveld voor een key/IV. Werden die ingevuld nadat je op 'Check payment' drukte? Zoja, lijkt me slim als je deze goed bewaart. Lijkt me dat dat gewoon de AES-key is waar alles mee is versleuteld, dan zou je al je andere files ook terug moeten kunnen krijgen, ook al lukt dat eventueel niet met de malware zelf.

Zie ook http://www.bleepingcomputer.com/virus-removal/coinvault-ransomware-information

Als ik deze writeup mag geloven lijkt het op plain AES-CBC.

Indien je de key/IV inderdaad hebt zou je kunnen proberen om je files handmatig te decrypten, bijvoorbeeld met OpenSSL; aes-128-cbc of aes-256-cbc afhankelijk van de keylengte. Kom je d'r niet uit, post dan de key/IV en een sample file waarvan je zeker weet dat 'ie encrypted is..

Stom genoeg heb ik die dus niet opgeslagen.
Na "Check Payment" op decrypt gedrukt en op moment van drukken zijn ze alweer weg. Ik ben al aan het zoeken of ik deze nog ergens kan achterhalen.
Al blijft het de vraag met welke tool de encryptie dan gedaan is hoor, maar zeker een goed punt.
Het was trouwens al lastig genoeg om binnen 24 uur een bitcoin payment te doen boven de 100 euro. Alle digitale banken hanteren een limiet van 100 euro per week!

Ik vraag me ook af of ze daadwerkelijk alles zo snel encrypten met een unieke sleutel. In een kleine 5 minuten hebben ze zeker een halve terabyte aan spul "ge-encrypt" op mijn nas. Dit kan dus onmogelijk een verplaatsing/kopie zijn gewijst en de originele zijn dus aangetast.

Ik vermoed dat ze alleen de header van een file ofzo corrumperen ?

[ Voor 4% gewijzigd door GeeMoney op 26-11-2014 08:10 ]

woensdag 26 november 2014 13:56

Acties:

0 Henk 'm!

Thralas

GeeMoney schreef op woensdag 26 november 2014 @ 08:09:
Ik vraag me ook af of ze daadwerkelijk alles zo snel encrypten met een unieke sleutel. In een kleine 5 minuten hebben ze zeker een halve terabyte aan spul "ge-encrypt" op mijn nas. Dit kan dus onmogelijk een verplaatsing/kopie zijn gewijst en de originele zijn dus aangetast.

Ik vermoed dat ze alleen de header van een file ofzo corrumperen ?

Ja, dat laatste kan goed kloppen. Deden andere lockers ook.

Ik kwam trouwens deze thread tegen die suggereert dat je hardware ID uniek is voor je computer.

Als de C&C nog up is zou je misschien je hardware id kunnen hergenereren en handmatig een key request doen. Misschien kan die kerel aldaar nog wat voor je betekenen (hij heeft de boel blijkbaar al reversed).

woensdag 26 november 2014 15:49

Acties:

0 Henk 'm!

Verwijderd

Erg zuur dat je niet alle bestanden hebt teruggekregen, maar ik denk dat ik je hier enigsinds mee kan helpen, dus heb speciaal voor jou even een account aangemaakt op tweakers

(zit normaal nooit op het forum)

Ben zelf gister ook geïnfecteerd met dit virus, heb er eerst veel onderzoek naar gedaan op internet:
Hier, hier en vooral hier staat veel informatie over hoe coinvault werkt.

Na mijn verbazing was mijn versie in het nederlands. Ik het overal screenshots van genomen voor het geval dat:
Afbeeldingslocatie: http://i.imgur.com/GVKTyVu.png

Afbeeldingslocatie: http://i.imgur.com/GVKTyVu.png

ook de betaalinstructies waren in het nederlands:
Afbeeldingslocatie: http://i.imgur.com/dPdpj4T.png

Als je je computertaal veranderd in het engels kreeg ik hem in het engels:
Afbeeldingslocatie: http://i.imgur.com/8BkDHT0.png

Ik denk dat ik een van de nieuwste versies heb, aangezien linksboven het versienummer vermeld staat, wat nog niet vermeld stond bij alle andere versies die ik online heb gezien, bovendien hoefde ik 0.5 te betalen ipv 0.7 en kreeg ik 72 uur de tijd ipv 24 uur, waar bleepingcomputers.com wel over praat.

Ook lijkt de text veranderd, met een email adres erin, iets dat jij blijkbaar wel kunt gebruiken.
Het emailadres kun je zien op de screenshots: coinvault@lelantos.org

Na enige twijfel heb ik toch betaald omdat er enkele documenten tussen zaten die ik niet kon missen en ook geen backup van had. Helaas delete deze nieuwe versie ook je reservekopieën, dus gratis terughalen zat er ook niet in.
Afbeeldingslocatie: http://i.imgur.com/HoGBeip.png

Afbeeldingslocatie: http://i.imgur.com/HoGBeip.png

Afbeeldingslocatie: http://i.imgur.com/iFiYwNR.png

God zij dank heb ik al mijn bestanden wel terug, misschien dat ze dit deel ook verbeterd hebben.
Zoals je al zei verwijdert hij zichzelf daarna...
Helaas heb ik het coinvault programma zelf niet gebackupped, anders had ik je die kunnen sturen, misschien dat je hem had kunnen draaien en dat hij vanzelf jou bestanden weer terugzette.

De keys worden vervolgens in een bestandje gezet op je bureaublad, genaamd: "Coinvault Keys.txt" met bovendien nogmaals het emailadres.
Afbeeldingslocatie: http://i.imgur.com/3yzyAHp.png

Afbeeldingslocatie: http://i.imgur.com/3yzyAHp.png

Ik hoop dat ik je er wat mee kan, ik zou in ieder geval proberen te mailen.
Geen idee wat je kunt verwachten van de 'klantenservice' van zoiets.

woensdag 26 november 2014 15:59

Acties:

0 Henk 'm!

prutser001

Vaak zit het tegen en soms zi

Wow dat is echt genaaid man, ben toch wel erg benieuwd hoe die rotzooi op je pc/netwerk is gekomen.

Asus Z390 Maximus IX Hero, Intel 9900K, RTX3080, 64GB DDR4 3000, 2TB NVME, Samsung 850Evo 1TB, 4 x 14TB Toshiba, Be Quiet SB 801, Samsung 34"

woensdag 26 november 2014 16:54

Acties:

0 Henk 'm!

GeeMoney

Topicstarter

Verwijderd schreef op woensdag 26 november 2014 @ 15:49:
Erg zuur dat je niet alle bestanden hebt teruggekregen, maar ik denk dat ik je hier enigsinds mee kan helpen, dus heb speciaal voor jou even een account aangemaakt op tweakers (zit normaal nooit op het forum)

Ben zelf gister ook geïnfecteerd met dit virus, heb er eerst veel onderzoek naar gedaan op internet:
Hier, hier en vooral hier staat veel informatie over hoe coinvault werkt.

Na mijn verbazing was mijn versie in het nederlands. Ik het overal screenshots van genomen voor het geval dat:

Als je je computertaal veranderd in het engels kreeg ik hem in het engels:

Ik denk dat ik een van de nieuwste versies heb, aangezien linksboven het versienummer vermeld staat, wat nog niet vermeld stond bij alle andere versies die ik online heb gezien, bovendien hoefde ik 0.5 te betalen ipv 0.7 en kreeg ik 72 uur de tijd ipv 24 uur, waar bleepingcomputers.com wel over praat.

