Windows8.1 Coinvault

Pagina: 1
Acties:

Acties:
  • 0 Henk 'm!

  • GeeMoney
  • Registratie: April 2002
  • Laatst online: 21:39
Tweakers,


Ik was samen met mijn vrouw bezig om de verjaardagsfoto's van onze zoon (1 jaar geworden) te kopiëren van de camera naar mijn NAS. Toen het kopiëren bijna voltooid was verscheen groot in beeld de Coinvault Encryption banner. Ik snel op mijn Mac devices geprobeerd de foto's in te lezen die we zojuist hadden gekopieerd maar helaas. Onleesbaar volgens alle tools. Ze zijn dus versleuteld.

Ik heb Coinvault uiteindelijk maar betaald ( 150 euro) een DECRYPT gedrukt, na een minuut of 15 gaf hij aan dat alles decrypted is maar de foto's op zowel de NAS als op het kaartje zijn nog steeds onleesbaar voor een groot deel.
Alles wat lokaal op de laptop stond is wel decrypted inderdaad. Na decryption verwijderd de tool zichzelf weer dus het is ook niet meer mogelijk om de scan nog een keer te draaien of aan de hand van de sleutel een eigen decrypt te draaien?

Weet iemand of het mogelijk is, al duurt het maanden om dmv brute-force of wat dan ook een aantal foto's terug te krijgen???

Acties:
  • 0 Henk 'm!

  • P_Tingen
  • Registratie: Maart 2005
  • Laatst online: 21:34

P_Tingen

omdat het KAN

Slecht nieuws:

Is it possible to decrypt files encrypted by CoinVault?
Unfortunately at this time there is no way to retrieve the private key that can be used to decrypt your files without paying the ransom. Brute forcing the decryption key is not realistic due to the length of time required to break an AES encryption key. Also any decryption tools that have been released by various companies will not work with this infection. The only methods you have of restoring your files is from a backup, file recovery tools, or if you're lucky from Shadow Volume Copies.

bron

... en gaat over tot de orde van de dag


Acties:
  • 0 Henk 'm!

  • kamerplant
  • Registratie: Juli 2001
  • Niet online
P_Tingen schreef op dinsdag 25 november 2014 @ 12:27:
Slecht nieuws:

Is it possible to decrypt files encrypted by CoinVault?
Unfortunately at this time there is no way to retrieve the private key that can be used to decrypt your files without paying the ransom.
Maar hij heeft de ransom dus juist wel betaald. Lullig dat het dan nog steeds niet werkt.

🌞🍃


Acties:
  • 0 Henk 'm!

  • GeeMoney
  • Registratie: April 2002
  • Laatst online: 21:39
P_Tingen schreef op dinsdag 25 november 2014 @ 12:27:
Slecht nieuws:

Is it possible to decrypt files encrypted by CoinVault?
Unfortunately at this time there is no way to retrieve the private key that can be used to decrypt your files without paying the ransom. Brute forcing the decryption key is not realistic due to the length of time required to break an AES encryption key. Also any decryption tools that have been released by various companies will not work with this infection. The only methods you have of restoring your files is from a backup, file recovery tools, or if you're lucky from Shadow Volume Copies.

bron
Ik heb dus betaald en inderdaad een aantal files decrypted terug maar na de eenmalige "decrypting" verwijderd de tool zichzelf en ik heb dus nu nog steeds een foto of 200 decrypted staan :(

Acties:
  • 0 Henk 'm!

  • Weezer-DC
  • Registratie: Juni 2002
  • Laatst online: 17-07 21:02
Maar dan was je ook niet aan het kopiëren maar aan het verplaatsen ?

Acties:
  • 0 Henk 'm!

  • GB2
  • Registratie: Maart 2009
  • Laatst online: 29-09 14:39

GB2

Is heel zuur, ik zou nooit betalen, te vaak gehoord dat het niet werkt of dat je vervolgens meer moet betalen.
Zelfde zoals de overheid zich opsteld bij gijzelneming; niet betalen.

Hopen dat er over een tijdje wat komt die dit kan ontsleutelen.

Acties:
  • 0 Henk 'm!

  • GeeMoney
  • Registratie: April 2002
  • Laatst online: 21:39
Weezer-DC schreef op dinsdag 25 november 2014 @ 12:33:
Maar dan was je ook niet aan het kopiëren maar aan het verplaatsen ?
De tool verplaatste de foto's inderdaad maar hij heeft dus bestanden wel kunnen encrypted. (stonden ook in de lijst van encrypted files) alleen hij heeft ze gewoon niet ge-decrypt.

Acties:
  • 0 Henk 'm!

  • GeeMoney
  • Registratie: April 2002
  • Laatst online: 21:39
GB2 schreef op dinsdag 25 november 2014 @ 12:34:
Is heel zuur, ik zou nooit betalen, te vaak gehoord dat het niet werkt of dat je vervolgens meer moet betalen.
Zelfde zoals de overheid zich opsteld bij gijzelneming; niet betalen.

Hopen dat er over een tijdje wat komt die dit kan ontsleutelen.
Was het 1000 euro en onbelangrijke foto's dan is het nog wat anders.
150 euro voor de eerste verjaardagsfoto's van mijn zoon had ik er graag voor over gehad en dan probeer je het toch.

Acties:
  • 0 Henk 'm!

  • Mint
  • Registratie: Mei 2005
  • Laatst online: 21:33
Misschien kun je contact zoeken met de makers? Ik kan de bron ff niet meer vinden, maar ik meen gelezen te hebben dat iemand dit ook overkwam met een andere encryptietool. Hij werd erdoorheen geloodst door de makers van die tool. Erg dubbel, maar als je daarmee je foto's terugkrijgt is het wellicht de moeite waard.

Acties:
  • 0 Henk 'm!

  • aZuL2001
  • Registratie: September 2002
  • Laatst online: 20-09 13:16
Probeer het eens met bijv Recuva en kijk dan naar het kaartje.

Wel op een andere pc dan de besmette.

Abort, Retry, Quake ???


Acties:
  • 0 Henk 'm!

  • Weezer-DC
  • Registratie: Juni 2002
  • Laatst online: 17-07 21:02
aZuL2001 schreef op dinsdag 25 november 2014 @ 12:40:
Probeer het eens met bijv Recuva en kijk dan naar het kaartje.

Wel op een andere pc dan de besmette.
Dit is wel een goede, als de sd kaart alleen ze index kwijt is van het bestandsysteem staan de foto's er nog op !

Acties:
  • 0 Henk 'm!

  • Ramon
  • Registratie: Juli 2000
  • Laatst online: 21:14
Ik neem aan dat je al je PC's en kaartjes helemaal hebt gecleared, formatted en gescand, geupdate naar de laatste versies?

En nee natuurlijk niet betalen. NOOIT betalen. Ook al was het maar 5 euro.

Check mijn V&A ads: https://tweakers.net/aanbod/user/9258/


Acties:
  • 0 Henk 'm!

  • GeeMoney
  • Registratie: April 2002
  • Laatst online: 21:39
aZuL2001 schreef op dinsdag 25 november 2014 @ 12:40:
Probeer het eens met bijv Recuva en kijk dan naar het kaartje.

Wel op een andere pc dan de besmette.
Scan loopt nu, bedankt voor de tip inderdaad.
Ik heb de kaart gelijk alleen lezen gezet en ben nu aan het scannen.
Tot nu toe 1400 items maar ik kan nog niet zien of dit encrypted items zijn of reguliere... (en hoe actueel ze zijn)
Ramon schreef op dinsdag 25 november 2014 @ 13:02:
Ik neem aan dat je al je PC's en kaartjes helemaal hebt gecleared, formatted en gescand, geupdate naar de laatste versies?

En nee natuurlijk niet betalen. NOOIT betalen. Ook al was het maar 5 euro.
Ik heb er anders wel net geen 200 foto's decrypted mee terug gekregen. Echter ruim 200 ook niet.
En geloof me die 150 euro overleef ik wel als ik daarmee ook alle foto's had terug gehad....

[ Voor 35% gewijzigd door GeeMoney op 25-11-2014 13:43 ]


Acties:
  • 0 Henk 'm!

  • GeeMoney
  • Registratie: April 2002
  • Laatst online: 21:39
Helaas, de scan levert ook de "decrypted" files aan. Dit betekend dus dat hij daadwerkelijk de originele files heeft bewerkt/versleuteld en niet een kopie gemaakt, versleuteld en originele heeft weggegooid (zoals op internet staat) .

Hij is ook bezig grote PBM files te recoveren (gigabytes per stuk) ik kan nog niet goed ontdekken wat daarin zou staan en of ik daar nog wat uit kan halen?

Acties:
  • 0 Henk 'm!

  • SinergyX
  • Registratie: November 2001
  • Laatst online: 20:23

SinergyX

____(>^^(>0o)>____

Ramon schreef op dinsdag 25 november 2014 @ 13:02:
Ik neem aan dat je al je PC's en kaartjes helemaal hebt gecleared, formatted en gescand, geupdate naar de laatste versies?

En nee natuurlijk niet betalen. NOOIT betalen. Ook al was het maar 5 euro.
En dan ook NOOIT je foto's meer terugkrijgen, daar kom je ook niet verder mee. Dure les om je backups in orde te hebben, maar vooralsnog is het bijna onmogelijk je foto's buiten betaling terug te krijgen.

Nog 1 keertje.. het is SinergyX, niet SynergyX
Im as excited to be here as a 42 gnome warlock who rolled on a green pair of cloth boots but was given a epic staff of uber awsome noob pwning by accident.


Acties:
  • 0 Henk 'm!

  • Rannasha
  • Registratie: Januari 2002
  • Laatst online: 19:03

Rannasha

Does not compute.

Het klinkt raar, maar ik zou, zoals al eerder is aangeraden, contact opnemen met de makers van de rommel. Gek genoeg wordt er bij sommige varianten van deze malware best redelijke "klantenservice" geleverd.

Het is een bizarre situatie, maar als je er over nadenkt is het wel enigszins logisch dat het voor de verspreiders van de malware gunstig als algemeen bekend is dat na betaling alle bestanden volledig hersteld worden. Als daar aan getwijfeld wordt, zullen er minder mensen betalen.

|| Vierkant voor Wiskunde ||


Acties:
  • 0 Henk 'm!

