Fud@india.com Ransom Virus verwijderen

Worden je bestanden ook ge-encrypt en krijgt deze een andere extensie van 4 willekeurige letters?
Dit tooltje van kaspersky heeft mij wel eens geholpen:
http://support.kaspersky..../disinfection/8547#block1

Dit virus lijkt de afgelopen dagen nieuw leven gekregen te hebben, al diverse bedrijven die ik ken zijn hiermee getroffen. Virusscanners detecteerden helemaal niets.

Wij hebben hier gister ook mee te maken gehad. Alle bestanden werden geencrypt en de naam werd gewijzigd naar *-7015241125_fud@india.com. Gelukkig kwamen we er redelijk op tijd achter.

Direct nadat we erachter kwamen hebben we de server uitgezet en gekeken in welke folders de encrypter allemaal bezig was geweest. Op basis hiervan de gebruikers gelist die bij de geinfecteerde folders kon, en daar kwam redelijk snel één user uit, die we het werkstation snel uit hebben laten zetten.

Daarna met dir *india.com /s een lijst gemaakt met bestanden die gerestored moesten worden en daarna met del *india.com /s de bestanden verwijderd. Uiteindelijk hebben we een backup teruggezet.

stap 1: achterhalen waar de infectie vandaan is gekomen (welke gebruikers/machines) en die van het netwerk halen. Kijk hiervoor in de logging van je AD-server, proxy logs, firewall logs etc...
stap 2: backup terugzetten
stap 3: de getroffen machines wipen en opnieuw imagen

[ Voor 16% gewijzigd door mace op 11-03-2015 11:44 ]

stap 4: Gebruikers opvoeden. Waarom zou je een vreemd programma of zip-bestand openen en uitvoeren van een afzender die je niet kent...

[ Voor 15% gewijzigd door Jester-NL op 11-03-2015 12:11 ]

Het bedrijf waar ik werk was dus niet de enige. Wij hadden Europay@india.com.
Extensies werden veranderd naar MS-DOS zooi en bestandsnamen werden aangepast.

Jester-NL schreef op woensdag 11 maart 2015 @ 12:10:
stap 4: Gebruikers opvoeden. Waarom zou je een vreemd programma of zip-bestand openen en uitvoeren van een afzender die je niet kent...

Deze komt vaak binnen via malvertising.

e: Lees ook even dit: https://www.f-secure.com/weblog/archives/00002795.html

e2: Daarnaast: blokkeer .exe* en .exe in .zip* in binnenkomende mail. Je kunt simpelweg niet op je gebruikers vertrouwens in een gemiddeld bedrijf.

*en andere executable/scriptformaten en archiefformaten.

[ Voor 34% gewijzigd door mace op 11-03-2015 12:17 ]

Hi,

Door een voor mij onbekende reden is mijn computer helaas ook besmet met dit virus/ransomware.
Veel bestanden zijn besmet en eindigen nu ook op -fud@india.com.

Heeft iemand een tip om deze virus onschadelijk te maken, want mijn virusscanner (Kaspersky Internet Security) en vele andere (freeware virusprogramma's) kunnen niks verwijderen.

Alvast bedankt voor jullie hulp!
Gr Taco Taan

Google geeft wat opties om het handmatig te verwijderen, zoals http://www.becaps.info/fu...fudindia-com-ransom-virus (garantie tot de deur).

Maar verwijderen is IMHO zinloos: backup wat er nog wel te redden is naar een losse schijf, formatteren en de laatste volle backup terugzetten (aangevuld met wat je hebt kunnen redden - maar eerst nu wel je nieuwe OS goed beveiligen: updaten, geen adminrechten, etc.).

Versleutelde bestanden kan je deels als verloren beschouwen... Al suggereert http://www.bleepingcomput...iacom/page-2#entry3650843 dat je een deel van je bestanden (!) terug kunt halen als je er veel moeite voor doet (namelijk met een hex editor aan de gang gaan en het versleutelde deel te slopen. Misschien kan je zo bijv Word teksten herstellen door te hernoemen naar .zip en zien wat er nog valt uit te pakken). Als het waar is dat slechts de eerste 30KB is versleuteld.

[ Voor 7% gewijzigd door F_J_K op 12-03-2015 20:11 ]

F_J_K,

Thanks voor je bericht, dat klinkt niet goed...

Eens kijken wat ik nog kan fixen/proberen.

Voor wat het waard is (en dat is makkelijk praten vanaf de zijlijn): ik zou geen "losgeld" overmaken. Zelfs als je echt je bestanden terugkrijgt sponsor je dan dit $#@(& tuig.

