Virus - ctb locker - alle bestanden versleuteld

Kan niet. Betalen of formatteren. Succes.

Kans bestaat is je door het verwijderen van het virus unlocken onmogelijk hebt gemaakt.

Toevallig afgelopen week ook zo'n gevalletje tb-locker hier gehad. De locker verwijderen gaat vrij makkelijk maar de boel ontsleutelen kan niet zomaar. Ik heb wat bestanden weten terug te halen met Recuva, maar het gros moest als verloren worden beschouwd. Maar dan moet ik erbij zeggen dat de hardeschijf op sterven na dood was, wat de recovery natuurlijk niet vergemakkelijkt.

[ Voor 0% gewijzigd door Blaffeh op 06-01-2015 19:39 . Reden: autocorrect ]

hallo,

vanaf 27-12-2014 kan ik al mijn foto bestanden niet meer openen,ik kreeg zo'n scherm dat mijn computer was overgenomen en alleen met betaling van bitcoins kon ik weer toegang krijgen.
Daarna gelijk spyhunter aangezet en die heeft die boel weer aan de praat gekregen.Iets later kwam ik erachter dat als ik op het foto bestand klik een bericht krijg bestand beschadigd of te groot.
Klote dus,ook al mijn pdf en word bestanden zijn beschadigd,de datum achter al die bestanden staat op 27-12-2014.
Ben daarna wat recovery programma's gaan proberen maar geen resultaat,helaas!!
Na nog wat langer zoekwerk kwam ik hier terecht en las ik over bestanden die na deze aanval worden versleuteld.
Ik heb geen backup waar ik op terug kan vallen dus mijn vraag,ben ik alles kwijt of weet 1 van jullie een programma die de boel weer terug kan halen.
Ik hoop dat iemand mij kan helpen.

Alvast bedankt.

Anoniem: 651523 schreef op donderdag 22 januari 2015 @ 00:20:
hallo,

vanaf 27-12-2014 kan ik al mijn foto bestanden niet meer openen,ik kreeg zo'n scherm dat mijn computer was overgenomen en alleen met betaling van bitcoins kon ik weer toegang krijgen.
Daarna gelijk spyhunter aangezet en die heeft die boel weer aan de praat gekregen.Iets later kwam ik erachter dat als ik op het foto bestand klik een bericht krijg bestand beschadigd of te groot.
Klote dus,ook al mijn pdf en word bestanden zijn beschadigd,de datum achter al die bestanden staat op 27-12-2014.
Ben daarna wat recovery programma's gaan proberen maar geen resultaat,helaas!!
Na nog wat langer zoekwerk kwam ik hier terecht en las ik over bestanden die na deze aanval worden versleuteld.
Ik heb geen backup waar ik op terug kan vallen dus mijn vraag,ben ik alles kwijt of weet 1 van jullie een programma die de boel weer terug kan halen.
Ik hoop dat iemand mij kan helpen.

Alvast bedankt.

In het geval dat alles encrypted is: Je bent alles kwijt, tenzij je betaald (dan bestaat er een kans, dat je je dingen terug krijgt).
Tenzij je met een recover programmaatje als recuva "oude" data kan terughalen.

[ Voor 5% gewijzigd door Frozen op 22-01-2015 00:32 ]

Frozen schreef op donderdag 22 januari 2015 @ 00:23:
[...]

In het geval dat alles encrypted is: Je bent alles kwijt, tenzij je betaald.
Tenzij je met een recover programmaatje als recuva "oude" data kan terughalen.

Weet je dat zeker? wel graag even met onderbouwing. Voor je het weet betaalt deze tweaker nu op jouw advies, en krijgt ie zn bestanden alsnog niet terug (want volgens mij maakt het betalen meestal geen drol uit).

het is 25% kans dat het lukt en 75% kans dat je alles kwijt bent , het is hoe belangrijk die data voor je is of je het zelf wilt proberen of niet.

25% -> alles terug na betaling
25% -> je betaald maar er gebeurd niets en je hoort niets meer , dag geld en dag bestanden
25% -> je betaald en krijgt een ongeldige key terug.
25% -> je betaald en maar een gedeelte valt te herstellen.

natuurlijk is het 100% kans op falen als je de cryptolocker laat verwijderen door antivirus/malware removal.

Wordt wat mij betreft tijd dat ze dit criminele tuig hard aanpakken, maar ze zullen wel diep weggedoken zitten in Rusland...