  • GeeMoney
  • Registratie: April 2002
  • Laatst online: 21:39
SinergyX schreef op dinsdag 25 november 2014 @ 16:49:
[...]

En dan ook NOOIT je foto's meer terugkrijgen, daar kom je ook niet verder mee. Dure les om je backups in orde te hebben, maar vooralsnog is het bijna onmogelijk je foto's buiten betaling terug te krijgen.
Inderdaad, betaling is de enige remedie tot nu toe bekend.
Ik heb van alles een back-up behalve deze nieuwe foto's natuurlijk, de back-up ging na kopie gemaakt worden maarja daar heb ik nu dus niets aan.
Tip voor mensen die camera's gaan legen/kopieren etc. zet je kaart op alleen lezen. (gebeurd mij dus ook nooit meer)
Ik heb er in ieder geval nog ruim 200 kunnen "redden".

Iemand nog een suggestie wat .pbm files nog kunnen betekenen? Ik krijg weinig terug op het net. Ze bevatten toch bmp data als ik het goed begrijp maar verder weinig info :(
Rannasha schreef op dinsdag 25 november 2014 @ 16:54:
Het klinkt raar, maar ik zou, zoals al eerder is aangeraden, contact opnemen met de makers van de rommel. Gek genoeg wordt er bij sommige varianten van deze malware best redelijke "klantenservice" geleverd.

Het is een bizarre situatie, maar als je er over nadenkt is het wel enigszins logisch dat het voor de verspreiders van de malware gunstig als algemeen bekend is dat na betaling alle bestanden volledig hersteld worden. Als daar aan getwijfeld wordt, zullen er minder mensen betalen.
Ik ontvang graag contact gegevens maar ik kan niets terug vinden...

[ Voor 27% gewijzigd door GeeMoney op 25-11-2014 16:57 ]


Acties:
  • 0 Henk 'm!

  • SinergyX
  • Registratie: November 2001
  • Laatst online: 20:23

SinergyX

____(>^^(>0o)>____

Zijn nu alle ransomwares met bitcoins? Of is dit de variant erop?

Nog 1 keertje.. het is SinergyX, niet SynergyX
Im as excited to be here as a 42 gnome warlock who rolled on a green pair of cloth boots but was given a epic staff of uber awsome noob pwning by accident.


Acties:
  • 0 Henk 'm!

  • Vondelpark
  • Registratie: December 2001
  • Laatst online: 15:41
Deze ransomware besmettingen zijn dramatisch, gezien de AES versleuteling.
Er staan hier nog een aantal pc's met hetzelfde probleem.
Er staat nu een supportvraag uit bij ESET, als ik daar succes mee heb, dan geef ik je een DM.

Computer says, noo


Acties:
  • 0 Henk 'm!

  • GeeMoney
  • Registratie: April 2002
  • Laatst online: 21:39
Vondelpark schreef op dinsdag 25 november 2014 @ 17:05:
Deze ransomware besmettingen zijn dramatisch, gezien de AES versleuteling.
Er staan hier nog een aantal pc's met hetzelfde probleem.
Er staat nu een supportvraag uit bij ESET, als ik daar succes mee heb, dan geef ik je een DM.
Dank je, ik heb nu een sloot pbm, pgm files. Gigabytes groot maar ik zou niet weten of daar nog iets uit te halen is.

Verder kansloos om te ontsleuteln inderdaad.

Acties:
  • 0 Henk 'm!

  • SinergyX
  • Registratie: November 2001
  • Laatst online: 20:23

SinergyX

____(>^^(>0o)>____

Faster supercomputer (as per Wikipedia): 10.51 Pentaflops = 10.51 x 1015 Flops [Flops = Floating point operations per second]

No. of Flops required per combination check: 1000 (very optimistic but just assume for now)

No. of combination checks per second = (10.51 x 1015) / 1000 = 10.51 x 1012

No. of seconds in one Year = 365 x 24 x 60 x 60 = 31536000

No. of Years to crack AES with 128-bit Key = (3.4 x 1038) / [(10.51 x 1012) x 31536000]
= (0.323 x 1026)/31536000
= 1.02 x 1018
= 1 billion billion years

Holy... Doe maar niet :D

Nog 1 keertje.. het is SinergyX, niet SynergyX
Im as excited to be here as a 42 gnome warlock who rolled on a green pair of cloth boots but was given a epic staff of uber awsome noob pwning by accident.


Acties:
  • 0 Henk 'm!

  • Ramon
  • Registratie: Juli 2000
  • Laatst online: 21:14
SinergyX schreef op dinsdag 25 november 2014 @ 16:49:
[...]

En dan ook NOOIT je foto's meer terugkrijgen, daar kom je ook niet verder mee. Dure les om je backups in orde te hebben, maar vooralsnog is het bijna onmogelijk je foto's buiten betaling terug te krijgen.
Punt is dat deze malware alleen effectief verspreid zal worden als mensen betalen. Als niemand meer betaalt dan zal deze hele circus vanzelf ophouden. Eigenlijk is het eenzelfde soort verhaal als bij heling.

[ Voor 5% gewijzigd door Ramon op 25-11-2014 17:56 ]

Check mijn V&A ads: https://tweakers.net/aanbod/user/9258/


Acties:
  • 0 Henk 'm!

  • ADDG
  • Registratie: Oktober 2004
  • Laatst online: 20:18
GeeMoney schreef op dinsdag 25 november 2014 @ 17:23:
[...]


Dank je, ik heb nu een sloot pbm, pgm files. Gigabytes groot maar ik zou niet weten of daar nog iets uit te halen is.

Verder kansloos om te ontsleuteln inderdaad.
Op de wiki pagina over pbm/pgm stond de volgende link om pbm om te zetten misschien heb je er wat aan: http://www.coolutils.com/Online/PBM-to-JPG

Acties:
  • 0 Henk 'm!

  • Krullebol.nl
  • Registratie: December 2002
  • Laatst online: 13-02 18:39
Ik kwam na wat zoeken deze guide nog tegen, ook voor het terugkrijgen van je bestanden.. Wellicht is dit wat?

http://www.2-spyware.com/...lt?et_comment_like=313549

Acties:
  • 0 Henk 'm!

  • GeeMoney
  • Registratie: April 2002
  • Laatst online: 21:39
Krullebol.nl schreef op dinsdag 25 november 2014 @ 18:14:
Ik kwam na wat zoeken deze guide nog tegen, ook voor het terugkrijgen van je bestanden.. Wellicht is dit wat?

http://www.2-spyware.com/...lt?et_comment_like=313549
Bedankt voor het zoeken, die applicaties kunnen files renoveren maar geen files decrypten... En zoals internet eerder aangaf dat originele files gekopieerd worden en de kopieën versleuteld worden is dus niet waar. De originele files worden versleuteld.

Deze recoverytools hebben dus helaas in mijn geval originele encrypted files terug gehaald...

Acties:
  • 0 Henk 'm!

  • TheVMaster
  • Registratie: Juli 2001
  • Laatst online: 20:42

TheVMaster

Moderator WOS
>>MOVE>> BV

Acties:
  • 0 Henk 'm!

  • Thralas
  • Registratie: December 2002
  • Laatst online: 08:29
Afbeeldingslocatie: http://www.bleepstatic.com/swr-guides/c/coinvault/coinvault-thmb.jpg

Ik zie daar een invulveld voor een key/IV. Werden die ingevuld nadat je op 'Check payment' drukte? Zoja, lijkt me slim als je deze goed bewaart. Lijkt me dat dat gewoon de AES-key is waar alles mee is versleuteld, dan zou je al je andere files ook terug moeten kunnen krijgen, ook al lukt dat eventueel niet met de malware zelf.

Zie ook http://www.bleepingcomputer.com/virus-removal/coinvault-ransomware-information

Als ik deze writeup mag geloven lijkt het op plain AES-CBC.

Indien je de key/IV inderdaad hebt zou je kunnen proberen om je files handmatig te decrypten, bijvoorbeeld met OpenSSL; aes-128-cbc of aes-256-cbc afhankelijk van de keylengte. Kom je d'r niet uit, post dan de key/IV en een sample file waarvan je zeker weet dat 'ie encrypted is..

[ Voor 43% gewijzigd door Thralas op 26-11-2014 00:40 ]


Acties:
  • 0 Henk 'm!

  • GeeMoney
  • Registratie: April 2002
  • Laatst online: 21:39
Thralas schreef op woensdag 26 november 2014 @ 00:18:
[afbeelding]

Ik zie daar een invulveld voor een key/IV. Werden die ingevuld nadat je op 'Check payment' drukte? Zoja, lijkt me slim als je deze goed bewaart. Lijkt me dat dat gewoon de AES-key is waar alles mee is versleuteld, dan zou je al je andere files ook terug moeten kunnen krijgen, ook al lukt dat eventueel niet met de malware zelf.

Zie ook http://www.bleepingcomputer.com/virus-removal/coinvault-ransomware-information

Als ik deze writeup mag geloven lijkt het op plain AES-CBC.

Indien je de key/IV inderdaad hebt zou je kunnen proberen om je files handmatig te decrypten, bijvoorbeeld met OpenSSL; aes-128-cbc of aes-256-cbc afhankelijk van de keylengte. Kom je d'r niet uit, post dan de key/IV en een sample file waarvan je zeker weet dat 'ie encrypted is..
Stom genoeg heb ik die dus niet opgeslagen.
Na "Check Payment" op decrypt gedrukt en op moment van drukken zijn ze alweer weg. Ik ben al aan het zoeken of ik deze nog ergens kan achterhalen.
Al blijft het de vraag met welke tool de encryptie dan gedaan is hoor, maar zeker een goed punt.
Het was trouwens al lastig genoeg om binnen 24 uur een bitcoin payment te doen boven de 100 euro. Alle digitale banken hanteren een limiet van 100 euro per week!

