Cryptowall 3.0 - Privacy en beveiliging

zondag 15 maart 2015 20:20

Acties:

Topicstarter

Van het weekend ben ik getroffen door de zogenaamde cryptowall 3.0 ransomware.
Wat dit geval doet is al je bestanden encrypten. En dat is dit keer geen grap, het wordt echt encrypted. En helaas heb ik daarvan de ballen verstand.

Voor een bedrag van 500 a 1000 dollar (in bitcoins iig)willen ze het wel weer ongedaan maken. Althans, dat geld ben je kwijt maar of je je bestanden weer terug krijgt is uiteraard de vraag.

Gisteren heb ik volgens AVG het virus succesvol verwijderd, al leek het daarna toch terug te komen. Vanochtend de schade gechecked; al mn studie documenten, foto albums, persoonlijke administratie. Terwijl ik daarmee bezig was zag ik dat het gebeuren ondertussen bezig was met al mn films/series te encrypten (hoewel met dat eigenlijk geen drol uitmaakt).

Research levert geen oplossing op. Feitelijk zijn er namelijk 3 oplossingen:
1- Back-up terugzetten. Helaas is mijn back-up schijf meegenomen (die zat immers nog aangekoppeld)
2- schaduwkopieen herstellen. Helaas heeft de 3.0 versie van het virus gezorgd dat dit niet kan
3- Betalen. En dat weiger ik principieel zeker omdat er geen decrypt garantie is.

Nu heb ik wel nog een harde schijf uit 2012 liggen, hierop staat het een en ander. Overeenkomstig zijn bijvoorbeeld vakantie foto's uit 2011. Van dit soort documenten kan ik me voorstellen dat ze (op een datumveld na) exact met elkaar overeenkomen. Is het mogelijk om aan de hand van een encrypted en niet encrypted foto de sleutel te achterhalen? Dit lijkt mij iig stukken efficienter dan een brute force (die volgens het web +-320 jaar zou duren.)

Weet iemand of dat mogelijk is en zo ja, welke software moet ik daarvoor gebruiken?

Alvast bedankt voor het meedenken

specs

zondag 15 maart 2015 20:25

Acties:

GioStyle

Betalen of opgeven. Meer kan je niet doen.

zondag 15 maart 2015 20:34

Acties:

painkill

Pain(k)(ill)

In het begin waren er wat simpele cryptoware versies die volgens mij nog ongedaan te maken waren.
Nieuwe versies zijn dat zeer zeker niet, al weet je het nooit..

Beste optie is afkoppelen, en apart leggen totdat er misschien een oplossing voor is gevonden. Als je de bestanden terug wilt hebben. Als je niks wilt behouden dan formatteren en alles opnieuw installeren.

Mijn SNES verzameling!

zondag 15 maart 2015 21:26

Acties:

.Sjoerd

Topicstarter

Daar was ik al bang voor. Het hebben van twee identieke bestanden om de sleutel te achterhalen was dus helaas valse hoop.

Het weggooien van de bestanden vind ik zonde, al wil ik er niet voor betalen (althans, niet aan criminelen). De PC heb ik vanochtend afgekoppeld en heb (uit pure wanhoop) een iMac gekocht....

De PC zal ik laten staan, wellicht dat het over een aantal jaar mogelijk is om het te herstellen, je weet het maar nooit.

specs

zondag 15 maart 2015 21:51

Acties:

Squ1zZy

.Sjoerd schreef op zondag 15 maart 2015 @ 21:26:
Daar was ik al bang voor. Het hebben van twee identieke bestanden om de sleutel te achterhalen was dus helaas valse hoop.

Het weggooien van de bestanden vind ik zonde, al wil ik er niet voor betalen (althans, niet aan criminelen). De PC heb ik vanochtend afgekoppeld en heb (uit pure wanhoop) een iMac gekocht....

De PC zal ik laten staan, wellicht dat het over een aantal jaar mogelijk is om het te herstellen, je weet het maar nooit.

Never mind, zip nu pas dat het om Cryptowall 3.0 gaat.