Ook lijkt de text veranderd, met een email adres erin, iets dat jij blijkbaar wel kunt gebruiken.
Het emailadres kun je zien op de screenshots: coinvault@lelantos.org

Na enige twijfel heb ik toch betaald omdat er enkele documenten tussen zaten die ik niet kon missen en ook geen backup van had. Helaas delete deze nieuwe versie ook je reservekopieën, dus gratis terughalen zat er ook niet in.

God zij dank heb ik al mijn bestanden wel terug, misschien dat ze dit deel ook verbeterd hebben.
Zoals je al zei verwijdert hij zichzelf daarna...
Helaas heb ik het coinvault programma zelf niet gebackupped, anders had ik je die kunnen sturen, misschien dat je hem had kunnen draaien en dat hij vanzelf jou bestanden weer terugzette.

De keys worden vervolgens in een bestandje gezet op je bureaublad, genaamd: "Coinvault Keys.txt" met bovendien nogmaals het emailadres.
[afbeelding]

Ik hoop dat ik je er wat mee kan, ik zou in ieder geval proberen te mailen.
Geen idee wat je kunt verwachten van de 'klantenservice' van zoiets.

Helemaal top, ik heb ze gemaild!
Ik zat nog te bedenken om mezelf weer express te infecteren om te hopen dat ik dan wellicht dezelfde encryptiesleutel kan ontvangen of de "free one file decrypt" te proberen om te kijken of hij hem inderdaad nog kan ontsleutelen.
Of zijn dit gekke wegen om te bewandelen... aan de andere kant, ik heb niets te verliezen?

Vraag is alleen hoe ik nu aan een nieuwe CoinVault kom.

woensdag 26 november 2014 22:08

Acties:

0 Henk 'm!

Verwijderd

Denk dat het moeilijk gaat worden om aan een nieuwe coinvault te komen, aangezien ik nergens kan vinden wat de source is.
Heb zelf ook geen idee hoe ik eraan kom.
Bovendien bestaat de kans dat de server je pc niet herkent en vervolgens alles opnieuw gaat encrypten.

Ik hoop dat de support je zal helpen, hou ons op de hoogte!

woensdag 26 november 2014 22:15

Acties:

0 Henk 'm!

GeeMoney

Topicstarter

Verwijderd schreef op woensdag 26 november 2014 @ 22:08:
Denk dat het moeilijk gaat worden om aan een nieuwe coinvault te komen, aangezien ik nergens kan vinden wat de source is.
Heb zelf ook geen idee hoe ik eraan kom.
Bovendien bestaat de kans dat de server je pc niet herkent en vervolgens alles opnieuw gaat encrypten.

Ik hoop dat de support je zal helpen, hou ons op de hoogte!

You freakin made my day!!

Ik heb contact gezocht, moest wat info aanleveren om de betaling die ik eerder gedaan had te laten bevestigen.
Binnen een uur kreeg ik een tool toe gestuurd met mijn 2 unieke sleutels en decrypten kon gestart worden.
De overige foto's zijn terug!!

woensdag 26 november 2014 22:19

Acties:

0 Henk 'm!

Verwijderd

Gefeliciteerd, maar hoe ben je nu geinfecteerd geraakt?

woensdag 26 november 2014 22:43

Acties:

0 Henk 'm!

GeeMoney

Topicstarter

Verwijderd schreef op woensdag 26 november 2014 @ 22:19:
Gefeliciteerd, maar hoe ben je nu geinfecteerd geraakt?

Goede vraag, ik vermoed zelf door een browser plugin.
Het enige wat ik op de betreffende (tijdelijke) windows laptop had geïnstalleerd was Java,Flash, Silverlight via de browser plugins die je middels google naar boven krijgt.

Anders kan ik het niet verklaren. Er staat absoluut geen torrents,nieuwsgroepen whatever op. Dat ding is namelijk van mijn werk en me privé Macbook was weg voor reparatie. (vandaag terug gekomen overigens)

woensdag 26 november 2014 23:06

Acties:

0 Henk 'm!

Verwijderd

Geweldig, houden ze zich toch nog aan hun woord dat als er betaald wordt, je de files wel terug krijgt.
Heb zelf geen browser plug-ins geïnstalleerd en ben ook geïnfecteerd geraakt, het blijft voor mij dus een raadsel waar hij vandaan komt.

Ik ben blij dat ik je heb kunnen helpen

woensdag 26 november 2014 23:56

Acties:

0 Henk 'm!

aZuL2001

Congratz.

En nu het backuppen regelen

Abort, Retry, Quake ???

donderdag 27 november 2014 00:28

Acties:

0 Henk 'm!

Thralas

En een shopreview

donderdag 27 november 2014 00:47

Acties:

0 Henk 'm!

Brilsmurfffje

Parttime Prutser

Dit is serieus professionele ransomeware, compleet met helpdesk

Wel top dat je alles terug gekregen hebt!

donderdag 27 november 2014 07:27

Acties:

0 Henk 'm!

GeeMoney

Topicstarter

aZuL2001 schreef op woensdag 26 november 2014 @ 23:56:
Congratz.

En nu het backuppen regelen

Back-up had ik al

Het probleem zat hem in de nieuwste toevoegingen...

Tip voor mensen voorlopig: Kaartje op "alleen-lezen" zetten, uitlezen, controleren, back-uppen en dan pas het kaartje weer op read-write modes en wissen.

Brilsmurfffje schreef op donderdag 27 november 2014 @ 00:47:
Dit is serieus professionele ransomeware, compleet met helpdesk

Wel top dat je alles terug gekregen hebt!

Dit is echt serieuze sh*t ja, die gasten hebben in ieder geval een stel stalen ballen hangen door gewoon middels mail contact te onderhouden en dan ook nog decrypt tool en mijn sleutels aan te leveren.

Spijtig van die 150 euro maar chapeau voor de belofte die ze wel nakomen.

Een stukje uit de mail conversatie:

Ik heb uiteraard niet de gehele conversatie gepost, maar dit stukje gaf mij in 1 tel hoop

.

De decrypt tool ziet er heel simpel uit, en heeft net als de originele CoinVault applicatie 2 velden waar sleutels ingevoerd moeten worden.
Vervolgens kies ik mijn map met encrypted files en druk op de knop.

Ik heb 2 foto's die evengoed niet wilde decrypten. Ik krijg de melding Key/IV invalid for this file.

Dit betekend dus ook dat ik mijn tool wel kan versturen aan mensen, maar je nog steeds je eigen 2 sleutels nodig hebt om te decrypten.... Je zit dus vast aan het betalen.