Ik vraag me ook af of ze daadwerkelijk alles zo snel encrypten met een unieke sleutel. In een kleine 5 minuten hebben ze zeker een halve terabyte aan spul "ge-encrypt" op mijn nas. Dit kan dus onmogelijk een verplaatsing/kopie zijn gewijst en de originele zijn dus aangetast.

Ik vermoed dat ze alleen de header van een file ofzo corrumperen ?

[ Voor 4% gewijzigd door GeeMoney op 26-11-2014 08:10 ]


Acties:
  • 0 Henk 'm!

  • Thralas
  • Registratie: December 2002
  • Laatst online: 08:29
GeeMoney schreef op woensdag 26 november 2014 @ 08:09:
Ik vraag me ook af of ze daadwerkelijk alles zo snel encrypten met een unieke sleutel. In een kleine 5 minuten hebben ze zeker een halve terabyte aan spul "ge-encrypt" op mijn nas. Dit kan dus onmogelijk een verplaatsing/kopie zijn gewijst en de originele zijn dus aangetast.

Ik vermoed dat ze alleen de header van een file ofzo corrumperen ?
Ja, dat laatste kan goed kloppen. Deden andere lockers ook.

Ik kwam trouwens deze thread tegen die suggereert dat je hardware ID uniek is voor je computer.

Als de C&C nog up is zou je misschien je hardware id kunnen hergenereren en handmatig een key request doen. Misschien kan die kerel aldaar nog wat voor je betekenen (hij heeft de boel blijkbaar al reversed).

Acties:
  • 0 Henk 'm!

Verwijderd

Erg zuur dat je niet alle bestanden hebt teruggekregen, maar ik denk dat ik je hier enigsinds mee kan helpen, dus heb speciaal voor jou even een account aangemaakt op tweakers ;) (zit normaal nooit op het forum)

Ben zelf gister ook geïnfecteerd met dit virus, heb er eerst veel onderzoek naar gedaan op internet:
Hier, hier en vooral hier staat veel informatie over hoe coinvault werkt.

Na mijn verbazing was mijn versie in het nederlands. Ik het overal screenshots van genomen voor het geval dat:
Afbeeldingslocatie: http://i.imgur.com/GVKTyVu.png
ook de betaalinstructies waren in het nederlands:
Afbeeldingslocatie: http://i.imgur.com/dPdpj4T.png

Als je je computertaal veranderd in het engels kreeg ik hem in het engels:
Afbeeldingslocatie: http://i.imgur.com/8BkDHT0.png

Ik denk dat ik een van de nieuwste versies heb, aangezien linksboven het versienummer vermeld staat, wat nog niet vermeld stond bij alle andere versies die ik online heb gezien, bovendien hoefde ik 0.5 te betalen ipv 0.7 en kreeg ik 72 uur de tijd ipv 24 uur, waar bleepingcomputers.com wel over praat.

Ook lijkt de text veranderd, met een email adres erin, iets dat jij blijkbaar wel kunt gebruiken.
Het emailadres kun je zien op de screenshots: coinvault@lelantos.org

Na enige twijfel heb ik toch betaald omdat er enkele documenten tussen zaten die ik niet kon missen en ook geen backup van had. Helaas delete deze nieuwe versie ook je reservekopieën, dus gratis terughalen zat er ook niet in.
Afbeeldingslocatie: http://i.imgur.com/HoGBeip.png
Afbeeldingslocatie: http://i.imgur.com/iFiYwNR.png
God zij dank heb ik al mijn bestanden wel terug, misschien dat ze dit deel ook verbeterd hebben.
Zoals je al zei verwijdert hij zichzelf daarna...
Helaas heb ik het coinvault programma zelf niet gebackupped, anders had ik je die kunnen sturen, misschien dat je hem had kunnen draaien en dat hij vanzelf jou bestanden weer terugzette.

De keys worden vervolgens in een bestandje gezet op je bureaublad, genaamd: "Coinvault Keys.txt" met bovendien nogmaals het emailadres.
Afbeeldingslocatie: http://i.imgur.com/3yzyAHp.png

Ik hoop dat ik je er wat mee kan, ik zou in ieder geval proberen te mailen.
Geen idee wat je kunt verwachten van de 'klantenservice' van zoiets.

Acties:
  • 0 Henk 'm!

  • prutser001
  • Registratie: Oktober 2004
  • Laatst online: 11-09 22:54

prutser001

Vaak zit het tegen en soms zi

Wow dat is echt genaaid man, ben toch wel erg benieuwd hoe die rotzooi op je pc/netwerk is gekomen.

Asus Z390 Maximus IX Hero, Intel 9900K, RTX3080, 64GB DDR4 3000, 2TB NVME, Samsung 850Evo 1TB, 4 x 14TB Toshiba, Be Quiet SB 801, Samsung 34"


Acties:
  • 0 Henk 'm!

  • GeeMoney
  • Registratie: April 2002
  • Laatst online: 21:39
Verwijderd schreef op woensdag 26 november 2014 @ 15:49:
Erg zuur dat je niet alle bestanden hebt teruggekregen, maar ik denk dat ik je hier enigsinds mee kan helpen, dus heb speciaal voor jou even een account aangemaakt op tweakers ;) (zit normaal nooit op het forum)

Ben zelf gister ook geïnfecteerd met dit virus, heb er eerst veel onderzoek naar gedaan op internet:
Hier, hier en vooral hier staat veel informatie over hoe coinvault werkt.

Na mijn verbazing was mijn versie in het nederlands. Ik het overal screenshots van genomen voor het geval dat:


Als je je computertaal veranderd in het engels kreeg ik hem in het engels:


Ik denk dat ik een van de nieuwste versies heb, aangezien linksboven het versienummer vermeld staat, wat nog niet vermeld stond bij alle andere versies die ik online heb gezien, bovendien hoefde ik 0.5 te betalen ipv 0.7 en kreeg ik 72 uur de tijd ipv 24 uur, waar bleepingcomputers.com wel over praat.

Ook lijkt de text veranderd, met een email adres erin, iets dat jij blijkbaar wel kunt gebruiken.
Het emailadres kun je zien op de screenshots: coinvault@lelantos.org

Na enige twijfel heb ik toch betaald omdat er enkele documenten tussen zaten die ik niet kon missen en ook geen backup van had. Helaas delete deze nieuwe versie ook je reservekopieën, dus gratis terughalen zat er ook niet in.

God zij dank heb ik al mijn bestanden wel terug, misschien dat ze dit deel ook verbeterd hebben.
Zoals je al zei verwijdert hij zichzelf daarna...
Helaas heb ik het coinvault programma zelf niet gebackupped, anders had ik je die kunnen sturen, misschien dat je hem had kunnen draaien en dat hij vanzelf jou bestanden weer terugzette.

De keys worden vervolgens in een bestandje gezet op je bureaublad, genaamd: "Coinvault Keys.txt" met bovendien nogmaals het emailadres.
[afbeelding]

Ik hoop dat ik je er wat mee kan, ik zou in ieder geval proberen te mailen.
Geen idee wat je kunt verwachten van de 'klantenservice' van zoiets.
Helemaal top, ik heb ze gemaild!
Ik zat nog te bedenken om mezelf weer express te infecteren om te hopen dat ik dan wellicht dezelfde encryptiesleutel kan ontvangen of de "free one file decrypt" te proberen om te kijken of hij hem inderdaad nog kan ontsleutelen.
Of zijn dit gekke wegen om te bewandelen... aan de andere kant, ik heb niets te verliezen?

Vraag is alleen hoe ik nu aan een nieuwe CoinVault kom.

Acties:
  • 0 Henk 'm!

Verwijderd

Denk dat het moeilijk gaat worden om aan een nieuwe coinvault te komen, aangezien ik nergens kan vinden wat de source is.
Heb zelf ook geen idee hoe ik eraan kom.
Bovendien bestaat de kans dat de server je pc niet herkent en vervolgens alles opnieuw gaat encrypten.

Ik hoop dat de support je zal helpen, hou ons op de hoogte!

Acties:
  • 0 Henk 'm!

  • GeeMoney
  • Registratie: April 2002
  • Laatst online: 21:39
Verwijderd schreef op woensdag 26 november 2014 @ 22:08:
Denk dat het moeilijk gaat worden om aan een nieuwe coinvault te komen, aangezien ik nergens kan vinden wat de source is.
Heb zelf ook geen idee hoe ik eraan kom.
Bovendien bestaat de kans dat de server je pc niet herkent en vervolgens alles opnieuw gaat encrypten.

Ik hoop dat de support je zal helpen, hou ons op de hoogte!
You freakin made my day!!

Ik heb contact gezocht, moest wat info aanleveren om de betaling die ik eerder gedaan had te laten bevestigen.
Binnen een uur kreeg ik een tool toe gestuurd met mijn 2 unieke sleutels en decrypten kon gestart worden.
De overige foto's zijn terug!!

Acties:
  • 0 Henk 'm!

Verwijderd

Gefeliciteerd, maar hoe ben je nu geinfecteerd geraakt?

Acties:
  • 0 Henk 'm!

  • GeeMoney
  • Registratie: April 2002
  • Laatst online: 21:39
Verwijderd schreef op woensdag 26 november 2014 @ 22:19:
Gefeliciteerd, maar hoe ben je nu geinfecteerd geraakt?
Goede vraag, ik vermoed zelf door een browser plugin.
Het enige wat ik op de betreffende (tijdelijke) windows laptop had geïnstalleerd was Java,Flash, Silverlight via de browser plugins die je middels google naar boven krijgt.

Anders kan ik het niet verklaren. Er staat absoluut geen torrents,nieuwsgroepen whatever op. Dat ding is namelijk van mijn werk en me privé Macbook was weg voor reparatie. (vandaag terug gekomen overigens)

Acties:
  • 0 Henk 'm!

Verwijderd

Geweldig, houden ze zich toch nog aan hun woord dat als er betaald wordt, je de files wel terug krijgt.
Heb zelf geen browser plug-ins geïnstalleerd en ben ook geïnfecteerd geraakt, het blijft voor mij dus een raadsel waar hij vandaan komt.

Ik ben blij dat ik je heb kunnen helpen :)

Acties:
  • 0 Henk 'm!