Alle schade laten vergoeden (inkomstenderving) en kosten terugbetalen van alle slachtoffers zou een mooi voorbeeld zijn. Dat volk mag w.m.b kaalgeplukt worden + dikke schuldsanering voor 40 jaar.

Tot zover mijn rant naar deze idioten, die ik even niet kon laten...

Verder houdt Windows ook een versioning bij van bestanden die gewijzigd zijn. Zo zou je je belangrijke documenten mogelijk nog kunnen redden:
http://windows.microsoft....ws-8/how-use-file-history

Er zijn vast zelfs tooltjes voor die alles in een klap kunnen doen, maar die weet ik niet zo 1-2-3...

Ik ga sowieso niks betalen.
Recover programma's heb ik al gebrobeerd maar tot op heden zonder succes.
Ik hoopte eigenlijk dat iemand van jullie een tool weet om dit te herstellen.

Frozen schreef op donderdag 22 januari 2015 @ 00:23:
[...]

In het geval dat alles encrypted is: Je bent alles kwijt, tenzij je betaald (dan bestaat er een kans, dat je je dingen terug krijgt).
Tenzij je met een recover programmaatje als recuva "oude" data kan terughalen.

In veel gevallen maakt betalen niets uit en ben je naast je bestanden ook nog eens geld kwijt. Bovendien houd je met betalen dit soort malafide praktijken in stand en moedig je indirect aan om het gijzelen van data nog meer toe te passen. De enige juiste oplossing is het terugzetten van een backup aangevuld met maatregelen om dergelijke besmettingen in de toekomst te voorkomen. Laat het een goede les zijn wanneer je geen backup hebt.

Bor de Wollef schreef op donderdag 22 januari 2015 @ 09:27:
[...]


In veel gevallen maakt betalen niets uit en ben je naast je bestanden ook nog eens geld kwijt. Bovendien houd je met betalen dit soort malafide praktijken in stand en moedig je indirect aan om het gijzelen van data nog meer toe te passen. De enige juiste oplossing is het terugzetten van een backup aangevuld met maatregelen om dergelijke besmettingen in de toekomst te voorkomen. Laat het een goede les zijn wanneer je geen backup hebt.

Hij had dus geen backup, dat is dus precies het probleem. Daarom, als je data je echt veel waard is kan je het proberen te betalen. Of je dan kan uncrypten is de vraag.

Toch vraag ik me af, hoe komen die mensen nou aan zo'n virus? Ik heb er namelijk nog nooit last van gehad.

Anoniem: 651523 schreef op donderdag 22 januari 2015 @ 09:05:
Ik ga sowieso niks betalen.
Recover programma's heb ik al gebrobeerd maar tot op heden zonder succes.
Ik hoopte eigenlijk dat iemand van jullie een tool weet om dit te herstellen.

Als er een degelijke vorm van encryptie is gebruikt, dan kun je herstellen met een tooltje wel vergeten. Je hebt dan de sleutel nodig, anders wordt het niet wat. Pogingen om de encryptie te kraken zouden met de huidige techniek eeuwen kunnen duren.

Bor de Wollef schreef op donderdag 22 januari 2015 @ 09:27:
[...]
In veel gevallen maakt betalen niets uit en ben je naast je bestanden ook nog eens geld kwijt. Bovendien houd je met betalen dit soort malafide praktijken in stand en moedig je indirect aan om het gijzelen van data nog meer toe te passen. De enige juiste oplossing is het terugzetten van een backup aangevuld met maatregelen om dergelijke besmettingen in de toekomst te voorkomen. Laat het een goede les zijn wanneer je geen backup hebt.

In veel gevallen helpt betalen juist wel. Sterker nog, veel van de makers hebben een "klantenservice" waar de meeste bedrijven wat van kunnen leren. Zie bijvoorbeeld deze thread: Windows8.1 Coinvault
Hier heeft iemand betaald, maar had problemen met de decryptie-tool. Toen heeft hij contact opgenomen met het email-adres dat in de malware stond en binnen een uur had hij een werkende tool gekregen van de makers.

Dat is het bizarre aan de huidige golf aan crypto-malware. De makers zitten er voor het geld en ze hebben door dat het veel meer oplevert om mensen die betalen daadwerkelijk hun bestanden terug te geven (en daarmee een reputatie op te bouwen), dan door ze nog een keer te scammen.

