Een virus heeft al mijn Excel bestandsnamen gewijzigd

Kan je ze nog wel normaal openen? 9 van de 10 keer zijn de bestanden versleuteld en kan je dat niet zomaar ongedaan maken. Je kunt vaak betalen om weer toegang te krijgen, óf teren op de reeds gemaakte backups.

Klinkt mij toch echt ernaar dat je bestanden dus encrypted zijn. Kun je een bestand nou wel of niet openen na hernoemen naar blaat.xls(x)?

Waarschijnlijk zijn ze dus wel encrypted. Windows zal zien dat een xls(x) bestand met excel geopend moet worden. Maar omdat de bestanden verder zijn aangepast zal hij er verder niets mee kunnen doen.

Zover ik weet zijn er wel tools die het virus weg halen. Maar de bestanden niet decrypten.
Je bent dan nog steeds afhankelijk van backups

Wat was de naam van het virus. Misschien kun je daar op zoeken i.c.m. decrypt?

Ik vermoed CTB-Locker. Die had een collega ook even geopend.
Bestanden worden ge-encrypt en krijgen daarna een 6 letterige extensie. (bijv. Bestand.xlsx.sdkbvx)
Bij ons waren we met 3 man tot laat bezig om alle bestanden te restoren van backup.
Niet alles kunnen terughalen helaas. Diverse decryptie tools gebruikt maar dat mocht niet baten.

Beschouw de bestanden als verloren (!)

[ Voor 15% gewijzigd door Frostbite op 02-03-2015 16:37 ]

Frostbite schreef op maandag 02 maart 2015 @ 16:35:
Beschouw de bestanden als verloren (!)

Of zet ze terug uit je back-up. Geen back-up? Dan waren de bestaanden kennelijk niet belangrijk genoeg.

Ik weet dat je niks aan mijn reactie hebt (en toch plaats ik het). Ik hoop dat je nu aan het denken wordt gezet dat het hebben van een goede back-up minder duur is dan het veel tijd te verliezen met dit soort ongein.

Wij zien de laatste 2 weken meerdere mensen met deze klachten en dus met CBT locker:

Wat wij al geconstateerd hebben:

1. System Restore hoef je niet uit te voeren, werkt niet en anders gooit hij sowieso de restorepoints weg

2. Hij lijkt de volume shadow copy service ook de vernaggelen indien dat niet het geval is kan vorige versies je redding zijn

3. Hij versleuteld de originele files, de zomer 2014 variant maakte een kopie en versleutelde de kopie en gooide het origineel weg. Als die werkwijze gehandhaafd zou blijven dan kan je nog wat met recuva of een ander data recovery tooltje.

4. Kosten moeten worden betaalt via bitcoin momenteel zou het 460€ zijn, vraag is alleen of je echt een key krijgt

5. Backups op USB of met een permanente share naar een NAS zijn ook niet veilig afhankelijk hoe je de Back-up maakt uiteraard, maar hij gaat ook op zoek naar shares

Hij wordt bij de meeste mensen via de mail binnengelaten met een mail van Vodafone met een betalingsherrinnering.

Dit soort dingen benadrukken dat een Back-up extern erg belangrijk is

SpoekGTi schreef op dinsdag 10 maart 2015 @ 19:39:
Back-up maakt uiteraard, maar hij gaat ook op zoek naar shares

Is er iets te doen, server based, om dat tegen te gaan?

Je backups archiveren, zoals we nu zien zijn Windows image backups immuun evenals acronis backups. Als de server volume shadow copy ondersteunt dan die activeren als hij nog niet aanstaat gezien CBT locker de lokale herstelpunten en schaduwkopien molt en niet die op de server

Wat ik doe voor backups bij klanten is het niet meer via shares maar via ftp zo heb je alleen connectie met NAS of fileserver als er daadwerkelijk een Back-up gemaakt wordt

[ Voor 24% gewijzigd door SpoekGTi op 10-03-2015 20:11 ]