  • aZuL2001
  • Registratie: September 2002
  • Laatst online: 20-09 13:16
Congratz.

En nu het backuppen regelen ;)

Abort, Retry, Quake ???


  • Thralas
  • Registratie: December 2002
  • Laatst online: 08:29
En een shopreview :+

  • Brilsmurfffje
  • Registratie: December 2007
  • Niet online

Brilsmurfffje

Parttime Prutser

Dit is serieus professionele ransomeware, compleet met helpdesk :+

Wel top dat je alles terug gekregen hebt!

  • GeeMoney
  • Registratie: April 2002
  • Laatst online: 21:39
aZuL2001 schreef op woensdag 26 november 2014 @ 23:56:
Congratz.

En nu het backuppen regelen ;)
Back-up had ik al ;)
Het probleem zat hem in de nieuwste toevoegingen...

Tip voor mensen voorlopig: Kaartje op "alleen-lezen" zetten, uitlezen, controleren, back-uppen en dan pas het kaartje weer op read-write modes en wissen.
Brilsmurfffje schreef op donderdag 27 november 2014 @ 00:47:
Dit is serieus professionele ransomeware, compleet met helpdesk :+

Wel top dat je alles terug gekregen hebt!
Dit is echt serieuze sh*t ja, die gasten hebben in ieder geval een stel stalen ballen hangen door gewoon middels mail contact te onderhouden en dan ook nog decrypt tool en mijn sleutels aan te leveren.

Spijtig van die 150 euro maar chapeau voor de belofte die ze wel nakomen.


Een stukje uit de mail conversatie:
CoinVault

Ik heb uiteraard niet de gehele conversatie gepost, maar dit stukje gaf mij in 1 tel hoop :+ .

De decrypt tool ziet er heel simpel uit, en heeft net als de originele CoinVault applicatie 2 velden waar sleutels ingevoerd moeten worden.
Vervolgens kies ik mijn map met encrypted files en druk op de knop.

Ik heb 2 foto's die evengoed niet wilde decrypten. Ik krijg de melding Key/IV invalid for this file.

Dit betekend dus ook dat ik mijn tool wel kan versturen aan mensen, maar je nog steeds je eigen 2 sleutels nodig hebt om te decrypten.... Je zit dus vast aan het betalen.

Ook heb ik getest wat er gebeurd als ik een reeds decrypted file nogmaals door de tool haal. Die wordt dan weer encrypted. (Bevestigd dat er dus gewoon een stukje header hoe dan ook veranderd word en er niet gekeken wordt naar een volledig hash of stukje unieke code van de sleutel)

[ Voor 76% gewijzigd door GeeMoney op 27-11-2014 07:35 ]


Acties:
  • 0 Henk 'm!

  • yunyammka
  • Registratie: November 2014
  • Laatst online: 27-01-2015
Heb deze ook op de laptop gehad. Heb direct de boel verwijderd, maar zit dus nu met een stapel versleutelde bestanden. (Vooral veel foto's van onze zoon :S) Van een aantal heb ik nog wel een backup, dus nu vraag ik me af of het op een of andere manier mogelijk is om daarmee de key te achterhalen en de andere bestanden alsnog terug te halen?

Acties:
  • 0 Henk 'm!

  • GeeMoney
  • Registratie: April 2002
  • Laatst online: 21:39
yunyammka schreef op zondag 30 november 2014 @ 13:47:
Heb deze ook op de laptop gehad. Heb direct de boel verwijderd, maar zit dus nu met een stapel versleutelde bestanden. (Vooral veel foto's van onze zoon :S) Van een aantal heb ik nog wel een backup, dus nu vraag ik me af of het op een of andere manier mogelijk is om daarmee de key te achterhalen en de andere bestanden alsnog terug te halen?
Dat is helaas onmogelijk.
Enige wat je had kunnen doen was betalen...

Acties:
  • 0 Henk 'm!

Verwijderd

yunyammka schreef op zondag 30 november 2014 @ 13:47:
Heb deze ook op de laptop gehad. Heb direct de boel verwijderd, maar zit dus nu met een stapel versleutelde bestanden. (Vooral veel foto's van onze zoon :S) Van een aantal heb ik nog wel een backup, dus nu vraag ik me af of het op een of andere manier mogelijk is om daarmee de key te achterhalen en de andere bestanden alsnog terug te halen?
Of neem contact met ze op via de mail?

Acties:
  • 0 Henk 'm!

  • GeeMoney
  • Registratie: April 2002
  • Laatst online: 21:39
Verwijderd schreef op zondag 30 november 2014 @ 21:31:
[...]

Of neem contact op met ze via de mail?
De kans dat je sleutel nog te achterhalen is, is klein. (en dan moet je dus alsnog betalen en waarschijnlijk de hoofdprijs van 1.5 bitcoin)
Die worden namelijk op gehijackte servers opgeslagen dus hoe langer je wacht hoe kleiner de kans dat die nog te achterhalen is. Niet geschoten is natuurlijk altijd mis!

Als ze hem nog kunnen achterhalen voor je dan zullen ze dit zeker laten weten.
Ik heb zelden zo'n goede helpdesk meegemaakt :+

[ Voor 12% gewijzigd door GeeMoney op 30-11-2014 22:08 ]


Acties:
  • 0 Henk 'm!

  • yunyammka
  • Registratie: November 2014
  • Laatst online: 27-01-2015
Honor among thieves heh? Spijtig van alle materiaal van het kleine mannetje... maar ik vertik het om dit soort criminelen te betalen... dat motiveert ze alleen maar om ermee door te gaan.

Acties:
  • 0 Henk 'm!

  • GeeMoney
  • Registratie: April 2002
  • Laatst online: 21:39
yunyammka schreef op zondag 30 november 2014 @ 22:14:
Honor among thieves heh? Spijtig van alle materiaal van het kleine mannetje... maar ik vertik het om dit soort criminelen te betalen... dat motiveert ze alleen maar om ermee door te gaan.
Het is dat het voor mij ook speciale nieuwe foto's waren anders had ik ook niet betaald.
Een dagje dierentuin doe je zo over maar zijn eerste verjaardag is toch lastig. Vandaar dat ik uiteindelijk toch betaald heb.

  • GeeMoney
  • Registratie: April 2002
  • Laatst online: 21:39
Kleine maar belangrijke update.

Ik liet het probleem zien aan familieleden en vrienden maar sinds eergister werkt het encrypten nog wel maar decrypten niet meer.

Het lijkt erop alsof er dus toch iets van het internet geplukt moet worden ondanks de tool en keys die ik in bezit heb :S ?

Anyway ik heb al mijn data terug, maar wellicht voor andere mensen raad ik dus aan niet te lang te wachten met decrypten!

Acties:
  • 0 Henk 'm!

  • Lucano
  • Registratie: November 2009
  • Laatst online: 19-01 07:02
Hoe hebben jullie coinvault overigens van je pc af gekregen? Met welke tool? Betalen gaat mij echt te ver, dan helaas maar de bestanden kwijt..

Acties:
  • 0 Henk 'm!

  • TommieW
  • Registratie: December 2010
  • Laatst online: 01-10 13:12

TommieW

Numa numa.

luuk.luuk schreef op vrijdag 26 december 2014 @ 08:25:
Hoe hebben jullie coinvault overigens van je pc af gekregen? Met welke tool? Betalen gaat mij echt te ver, dan helaas maar de bestanden kwijt..
Ik raad aan om na een virusinfectie Windows opnieuw te installeren. Alleen dan weet je zeker dat het OS "veilig" is.

1700X@3,9GHZ - Asus Crosshair VI Hero - 32GB Corsair LPX - GTX 1070Ti
iPhone 13 Pro Max - Macbook Pro 16" M1 Pro


Acties:
  • 0 Henk 'm!

  • rikadoo
  • Registratie: Oktober 2007
  • Niet online
Je moet even unlocker installeren, dan booten in veilige modus. Hier kun je naar de map C:\Users\(je naam)\AppData\Roaming\Microsoft gaan.

Hier staan de bestanden, coin en nog een andere (De bestanden staan wel verborgen). Daarna unlcoker draaien op die 2 bestanden en opnieuw booten dan zijn ze weg.

Nu kan je virusscanners draaien malware tools whatever.

AMD Ryzen 7 5900x | Custom WC | ASUS ROG Strix X570-E Gaming | 32GB Corsair DDR4-3600MHz | Samsung 970 nvme 1TB | Samsung 860 EVO 2TB | AMD RX 6900XT 16GB | 1x Asus RoG XG27AQDMG | 1x LG UltraGear 27GL850


Acties:
  • 0 Henk 'm!

  • bernie2009
  • Registratie: Januari 2007
  • Laatst online: 26-09 06:24
Ik heb die losers ook moeten betalen. Had wel een backup maar die was al een jaar oud... Ik weet het, eigen schuld maar dit geeft dit soort lui niet het recht om je bestanden te decrypten. Ik heb dus een vervelende kerst gehad. Ik wens deze gast(en) dan ook het ergste toe. Karma is a bitch!

Acties:
  • 0 Henk 'm!

Verwijderd

Ook ik ben geinfecteerd met dit virus. Alleen het programma komt er niet meer voor en ze antwoorden niet op de mail. Ze zullen zelf wel een fijne kerst hebben denk ik!

Acties:
  • 0 Henk 'm!

  • Ramon
  • Registratie: Juli 2000
  • Laatst online: 21:14
Natuurlijk, als iedereen blijft betalen wel.

Check mijn V&A ads: https://tweakers.net/aanbod/user/9258/


Acties:
  • 0 Henk 'm!

Verwijderd

Ook ik ben de l*l sinds 1e kerstdag.. had de pc alleen aan voor wat muziek en een recept op te zoeken blijkbaar is daar toch iets mee binnen gekomen (geen enkel idee hoe), toch maar mailen om te gaan betalen gezien ook ik foto's kwijt ben van mijn tweeling, heb ook wel een backup gelukkig, maar die is alweer een paar maanden oud en wij maken nogal wat foto's..

Verder ook heel veel webdesign spullen weg die ik nog niet gebackupt heb en ook mijn email opslag bestanden zijn aangetast..

