.wthkhbi bestanden

Al een virus scan gedraaid? Dat zal 99% zeker wel een hit opleveren..

Klinkt als een gevalletje cryptolocker virus. Ik hoop dat je backups hebt.

Ik ben bang dat je dan een cryptolocker virus te pakken hebt. Ik hoop dat je back-ups hebt anders kan je (flink!) je portemonnee trekken als je ze terug wil..

Als het op je werk is: wat zegt de IT-afdeling ervan?

Je hebt last van het cryptolocker virus. Vermoedelijk van de nieuwe wave die zich de afgelopen dagen heeft voorgedaan. Hier is nog geen unlocker voor.

[ Voor 3% gewijzigd door s1ck op 05-02-2015 16:10 ]

Tijd om je IT afdeling in te ruilen dan. Bij een melding van een dergelijke extensie zouden de cryptolocker alarmbellen toch direct op volle sterkte af moeten gaan...

Wat voor beveiliging heb je op je machine draaien? Was deze ook up-to-date?

Overigens is het waarschijnlijk een niet de orginele cryptolocker, maar een variant, "CTB locker". Hoe dan ook, het is ransomware (ze gijzelen je bestanden), degene die het veroorzaakt heeft heeft waarschijnlijk een melding gehad met een adres waar je je bitcoins kwijt kunt zodat ze je (hopelijk) een key sturen om te unlocken.

format c: en een backup terug zetten, helaas hebben wij hier ook last van gehad, zowel op lokale machines als op shares. gelukkig hebben we een goed backup systeem en konden we terug naar een recente backup.

troep is het, helaas was het hier binnengekomen via een mailtje met de melding van intrum justitia over een openstaande rekening.

Bushwick schreef op donderdag 05 februari 2015 @ 16:24:
Geen idee guys welke beveiliging.
Ik heb zelf niet zoveel verstand (zoals jullie) van IT, alleen lees ik graag item op deze site, en ik melde dus bij IT afdeling over deze mogelijkheid.
Hij reageerde in de trand van: doe niet zo raar, tis geen Hollywood film.......

Bij mij is er lichtelijke paniek omdat office maar ook productie vloer eraan hangt.
Ik kan dus niet oordelen of onze IT man goed genoeg is.

Ik ga nu alles lokaal instellen, want dat blijkt wel te werken, en is tot nu toe onaangetast.

ik denk dat IT zich eens goed achter de oren moeten krabben, dit is serious business

[ Voor 51% gewijzigd door Nirrilith op 05-02-2015 16:27 ]

Haal in ieder geval de machine waar de infectie vandaan komt van het netwerk af, als je niet wilt dat alle documenten op alle aangesloten shares ge-encrypt worden.

Bushwick schreef op donderdag 05 februari 2015 @ 16:24:
Geen idee guys welke beveiliging.
Ik heb zelf niet zoveel verstand (zoals jullie) van IT, alleen lees ik graag item op deze site, en ik melde dus bij IT afdeling over deze mogelijkheid.
Hij reageerde in de trand van: doe niet zo raar, tis geen Hollywood film.......

Bij mij is er lichtelijke paniek omdat office maar ook productie vloer eraan hangt.
Ik kan dus niet oordelen of onze IT man goed genoeg is.

Ik ga nu alles lokaal instellen, want dat blijkt wel te werken, en is tot nu toe onaangetast.

De corrupte bestanden staan mogelijk op een network share/NAS als je er lokaal geen last van hebt.

Overigens een aparte uitspraak van de IT afdeling. Ik zit niet in dat vakgebied maar dit lijkt mij toch een situatie die wel bekend moet zijn.

Bushwick schreef op donderdag 05 februari 2015 @ 16:24:
Geen idee guys welke beveiliging.
Ik heb zelf niet zoveel verstand (zoals jullie) van IT, alleen lees ik graag item op deze site, en ik melde dus bij IT afdeling over deze mogelijkheid.
Hij reageerde in de trand van: doe niet zo raar, tis geen Hollywood film.......

Bij mij is er lichtelijke paniek omdat office maar ook productie vloer eraan hangt.
Ik kan dus niet oordelen of onze IT man goed genoeg is.

Ik ga nu alles lokaal instellen, want dat blijkt wel te werken, en is tot nu toe onaangetast.

Begin dan eerst met een backup. Als productie ervan afhankelijk is, wil je niet dat dit fout gaat. Misschien dat de IT'er (dagelijks?) backups maakt, maar het kan in zo'n geval geen kwaad om zelf ook een backup te maken van deze MS Office bestanden.

Ga daarna pas spelen. Software is opnieuw te installeren, je documenten zijn belangrijker.

Bushwick schreef op donderdag 05 februari 2015 @ 16:24:
Hij reageerde in de trand van: doe niet zo raar, tis geen Hollywood film.......

It's okay, daar komt 'ie dan nog wel op terug als het wel zo'n locker blijkt.

Waar staan de bestanden in kwestie? Zoals anderen al aangeven, als het op een netwerkshare is dan bestaat de kans dat een andere machine in het netwerk een cryptolockerinfectie heeft opgelopen.

Bushwick schreef op donderdag 05 februari 2015 @ 16:38:
Even een korte tussendoor, zijn bestanden die wel te openen zijn eventueel besmet ?

Bestanden of een systeem dat in aanraking is geweest met een virus kun je nooit volledig vertrouwen.

Kan het kwaad om op mijn prive computer met deze bestanden verder te werken ?

Volgens mij is de werkwijze van bijna alle cryptolocker-achtige malware dat bestanden enkel worden versleuteld; ik heb nog geen variant gezien die files infecteert (of 'ombouwt' tot executable) om zich zo verder te verspreiden.

Dat gezegd hebbende, niets is uit te sluiten. Wees voorzichtig, en dit is het moment om je backups vast even na te lopen

Bushwick schreef op donderdag 05 februari 2015 @ 16:52:

Bewuste computer is afgekoppelt en IT gaat alle gelockte bestanden terugzetten vanuit backup.

Zoals het hoort. Ik snap de goed bedoelde adviezen van de mede tweakers wel, maar dit hoort niet door een medewerker te worden opgelost. Laat het aan de IT afdeling over. Zij zijn hier immers voor aangenomen.

Netjes opgelost toch.

Iemand zal wel weer een .exe of .vbs geopend hebben via de email

Viper® schreef op donderdag 05 februari 2015 @ 16:58:
Netjes opgelost toch.

Iemand zal wel weer een .exe of .vbs geopend hebben via de email

Dan heeft IT in mijn ogen nog steeds wat te doen, wie laat die door op zijn mailserver?

Of bestanden via een usb stick, tegenwoordig worden die ook zomaar overall ingestoken

En ook dat is te blokkeren.

Zodra je hier een verdacht bestand op een USB stick wilt openen dan gaan er direct alarmbellen af en wordt er automatisch een melding aangemaakt bij de IT afdeling

Angeloonie schreef op donderdag 05 februari 2015 @ 17:02:


Zodra je hier een verdacht bestand op een USB stick wilt openen dan gaan er direct alarmbellen af en wordt er automatisch een melding aangemaakt bij de IT afdeling

Hier zijn alle USB poorten dicht gegooid.

MeNTaL_TO schreef op donderdag 05 februari 2015 @ 16:59:
[...]

Dan heeft IT in mijn ogen nog steeds wat te doen, wie laat die door op zijn mailserver?

Phisingmailtje naar een foute site kan natuurlijk ook, dan heb je enkel nog evt adminrechten voor exe uitvoer en de lokale virusscanner.