[ Voor 30% gewijzigd door Squ1zZy op 15-03-2015 21:54 ]

zondag 15 maart 2015 21:59

Acties:

d33n

Je kan hier eens kijken: https://www.decryptcryptolocker.com/

zondag 15 maart 2015 22:12

Acties:

.Sjoerd

Topicstarter

d33n schreef op zondag 15 maart 2015 @ 21:59:
Je kan hier eens kijken: https://www.decryptcryptolocker.com/

Ik krijg de melding "this file seems not to be infected by crypto locker", dat kan kloppen omdat het in mijn geval om cryptowall 3.0 gaat.

Ik heb de filesizes vergeleken, het origineel is 107.687bytes en de encrypted variant 107.968bytes.

specs

maandag 16 maart 2015 14:42

Acties:

jerrixbe

Inderdaad, in het geval van v3.0 kan je alleen maar betalen. Maar in mijn opinie geven ze wel effectief je decrypt sleutel... Op m'n vorig werk zijn er enkele gevallen, bedrijven(!), die volledig geinfecteerd werden, incl cloud backup etc... Nu toen ze betaalden kregen ze de sleutel en konden ze de bestanden terug uitlezen.

maandag 16 maart 2015 15:06

Acties:

oheng

Als betaalt krijg je idd je bestanden terug. Ik heb dat laatst ook ergens moeten doen (backup was te oud)

Echter, je zou kunnen kijken of je bestanden nog in de system restore staan met het geniale Shadow Explorer:
http://www.shadowexplorer.com

Wel eerst je systeem schoonmaken met Malwarebytes, Hitman Pro, etc.

Vandaag waart er trouwens weer een CTB Locker email rond, dit keer van KPN.

maandag 16 maart 2015 15:27

Acties:

gasemans

Niet alleen KPN nu. Maar ook Wehkamp mailtjes.

maandag 16 maart 2015 15:34

Acties:

Verwijderd

Een klant van ons had dit ook gekregen. Wij probeerde nog op verschillende manieren de bestanden terug te krijgen, maar niets hielp. Ze hadden uiteindelijk toch betaald en hebben wel een decrypt code gekregen. Zij hadden als het goed is 2 Bitcoins betaald.

Er blijft natuurlijk altijd een risico aan vast zitten, maar ik hoor toch vaak dat ze na de betaling een sleutel geven voor de bestanden.

maandag 16 maart 2015 15:54

Acties:

oheng

Het is trouwens wel iedere keer windows XP die het haasje is, omdat email attachments direct geopend en uitgevoerd kunnen worden. Dit kan onder Windows 7 of hoger niet.

Is bij jullie ook XP altijd het slachtoffer?

maandag 16 maart 2015 16:20

Acties:

jerrixbe

oheng schreef op maandag 16 maart 2015 @ 15:54:
Het is trouwens wel iedere keer windows XP die het haasje is, omdat email attachments direct geopend en uitgevoerd kunnen worden. Dit kan onder Windows 7 of hoger niet.

Is bij jullie ook XP altijd het slachtoffer?

Neen, ik had hier onlangs 2x Windows 7. Wellicht door te veel op de slechte websites te zitten...

maandag 16 maart 2015 16:25

Acties:

Saven

Administrator

Wat mij ook erg tegenvalt is dat virusscanners het ding niet detecteren? Of gebruiken jullie allemaal geen virusscanner?

maandag 16 maart 2015 16:29

Acties:

lolgast

Virusscanners zien de executable inderdaad niet. Zoals zo vaak overigens

maandag 16 maart 2015 16:30

Acties:

Rannasha

Does not compute.

Saven schreef op maandag 16 maart 2015 @ 16:25:
Wat mij ook erg tegenvalt is dat virusscanners het ding niet detecteren? Of gebruiken jullie allemaal geen virusscanner?

Virusscanners lopen per definitie achter. Als je toevallig een nieuwe versie te pakken hebt, dan kan het prima dat het een tijdje duurt voordat de scanner de juiste updates heeft. En met heuristische scans kom je ook niet zo heel ver, gezien cryptolockers qua gedrag moeilijk te onderscheiden zijn van legitieme versleutelingssoftware. Daarnaast beperken de cryptolockers zich meestal tot bestanden die met het ingelogde gebruikersaccount te benaderen zijn, waardoor er geen truckendoos opengehaald hoeft te worden om admin-rechten te krijgen, iets waar een heuristische scan mogelijk over zou vallen.

|| Vierkant voor Wiskunde ||

maandag 16 maart 2015 16:41

Acties:

Saven

Administrator

lolgast schreef op maandag 16 maart 2015 @ 16:29:
Virusscanners zien de executable inderdaad niet. Zoals zo vaak overigens

Hoe bedoel je zien de executables niet? Zien t virus niet? Of scannen m niet automatisch?