Ook heb ik getest wat er gebeurd als ik een reeds decrypted file nogmaals door de tool haal. Die wordt dan weer encrypted. (Bevestigd dat er dus gewoon een stukje header hoe dan ook veranderd word en er niet gekeken wordt naar een volledig hash of stukje unieke code van de sleutel)

[ Voor 76% gewijzigd door GeeMoney op 27-11-2014 07:35 ]

zondag 30 november 2014 13:47

Acties:

0 Henk 'm!

yunyammka

Heb deze ook op de laptop gehad. Heb direct de boel verwijderd, maar zit dus nu met een stapel versleutelde bestanden. (Vooral veel foto's van onze zoon

) Van een aantal heb ik nog wel een backup, dus nu vraag ik me af of het op een of andere manier mogelijk is om daarmee de key te achterhalen en de andere bestanden alsnog terug te halen?

zondag 30 november 2014 17:38

Acties:

0 Henk 'm!

GeeMoney

Topicstarter

yunyammka schreef op zondag 30 november 2014 @ 13:47:
Heb deze ook op de laptop gehad. Heb direct de boel verwijderd, maar zit dus nu met een stapel versleutelde bestanden. (Vooral veel foto's van onze zoon ) Van een aantal heb ik nog wel een backup, dus nu vraag ik me af of het op een of andere manier mogelijk is om daarmee de key te achterhalen en de andere bestanden alsnog terug te halen?

Dat is helaas onmogelijk.
Enige wat je had kunnen doen was betalen...

zondag 30 november 2014 21:31

Acties:

0 Henk 'm!

Verwijderd

yunyammka schreef op zondag 30 november 2014 @ 13:47:
Heb deze ook op de laptop gehad. Heb direct de boel verwijderd, maar zit dus nu met een stapel versleutelde bestanden. (Vooral veel foto's van onze zoon ) Van een aantal heb ik nog wel een backup, dus nu vraag ik me af of het op een of andere manier mogelijk is om daarmee de key te achterhalen en de andere bestanden alsnog terug te halen?

Of neem contact met ze op via de mail?

zondag 30 november 2014 22:07

Acties:

0 Henk 'm!

GeeMoney

Topicstarter

Verwijderd schreef op zondag 30 november 2014 @ 21:31:
[...]

Of neem contact op met ze via de mail?

De kans dat je sleutel nog te achterhalen is, is klein. (en dan moet je dus alsnog betalen en waarschijnlijk de hoofdprijs van 1.5 bitcoin)
Die worden namelijk op gehijackte servers opgeslagen dus hoe langer je wacht hoe kleiner de kans dat die nog te achterhalen is. Niet geschoten is natuurlijk altijd mis!

Als ze hem nog kunnen achterhalen voor je dan zullen ze dit zeker laten weten.
Ik heb zelden zo'n goede helpdesk meegemaakt

[ Voor 12% gewijzigd door GeeMoney op 30-11-2014 22:08 ]

zondag 30 november 2014 22:14

Acties:

0 Henk 'm!

yunyammka

Honor among thieves heh? Spijtig van alle materiaal van het kleine mannetje... maar ik vertik het om dit soort criminelen te betalen... dat motiveert ze alleen maar om ermee door te gaan.

maandag 1 december 2014 11:53

Acties:

0 Henk 'm!

GeeMoney

Topicstarter

yunyammka schreef op zondag 30 november 2014 @ 22:14:
Honor among thieves heh? Spijtig van alle materiaal van het kleine mannetje... maar ik vertik het om dit soort criminelen te betalen... dat motiveert ze alleen maar om ermee door te gaan.

Het is dat het voor mij ook speciale nieuwe foto's waren anders had ik ook niet betaald.
Een dagje dierentuin doe je zo over maar zijn eerste verjaardag is toch lastig. Vandaar dat ik uiteindelijk toch betaald heb.

donderdag 11 december 2014 13:10

Acties:

0 Henk 'm!

GeeMoney

Topicstarter

Kleine maar belangrijke update.

Ik liet het probleem zien aan familieleden en vrienden maar sinds eergister werkt het encrypten nog wel maar decrypten niet meer.

Het lijkt erop alsof er dus toch iets van het internet geplukt moet worden ondanks de tool en keys die ik in bezit heb

?

Anyway ik heb al mijn data terug, maar wellicht voor andere mensen raad ik dus aan niet te lang te wachten met decrypten!

vrijdag 26 december 2014 08:25

Acties:

0 Henk 'm!

Lucano

Hoe hebben jullie coinvault overigens van je pc af gekregen? Met welke tool? Betalen gaat mij echt te ver, dan helaas maar de bestanden kwijt..

vrijdag 26 december 2014 10:43

Acties:

0 Henk 'm!

TommieW

Numa numa.

luuk.luuk schreef op vrijdag 26 december 2014 @ 08:25:
Hoe hebben jullie coinvault overigens van je pc af gekregen? Met welke tool? Betalen gaat mij echt te ver, dan helaas maar de bestanden kwijt..

Ik raad aan om na een virusinfectie Windows opnieuw te installeren. Alleen dan weet je zeker dat het OS "veilig" is.

1700X@3,9GHZ - Asus Crosshair VI Hero - 32GB Corsair LPX - GTX 1070Ti
iPhone 13 Pro Max - Macbook Pro 16" M1 Pro

vrijdag 26 december 2014 12:59

Acties:

0 Henk 'm!

rikadoo

Je moet even unlocker installeren, dan booten in veilige modus. Hier kun je naar de map C:\Users\(je naam)\AppData\Roaming\Microsoft gaan.

Hier staan de bestanden, coin en nog een andere (De bestanden staan wel verborgen). Daarna unlcoker draaien op die 2 bestanden en opnieuw booten dan zijn ze weg.

Nu kan je virusscanners draaien malware tools whatever.

vrijdag 26 december 2014 14:16

Acties:

0 Henk 'm!

bernie2009

Ik heb die losers ook moeten betalen. Had wel een backup maar die was al een jaar oud... Ik weet het, eigen schuld maar dit geeft dit soort lui niet het recht om je bestanden te decrypten. Ik heb dus een vervelende kerst gehad. Ik wens deze gast(en) dan ook het ergste toe. Karma is a bitch!

zaterdag 27 december 2014 11:19

Acties:

0 Henk 'm!

Verwijderd

Ook ik ben geinfecteerd met dit virus. Alleen het programma komt er niet meer voor en ze antwoorden niet op de mail. Ze zullen zelf wel een fijne kerst hebben denk ik!

zaterdag 27 december 2014 11:32

Acties:

0 Henk 'm!

Ramon

Natuurlijk, als iedereen blijft betalen wel.

Check mijn V&A ads: https://tweakers.net/aanbod/user/9258/

zaterdag 27 december 2014 21:41

Acties:

0 Henk 'm!

Verwijderd

Ook ik ben de l*l sinds 1e kerstdag.. had de pc alleen aan voor wat muziek en een recept op te zoeken blijkbaar is daar toch iets mee binnen gekomen (geen enkel idee hoe), toch maar mailen om te gaan betalen gezien ook ik foto's kwijt ben van mijn tweeling, heb ook wel een backup gelukkig, maar die is alweer een paar maanden oud en wij maken nogal wat foto's..

Verder ook heel veel webdesign spullen weg die ik nog niet gebackupt heb en ook mijn email opslag bestanden zijn aangetast..

Lekker kerst gehad, ik ben er echt helemaal ziek van..

maandag 29 december 2014 16:25

Acties:

0 Henk 'm!

SBTweaker

Een maat van mij heeft dit virus ook, wil hem morgen gaan repareren. Echter zit er op mijn netwerk een nas met openbare bestanden (films vooral) , deze wordt ook geencrypt als ik de geinfecteerde laptop met het netwerk verbind ?

maandag 29 december 2014 16:30

Acties:

0 Henk 'm!

TommieW

Numa numa.