Uiteraard is het zeer onwenselijk en als iedereen zou besluiten om niet te betalen, dan zou het fenomeen snel ophouden. Maar er zijn genoeg mensen zonder backup en met voldoende belangrijke bestanden om het toch te doen. Daarom: Backups! En geen backup op een NAS die direct vanaf het netwerk te benaderen is, want de crypto-malware is slim genoeg om ook netwerk-shares langs te gaan. Offline en/of read-only backups maken.

Rannasha schreef op donderdag 22 januari 2015 @ 09:38:
[...]

In veel gevallen helpt betalen juist wel. Sterker nog, veel van de makers hebben een "klantenservice" waar de meeste bedrijven wat van kunnen leren.

De praktijk wijst helaas vaak anders uit. Bij malware makers die een tool op de langere termijn willen exploiteren zal het wellicht vaak werken maar de quick and dirty malware popt vaak even snel op om daarna weer te verdwijnen. Vergeet ook niet dat de pakkans groter zal worden naarmate men langer operationeel blijft.

Los van de discussie of betalen wel of niet tot decryptie zal leiden werk je met betalen alleen maar mee aan verdere verspreiding van het probleem.

Om even antwoord te geven op de vraag van Frozen hoe mensen aan deze virussen komen,op het moment dat het gebeurde zat ik op youtube filmpjes te kijken,daarnaast staat avast en een anti-malware programma continue aan dus zeg het maar,ik heb in iedergeval geen flauw idee,het is voor mij ook de eerste keer dat zoiets mij overkomt.

Maar goed om even terug te komen op dit probleem,ik kan dus waarschijnlijk fluiten naar mijn foto's.
En nogmaals ik ga zeker niet betalen,dan maar geen foto's meer.Als je zulke mensen gaat betalen dan geef je ze volgens mij gelijk om met dit soort dingen door te gaan.....

gr.

Anoniem: 651523 schreef op donderdag 22 januari 2015 @ 09:51:
Om even antwoord te geven op de vraag van Frozen hoe mensen aan deze virussen komen,op het moment dat het gebeurde zat ik op youtube filmpjes te kijken.

Het virus kun je al veel eerder hebben opgelopen en dat deze na een random timer activeert. waar ik benieuwd naar ben is wat er met je cloud omgevingen gebeurt.
Ik heb backups alleen van mijn aller belangrijkste bestanden (foto's). deze syncen automatisch. maar worden die ook versleuteld door de cbt rommel?

overigens als je kans wilt maken om te recoveren dan is het het belangrijkst dat je een disk dump maakt met bijvoorbeeld ddump (linux bash shell). je hebt dan een backup van alle bits op de schijf. je kunt dan dus heel veel verschillende recover pogingen uitvoeren.

Anoniem: 651523 schreef op donderdag 22 januari 2015 @ 09:51:
Maar goed om even terug te komen op dit probleem,ik kan dus waarschijnlijk fluiten naar mijn foto's.
En nogmaals ik ga zeker niet betalen,dan maar geen foto's meer.Als je zulke mensen gaat betalen dan geef je ze volgens mij gelijk om met dit soort dingen door te gaan.....

Naar verluidt zou 40% van de mensen betalen.

dezejongeman schreef op donderdag 22 januari 2015 @ 10:29:
[...]


Het virus kun je al veel eerder hebben opgelopen en dat deze na een random timer activeert. waar ik benieuwd naar ben is wat er met je cloud omgevingen gebeurt.
Ik heb backups alleen van mijn aller belangrijkste bestanden (foto's). deze syncen automatisch. maar worden die ook versleuteld door de cbt rommel?

overigens als je kans wilt maken om te recoveren dan is het het belangrijkst dat je een disk dump maakt met bijvoorbeeld ddump (linux bash shell). je hebt dan een backup van alle bits op de schijf. je kunt dan dus heel veel verschillende recover pogingen uitvoeren.

Alle foto's op mijn dropbox doen het gelukkig nog.

Disk dump maken heb ik geen verstand van helaas.

Anoniem: 651523 schreef op donderdag 22 januari 2015 @ 10:53:
Disk dump maken heb ik geen verstand van helaas.

het maken van een diskdump is een 1 op 1 kopie maken van alle bits op een schijf. het staat los van een partitie. een diskdump is dus altijd zo groot als je schijf ook is.

de dump maken is vrij eenvoudig iets van 'ddump disk1 /sda0/home/user/dumpfile.dd'
maar iets met die dump file doen is lastiger. je hebt een applicatie nodig die de file uit kan lezen en begrijp hoe files eruit zien.

google maar eens iets op digital forensic tools.

dezejongeman schreef op donderdag 22 januari 2015 @ 10:29:
[...]