Lekker kerst gehad, ik ben er echt helemaal ziek van.. :@

Acties:
  • 0 Henk 'm!

  • SBTweaker
  • Registratie: November 2011
  • Laatst online: 31-08 21:16
Een maat van mij heeft dit virus ook, wil hem morgen gaan repareren. Echter zit er op mijn netwerk een nas met openbare bestanden (films vooral) , deze wordt ook geencrypt als ik de geinfecteerde laptop met het netwerk verbind ?

Acties:
  • 0 Henk 'm!

  • TommieW
  • Registratie: December 2010
  • Laatst online: 01-10 13:12

TommieW

Numa numa.

SBTweaker schreef op maandag 29 december 2014 @ 16:25:
Een maat van mij heeft dit virus ook, wil hem morgen gaan repareren. Echter zit er op mijn netwerk een nas met openbare bestanden (films vooral) , deze wordt ook geencrypt als ik de geinfecteerde laptop met het netwerk verbind ?
Ik zou het risico niet nemen, als ik jou was. Als je router het kan, maak je een gastnetwerk aan waarmee geen comminucatie naar de rest van je netwerk is.

1700X@3,9GHZ - Asus Crosshair VI Hero - 32GB Corsair LPX - GTX 1070Ti
iPhone 13 Pro Max - Macbook Pro 16" M1 Pro


Acties:
  • 0 Henk 'm!

Verwijderd

Ook ik ben helaas slachtoffer geworden van het Coinvault virus.Heb 5 harde schijven in mijn PC en een hoop geinfecteerde files nu.
Heb daarna veel gelezen en uiteindelijk tot de conclusie gekomen dat betalen de enige mogelijkheid was om in ieder geval een kans te hebben de files terug te krijgen.
Aangemeld dus bij een bitcoin betaaldienst, overgemaakt volgens instructies en uiteindelijk na een paar uur (de betaaldienst moet eerst een bevestiging sturen ter verificatie van het account, en daarna geldt nog een afkoelperiode van 2 uur voor de betaling) kreeg ik de melding dat de betaling ontvangen was en de files ge-decrypt werden. En daarna ....waren nog alle files encrypted.
In het scherm van Coinvault stond een email adres waarnaar ik bij moeilijkheden kon mailen. zo gedaan echter kreeg ik geen reactie direct. Pas na pakweg 24 uur kreeg ik een mail reply dat het mailadres geblokkeerd was en met opgave van een nieuw mailadres. HDaarheen nogmaals de mail gestuurd met uitleg van de problemen.
Kreeg prompt een mail terug met een aantal vragen waaronder of er meerdere popupschermen geopend waren met dezelfde melding en of ik een paar files kon opsturen met de verkrrgen decryptsleutels. Dat heb ik bevestigd en tegelijk de files en de sleutels opgestuurd.
Wederom een bevestiging gekregen van ontvangst, met excuses , en dat men het ging uitzoeken.
Uiteindelijk ene paar uur later per mail het antwoord en een klein programma gekregen om de files alsnog te herstellen (blijkbaar waren de files meerdere malen ge-decrypt tijdens het herstel proces en moesten deze nu weer encrypt worden om de originele data te herstellen).
Uiteindelijk na 3 dagen een ervaring rijker, een boel geld armer, en mijn files weer leesbaar.
Geluk bij een ongeluk.

Op de vraag aan die uitstekende helpdesk (ahum) wat ik eraan kon doen om nog een keer geinfecteerd te worden met dit programma, heeft men helaas niet meer gereageerd.

Heb voor de zekerheid maar CryptoPrevent aangekocht en geinstalleerd, dit schijnt te helpen.
Weet echter niet, ondanks altijd zorgvuldig omgaan met het internet en downloaden en openen van files, waar de besmetting vandaan gekomen is. Volgens het web kan dit gisteren gebeurd zijn, maar ook enkele weken geleden.

Acties:
  • 0 Henk 'm!

  • GeeMoney
  • Registratie: April 2002
  • Laatst online: 21:39
Verwijderd schreef op dinsdag 30 december 2014 @ 11:15:
Ook ik ben helaas slachtoffer geworden van het Coinvault virus.Heb 5 harde schijven in mijn PC en een hoop geinfecteerde files nu.
Heb daarna veel gelezen en uiteindelijk tot de conclusie gekomen dat betalen de enige mogelijkheid was om in ieder geval een kans te hebben de files terug te krijgen.
Aangemeld dus bij een bitcoin betaaldienst, overgemaakt volgens instructies en uiteindelijk na een paar uur (de betaaldienst moet eerst een bevestiging sturen ter verificatie van het account, en daarna geldt nog een afkoelperiode van 2 uur voor de betaling) kreeg ik de melding dat de betaling ontvangen was en de files ge-decrypt werden. En daarna ....waren nog alle files encrypted.
In het scherm van Coinvault stond een email adres waarnaar ik bij moeilijkheden kon mailen. zo gedaan echter kreeg ik geen reactie direct. Pas na pakweg 24 uur kreeg ik een mail reply dat het mailadres geblokkeerd was en met opgave van een nieuw mailadres. HDaarheen nogmaals de mail gestuurd met uitleg van de problemen.
Kreeg prompt een mail terug met een aantal vragen waaronder of er meerdere popupschermen geopend waren met dezelfde melding en of ik een paar files kon opsturen met de verkrrgen decryptsleutels. Dat heb ik bevestigd en tegelijk de files en de sleutels opgestuurd.
Wederom een bevestiging gekregen van ontvangst, met excuses , en dat men het ging uitzoeken.
Uiteindelijk ene paar uur later per mail het antwoord en een klein programma gekregen om de files alsnog te herstellen (blijkbaar waren de files meerdere malen ge-decrypt tijdens het herstel proces en moesten deze nu weer encrypt worden om de originele data te herstellen).
Uiteindelijk na 3 dagen een ervaring rijker, een boel geld armer, en mijn files weer leesbaar.
Geluk bij een ongeluk.

Op de vraag aan die uitstekende helpdesk (ahum) wat ik eraan kon doen om nog een keer geinfecteerd te worden met dit programma, heeft men helaas niet meer gereageerd.

Heb voor de zekerheid maar CryptoPrevent aangekocht en geinstalleerd, dit schijnt te helpen.
Weet echter niet, ondanks altijd zorgvuldig omgaan met het internet en downloaden en openen van files, waar de besmetting vandaan gekomen is. Volgens het web kan dit gisteren gebeurd zijn, maar ook enkele weken geleden.
Wellicht voor de mensen hier, kan je het nieuwe mail adres posten of als DM geven aan bovenstaande slachtoffers?
Dan kunnen ze, mochten ze daar behoefte aan hebben ook contact opnemen.

Acties:
  • 0 Henk 'm!

Verwijderd

Uw persoonlijke bestanden en documenten op deze computer zijn versleuteld.
De originele bestanden zijn versleuteld met een sleutel die u kunt verkrijgen door de onderstaande
stappen te volgen.
Klik op 'Geef versleutelde bestandenlijst weer' om een lijst met alle versleutelde bestanden te weergeven.

De versleuteling is onkraakbaar en kan alleen worden ontgrendeld door middel van de sleutel die opgeslagen
is op een server.

Deze server zal alleen uw sleutel vrijgeven als het bedrag (in bitcoins) wordt betaald dat links van
dit scherm weergegeven wordt.

Als de timer verloopt, zal deze prijs verhoogt worden met het beginbedrag.

Na de betaling kunt u de sleutels verkijgen m.b.v. de 'Controleer betaling en ontvang sleutels' knop.
Als de sleutels ontvangen zijn, kunt u uw originele bestanden herstellen met de 'Ontgrendel bestanden
met sleutels' knop.

Dit programma zal zich na het ontgrendelen van de versleutelde bestanden zelf volledig verwijderen.

U kunt één bestand gratis ontgrendelen m.b.v. de 'Één gratis ontgrendeling' knop.

LET OP: Het verwijderen van dit programma leidt tot permanente verlies van uw bestanden en documenten!

Voor informatie over de betaling met bitcoin, klik op 'Betaalinstructies'.

Voor hulp en problemen, mail: coinvault@openmailbox.org (hoofdemailadres).
Backup mail: coinvault@lelantos.org (als hoofdemailadres niet werkt).
Dat is de tekst van coinvault zoals ik hem voor het laatst heb gekopieërd.
Ze hebben dus blijkbaar lelantos (waar je momenteel niet naar kan mailen aangezien lelantos down is) nu veranderd naar een 'backup mail' en coinvault@openmailbox.org aangemaakt al nieuw mailadres.

Acties:
  • 0 Henk 'm!

  • SinergyX
  • Registratie: November 2001
  • Laatst online: 20:23

SinergyX

____(>^^(>0o)>____

Verwijderd schreef op dinsdag 30 december 2014 @ 11:15:
Heb voor de zekerheid maar CryptoPrevent aangekocht en geinstalleerd, dit schijnt te helpen.
Weet echter niet, ondanks altijd zorgvuldig omgaan met het internet en downloaden en openen van files, waar de besmetting vandaan gekomen is. Volgens het web kan dit gisteren gebeurd zijn, maar ook enkele weken geleden.
Dom idee, maar zitten die gasten achter een coinvault ook niet gewoon achter Cryptoprevent? Beetje win/win situatie voor hun als je het mij vraagt.

Nog 1 keertje.. het is SinergyX, niet SynergyX
Im as excited to be here as a 42 gnome warlock who rolled on a green pair of cloth boots but was given a epic staff of uber awsome noob pwning by accident.


Acties:
  • 0 Henk 'm!

  • Sneakers35
  • Registratie: Augustus 2011
  • Laatst online: 15-12-2022
Ik was ook geïnfecteerd door coinvault en heb er veel over gelezen dagen lang om het op te lossen, maar dat is niet mogelijk of het is betalen of je moet hopen dat je een back-up hebt. Dus wat ik gedaan heb is opnieuw Windows 7 installeren en alle protectie software downloaden en alle bestanden die vern**kt zijn maar branden op een DVD en hopen dat in de toekomst er een oplossing op het net te vinden is. En wat ik ga doen is een USB ( 64 GB ) aan schaffen ik heb er maar 2 gekocht je weet maar nooit en dan maar elke keer een back-up maken en die er dan maar uittrekken er zit niks anders op. Want ook bestanden die op een NAS staan worden geïnfecteerd, alles waar jij bij kan op dat moment wordt ook versleuteld, dus wat niet online is kunnen ze niet bij, heel begrijpelijk.