SBTweaker schreef op maandag 29 december 2014 @ 16:25:
Een maat van mij heeft dit virus ook, wil hem morgen gaan repareren. Echter zit er op mijn netwerk een nas met openbare bestanden (films vooral) , deze wordt ook geencrypt als ik de geinfecteerde laptop met het netwerk verbind ?

Ik zou het risico niet nemen, als ik jou was. Als je router het kan, maak je een gastnetwerk aan waarmee geen comminucatie naar de rest van je netwerk is.

1700X@3,9GHZ - Asus Crosshair VI Hero - 32GB Corsair LPX - GTX 1070Ti
iPhone 13 Pro Max - Macbook Pro 16" M1 Pro

dinsdag 30 december 2014 11:15

Acties:

0 Henk 'm!

Verwijderd

Ook ik ben helaas slachtoffer geworden van het Coinvault virus.Heb 5 harde schijven in mijn PC en een hoop geinfecteerde files nu.
Heb daarna veel gelezen en uiteindelijk tot de conclusie gekomen dat betalen de enige mogelijkheid was om in ieder geval een kans te hebben de files terug te krijgen.
Aangemeld dus bij een bitcoin betaaldienst, overgemaakt volgens instructies en uiteindelijk na een paar uur (de betaaldienst moet eerst een bevestiging sturen ter verificatie van het account, en daarna geldt nog een afkoelperiode van 2 uur voor de betaling) kreeg ik de melding dat de betaling ontvangen was en de files ge-decrypt werden. En daarna ....waren nog alle files encrypted.
In het scherm van Coinvault stond een email adres waarnaar ik bij moeilijkheden kon mailen. zo gedaan echter kreeg ik geen reactie direct. Pas na pakweg 24 uur kreeg ik een mail reply dat het mailadres geblokkeerd was en met opgave van een nieuw mailadres. HDaarheen nogmaals de mail gestuurd met uitleg van de problemen.
Kreeg prompt een mail terug met een aantal vragen waaronder of er meerdere popupschermen geopend waren met dezelfde melding en of ik een paar files kon opsturen met de verkrrgen decryptsleutels. Dat heb ik bevestigd en tegelijk de files en de sleutels opgestuurd.
Wederom een bevestiging gekregen van ontvangst, met excuses , en dat men het ging uitzoeken.
Uiteindelijk ene paar uur later per mail het antwoord en een klein programma gekregen om de files alsnog te herstellen (blijkbaar waren de files meerdere malen ge-decrypt tijdens het herstel proces en moesten deze nu weer encrypt worden om de originele data te herstellen).
Uiteindelijk na 3 dagen een ervaring rijker, een boel geld armer, en mijn files weer leesbaar.
Geluk bij een ongeluk.

Op de vraag aan die uitstekende helpdesk (ahum) wat ik eraan kon doen om nog een keer geinfecteerd te worden met dit programma, heeft men helaas niet meer gereageerd.

Heb voor de zekerheid maar CryptoPrevent aangekocht en geinstalleerd, dit schijnt te helpen.
Weet echter niet, ondanks altijd zorgvuldig omgaan met het internet en downloaden en openen van files, waar de besmetting vandaan gekomen is. Volgens het web kan dit gisteren gebeurd zijn, maar ook enkele weken geleden.

woensdag 31 december 2014 18:28

Acties:

0 Henk 'm!

GeeMoney

Topicstarter

Verwijderd schreef op dinsdag 30 december 2014 @ 11:15:
Ook ik ben helaas slachtoffer geworden van het Coinvault virus.Heb 5 harde schijven in mijn PC en een hoop geinfecteerde files nu.
Heb daarna veel gelezen en uiteindelijk tot de conclusie gekomen dat betalen de enige mogelijkheid was om in ieder geval een kans te hebben de files terug te krijgen.
Aangemeld dus bij een bitcoin betaaldienst, overgemaakt volgens instructies en uiteindelijk na een paar uur (de betaaldienst moet eerst een bevestiging sturen ter verificatie van het account, en daarna geldt nog een afkoelperiode van 2 uur voor de betaling) kreeg ik de melding dat de betaling ontvangen was en de files ge-decrypt werden. En daarna ....waren nog alle files encrypted.
In het scherm van Coinvault stond een email adres waarnaar ik bij moeilijkheden kon mailen. zo gedaan echter kreeg ik geen reactie direct. Pas na pakweg 24 uur kreeg ik een mail reply dat het mailadres geblokkeerd was en met opgave van een nieuw mailadres. HDaarheen nogmaals de mail gestuurd met uitleg van de problemen.
Kreeg prompt een mail terug met een aantal vragen waaronder of er meerdere popupschermen geopend waren met dezelfde melding en of ik een paar files kon opsturen met de verkrrgen decryptsleutels. Dat heb ik bevestigd en tegelijk de files en de sleutels opgestuurd.
Wederom een bevestiging gekregen van ontvangst, met excuses , en dat men het ging uitzoeken.
Uiteindelijk ene paar uur later per mail het antwoord en een klein programma gekregen om de files alsnog te herstellen (blijkbaar waren de files meerdere malen ge-decrypt tijdens het herstel proces en moesten deze nu weer encrypt worden om de originele data te herstellen).
Uiteindelijk na 3 dagen een ervaring rijker, een boel geld armer, en mijn files weer leesbaar.
Geluk bij een ongeluk.

Op de vraag aan die uitstekende helpdesk (ahum) wat ik eraan kon doen om nog een keer geinfecteerd te worden met dit programma, heeft men helaas niet meer gereageerd.

Heb voor de zekerheid maar CryptoPrevent aangekocht en geinstalleerd, dit schijnt te helpen.
Weet echter niet, ondanks altijd zorgvuldig omgaan met het internet en downloaden en openen van files, waar de besmetting vandaan gekomen is. Volgens het web kan dit gisteren gebeurd zijn, maar ook enkele weken geleden.

Wellicht voor de mensen hier, kan je het nieuwe mail adres posten of als DM geven aan bovenstaande slachtoffers?
Dan kunnen ze, mochten ze daar behoefte aan hebben ook contact opnemen.

donderdag 1 januari 2015 15:29

Acties:

0 Henk 'm!

Verwijderd

Uw persoonlijke bestanden en documenten op deze computer zijn versleuteld.
De originele bestanden zijn versleuteld met een sleutel die u kunt verkrijgen door de onderstaande
stappen te volgen.
Klik op 'Geef versleutelde bestandenlijst weer' om een lijst met alle versleutelde bestanden te weergeven.

De versleuteling is onkraakbaar en kan alleen worden ontgrendeld door middel van de sleutel die opgeslagen
is op een server.

Deze server zal alleen uw sleutel vrijgeven als het bedrag (in bitcoins) wordt betaald dat links van
dit scherm weergegeven wordt.

Als de timer verloopt, zal deze prijs verhoogt worden met het beginbedrag.

Na de betaling kunt u de sleutels verkijgen m.b.v. de 'Controleer betaling en ontvang sleutels' knop.
Als de sleutels ontvangen zijn, kunt u uw originele bestanden herstellen met de 'Ontgrendel bestanden
met sleutels' knop.

Dit programma zal zich na het ontgrendelen van de versleutelde bestanden zelf volledig verwijderen.

U kunt één bestand gratis ontgrendelen m.b.v. de 'Één gratis ontgrendeling' knop.

LET OP: Het verwijderen van dit programma leidt tot permanente verlies van uw bestanden en documenten!