Ik heb backups alleen van mijn aller belangrijkste bestanden (foto's). deze syncen automatisch. maar worden die ook versleuteld door de cbt rommel?

Er zijn verschillende versies van de malware, die telkens wat anders werken, maar de meeste recente versies gaan alle bestanden na waar ze direct toegang tot hebben met de user-account waaronder de malware draait. Dus, zeg maar, alles wat je vanuit de Verkenner kunt openen. Dat is inclusief netwerk-shares.

Bij cloud-diensten hangt het er vanaf hoe je toegang hebt tot de dienst. Bij Dropbox heb je gewoon een folder op je schijf die gesynced wordt. De malware zal dus bestanden in die folder versleutelen en Dropbox zal dat braaf syncen met de server. Voordeel van Dropbox is dat het een vorm van versie-beheer heeft en je oude versies terug kunt halen. Maar nogmaals, de precieze werking van de malware kan verschillen tussen de verschillende versies.

Het is dan ook belangrijk dat je bij het backuppen goed kijkt naar de mate waarin de backup aangepast / overschreven kan worden. De meest voor de hand liggende optie is om simpelweg het backup apparaat te ontkoppelen wanneer de backup klaar is. Maar je hebt ook tools zoals Volume Shadow Copy (Windows 7) of ZFS snapshots (*nix, voor NAS-systemen), waarbij read-only snapshots worden gecreeerd. Zelf gebruik ik ZFS snapshots op mijn NAS/server. Zolang de bestanden die "gesnapshot" zijn niet wijzigen, neemt de snapshot geen ruimte in.

dezejongeman schreef op donderdag 22 januari 2015 @ 11:23:
[...]

het maken van een diskdump is een 1 op 1 kopie maken van alle bits op een schijf. het staat los van een partitie. een diskdump is dus altijd zo groot als je schijf ook is.

de dump maken is vrij eenvoudig iets van 'ddump disk1 /sda0/home/user/dumpfile.dd'
maar iets met die dump file doen is lastiger. je hebt een applicatie nodig die de file uit kan lezen en begrijp hoe files eruit zien.

google maar eens iets op digital forensic tools.

ik zal me hier vanavond eens in verdiepen,bedankt in iedergeval allemaal voor jullie inzicht in deze kwestie.

Heb e computerman van mijn werk gesproken en die zegt dat alles wat versleuteld is onmogelijk is om te ontsleutelen,dus ik moet mijn verlies nemen en in het vervolg alles gaan backuppen.
Mocht nou nog iemand van jullie een helder idee krijgen met betrekking tot een oplossing dan lees ik dat graag.

groeten.

Anoniem: 651523 schreef op donderdag 22 januari 2015 @ 12:34:
[...]


ik zal me hier vanavond eens in verdiepen,bedankt in iedergeval allemaal voor jullie inzicht in deze kwestie.

Heb e computerman van mijn werk gesproken en die zegt dat alles wat versleuteld is onmogelijk is om te ontsleutelen,dus ik moet mijn verlies nemen en in het vervolg alles gaan backuppen.
Mocht nou nog iemand van jullie een helder idee krijgen met betrekking tot een oplossing dan lees ik dat graag.

groeten.

Hallo,

Ik heb zelf ook dit virus gehad (soortgelijk) en er veel erover opgezocht.
Dit blijkt voor sommige mensen te helpen zijn veel nieuwssite over:
https://www.decryptcryptolocker.com/
Als je het originele bestand hebt en een geencrypt bestand zijn er mogelijkheden om alle bestanden te kunnen unlocken (schijnt) ik weet het zelf niet.

Ik had backup en heb deze teruggezet en nam het voor lief dat de bestanden weg zijn die nog niet gebackupt waren.

Misschien heb ik je kunnen helpen.. Het is erg vervelend als je geen backup hebt kunnen maken! In het vervolg zou ik aanraden dit ook te doen.
Succes!

[ Voor 31% gewijzigd door Galinsky op 22-01-2015 12:50 ]

Die site is alleen voor CryptoLocker, en werkt puur omdat ze daarvan de servers (met daarbij de sleutels) in handen hebben gekregen.

werkt inderdaad niet,bedankt in iedergeval Galinsky.
Ga maar weer eens met google aan de slag misschien dat er toch nog ergens iets staat wat mij helpen kan.

gr.