Als bij mij iets op de achtergrond binnen wordt gehengeld ziet mn bitdefender dat wel

Rannasha schreef op maandag 16 maart 2015 @ 16:30:
[...]

Virusscanners lopen per definitie achter. Als je toevallig een nieuwe versie te pakken hebt, dan kan het prima dat het een tijdje duurt voordat de scanner de juiste updates heeft. En met heuristische scans kom je ook niet zo heel ver, gezien cryptolockers qua gedrag moeilijk te onderscheiden zijn van legitieme versleutelingssoftware. Daarnaast beperken de cryptolockers zich meestal tot bestanden die met het ingelogde gebruikersaccount te benaderen zijn, waardoor er geen truckendoos opengehaald hoeft te worden om admin-rechten te krijgen, iets waar een heuristische scan mogelijk over zou vallen.

True, maar wordt cryptolocker zo vaak geupdate dan?

maandag 16 maart 2015 16:46

Acties:

Rannasha

Does not compute.

Saven schreef op maandag 16 maart 2015 @ 16:41:
[...]

Hoe bedoel je zien de executables niet? Zien t virus niet? Of scannen m niet automatisch?

Als bij mij iets op de achtergrond binnen wordt gehengeld ziet mn bitdefender dat wel

[...]

True, maar wordt cryptolocker zo vaak geupdate dan?

Geen idee hoe vaak precies, maar er zijn al een heel aantal varianten in het wild, die elk nog weer verschillende versies kunnen hebben.

Scanners zullen er allicht best wat tegen houden, maar dat betekent niet dat je veilig zit met een up-to-date virusscanner.

|| Vierkant voor Wiskunde ||

maandag 16 maart 2015 16:55

Acties:

.Sjoerd

Topicstarter

Ik heb geen exe gedownload en geopend, daar ben ik echt heel alert op. Ik heb het idee dat het met een javascript op een website heb opgelopen.

Ik gebruikte Windows 7 overigens

[ Voor 11% gewijzigd door .Sjoerd op 16-03-2015 16:56 ]

specs

maandag 16 maart 2015 16:57

Acties:

oheng

Saven schreef op maandag 16 maart 2015 @ 16:25:
Wat mij ook erg tegenvalt is dat virusscanners het ding niet detecteren? Of gebruiken jullie allemaal geen virusscanner?

Vanmiddag geüpload naar virustotal: slechts 3 van de 57 zagen een Trojan.
Eset, kaspersky en quiong of zo. Even later zag avast hem ook. Virusscanners zijn nutteloos hiertegen.

Inmiddels Hitman ook, die is altijd een van de eersten.

[ Voor 6% gewijzigd door oheng op 16-03-2015 17:04 ]

maandag 16 maart 2015 16:59

Acties:

Saven

Administrator

oheng schreef op maandag 16 maart 2015 @ 16:57:
[...]

Vanmiddag geüpload naar virustotal: slechts 3 van de 57 zagen een Trojan.
Eset, kaspersky en quiong of zo. Even later zag alvast hem ook. Virusscanners zijn nutteloos hiertegen.

.Sjoerd schreef op maandag 16 maart 2015 @ 16:55:
Ik heb geen exe gedownload en geopend, daar ben ik echt heel alert op. Ik heb het idee dat het met een javascript op een website heb opgelopen.

Ik gebruikte Windows 7 overigens

pff best scary dus.

maar een exe moet toch uitgevoerd worden? dat kan niet via javascript?

maandag 16 maart 2015 17:01

Acties:

iBugged

oheng schreef op maandag 16 maart 2015 @ 16:57:
[...]

Vanmiddag geüpload naar virustotal: slechts 3 van de 57 zagen een Trojan.
Eset, kaspersky en quiong of zo. Even later zag alvast hem ook. Virusscanners zijn nutteloos hiertegen.

offtopic:
Je bedoelt Avast?

maandag 16 maart 2015 17:05

Acties:

Rannasha

Does not compute.