En ja het is gewoon je reinste maffia, want ik lees verhalen van oude mensen die al hun oude foto's kwijt zijn en geen geld hebben en verder niks kunnen doen. Maar ja dat is dan ook maffia geen mededogen medelijden.

Want ik heb echt alles geprobeerd bijvoorbeeld al je foto's omzetten naar een ander bestand, helemaal niks en nog meer van dat soort dingen.

Dus gewoon elke keer als een keurige boekhouder een back-up maken van je bestanden.

Vriendelijke groeten,

Sneakers

Acties:
  • 0 Henk 'm!

  • Ramon
  • Registratie: Juli 2000
  • Laatst online: 21:14
Ik ben wel benieuwd hoeveel van de geïnfecteerden Windows 8.1 draaiden met SmartScreen enabled (standaard). SmartScreen lijkt bij uitstek de technologie dit zou moeten stoppen (omdat je immers gewoon een .exe hebt aangeklikt om CoinVault te starten). SmartScreen komt dan met een full-screen dialoog die je waarschuwt dat je iets verkeerds doet:

Afbeeldingslocatie: http://3.bp.blogspot.com/-ZONWns46Zko/UF4BpVTD4wI/AAAAAAAAAvI/7bNrnvbD4Hw/s1600/Screenshot+%2822%29.png

In het Action Center kan je klikken op "Change Windows SmartScreen settings" aan de linkerkant. Voor de duidelijkheid: hij moet op de BOVENSTE optie staan om te werken.

Afbeeldingslocatie: http://i.imgur.com/kHuloOI.png

Check mijn V&A ads: https://tweakers.net/aanbod/user/9258/


Acties:
  • 0 Henk 'm!

  • Klavertje2211
  • Registratie: Augustus 2014
  • Laatst online: 03-07 22:50
Ik ben helaas ook slachtoffer geworden van die maffia lui, maar met een image terugzetten en mijn backup van mijn bestanden alles weer op orde....
Blijft wel dat smartscreen geen enkele melding gaf/geeft,terwijl mijn instelling toch de juiste is/was en ik een melding had horen te krijgen of het wel OK was om CoinVault op te starten.

Acties:
  • 0 Henk 'm!

  • Ramon
  • Registratie: Juli 2000
  • Laatst online: 21:14
Klavertje2211 schreef op zondag 04 januari 2015 @ 14:12:
Ik ben helaas ook slachtoffer geworden van die maffia lui, maar met een image terugzetten en mijn backup van mijn bestanden alles weer op orde....
Blijft wel dat smartscreen geen enkele melding gaf/geeft,terwijl mijn instelling toch de juiste is/was en ik een melding had horen te krijgen of het wel OK was om CoinVault op te starten.
Op het risico af om iets doms te vragen, je draait wel Windows 8.1?

Check mijn V&A ads: https://tweakers.net/aanbod/user/9258/


Acties:
  • 0 Henk 'm!

  • Kuusj
  • Registratie: April 2012
  • Laatst online: 21:10

Kuusj

Ofwel varken in 't Limburgs

Ik kreeg laatst ook zo'n webpagina te zien met randsomware zooi. Was ook echt gewoon 1x (doe het normaal echt nooit) naar een Russische webpagina gegaan met Assetto Corsa mods. Nog geen 3 seconden later heeft de overheid me te pakken :+

Webpagina sluiten ging om de een of andere reden niet, popups bleven maar komen met waarschuwingen (dat als ik het nog 2x probeerde het ding al m'n bestanden zou gaan versleutelen). Ik dus snel nog enige foto's wat ik op m'n data disk had overgeheveld op een SD-kaartje en daarna de data schijf van de stroom gehaald. Toch doorklikken om te zien wat er zou gebeuren maar er gebeurde uiteindelijk niks.

Lastige dingen zijn het...
5 verschillende HDD's met dezelfde data (veelal foto's en video's) waarvan er 1 encrypted is met Bitlocker. Verder zijn ze verspreid over familieleden en hangen vrijwel nooit aan PC's.

Ik overdrijf, maar ja, ik heb geen zin om aan praktijken als deze geld kwijt te raken en bovendien, foto's zijn heel kostbaar.

9800X3D - RX 6900XT - Volvo S40 T5 '10 - Kever '74


Acties:
  • 0 Henk 'm!

  • Klavertje2211
  • Registratie: Augustus 2014
  • Laatst online: 03-07 22:50
Ach, geen enkele vraag is dom, maar ik draai op Win 8.1.
N.a.v. je opmerking toch eens gekeken hoe mijn instelling was van windows smartscreen..precies zoals het moet zijn, ik zou dus eerst toestemming hebben moeten geven...nou, dat was in mijn geval niet zo.
Ik was, hoe bedenk je het, een scan aan het doen met Malware antibytes toen ik ineens geconfronteerd werd met dat ontzettende vervelende scherm van CoinVault.
Format C gedaan, image terug gezet en het werkt weer,...betalen gaan we nooit!

Acties:
  • 0 Henk 'm!

  • DeNachtwacht
  • Registratie: December 2005
  • Nu online

DeNachtwacht

youtube.com/@hisrep

Het is een erg vervelend iets inderdaad, maar mochten het bestanden zijn die je toch de komende tijd niet nodig hebt, dan kan het best zinvol zijn gewoon even te wachten. Denk aan bijvoorbeeld de foto's van je zoontje, die hoef je nou ook niet per sé volgende week terug te zien: over een jaar of 20 wil je dat natuurlijk wel.

Het mooie van encryptie is gelukkig dat de filters waarmee dat gebeurt voor pc's van nu inderdaad oneindig ingewikkeld zijn, maar als je nu met je i5 of i7 processor een ge-encrypted zip-bestand uit 1994 ontsleutelt heb je binnen 1 minuut je gezipte fotocollectie (hoewel dat in 1994 schaars was ;) ) terug. Kortom; denk eens aan hoe makkelijk het zal zijn voor een (quantum?)computer in 2034 om de files die jij nu op je PC hebt te decrypten.

Ik zou zelf iig nooit aan die gasten betalen (maar ben dan ook in de gelukkige omstandigheid dat het mij nog niet overkomen is...)

youtube.com/@hisrep


Acties:
  • 0 Henk 'm!

  • SuBBaSS
  • Registratie: April 2002
  • Laatst online: 19:30

SuBBaSS

-has Ryzen

Tjonge, wat een ellende kan dit toch veroorzaken! Ik leef mee met alle getroffenen!

Wat ik me afvraag: maakten de getroffenen in dit topic ook gebruik van adblockers oid?
Ik lees bijv. bij kuusj98 dat ie popups kreeg, dat doet vermoeden dat er geen blocker aanwezig was.

Het is in ieder geval toch wat als je dit alleen van het bezoeken van een site krijgt? Of wordt er (uit schaamte oid.) niet het hele verhaal verteld?

Acties:
  • 0 Henk 'm!

  • GeeMoney
  • Registratie: April 2002
  • Laatst online: 21:39
Ramon schreef op zondag 04 januari 2015 @ 13:41:
Ik ben wel benieuwd hoeveel van de geïnfecteerden Windows 8.1 draaiden met SmartScreen enabled (standaard). SmartScreen lijkt bij uitstek de technologie dit zou moeten stoppen (omdat je immers gewoon een .exe hebt aangeklikt om CoinVault te starten). SmartScreen komt dan met een full-screen dialoog die je waarschuwt dat je iets verkeerds doet:

[afbeelding]

In het Action Center kan je klikken op "Change Windows SmartScreen settings" aan de linkerkant. Voor de duidelijkheid: hij moet op de BOVENSTE optie staan om te werken.

[afbeelding]
Bij mij stond startscreen wel aan, maar gaf mooi geen melding en ik heb ook niets akkoord gegeven. (niet op in ieder geval een .exe die gedownload was, mijn vermoeden is dat ik hem mee heb gekregen bij een browser-plugin)
De grap is dat SmartScreen wel begon te janken toen ik het decrypter programmaatje ging starten... maarja die moest natuurlijk wel gestart worden en dus heb ik toen Smartscreen uitgeschakeld.
SuBBaSS schreef op zondag 04 januari 2015 @ 22:01:
Tjonge, wat een ellende kan dit toch veroorzaken! Ik leef mee met alle getroffenen!

Wat ik me afvraag: maakten de getroffenen in dit topic ook gebruik van adblockers oid?
Ik lees bijv. bij kuusj98 dat ie popups kreeg, dat doet vermoeden dat er geen blocker aanwezig was.

Het is in ieder geval toch wat als je dit alleen van het bezoeken van een site krijgt? Of wordt er (uit schaamte oid.) niet het hele verhaal verteld?
Ik had geen Adblocker (laptop was tijdelijk en haast niet in gebruik voor te browsen) ik had wel een AV draaien en de Microsoft tool (naam ff kwijt) draaien.

[ Voor 21% gewijzigd door GeeMoney op 04-01-2015 22:22 ]


Acties:
  • 0 Henk 'm!

  • Klavertje2211
  • Registratie: Augustus 2014
  • Laatst online: 03-07 22:50
Ik kan je vertellen dat ook addblockers in mijn geval niets aangaven, Ik werk met Firefox en AddBlock plus staat aan om ellende van mijn pc te weren, maar ook die gaf geen krimp. Malware antibyte gaf ook geen waarschuwing.....ineens kreeg ik die vervelende melding van CoinVault. Ook mijn antivirus software gaf geen krimp.

Ik heb wel in de gaten dat veel mensen die ik spreek geen backup maken van hun meestal dierbare, onvervangbare foto's. Zo 1 keer in de maand maak ik een backup op twee portable HD's, die op seperate locaties worden bewaard...je weet maar nooit, en zo ben ik ook bij diefstal, brand en naar nu blijkt een PC gijzeling er zeker van dat ik alles nog heb.