Voor informatie over de betaling met bitcoin, klik op 'Betaalinstructies'.

Voor hulp en problemen, mail: coinvault@openmailbox.org (hoofdemailadres).
Backup mail: coinvault@lelantos.org (als hoofdemailadres niet werkt).

Dat is de tekst van coinvault zoals ik hem voor het laatst heb gekopieërd.
Ze hebben dus blijkbaar lelantos (waar je momenteel niet naar kan mailen aangezien lelantos down is) nu veranderd naar een 'backup mail' en coinvault@openmailbox.org aangemaakt al nieuw mailadres.

donderdag 1 januari 2015 15:44

Acties:

0 Henk 'm!

SinergyX

____(>^^(>0o)>____

Verwijderd schreef op dinsdag 30 december 2014 @ 11:15:
Heb voor de zekerheid maar CryptoPrevent aangekocht en geinstalleerd, dit schijnt te helpen.
Weet echter niet, ondanks altijd zorgvuldig omgaan met het internet en downloaden en openen van files, waar de besmetting vandaan gekomen is. Volgens het web kan dit gisteren gebeurd zijn, maar ook enkele weken geleden.

Dom idee, maar zitten die gasten achter een coinvault ook niet gewoon achter Cryptoprevent? Beetje win/win situatie voor hun als je het mij vraagt.

^{Nog 1 keertje.. het is SinergyX, niet SynergyX}
_{Im as excited to be here as a 42 gnome warlock who rolled on a green pair of cloth boots but was given a epic staff of uber awsome noob pwning by accident.}

vrijdag 2 januari 2015 23:34

Acties:

0 Henk 'm!

Sneakers35

Ik was ook geïnfecteerd door coinvault en heb er veel over gelezen dagen lang om het op te lossen, maar dat is niet mogelijk of het is betalen of je moet hopen dat je een back-up hebt. Dus wat ik gedaan heb is opnieuw Windows 7 installeren en alle protectie software downloaden en alle bestanden die vern**kt zijn maar branden op een DVD en hopen dat in de toekomst er een oplossing op het net te vinden is. En wat ik ga doen is een USB ( 64 GB ) aan schaffen ik heb er maar 2 gekocht je weet maar nooit en dan maar elke keer een back-up maken en die er dan maar uittrekken er zit niks anders op. Want ook bestanden die op een NAS staan worden geïnfecteerd, alles waar jij bij kan op dat moment wordt ook versleuteld, dus wat niet online is kunnen ze niet bij, heel begrijpelijk.

En ja het is gewoon je reinste maffia, want ik lees verhalen van oude mensen die al hun oude foto's kwijt zijn en geen geld hebben en verder niks kunnen doen. Maar ja dat is dan ook maffia geen mededogen medelijden.

Want ik heb echt alles geprobeerd bijvoorbeeld al je foto's omzetten naar een ander bestand, helemaal niks en nog meer van dat soort dingen.

Dus gewoon elke keer als een keurige boekhouder een back-up maken van je bestanden.

Vriendelijke groeten,

Sneakers

zondag 4 januari 2015 13:41

Acties:

0 Henk 'm!

Ramon

Ik ben wel benieuwd hoeveel van de geïnfecteerden Windows 8.1 draaiden met SmartScreen enabled (standaard). SmartScreen lijkt bij uitstek de technologie dit zou moeten stoppen (omdat je immers gewoon een .exe hebt aangeklikt om CoinVault te starten). SmartScreen komt dan met een full-screen dialoog die je waarschuwt dat je iets verkeerds doet:

Afbeeldingslocatie: http://3.bp.blogspot.com/-ZONWns46Zko/UF4BpVTD4wI/AAAAAAAAAvI/7bNrnvbD4Hw/s1600/Screenshot+%2822%29.png

Afbeeldingslocatie: http://3.bp.blogspot.com/-ZONWns46Zko/UF4BpVTD4wI/AAAAAAAAAvI/7bNrnvbD4Hw/s1600/Screenshot+%2822%29.png

In het Action Center kan je klikken op "Change Windows SmartScreen settings" aan de linkerkant. Voor de duidelijkheid: hij moet op de BOVENSTE optie staan om te werken.

Afbeeldingslocatie: http://i.imgur.com/kHuloOI.png

Afbeeldingslocatie: http://i.imgur.com/kHuloOI.png

Check mijn V&A ads: https://tweakers.net/aanbod/user/9258/

zondag 4 januari 2015 14:12

Acties:

0 Henk 'm!

Klavertje2211

Ik ben helaas ook slachtoffer geworden van die maffia lui, maar met een image terugzetten en mijn backup van mijn bestanden alles weer op orde....
Blijft wel dat smartscreen geen enkele melding gaf/geeft,terwijl mijn instelling toch de juiste is/was en ik een melding had horen te krijgen of het wel OK was om CoinVault op te starten.

zondag 4 januari 2015 19:24

Acties:

0 Henk 'm!

Ramon

Klavertje2211 schreef op zondag 04 januari 2015 @ 14:12:
Ik ben helaas ook slachtoffer geworden van die maffia lui, maar met een image terugzetten en mijn backup van mijn bestanden alles weer op orde....
Blijft wel dat smartscreen geen enkele melding gaf/geeft,terwijl mijn instelling toch de juiste is/was en ik een melding had horen te krijgen of het wel OK was om CoinVault op te starten.

Op het risico af om iets doms te vragen, je draait wel Windows 8.1?

Check mijn V&A ads: https://tweakers.net/aanbod/user/9258/

zondag 4 januari 2015 19:49

Acties:

0 Henk 'm!

Kuusj

Ofwel varken in 't Limburgs

Ik kreeg laatst ook zo'n webpagina te zien met randsomware zooi. Was ook echt gewoon 1x (doe het normaal echt nooit) naar een Russische webpagina gegaan met Assetto Corsa mods. Nog geen 3 seconden later heeft de overheid me te pakken

Webpagina sluiten ging om de een of andere reden niet, popups bleven maar komen met waarschuwingen (dat als ik het nog 2x probeerde het ding al m'n bestanden zou gaan versleutelen). Ik dus snel nog enige foto's wat ik op m'n data disk had overgeheveld op een SD-kaartje en daarna de data schijf van de stroom gehaald. Toch doorklikken om te zien wat er zou gebeuren maar er gebeurde uiteindelijk niks.

Lastige dingen zijn het...
5 verschillende HDD's met dezelfde data (veelal foto's en video's) waarvan er 1 encrypted is met Bitlocker. Verder zijn ze verspreid over familieleden en hangen vrijwel nooit aan PC's.

Ik overdrijf, maar ja, ik heb geen zin om aan praktijken als deze geld kwijt te raken en bovendien, foto's zijn heel kostbaar.

9800X3D - RX 6900XT - Volvo S40 T5 '10 - Kever '74

zondag 4 januari 2015 19:52

Acties:

0 Henk 'm!

Klavertje2211

Ach, geen enkele vraag is dom, maar ik draai op Win 8.1.
N.a.v. je opmerking toch eens gekeken hoe mijn instelling was van windows smartscreen..precies zoals het moet zijn, ik zou dus eerst toestemming hebben moeten geven...nou, dat was in mijn geval niet zo.
Ik was, hoe bedenk je het, een scan aan het doen met Malware antibytes toen ik ineens geconfronteerd werd met dat ontzettende vervelende scherm van CoinVault.
Format C gedaan, image terug gezet en het werkt weer,...betalen gaan we nooit!

zondag 4 januari 2015 21:43

Acties:

0 Henk 'm!

DeNachtwacht

youtube.com/@hisrep

Het is een erg vervelend iets inderdaad, maar mochten het bestanden zijn die je toch de komende tijd niet nodig hebt, dan kan het best zinvol zijn gewoon even te wachten. Denk aan bijvoorbeeld de foto's van je zoontje, die hoef je nou ook niet per sé volgende week terug te zien: over een jaar of 20 wil je dat natuurlijk wel.