Saven schreef op maandag 16 maart 2015 @ 16:59:
[...]

[...]

pff best scary dus.

maar een exe moet toch uitgevoerd worden? dat kan niet via javascript?

Een website kan de executable mogelijk via een lek in de browser/plugin uitvoeren. Er wordt hoe dan ook iets op het systeem geinstalleerd, of dat nou via een dubieuze emailbijlage of een browserexploit gebeurt.

|| Vierkant voor Wiskunde ||

maandag 16 maart 2015 17:05

Acties:

Tomino

Half relevante vraag: Als jij al je belangrijke documenten in Dropbox/Onedrive/Google Drive hebt staan, had je dan een probleem gehad, of worden die bestanden dan ook gesynchroniseerd versleuteld?

maandag 16 maart 2015 17:08

Acties:

oheng

Tomino schreef op maandag 16 maart 2015 @ 17:05:
Half relevante vraag: Als jij al je belangrijke documenten in Dropbox/Onedrive/Google Drive hebt staan, had je dan een probleem gehad, of worden die bestanden dan ook gesynchroniseerd versleuteld?

Je kunt altijd terug in de tijd gaan met clouddiensten, geen probleem dus.

maandag 16 maart 2015 17:12

Acties:

SinergyX

____(>^^(>0o)>____

Rannasha schreef op maandag 16 maart 2015 @ 17:05:
[...]

Een website kan de executable mogelijk via een lek in de browser/plugin uitvoeren. Er wordt hoe dan ook iets op het systeem geinstalleerd, of dat nou via een dubieuze emailbijlage of een browserexploit gebeurt.

Maar dan heb je toch ook nog dat UAC? Ik heb regelmatig een 'malafide' website te pakken, maar het is altijd eerst een melding of ik bestand A wil downloaden of uitvoeren.

En via de mail vind ik helemaal raar, dan moet het of een URL zijn of een bijlage, beetje provider herkent die onzin toch meteen als spam? (reden waarom ik nog steeds 'plain tekst' werk bij XS4all webmail

).

^{Nog 1 keertje.. het is SinergyX, niet SynergyX}
_{Im as excited to be here as a 42 gnome warlock who rolled on a green pair of cloth boots but was given a epic staff of uber awsome noob pwning by accident.}

maandag 16 maart 2015 17:19

Acties:

oheng

SinergyX schreef op maandag 16 maart 2015 @ 17:12:
[...]

Maar dan heb je toch ook nog dat UAC? Ik heb regelmatig een 'malafide' website te pakken, maar het is altijd eerst een melding of ik bestand A wil downloaden of uitvoeren.

En via de mail vind ik helemaal raar, dan moet het of een URL zijn of een bijlage, beetje provider herkent die onzin toch meteen als spam? (reden waarom ik nog steeds 'plain tekst' werk bij XS4all webmail ).

afzender was een @kpn.dom adres. En de vorige grote uitbraak (bol.con) was de handtekening ook vervalt. Spamfilter is dus soms zinloos.

maandag 16 maart 2015 17:24

Acties:

SinergyX

____(>^^(>0o)>____

oheng schreef op maandag 16 maart 2015 @ 17:19:
[...]
afzender was een @kpn.dom adres. En de vorige grote uitbraak (bol.con) was de handtekening ook vervalt. Spamfilter is dus soms zinloos.

Een beetje spamfilter krijgt verder dan het 'FROM:' adres, of in ieder geval een lookup of de server wel mag versturen namens dat adres (reverse DNS?)

^{Nog 1 keertje.. het is SinergyX, niet SynergyX}
_{Im as excited to be here as a 42 gnome warlock who rolled on a green pair of cloth boots but was given a epic staff of uber awsome noob pwning by accident.}

maandag 16 maart 2015 17:49

Acties:

oheng

SinergyX schreef op maandag 16 maart 2015 @ 17:24:
[...]

Een beetje spamfilter krijgt verder dan het 'FROM:' adres, of in ieder geval een lookup of de server wel mag versturen namens dat adres (reverse DNS?)

Ja, in dit geval had een spamfilter wel geholpen, de header zag er dit keer niet goed uit. Niet zoals in januari met bol.com. dat mailtje was perfect vervalst.