Acties:
  • 0 Henk 'm!

  • rty
  • Registratie: November 2011
  • Niet online

rty

@GeeMoney
Aangezien het een bedrijfslaptop is, zijn er andere gevallen binnen het bedrijf bekend?

Ik heb in elk geval in een paar mappen het draaien van programma's geblokkeerd. (%AppData%\Microsoft\Windows\ & %Temp%)
Dat schijnt de plek te zijn waar coinvault vaak vanaf draait.

Acties:
  • 0 Henk 'm!

  • Ramon
  • Registratie: Juli 2000
  • Laatst online: 21:14
Klavertje2211 schreef op zondag 04 januari 2015 @ 22:36:
Ik kan je vertellen dat ook addblockers in mijn geval niets aangaven, Ik werk met Firefox en AddBlock plus staat aan om ellende van mijn pc te weren, maar ook die gaf geen krimp. Malware antibyte gaf ook geen waarschuwing.....ineens kreeg ik die vervelende melding van CoinVault. Ook mijn antivirus software gaf geen krimp.
Vergeet niet dat op het moment dat je de CoinVault melding krijgt, CoinVault zelf al dagen of weken op je PC kan hebben gestaan (afhankelijk van hoeveel bestanden hij kon bereiken voor encryptie) bezig met het encrypten van je bestanden. Dus dan is het op zich logisch dat je er niets van merkt van ABP.

Check mijn V&A ads: https://tweakers.net/aanbod/user/9258/


Acties:
  • 0 Henk 'm!

  • SuBBaSS
  • Registratie: April 2002
  • Laatst online: 19:30

SuBBaSS

-has Ryzen

Klavertje2211 schreef op zondag 04 januari 2015 @ 22:36:
Ik kan je vertellen dat ook addblockers in mijn geval niets aangaven, Ik werk met Firefox en AddBlock plus staat aan om ellende van mijn pc te weren, maar ook die gaf geen krimp. Malware antibyte gaf ook geen waarschuwing.....ineens kreeg ik die vervelende melding van CoinVault. Ook mijn antivirus software gaf geen krimp.

Ik heb wel in de gaten dat veel mensen die ik spreek geen backup maken van hun meestal dierbare, onvervangbare foto's. Zo 1 keer in de maand maak ik een backup op twee portable HD's, die op seperate locaties worden bewaard...je weet maar nooit, en zo ben ik ook bij diefstal, brand en naar nu blijkt een PC gijzeling er zeker van dat ik alles nog heb.
Dank voor je info. Heb je zelf geen idee waardoor het anders binnengekomen kan zijn? Via verschillende bronnen wordt toch vooral gerept over executable (bijv. pdf-) attachments aan (phishing-) mails die aangeklikt zijn. Niet zoveel te vinden over "drive-by"-infections.

Dit is een keiharde les voor niet-backuppers inderdaad. :/

Via http://www.makeuseof.com/...heres-can-get-files-back/ vond ik een link naar een site waar het nederlandse fox-it mede achter zou zitten: https://www.decryptcryptolocker.com/
Daar kun je encrypted files uploaden.
Ben benieuwd of iemand hier al eens gebruik van gemaakt heeft?

[ Voor 11% gewijzigd door SuBBaSS op 04-01-2015 23:38 . Reden: Aanvulling ]


Acties:
  • 0 Henk 'm!

  • GeeMoney
  • Registratie: April 2002
  • Laatst online: 21:39
Ramon schreef op zondag 04 januari 2015 @ 23:17:
[...]
Vergeet niet dat op het moment dat je de CoinVault melding krijgt, CoinVault zelf al dagen of weken op je PC kan hebben gestaan (afhankelijk van hoeveel bestanden hij kon bereiken voor encryptie) bezig met het encrypten van je bestanden. Dus dan is het op zich logisch dat je er niets van merkt van ABP.
Hij kan al langer op je PC staan te slapen om plotseling actief te worden maar hij encrypt niet langzaam aan files hoor.
Op het moment dat de applicatie in je beeld verschijnt is hij kort daarvoor gaan encrypten. Ik had het direct door en heb gelijk de stekkers en netwerk verbindingen verbroken.
2 Minuten later kwam de applicatie opduiken en had hij ruim een halve terabyte te pakken.

Zoals al eerder gezegd, ik had overal een back-up van behalve natuurlijk mijn nieuwe foto's die ik aan het kopiëren was naar mijn back-up :)

Acties:
  • 0 Henk 'm!

  • GeeMoney
  • Registratie: April 2002
  • Laatst online: 21:39
SuBBaSS schreef op zondag 04 januari 2015 @ 23:22:
[...]


Dank voor je info. Heb je zelf geen idee waardoor het anders binnengekomen kan zijn? Via verschillende bronnen wordt toch vooral gerept over executable (bijv. pdf-) attachments aan (phishing-) mails die aangeklikt zijn. Niet zoveel te vinden over "drive-by"-infections.

Dit is een keiharde les voor niet-backuppers inderdaad. :/

Via http://www.makeuseof.com/...heres-can-get-files-back/ vond ik een link naar een site waar het nederlandse fox-it mede achter zou zitten: https://www.decryptcryptolocker.com/
Daar kun je encrypted files uploaden.
Ben benieuwd of iemand hier al eens gebruik van gemaakt heeft?
Het decrypten van je files is onmogelijk zonder de gekochte sleutels.
Uploaden heeft dus geen enkele zin, er is wel een periode een synolocker actief geweest die volgens mij een zeer zwakke encryptie gebruikte en daarvan was wel een deel volgens mij te decrypten. Wellicht dat de site daarvoor opgezet is?

Edit: Ik heb de site gecontroleerd en de Decrypter gedownload. Deze maakt echter gebruik van maar 1 enkele Key. De CoinVault heeft een IV en Key nodig. De site zal dus niet werken voor CoinVault geïnfecteerde files.

[ Voor 9% gewijzigd door GeeMoney op 06-01-2015 10:23 ]


Acties:
  • 0 Henk 'm!

Verwijderd

Coinvault verwijderen

Reboot PC in safe mode (veilige modus ,( F8))

ga naar menu start en type in de zoekbalk. regedit
ga naar HKEY_CURRENT_USER\software\ microsoft\ windows \ current version \
policies \Run , en delete de file (ab)Vault.exe

open verkenner en ga naar C:\users(gebruikers)\ADMIN(gebruikersnaam)\APPDATA\roaming
en delete de folder CVLOCKER en delete de file coin.exe ( en de bitmapafbeelding met je gebruikersnaam ervoor ,als ie erbij staat)

(zie je de map appdata niet staan ,configuratiescherm,folderopties(mapopties),verborgen mappen en bestanden tonen (show hidden files and folders))
(kan je een file niet deleten ( omdat het in gebruik is) ctrl+alt+del taakbeheer openen\
en met rechter muisknop op CVault klikken kies voor taak beeindigen))


ga naar start en type in de zoekbalk: %temp%
delete hier de file wallpaper.jpg en de folder WPDNSE en de bitmapafbeelding met je gebruikersnaam ervoor ook deleten

reboot je pc (normaal)en zet je desktop(bureaublad achtergrond) weer op windows 7 theme
ga naar C:\gebruikers\"gebruikersnaam"\mijn afbeeldingen
en delete je fotoo's (die zijn nog incrypted)

klik met je rechter muisknop op de folder
C:\gebruikers\"gebruikersnaam"\mijn afbeeldingen en kies eigenschappen
tabblad vorige versies
klik op en eerdere versie van een backup en klik op restore folder (vorrige versie herstellen)
JE HEBT NU JE FOTO'S TERUG
heb je geen vorige versie staan en of nooit een back up gemaakt

instaleer een programma zoals bijv DATA RESQUE PRO en laat die de pics terug halen
het programma kan ook data recovery pro heten , ik ben wel eens in de war
(data resque(of recovery) pro haalt zelfs foto's terug van een geformateerde schijf)

http://oi59.tinypic.com/2jg591z.jpg

http://oi62.tinypic.com/2gw7ztl.jpg

http://oi60.tinypic.com/2affm06.jpg

sorry voor mijn slechte Nederlands , ik hoop dat jullie hier wat aan hebben

[ Voor 9% gewijzigd door Verwijderd op 11-04-2015 11:40 . Reden: link fotoos bewijs dat het werkt toegevoegd ]


Acties:
  • 0 Henk 'm!

  • Wognummer
  • Registratie: Maart 2007
  • Nu online
ik had dit topic eerder gelezen en moest meteen eraan denken maar goed


nieuws: Politie: dader achter Coinvault-ransomware is mogelijk in Nederland


laat ons weten of het gelukt is :)

Acties:
  • 0 Henk 'm!

  • QinX
  • Registratie: Augustus 2006
  • Laatst online: 12:08

QinX

Shai-Hulud

Mijn buurman zit in dezelde schuit, heb hem meteen een mailtje geschoten.
Ik hoop dat hij nog alles kan decrypten, zou heel mooi zijn.

http://tweakers.net/productreview/user/184256


Acties:
  • 0 Henk 'm!

  • GeeMoney
  • Registratie: April 2002
  • Laatst online: 21:39
Goed bericht, zie frontpage!

http://tweakers.net/nieuw...ogelijk-in-nederland.html

@RasB33r, verhaal gaat niet op zoals eerder in dit topic duidelijk is geworden.

[ Voor 21% gewijzigd door GeeMoney op 13-04-2015 16:54 ]


Acties:
  • 0 Henk 'm!

Verwijderd

@ GeeMoney

Rasbeer zijn verhaal gaat wel op

copy het bitcoin adres rechts onder in virus

voer het "verhaal wat niet klopt uit "

download dit programa ( decrypter / recovery / programe )


https://noransom.kaspersk...y-coinvault-decryptor.exe


voor de rest die niet wil betalen, download link
voer uit als admin , wijs files aan vul bit coin adres in en klik op decrypt

[ Voor 67% gewijzigd door Verwijderd op 14-04-2015 13:12 ]


Acties:
  • 0 Henk 'm!