Het mooie van encryptie is gelukkig dat de filters waarmee dat gebeurt voor pc's van nu inderdaad oneindig ingewikkeld zijn, maar als je nu met je i5 of i7 processor een ge-encrypted zip-bestand uit 1994 ontsleutelt heb je binnen 1 minuut je gezipte fotocollectie (hoewel dat in 1994 schaars was

) terug. Kortom; denk eens aan hoe makkelijk het zal zijn voor een (quantum?)computer in 2034 om de files die jij nu op je PC hebt te decrypten.

Ik zou zelf iig nooit aan die gasten betalen (maar ben dan ook in de gelukkige omstandigheid dat het mij nog niet overkomen is...)

youtube.com/@hisrep

zondag 4 januari 2015 22:01

Acties:

0 Henk 'm!

SuBBaSS

-has Ryzen

Tjonge, wat een ellende kan dit toch veroorzaken! Ik leef mee met alle getroffenen!

Wat ik me afvraag: maakten de getroffenen in dit topic ook gebruik van adblockers oid?
Ik lees bijv. bij kuusj98 dat ie popups kreeg, dat doet vermoeden dat er geen blocker aanwezig was.

Het is in ieder geval toch wat als je dit alleen van het bezoeken van een site krijgt? Of wordt er (uit schaamte oid.) niet het hele verhaal verteld?

zondag 4 januari 2015 22:21

Acties:

0 Henk 'm!

GeeMoney

Topicstarter

Ramon schreef op zondag 04 januari 2015 @ 13:41:
Ik ben wel benieuwd hoeveel van de geïnfecteerden Windows 8.1 draaiden met SmartScreen enabled (standaard). SmartScreen lijkt bij uitstek de technologie dit zou moeten stoppen (omdat je immers gewoon een .exe hebt aangeklikt om CoinVault te starten). SmartScreen komt dan met een full-screen dialoog die je waarschuwt dat je iets verkeerds doet:

[afbeelding]

In het Action Center kan je klikken op "Change Windows SmartScreen settings" aan de linkerkant. Voor de duidelijkheid: hij moet op de BOVENSTE optie staan om te werken.

[afbeelding]

Bij mij stond startscreen wel aan, maar gaf mooi geen melding en ik heb ook niets akkoord gegeven. (niet op in ieder geval een .exe die gedownload was, mijn vermoeden is dat ik hem mee heb gekregen bij een browser-plugin)
De grap is dat SmartScreen wel begon te janken toen ik het decrypter programmaatje ging starten... maarja die moest natuurlijk wel gestart worden en dus heb ik toen Smartscreen uitgeschakeld.

SuBBaSS schreef op zondag 04 januari 2015 @ 22:01:
Tjonge, wat een ellende kan dit toch veroorzaken! Ik leef mee met alle getroffenen!

Wat ik me afvraag: maakten de getroffenen in dit topic ook gebruik van adblockers oid?
Ik lees bijv. bij kuusj98 dat ie popups kreeg, dat doet vermoeden dat er geen blocker aanwezig was.

Het is in ieder geval toch wat als je dit alleen van het bezoeken van een site krijgt? Of wordt er (uit schaamte oid.) niet het hele verhaal verteld?

Ik had geen Adblocker (laptop was tijdelijk en haast niet in gebruik voor te browsen) ik had wel een AV draaien en de Microsoft tool (naam ff kwijt) draaien.

[ Voor 21% gewijzigd door GeeMoney op 04-01-2015 22:22 ]

zondag 4 januari 2015 22:36

Acties:

0 Henk 'm!

Klavertje2211

Ik kan je vertellen dat ook addblockers in mijn geval niets aangaven, Ik werk met Firefox en AddBlock plus staat aan om ellende van mijn pc te weren, maar ook die gaf geen krimp. Malware antibyte gaf ook geen waarschuwing.....ineens kreeg ik die vervelende melding van CoinVault. Ook mijn antivirus software gaf geen krimp.

Ik heb wel in de gaten dat veel mensen die ik spreek geen backup maken van hun meestal dierbare, onvervangbare foto's. Zo 1 keer in de maand maak ik een backup op twee portable HD's, die op seperate locaties worden bewaard...je weet maar nooit, en zo ben ik ook bij diefstal, brand en naar nu blijkt een PC gijzeling er zeker van dat ik alles nog heb.

zondag 4 januari 2015 22:46

Acties:

0 Henk 'm!

rty

@GeeMoney
Aangezien het een bedrijfslaptop is, zijn er andere gevallen binnen het bedrijf bekend?

Ik heb in elk geval in een paar mappen het draaien van programma's geblokkeerd. (%AppData%\Microsoft\Windows\ & %Temp%)
Dat schijnt de plek te zijn waar coinvault vaak vanaf draait.

zondag 4 januari 2015 23:17

Acties:

0 Henk 'm!

Ramon

Klavertje2211 schreef op zondag 04 januari 2015 @ 22:36:
Ik kan je vertellen dat ook addblockers in mijn geval niets aangaven, Ik werk met Firefox en AddBlock plus staat aan om ellende van mijn pc te weren, maar ook die gaf geen krimp. Malware antibyte gaf ook geen waarschuwing.....ineens kreeg ik die vervelende melding van CoinVault. Ook mijn antivirus software gaf geen krimp.

Vergeet niet dat op het moment dat je de CoinVault melding krijgt, CoinVault zelf al dagen of weken op je PC kan hebben gestaan (afhankelijk van hoeveel bestanden hij kon bereiken voor encryptie) bezig met het encrypten van je bestanden. Dus dan is het op zich logisch dat je er niets van merkt van ABP.

Check mijn V&A ads: https://tweakers.net/aanbod/user/9258/

zondag 4 januari 2015 23:22

Acties:

0 Henk 'm!

SuBBaSS

-has Ryzen

Klavertje2211 schreef op zondag 04 januari 2015 @ 22:36:
Ik kan je vertellen dat ook addblockers in mijn geval niets aangaven, Ik werk met Firefox en AddBlock plus staat aan om ellende van mijn pc te weren, maar ook die gaf geen krimp. Malware antibyte gaf ook geen waarschuwing.....ineens kreeg ik die vervelende melding van CoinVault. Ook mijn antivirus software gaf geen krimp.

Ik heb wel in de gaten dat veel mensen die ik spreek geen backup maken van hun meestal dierbare, onvervangbare foto's. Zo 1 keer in de maand maak ik een backup op twee portable HD's, die op seperate locaties worden bewaard...je weet maar nooit, en zo ben ik ook bij diefstal, brand en naar nu blijkt een PC gijzeling er zeker van dat ik alles nog heb.