Ik had al op een ander topic gereageerd, maar dat was blijkbaar een te oud topic.

een klant was slim om een bijlage van een mail zgn van KPN te openen.
Na het openen van een bijlage in een mail zijn bijna alle bestanden onbruikbaar.
Heel veel fotos, word documenten, pdf documenten hebben achter de bestand extensie een . met toevoeging gekregen.
bv Scan0002.PDF.tyfviui
simpel weg de . en tyfviui weghalen geeft de foutmelding dat het bestand is beschadigd en niet te openen is.
Het vreemde is weer dat niet alle bestanden de toevoeging hebben gekregen, tussen de foto's staan ook weer foto's die nog gewoon zichtbaar zijn.
Iemand nog een optie voor mij ?
Bestanden door verschillende virusscanners gehaald echter geen positief resultaat.

Bij het aanklikken van het betreffende bestand heeft de gebruiker ook geen enkele melding gekregen om geld te betalen of zo voor het decrypten van de bestanden.
Ook de site decryptolocker.com geeft geen resultaat.

taz10 schreef op dinsdag 17 maart 2015 @ 18:07:
Ik had al op een ander topic gereageerd, maar dat was blijkbaar een te oud topic.

een klant was slim om een bijlage van een mail zgn van KPN te openen.
Na het openen van een bijlage in een mail zijn bijna alle bestanden onbruikbaar.
Heel veel fotos, word documenten, pdf documenten hebben achter de bestand extensie een . met toevoeging gekregen.
bv Scan0002.PDF.tyfviui
simpel weg de . en tyfviui weghalen geeft de foutmelding dat het bestand is beschadigd en niet te openen is.
Het vreemde is weer dat niet alle bestanden de toevoeging hebben gekregen, tussen de foto's staan ook weer foto's die nog gewoon zichtbaar zijn.
Iemand nog een optie voor mij ?
Bestanden door verschillende virusscanners gehaald echter geen positief resultaat.

Bij het aanklikken van het betreffende bestand heeft de gebruiker ook geen enkele melding gekregen om geld te betalen of zo voor het decrypten van de bestanden.
Ook de site decryptolocker.com geeft geen resultaat.

Dit is CTB Locker, dit is andere ransomware. Datarecovery heeft alvast geen zin: heb ik al getest. Misschien kun je originelen terughalen met Shadow Explorer (niet getest). De ransom betalen met bitcoins is de enige oplossing, als je geen backup hebt.

Zelfs als je betaalt en het werkt, ben je actief %#*@ tuig aan het helpen en ben je dus actief aan het zorgen dat er meer mensen worden besmet. Kan je dan de nietgebackupte docs missen of zijn de docs zoiets waard? Of als je "fuck 'em" zegt tegen de rest vd wereld, kan je dan het geld missen voor de gok? Dan de gok wagen en geld overmaken naar criminelen...

(Lees waar nodig je = klant).

Helemaal correct. we gaan hier niet aan meewerken.
Klant heeft kwartaal boekhouding in excel en dus kwijt.
Probeer nu met recuva iets nog terug te vinden.

Ik begreep ook al dat door het verwijderen van de trojan je ook nog eens minimaal kans hebt dat het unlocken zou werken, als het al werkt.:)

Vervelende nieuwe virussen zeg ik maar.

Wij hebben hier ook last gehad van dit virus en is idd een hele nare!
Ik las net iets over de virusscanner die ze niet herkent. Dit klopt wel want de bestanden die aangetast zijn zijn niet geïnfecteerd maar encripted. Een virusscanner zal hier dus niks geks vinden.

Wij hebben helaas ook met een powershell commando de encripted bestanden weggegooid:

"Get-ChildItem -path '\\path\folder' -Recurse -include "*fud@india.com" | Remove-Item"

En vervolgens een restore gedaan naar een nieuwe lun en met robocopy alleen de verdwenen bestanden inclusief rechten teruggezet.

Ik kwam in mijn speurtocht wel deze site tegen en wilde hem met jullie delen. Ik heb er geen ervaring mee, puur en alleen omdat wij uit veiligheidsoverweging geen bestanden naar buiten wilde brengen, maar wellicht heeft iemand er iets aan?

http://www.makeuseof.com/...heres-can-get-files-back/ en vooral het stukje onderin is (mocht het werken) handig: https://www.decryptcryptolocker.com/

Voor wat ik begrijp een initiatief van security bedrijven om te kijken of ze mensen kunnen helpen met het vinden van de key van de encriptie om zo de bestanden te kunnen decripten.

Let op! Ik heb er dus geen ervaring mee, maar wellicht een optie voor mensen die geen goede backup in handen hebben.

Als het virus trouwens via 1 machine verspreid wordt is er als het goed is ook maar 1 key nodig. Maar is de infectie op meerdere plekken tegelijk binnen gekomen moet je dus wel per file de juiste key aangeven.

Sterkte iig! Wij zijn best lang aan het restoren geweest Gelukkig gaan we snel over naar storage met snapshot mogelijkheden