  • MrBlueEyes
  • Registratie: Maart 2005
  • Laatst online: 15:09
Wat te doen als Cryptolocker nog niet klaar is? Toch weer op internet aansluiten zodat het misschien afgerond wordt of?

MSI MPG X870E CARBON WIFI, Ryzen 9 9900X, 64GB, Gigabyte AORUS M RTX5080, Samsung 990 Pro 4TB, Samsung 970 EVO 2TB, Samsung OLED G9, LG 48CX, LG 65C8, Xbox Series X, PS4 Pro, Galaxy Z Fold7 512GB, Kia EV6 RWD 77,4 kWh Plus, Weheat Blackbird P80


Acties:
  • 0 Henk 'm!

  • SinergyX
  • Registratie: November 2001
  • Laatst online: 20:23

SinergyX

____(>^^(>0o)>____

Verwijderd schreef op dinsdag 14 april 2015 @ 11:27:
@ GeeMoney

Rasbeer zijn verhaal gaat wel op

copy het bitcoin adres rechts onder in virus

voer het "verhaal wat niet klopt uit "

download dit programa ( decrypter / recovery / programe )


https://noransom.kaspersk...y-coinvault-decryptor.exe


voor de rest die niet wil betalen, download link
voer uit als admin , wijs files aan vul bit coin adres in en klik op decrypt
Lees nou eens het topic, dit kan niet..

Nog 1 keertje.. het is SinergyX, niet SynergyX
Im as excited to be here as a 42 gnome warlock who rolled on a green pair of cloth boots but was given a epic staff of uber awsome noob pwning by accident.


Acties:
  • 0 Henk 'm!

  • GeeMoney
  • Registratie: April 2002
  • Laatst online: 21:39
Politie schijnt ook wat sleutels in handen te hebben en op de Kaspersky site kan je kijken of (aan de hand van het bitcoin adres) jouw sleutel daar tussen zit en je dus gratis je files kan decrypten. Gebruik daarvoor dan ook de bijgeleverde tool van Kaspersky!

https://noransom.kaspersky.com/

Lijkt me zeer goed nieuws voor een aantal tweakers die getroffen zijn maar nog niet hebben betaald.

Nogmaals, recovery tools bieden GEEN oplossing aangezien de originele file headers gewijzigd zijn! (recovery tools zoeken "oude" blokken op, maar die zijn er namelijk niet omdat de file niet gekopieerd word voor encrypten)

Acties:
  • 0 Henk 'm!

Verwijderd

Modbreak:We gaan hier niet trollen.

[ Voor 91% gewijzigd door iisschots op 17-04-2015 23:42 ]


Acties:
  • 0 Henk 'm!

  • MrBlueEyes
  • Registratie: Maart 2005
  • Laatst online: 15:09
Ik heb mijn ouders bestanden terug door https://noransom.kaspersky.com/, erg blij mee!

MSI MPG X870E CARBON WIFI, Ryzen 9 9900X, 64GB, Gigabyte AORUS M RTX5080, Samsung 990 Pro 4TB, Samsung 970 EVO 2TB, Samsung OLED G9, LG 48CX, LG 65C8, Xbox Series X, PS4 Pro, Galaxy Z Fold7 512GB, Kia EV6 RWD 77,4 kWh Plus, Weheat Blackbird P80


Acties:
  • 0 Henk 'm!

  • GeeMoney
  • Registratie: April 2002
  • Laatst online: 21:39
MrBlueEyes schreef op vrijdag 17 april 2015 @ 20:01:
Ik heb mijn ouders bestanden terug door https://noransom.kaspersky.com/, erg blij mee!
Gratz, mooi man. Goed nieuws :)

Acties:
  • 0 Henk 'm!

Verwijderd

mijn neef had op zn laptop het Coinvault virus, deze wel van laptop gekregen. Laptop is nu weer schoon. Probleem blijft dat de (belangrijkste) foto's allemaal beschadigd zijn gebleven. oftewel, ze zijn niet te openen.
'bestanden zijn beschadigd of worden niet ondersteund' verschijnt bij het openen. Nu zijn dit foto's die niet verloren mogen gaan, dus ik doe mijn best om ze weer in orde te krijgen maar niks helpt.
Recuva geprobeerd, shadow explorer..(daar wordt hele D-schijf niet herkend)
ook systeem herstel geprobeerd maar geen herstel punt aanwezig. ook geen vorige versies van de foto's.

nu was ik even blij met https://noransom.kaspersky.com/ maar hier dien je een IV en een Key in te geven van Coinvault echter (gelukkig) is het virus al van de laptop af. dus die gegevens heb ik helemaal niet iemand enig idee hoe ik de foto's nog kan herstellen?

Op andere harde schijf had hij Bit Cryptor virus waar hetzelfde verhaal geldt.
hoop dat iemand een oplossing weet.

alvast bedankt!

[ Voor 7% gewijzigd door Verwijderd op 14-05-2015 17:38 ]


Acties:
  • 0 Henk 'm!

  • TommieW
  • Registratie: December 2010
  • Laatst online: 01-10 13:12

TommieW

Numa numa.

Verwijderd schreef op donderdag 14 mei 2015 @ 17:22:
mijn neef had op zn laptop het Coinvault virus, deze wel van laptop gekregen. Laptop is nu weer schoon. Probleem blijft dat de (belangrijkste) foto's allemaal beschadigd zijn gebleven. oftewel, ze zijn niet te openen.
'bestanden zijn beschadigd of worden niet ondersteund' verschijnt bij het openen. Nu zijn dit foto's die niet verloren mogen gaan, dus ik doe mijn best om ze weer in orde te krijgen maar niks helpt.
Recuva geprobeerd, shadow explorer..(daar wordt hele D-schijf niet herkend)
ook systeem herstel geprobeerd maar geen herstel punt aanwezig. ook geen vorige versies van de foto's.

nu was ik even blij met https://noransom.kaspersky.com/ maar hier dien je een IV en een Key in te geven van Coinvault echter (gelukkig) is het virus al van de laptop af. dus die gegevens heb ik helemaal niet iemand enig idee hoe ik de foto's nog kan herstellen?

Op andere harde schijf had hij Bit Cryptor virus waar hetzelfde verhaal geldt.
hoop dat iemand een oplossing weet.

alvast bedankt!
Zonder die gegevens is er echt geen mogelijkheid om de foto's te herstellen. Maar als die foto's zo belangrijk zijn, waarom heb je er dan geen back-up van? ;)

1700X@3,9GHZ - Asus Crosshair VI Hero - 32GB Corsair LPX - GTX 1070Ti
iPhone 13 Pro Max - Macbook Pro 16" M1 Pro


Acties:
  • 0 Henk 'm!

  • darkangel456
  • Registratie: Juni 2010
  • Laatst online: 25-12-2023
Ik kan het nergens vinden tot nu toe maar is er al een oplossing voor het coinvault virus?
Me broer heeft het namelijk ook, maar die gaat dus echt niet dat bedrag betalen.

P.S Het is windows 7 wat hij draait.

Acties:
  • 0 Henk 'm!

  • MicDrive
  • Registratie: December 2005
  • Laatst online: 30-09 20:30
Verwijderd schreef op donderdag 14 mei 2015 @ 17:22:
mijn neef had op zn laptop het Coinvault virus, deze wel van laptop gekregen. Laptop is nu weer schoon. Probleem blijft dat de (belangrijkste) foto's allemaal beschadigd zijn gebleven. oftewel, ze zijn niet te openen.
'bestanden zijn beschadigd of worden niet ondersteund' verschijnt bij het openen. Nu zijn dit foto's die niet verloren mogen gaan, dus ik doe mijn best om ze weer in orde te krijgen maar niks helpt.
Recuva geprobeerd, shadow explorer..(daar wordt hele D-schijf niet herkend)
ook systeem herstel geprobeerd maar geen herstel punt aanwezig. ook geen vorige versies van de foto's.

nu was ik even blij met https://noransom.kaspersky.com/ maar hier dien je een IV en een Key in te geven van Coinvault echter (gelukkig) is het virus al van de laptop af. dus die gegevens heb ik helemaal niet iemand enig idee hoe ik de foto's nog kan herstellen?

Op andere harde schijf had hij Bit Cryptor virus waar hetzelfde verhaal geldt.
hoop dat iemand een oplossing weet.

alvast bedankt!
Ik had ook het probleem dat ik de IV en de key niet meer had, omdat het virus al van mijn pc af was. Ik had gelukkig externe backups van al mijn belangrijke bestanden, maar van de rest niet. Ik heb al die bestanden bewaard en zag laatst dat Kaspersky al een tijdje geleden een (update) van hun tooltje heeft uitgebracht om je bestanden te unlocken. De gasten van dit virus zijn namelijk opgepakt en de keys zijn bemachtigd.

Het tooltje probeert alle bekende keys en unlocked de bestanden daarna. Heb al mijn bestanden nu weer terug _/-\o_ Het is te vinden op: https://noransom.kaspersky.com/

Acties:
  • 0 Henk 'm!

  • furian88
  • Registratie: Februari 2007
  • Laatst online: 30-09 14:55
MicDrive schreef op donderdag 19 mei 2016 @ 10:04:
[...]


Ik had ook het probleem dat ik de IV en de key niet meer had, omdat het virus al van mijn pc af was. Ik had gelukkig externe backups van al mijn belangrijke bestanden, maar van de rest niet. Ik heb al die bestanden bewaard en zag laatst dat Kaspersky al een tijdje geleden een (update) van hun tooltje heeft uitgebracht om je bestanden te unlocken. De gasten van dit virus zijn namelijk opgepakt en de keys zijn bemachtigd.

Het tooltje probeert alle bekende keys en unlocked de bestanden daarna. Heb al mijn bestanden nu weer terug _/-\o_ Het is te vinden op: https://noransom.kaspersky.com/
je snapt dat je reageert op iets wat een jaar oud is toch?

daarnaast zie de frontpage, daar staat een heel verhaal over de Teslacrypt master key die uitgegeven is, hier zijn ook meteen decrypters voor gemaakt.

https://pvoutput.org/list.jsp?userid=86006

Pagina: 1