Dank voor je info. Heb je zelf geen idee waardoor het anders binnengekomen kan zijn? Via verschillende bronnen wordt toch vooral gerept over executable (bijv. pdf-) attachments aan (phishing-) mails die aangeklikt zijn. Niet zoveel te vinden over "drive-by"-infections.

Dit is een keiharde les voor niet-backuppers inderdaad.

Via http://www.makeuseof.com/...heres-can-get-files-back/ vond ik een link naar een site waar het nederlandse fox-it mede achter zou zitten: https://www.decryptcryptolocker.com/
Daar kun je encrypted files uploaden.
Ben benieuwd of iemand hier al eens gebruik van gemaakt heeft?

[ Voor 11% gewijzigd door SuBBaSS op 04-01-2015 23:38 . Reden: Aanvulling ]

dinsdag 7 april 2015 16:55

Acties:

0 Henk 'm!

Verwijderd

Coinvault verwijderen

Reboot PC in safe mode (veilige modus ,( F8))

ga naar menu start en type in de zoekbalk. regedit
ga naar HKEY_CURRENT_USER\software\ microsoft\ windows \ current version \
policies \Run , en delete de file (ab)Vault.exe

open verkenner en ga naar C:\users(gebruikers)\ADMIN(gebruikersnaam)\APPDATA\roaming
en delete de folder CVLOCKER en delete de file coin.exe ( en de bitmapafbeelding met je gebruikersnaam ervoor ,als ie erbij staat)

(zie je de map appdata niet staan ,configuratiescherm,folderopties(mapopties),verborgen mappen en bestanden tonen (show hidden files and folders))
(kan je een file niet deleten ( omdat het in gebruik is) ctrl+alt+del taakbeheer openen\
en met rechter muisknop op CVault klikken kies voor taak beeindigen))

ga naar start en type in de zoekbalk: %temp%
delete hier de file wallpaper.jpg en de folder WPDNSE en de bitmapafbeelding met je gebruikersnaam ervoor ook deleten

reboot je pc (normaal)en zet je desktop(bureaublad achtergrond) weer op windows 7 theme
ga naar C:\gebruikers\"gebruikersnaam"\mijn afbeeldingen
en delete je fotoo's (die zijn nog incrypted)

klik met je rechter muisknop op de folder
C:\gebruikers\"gebruikersnaam"\mijn afbeeldingen en kies eigenschappen
tabblad vorige versies
klik op en eerdere versie van een backup en klik op restore folder (vorrige versie herstellen)
JE HEBT NU JE FOTO'S TERUG
heb je geen vorige versie staan en of nooit een back up gemaakt

instaleer een programma zoals bijv DATA RESQUE PRO en laat die de pics terug halen
het programma kan ook data recovery pro heten , ik ben wel eens in de war
(data resque(of recovery) pro haalt zelfs foto's terug van een geformateerde schijf)

http://oi59.tinypic.com/2jg591z.jpg

http://oi62.tinypic.com/2gw7ztl.jpg

http://oi60.tinypic.com/2affm06.jpg

sorry voor mijn slechte Nederlands , ik hoop dat jullie hier wat aan hebben

[ Voor 9% gewijzigd door Verwijderd op 11-04-2015 11:40 . Reden: link fotoos bewijs dat het werkt toegevoegd ]

maandag 13 april 2015 15:18

Acties:

0 Henk 'm!

Wognummer

ik had dit topic eerder gelezen en moest meteen eraan denken maar goed

nieuws: Politie: dader achter Coinvault-ransomware is mogelijk in Nederland

laat ons weten of het gelukt is

maandag 13 april 2015 15:21

Acties:

0 Henk 'm!

QinX

Shai-Hulud

Mijn buurman zit in dezelde schuit, heb hem meteen een mailtje geschoten.
Ik hoop dat hij nog alles kan decrypten, zou heel mooi zijn.

http://tweakers.net/productreview/user/184256

maandag 13 april 2015 16:54

Acties:

0 Henk 'm!

GeeMoney

Topicstarter

Goed bericht, zie frontpage!

http://tweakers.net/nieuw...ogelijk-in-nederland.html

@RasB33r, verhaal gaat niet op zoals eerder in dit topic duidelijk is geworden.

[ Voor 21% gewijzigd door GeeMoney op 13-04-2015 16:54 ]

dinsdag 14 april 2015 11:27

Acties:

0 Henk 'm!

Verwijderd

@ GeeMoney

Rasbeer zijn verhaal gaat wel op

copy het bitcoin adres rechts onder in virus

voer het "verhaal wat niet klopt uit "

download dit programa ( decrypter / recovery / programe )

https://noransom.kaspersk...y-coinvault-decryptor.exe

voor de rest die niet wil betalen, download link
voer uit als admin , wijs files aan vul bit coin adres in en klik op decrypt

[ Voor 67% gewijzigd door Verwijderd op 14-04-2015 13:12 ]

dinsdag 14 april 2015 22:37

Acties:

0 Henk 'm!

MrBlueEyes

Wat te doen als Cryptolocker nog niet klaar is? Toch weer op internet aansluiten zodat het misschien afgerond wordt of?

MSI MPG X870E CARBON WIFI, Ryzen 9 9900X, 64GB, Gigabyte AORUS M RTX5080, Samsung 990 Pro 4TB, Samsung 970 EVO 2TB, Samsung OLED G9, LG 48CX, LG 77G5, Xbox Series X, PS4 Pro, Galaxy Z Fold7 512GB, Kia EV6 RWD 77,4 kWh Plus, Weheat Blackbird P80

dinsdag 14 april 2015 22:40

Acties:

0 Henk 'm!

SinergyX

____(>^^(>0o)>____

Verwijderd schreef op dinsdag 14 april 2015 @ 11:27:
@ GeeMoney

Rasbeer zijn verhaal gaat wel op

copy het bitcoin adres rechts onder in virus

voer het "verhaal wat niet klopt uit "

download dit programa ( decrypter / recovery / programe )

https://noransom.kaspersk...y-coinvault-decryptor.exe

voor de rest die niet wil betalen, download link
voer uit als admin , wijs files aan vul bit coin adres in en klik op decrypt

Lees nou eens het topic, dit kan niet..

^{Nog 1 keertje.. het is SinergyX, niet SynergyX}
_{Im as excited to be here as a 42 gnome warlock who rolled on a green pair of cloth boots but was given a epic staff of uber awsome noob pwning by accident.}

donderdag 16 april 2015 10:14

Acties:

0 Henk 'm!

GeeMoney

Topicstarter

Politie schijnt ook wat sleutels in handen te hebben en op de Kaspersky site kan je kijken of (aan de hand van het bitcoin adres) jouw sleutel daar tussen zit en je dus gratis je files kan decrypten. Gebruik daarvoor dan ook de bijgeleverde tool van Kaspersky!

https://noransom.kaspersky.com/

Lijkt me zeer goed nieuws voor een aantal tweakers die getroffen zijn maar nog niet hebben betaald.

Nogmaals, recovery tools bieden GEEN oplossing aangezien de originele file headers gewijzigd zijn! (recovery tools zoeken "oude" blokken op, maar die zijn er namelijk niet omdat de file niet gekopieerd word voor encrypten)

vrijdag 17 april 2015 11:31

Acties:

0 Henk 'm!

Verwijderd

Modbreak:We gaan hier niet trollen.