Een klant van mij belde me in paniek op. Ja hoor, hij was de pineut. Alle bestanden op de C schijf al versleuteld. Erger nog; ook de bestanden op de netwerk shares (Synology NAS) zijn versleuteld. Gelukkig heb ik deze ransomware tijdig kunnen verwijderen, niet alle data was versleuteld. Echter, veel belangrijke data is wel versleuteld.

Met shadows explorer heb ik vrijwel alle bestanden van de C schijf kunnen terughalen. Echter, dit werkt (natuurlijk) niet op een Synology NAS. Na wat googelen ben ik bang dat deze data ook niet teruggehaald kan worden. Iemand een ander idee?

Backup terugzetten?

Was dit de CTB Locker (Critroni) die met de Justitia Intrum "aanmaning" was meegekomen op dinsdag 9 juni 2015?

Of was dit de cryptolocker van de dag ervoor, maandag?

[ Voor 3% gewijzigd door oheng op 11-06-2015 00:32 ]

Nou ik heb dus ook zo'n mail gehad! M'n vrouwtje belde me al op van wat is dat nou? Maar die muts heeft die site dus geopend, en nu kan ik niet meer bij me foto's enzo.
Iemand een idee of en hoe ik de bestanden weer kan gebruiken?

Het was inderdaad de CTB locker die bij een factuur van het incasso bureau kwam.

Backup heeft de klant niet. Letterlijk "De NAS is toch al een backup?" - "Oh nee, dat had je toen aangegeven.... "

@freggel: eerst even kijken of je met shadow explorer de bestanden kan terughalen. Doe dat niet gelijk, als je ziet dat je de bestanden kan terughalen, eerst het virus verwijderen (bijvoorbeeld met Hitman Pro). Daarna je bestanden met shadow explorer terug kopieren.

Kom ik terug op mijn vraag:
Synology heeft EXT4 shares. Ik kan geen alternatief op shadow explorer vinden die zoiets kan. Bestaat er zoiets voor EXT4/ Synology NAS?

@hammetje ik kijk met dat programma ernaar en die ziet mijn beide schijven alleen op de D schijf komt niks te staan die blijft helemaal blank.
En laat nou net op die schijf al me belangrijke bestanden te staan, heb je een tip?
Of zou ik m misschien eruit kunnen halen en in een externe case zetten?

Ctb locker gooit alle previous versions weg. Als eenmaal de popup komt met de melding dat je moet betalen, is het te laat. Dan is het of backup terugzetten, of je verlies nemen of betalen en bidden.

Meer is er niet mogelijk.

En als ik idd doe wat ik op m'n scherm zie dat ik naar zo'n tor site moet en die code invoer, bestaat er dan een kans dat ik weer bij me bestanden kan?

freggel84 schreef op donderdag 11 juni 2015 @ 11:17:
En als ik idd doe wat ik op m'n scherm zie dat ik naar zo'n tor site moet en die code invoer, bestaat er dan een kans dat ik weer bij me bestanden kan?

Lijkt me stug dat je zomaar gratis je bestanden krijgt. Ze maken dat virus om geld te verdienen. Niet voor de kick om iemand zijn pc te encrypten en vervolgens een ip erbij te zetten die je moet invoeren bij TOR zodat je de code kan invullen om je pc te unlocken.

De kans bestaat dat ze je de decryptie tool sturen.
ik weet van mensen die betaald hebben en hun betsandne weer terug hebben, maar hoor ook verhalen van mensen die betalen en niets weer horen.

Helemaal je eigen keus, ga ik verder geen advies in geven.

Ik had dus met deze CTB Locker (Critroni) variant, dat de shadow copies op een 2e HDD (E:\) niet, of niet geheel verwijderd waren. Dus soms kun je dus alles terughalen met Shadow Explorer. Datarecovery werkt ook met deze niet (op NTFS iig).

Maar, dit is wel een andere variant dan de andere CTB Lockers, want ik mis de aftellende timer, die andere CTB Lockers wel hebben. Aangezien je dit virus kunt kopen voor 2000-3000 euro, vermoed ik dat hier een ander achter zit. Met de oude CTB Lockers kreeg je je bestanden terug als je betaalde, maar met deze CTB Locker weet ik het niet.