Originele email heb ik helaas verwijderd, anders had ik de header hier neergezet.

[ Voor 14% gewijzigd door oheng op 16-03-2015 22:48 ]

vrijdag 27 maart 2015 18:31

Acties:

Dennahz

Life feels like hell should.

Even een schop, omdat een collega van mij nu ook met dit probleem zit. Ik vraag me af hoe je zoiets krijgt, want heb geen zin dat het hele bedrijf opeens besmet is. Jammer dat virusscanners het blijkbaar toch ook niet pakken... het is toch niet normaal dat een programma zoveel bestanden op HDD aanpast?

Flink waardeloos in ieder geval, doet me denken aan andere oplossingen voor backup.

Twitter

zondag 29 maart 2015 15:38

Acties:

GerardVanAfoort

kalm aan

Dennahz schreef op vrijdag 27 maart 2015 @ 18:31:
Even een schop, omdat een collega van mij nu ook met dit probleem zit. Ik vraag me af hoe je zoiets krijgt, want heb geen zin dat het hele bedrijf opeens besmet is. Jammer dat virusscanners het blijkbaar toch ook niet pakken... het is toch niet normaal dat een programma zoveel bestanden op HDD aanpast?

Flink waardeloos in ieder geval, doet me denken aan andere oplossingen voor backup.

Lees dit recente fp artikel maar eens. Lees ook eens de bevindingen van MAX3400 m.b.t. dat je schijnbaar ook niet maarzo een digitaal vangnet mag/kan plaatsen. Dit kan misschien bij grote organisaties zo zijn, maar ik zou het in overleg met het management zeker wel doen.

nieuws: Gemeente Lochem voor verkiezingen getroffen door ransomware

Maar goed, 't kan maarzo morgen weer gebeuren dat er een mailtje afkomstig is van paasweekend.lekkernaardecamping.ofzo en dat er weer tig mensen zijn die denken bevestiging van de bestelling... klik... klik... ramt ongeduldig door.. klik.

NRG

zondag 29 maart 2015 15:46

Acties:

ISaFeeliN

Weet je hoe je dit opgelopen bent?

maandag 6 april 2015 01:23

Acties:

.Sjoerd

Topicstarter

Ik ben er 90% zeker van dat ik deze heb opgelopen op een site met filmpjes (niet youtube) welke mij een javascript melding gaf.

specs

maandag 6 april 2015 01:29

Acties:

Achilles

Koning van de Myrmidonen

.Sjoerd schreef op maandag 06 april 2015 @ 01:23:
Ik ben er 90% zeker van dat ik deze heb opgelopen op een site met filmpjes (niet youtube) welke mij een javascript melding gaf.

Welke browser en wat was de melding?

(een gewaarschuwd mens telt nog altijd voor twee)

| Cowsmology | Met een hamer past alles, met ducktape plakt alles |

maandag 6 april 2015 02:00

Acties:

photofreak

.Sjoerd schreef op maandag 06 april 2015 @ 01:23:
Ik ben er 90% zeker van dat ik deze heb opgelopen op een site met filmpjes (niet youtube) welke mij een javascript melding gaf.

Ow, dat kan best.
Zeker op de wat minder bekende websites kom je nog weleens redirects naar exploit kits tegen.

maandag 6 april 2015 18:11

Acties:

.Sjoerd

Topicstarter

Achilles schreef op maandag 06 april 2015 @ 01:29:
[...]

Welke browser en wat was de melding?

(een gewaarschuwd mens telt nog altijd voor twee)

Google chrome en de melding dat mijn java moest bijwerken om het filmpje te zien. Iets wat goed mogelijk was omdat ik mijn java nooit update...

specs

woensdag 8 april 2015 10:47

Acties:

jerrixbe

.Sjoerd schreef op maandag 06 april 2015 @ 18:11:
[...]

Google chrome en de melding dat mijn java moest bijwerken om het filmpje te zien. Iets wat goed mogelijk was omdat ik mijn java nooit update...

Allereerst maken dat je altijd je invoegtoep of runtimes altijd up to date zet. Ik doe dit altijd via http://www.ninite.com - ook alles onder windows 8 ook flash altijd updaten uiteraard.