[ Voor 91% gewijzigd door iisschots op 17-04-2015 23:42 ]

vrijdag 17 april 2015 20:01

Acties:

0 Henk 'm!

MrBlueEyes

Ik heb mijn ouders bestanden terug door https://noransom.kaspersky.com/, erg blij mee!

MSI MPG X870E CARBON WIFI, Ryzen 9 9900X, 64GB, Gigabyte AORUS M RTX5080, Samsung 990 Pro 4TB, Samsung 970 EVO 2TB, Samsung OLED G9, LG 48CX, LG 77G5, Xbox Series X, PS4 Pro, Galaxy Z Fold7 512GB, Kia EV6 RWD 77,4 kWh Plus, Weheat Blackbird P80

zondag 19 april 2015 21:43

Acties:

0 Henk 'm!

GeeMoney

Topicstarter

MrBlueEyes schreef op vrijdag 17 april 2015 @ 20:01:
Ik heb mijn ouders bestanden terug door https://noransom.kaspersky.com/, erg blij mee!

Gratz, mooi man. Goed nieuws

donderdag 14 mei 2015 17:22

Acties:

0 Henk 'm!

Verwijderd

mijn neef had op zn laptop het Coinvault virus, deze wel van laptop gekregen. Laptop is nu weer schoon. Probleem blijft dat de (belangrijkste) foto's allemaal beschadigd zijn gebleven. oftewel, ze zijn niet te openen.
'bestanden zijn beschadigd of worden niet ondersteund' verschijnt bij het openen. Nu zijn dit foto's die niet verloren mogen gaan, dus ik doe mijn best om ze weer in orde te krijgen maar niks helpt.
Recuva geprobeerd, shadow explorer..(daar wordt hele D-schijf niet herkend)
ook systeem herstel geprobeerd maar geen herstel punt aanwezig. ook geen vorige versies van de foto's.

nu was ik even blij met https://noransom.kaspersky.com/ maar hier dien je een IV en een Key in te geven van Coinvault echter (gelukkig) is het virus al van de laptop af. dus die gegevens heb ik helemaal niet iemand enig idee hoe ik de foto's nog kan herstellen?

Op andere harde schijf had hij Bit Cryptor virus waar hetzelfde verhaal geldt.
hoop dat iemand een oplossing weet.

alvast bedankt!

[ Voor 7% gewijzigd door Verwijderd op 14-05-2015 17:38 ]

donderdag 14 mei 2015 17:43

Acties:

0 Henk 'm!

TommieW

Numa numa.

Verwijderd schreef op donderdag 14 mei 2015 @ 17:22:
mijn neef had op zn laptop het Coinvault virus, deze wel van laptop gekregen. Laptop is nu weer schoon. Probleem blijft dat de (belangrijkste) foto's allemaal beschadigd zijn gebleven. oftewel, ze zijn niet te openen.
'bestanden zijn beschadigd of worden niet ondersteund' verschijnt bij het openen. Nu zijn dit foto's die niet verloren mogen gaan, dus ik doe mijn best om ze weer in orde te krijgen maar niks helpt.
Recuva geprobeerd, shadow explorer..(daar wordt hele D-schijf niet herkend)
ook systeem herstel geprobeerd maar geen herstel punt aanwezig. ook geen vorige versies van de foto's.

nu was ik even blij met https://noransom.kaspersky.com/ maar hier dien je een IV en een Key in te geven van Coinvault echter (gelukkig) is het virus al van de laptop af. dus die gegevens heb ik helemaal niet iemand enig idee hoe ik de foto's nog kan herstellen?

Op andere harde schijf had hij Bit Cryptor virus waar hetzelfde verhaal geldt.
hoop dat iemand een oplossing weet.

alvast bedankt!

Zonder die gegevens is er echt geen mogelijkheid om de foto's te herstellen. Maar als die foto's zo belangrijk zijn, waarom heb je er dan geen back-up van?

1700X@3,9GHZ - Asus Crosshair VI Hero - 32GB Corsair LPX - GTX 1070Ti
iPhone 13 Pro Max - Macbook Pro 16" M1 Pro

maandag 14 december 2015 21:55

Acties:

0 Henk 'm!

darkangel456

Ik kan het nergens vinden tot nu toe maar is er al een oplossing voor het coinvault virus?
Me broer heeft het namelijk ook, maar die gaat dus echt niet dat bedrag betalen.

P.S Het is windows 7 wat hij draait.

donderdag 19 mei 2016 10:04

Acties:

0 Henk 'm!

MicDrive

Verwijderd schreef op donderdag 14 mei 2015 @ 17:22:
mijn neef had op zn laptop het Coinvault virus, deze wel van laptop gekregen. Laptop is nu weer schoon. Probleem blijft dat de (belangrijkste) foto's allemaal beschadigd zijn gebleven. oftewel, ze zijn niet te openen.
'bestanden zijn beschadigd of worden niet ondersteund' verschijnt bij het openen. Nu zijn dit foto's die niet verloren mogen gaan, dus ik doe mijn best om ze weer in orde te krijgen maar niks helpt.
Recuva geprobeerd, shadow explorer..(daar wordt hele D-schijf niet herkend)
ook systeem herstel geprobeerd maar geen herstel punt aanwezig. ook geen vorige versies van de foto's.

nu was ik even blij met https://noransom.kaspersky.com/ maar hier dien je een IV en een Key in te geven van Coinvault echter (gelukkig) is het virus al van de laptop af. dus die gegevens heb ik helemaal niet iemand enig idee hoe ik de foto's nog kan herstellen?

Op andere harde schijf had hij Bit Cryptor virus waar hetzelfde verhaal geldt.
hoop dat iemand een oplossing weet.

alvast bedankt!

Ik had ook het probleem dat ik de IV en de key niet meer had, omdat het virus al van mijn pc af was. Ik had gelukkig externe backups van al mijn belangrijke bestanden, maar van de rest niet. Ik heb al die bestanden bewaard en zag laatst dat Kaspersky al een tijdje geleden een (update) van hun tooltje heeft uitgebracht om je bestanden te unlocken. De gasten van dit virus zijn namelijk opgepakt en de keys zijn bemachtigd.

Het tooltje probeert alle bekende keys en unlocked de bestanden daarna. Heb al mijn bestanden nu weer terug $_/-\o_$ Het is te vinden op: https://noransom.kaspersky.com/

donderdag 19 mei 2016 10:29

Acties:

0 Henk 'm!

furian88

MicDrive schreef op donderdag 19 mei 2016 @ 10:04:
[...]

Ik had ook het probleem dat ik de IV en de key niet meer had, omdat het virus al van mijn pc af was. Ik had gelukkig externe backups van al mijn belangrijke bestanden, maar van de rest niet. Ik heb al die bestanden bewaard en zag laatst dat Kaspersky al een tijdje geleden een (update) van hun tooltje heeft uitgebracht om je bestanden te unlocken. De gasten van dit virus zijn namelijk opgepakt en de keys zijn bemachtigd.

Het tooltje probeert alle bekende keys en unlocked de bestanden daarna. Heb al mijn bestanden nu weer terug $_/-\o_$ Het is te vinden op: https://noransom.kaspersky.com/

je snapt dat je reageert op iets wat een jaar oud is toch?

daarnaast zie de frontpage, daar staat een heel verhaal over de Teslacrypt master key die uitgegeven is, hier zijn ook meteen decrypters voor gemaakt.

https://pvoutput.org/list.jsp?userid=86006