Nou wordt het nog mooier hier wil een systeem herstel doen staat er alleen 1 van vannacht op geen andere herstelpunten! Dus ik kan alles opnieuw gaan installeren, heel fijn zulke virussen!

Je kan eventueel ook nog even met een programma als NTFS backup now kijken naar 'deleted files'. Die staat vervolgens wel een aantal uur te stampen, maar wellicht kan die nog iets terug halen voor je.

thx gaan we eens proberen dan maar

Overigens maken mensen ook nogal eens gebruik van de ingebouwde Windows backup.
Dan staat er *ergens* 1 of meerdere grote .vhd bestanden. Die .vhd bestanden kun je mounten in diskmgmt.msc. En dan gewoon benaderen via een nieuwe driveletter.

Wel iets om op te letten bij cryptolockers. Hoewel de Windows backup vaak oud is.

Je wil niet weten hoeveel zzp-ers de sjaak zijn... Die hebben nooit een backup, of de backup disk continue gekoppeld via usb...
Het blijft me verbazen dat als mensen niets verwachten ze toch een mailtje van *proest* Intrim justitia openen en dan ook doodleuk de zip dubbelklikken en de zogenaam de factuur openen...
Er zijn heel wat Nederlanders die een harde les hebben geleerd..

KillerAce_NL schreef op donderdag 11 juni 2015 @ 15:13:
Je wil niet weten hoeveel zzp-ers de sjaak zijn... Die hebben nooit een backup, of de backup disk continue gekoppeld via usb...
Het blijft me verbazen dat als mensen niets verwachten ze toch een mailtje van *proest* Intrim justitia openen en dan ook doodleuk de zip dubbelklikken en de zogenaam de factuur openen...
Er zijn heel wat Nederlanders die een harde les hebben geleerd..

Echt hè. "laat ik het .exe bestand openen om de video te bekijken die mijn collega heeft verstuurd .

tegenwoordig doen ze er een .ico bij om hem op een pdf te laten lijken. Als je dan ook nog eens bestandsextensies verbergen aan hebt staan.......

Terwijl dit allemaal vrij simpel te voorkomen is met een goede spamfilter... Iets met .exe's standaard blokkeren enzo.

Elke IT-er heeft ooit in zijn carrière iets dergelijks meegemaakt, een defecte fysieke schijf, een virus, of dit; bottom line is: laat het een les zijn:
* Virusscanners zijn niet 100% foolproof en lopen altijd achter de feiten aan
* Hoe goed de beveiliging ook geworden is (NTFS, UAC, journaling, ga zo maar door), helemaal perfect is fysiek niet mogelijk.
* De definitie van 'wat is een backup' is erg breed.

Een goede backup zit niet aangesloten op je computer; en kun je op een later moment terugzetten. Je kunt doorslaan met een backup strategie (!) maar zie het als een investering: wat is het je als je ALLE data kwijt raakt.

Overigens; ik zal aanraden NOOIT maar dan ook NOOIT aan deze afpersing te betalen:
* De kans dat je je bestanden terugkrijgt is kleiner dan dat je ze wel terug krijgt
* Je weet niet wáár je aan meebetaald. Financier je ineens terreur?
* Je bevestigd dat ransomware een tactiek is die werkt, wat resulteert in méér ransomware (en "build your own ransomware" kits voor nog meer wildgroei)
* Je bent mogelijk strafbaar juist door hier aan mee te betalen.

Hoe simpel PC's, tablets, en smartphones ook zijn: 100% veilig is het nooit. Ook iPads zijn niet immuun voor dit soort technieken. Enige kennis hiervan (er zit een ico bij om hem te vermommen...) is dus nooit weg; onafhankelijk van hoe beperkt je OS ook is. Je hoeft niet persé tot op het niveau van de hosts file te gaan shoppen maar evenzogoed: weet wat je doet, of wees bereid al je data te verliezen (en investeer dus in écht iemand die weet wat hij doet én je kan helpen het weer terug te zetten en het je ook uit kan leggen) en dat je daar ook tegen kan.

Informatica is lekker toegankelijk, dat moet het ook blijven, maar het is niet helemaal zonder risico. Je kunt wel met die risico's omgaan. En daar hoef je geen MSc in computerwetenschappen voor te hebben! Common sense en een paar basisregeltjes zorgen voor hoofdpijn loos werken.

Hammetje schreef op donderdag 11 juni 2015 @ 15:44:
Terwijl dit allemaal vrij simpel te voorkomen is met een goede spamfilter... Iets met .exe's standaard blokkeren enzo.

Nee, ze zitten in een zip... En het hoeft niet eens om .exe te gaan, de volgende kunnen ook:
exe bat cab reg cmd vbs com scr cab msi sys

Overigens kunnen ze ook versturen via rar en een .zip met wachtwoord. Die dan in de email staat.

En? Al die meuk hoor je niet als bijlage te versturen. Ik ben het met je eens dat er talloze mogelijkheden zijn om een virus per mail te versturen, maar executables blokkeren lijkt mij vrij logisch.

Dat er ook virussen in een .rar of .zip zitten kan natuurlijk ook altijd, maar dat is wel weer een extra drempel wat voor de meeste mensen al genoeg is om er niet gelijk op te klikken.

Probleem is dat de thuisgebruiker daar niet skilled genoeg voor is. Tel daarbij op dat ook nog eens veel mensen problemen met technisch engels hebben.

Twee weken geleden ook last gehad van dit virus; gelukkig werk ik altijd vanuit Dropbox. Dropbox geeft de mogelijkheid om bestanden terug te zetten naar de 'vorige versie', ongeacht wanneer deze is opgeslagen. Hierdoor een hele hoop shit weten te voorkomen!

Ik heb mijn les geleerd; ik ga back-ups maken. Ook al werkte het terugzetten van de Dropbox bestanden, misschien volgende keer niet meer.

oheng schreef op vrijdag 12 juni 2015 @ 22:48:
[...]
Je kunt volgens mij geen verwijderde bestanden terughalen.
Dus de volgende CTB Locker haalt je Dropbox leeg, en dan?

Volgens mij kunnen Onedrive en Google Drive dat wel.

Kan prima met Dropbox

Megamind schreef op vrijdag 12 juni 2015 @ 23:03:
[...]

Kan prima met Dropbox

Ja, je hebt een events/gebeurtenissen optie. Ik gebruik zelf geen dropbox, maar het viel me op dat die optie in dit geval afwezig was of leeg. Vorige versies van bestanden werkte ook niet na besmetting met CTB Locker. Als ik tijd heb, zal ik straks nog eens kijken waarom dat allemaal niet werkte.

Edit: niet veel tijd gehad, Alles in Dropbox was ook versleuteld, en ik weet niet wat er met de originelen is gebeurd. Was nog een betaald abbo ook nog. Vreemd.

[ Voor 16% gewijzigd door oheng op 15-06-2015 20:39 ]

Is er ondertussen al een manier om dit virus te verwijderen? Een maat van mij stuurde mij net een foto met de ctb locker popup.

CamelNLD schreef op zondag 23 augustus 2015 @ 13:56:
Is er ondertussen al een manier om dit virus te verwijderen? Een maat van mij stuurde mij net een foto met de ctb locker popup.

Verwijderen is het probleem niet, echter is er geen manier om versleutelde bestanden terug te halen zonder te betalen.

oheng schreef op zondag 14 juni 2015 @ 09:17:
[...]
Ja, je hebt een events/gebeurtenissen optie. Ik gebruik zelf geen dropbox, maar het viel me op dat die optie in dit geval afwezig was of leeg. Vorige versies van bestanden werkte ook niet na besmetting met CTB Locker. Als ik tijd heb, zal ik straks nog eens kijken waarom dat allemaal niet werkte.

Edit: niet veel tijd gehad, Alles in Dropbox was ook versleuteld, en ik weet niet wat er met de originelen is gebeurd. Was nog een betaald abbo ook nog. Vreemd.

Beetje laat maar in dropbox kun je met dropbox pro nog tot 30 dagen terug de data herstellen.

Hoe 't zit met CTB-locker weet ik niet, maar Kaspersky heeft voor een ander ransomwarez een tool online gezet, waarmee je kunt proberen de key te achterhalen:

RANSOMWARE DECRYPTOR

Bedankt voor je link. We hebben de foto's in ieder geval veilig kunnen stellen van de computer en alles wat erop staat heeft geen prioriteit tot bewaren. Nu kunnen we dus rustig stoeien en kijken wat hij doet. Ik laat hier weten of het uiteindelijk gelukt is.

Vandaag kreeg ik een bijzonder emailtje van Intrum Justitia over een openstaande factuur (yeah right). Blijkt dus CTB-Locker te zijn. Uit nieuwsgierigheid heb ik dat ding eens door malwr gehaald om te kijken wat hij doet.

Overigens wordt dit soort rotzooi in mijn geval alleen door de ESET virusscanner gevonden, rest ziet geen virus .

ik heb sowieso geen Windows trouwens

Mijn buurman kreeg gisteren zo'n mailtje van, naar hij zelf zei, 'justitie'. Openstaande boete? Toch eens kijken. En ja hoor: bingo. Versleutelde bestanden, OK, de originele bestanden staan ook op niet aangesloten externe media, maar wat nu met dat virus? Wat is de beste software om dat te verwijderen? En daarna? Is het systeem dan nog te vertrouwen of heeft het virus ook al andere systeembestanden geïnjecteerd?

ok, hier ook ff een HELP..

Heb al een zware dag gehad, iets met hersenletsel en vanmiddag bezoek van advocaat en de deskundigen, dus zit niet op te wachten dat ik wordt gebeld door mijn vader dat hij dit virus heeft (dus mocht ik chaotisch overkomen, mijn excuses, brein staat in het rood).... PC is net afgelopen weekend opnieuw geinstalleerd, draait norton 360.. Had de basics gedaan en hij zou nog wat aansluitende software doen (oa legitieme Nuance PDF, volgens hem ging het daar mis)

Backup is er...,maar.... local....
SDD: windows
HDD 1: documenten
HDD 2: volledige backup van documenten en outlook file (niet in een RAR / ZIP)

Vader is nu onderweg met de PC... (Ede -> Hengelo OV)

Plan de campagne is nu drastisch:
-opstarten van windows DVD
-format van de SSD
-reinstall windows 7
-booten
-kijken of er wat te redden valt....

aannames:
-malware zelf staat op de windows schijf?

vervolgstappen:
-HDD 1 en 2 scannen op malware
-fysieke backup maken naar externe disc van hopelijk intacte data

Hoe te voorkomen?
-De backup van elke week niet meer naar HDD-2 draaien maar naar een 32GB flashdrive? En dan met 2 flashdrives werken. is dat een goede optie?

Hopen dat data gered kan worden (oa een outlook file van 4gb, en paar GB aan foto en doc/xls file).

Wat is de beste malware scanner voor de scan na de reinstall?

Alvast enorm bedankt!

Er zijn twee dingen die ik heel zeker weet over dit virus:

• Die encrypted bestanden ben je in principe kwijt. Het virus verplaatst ze eerst alvorens de encryptie toe te passen, dus soms heb je geluk. Ik weet niet precies waar ze belanden overigens. Het enige zwakke punt is dat een deel van de encryptie-methode (de IV) meestal voor veel mensen hetzelfde is. Maar de kans dat je ooit je data weer terug ziet is nihil.
• Het verwijderen is heel simpel. Opstarten in veilig modus, en de temp dir van de user weggooien. Simpelweg iets van %Temp% invoeren in 't start menu enzo. Staat ook wel hier beschreven. Daarna ben je weer schoon.

Bij twijfel kun je altijd even de boel in malwr gooien, kun je zien waar de bestanden allemaal neergezet worden.

Voorkomen van dit soort dingen kun je alleen door backups te maken en de backups nooit verbonden te laten met je PC. Want deze rotzooi gaat ook achter connected (network) drives aan. Dit vind ik heel erg eng om eerlijk te zijn, aangezien ik heel zuinig ben op mijn NAS .

Mijn versie van vandaag is in ieder geval alleen door ESET gezien omdat die toevallig ook vandaag hem aan zijn signatures had toegevoegd. De meeste scanners zien hem niet vanwege alle meuk er omheen.

[ Voor 7% gewijzigd door gibraltar op 25-08-2015 21:25 ]

was ik al bang voor....

alle data is versleuteld ben k achter gekomen, extensie *.hehujnd

Osiris schreef op zondag 23 augustus 2015 @ 23:38:
Hoe 't zit met CTB-locker weet ik niet, maar Kaspersky heeft voor een ander ransomwarez een tool online gezet, waarmee je kunt proberen de key te achterhalen:

RANSOMWARE DECRYPTOR

We hebben ons hoofd erover gebroken en zijn niet verder gekomen. Zelfs dropbox was alles in versleuteld en hebben contact op genomen maar nog niks gehoord.

De pc is geformatteerd en die loopt weer alleen afwachten wat er met dropbox gaat gebeuren.