cryptolocker

Dit kan niet.

Je kan ze alleen decrypten wanneer je de sleutel hebt. Brute force die sleutel proberen te bepalen is mogelijk maar dan praat je over doorlooptijden van meerdere jaren.

Ook als je wel betaald is het nog maar de vraag of je die sleutel krijgt van de makers van cryptolocker.

Met andere woorden: Backup terug zetten.

Met een ubuntu live cd kan je wel kijken welke bestanden nog niet de dupe zijn. Ik neem aan de software alleen op windows draait.

Lees dit: Cryptowall 3.0
Helaas: pay or away

Ontkoppel andere apparaten en netwerk opslag direct!

[ Voor 28% gewijzigd door GerardVanAfoort op 05-04-2015 23:22 ]

mkleinman schreef op zondag 05 april 2015 @ 23:18:
Met andere woorden: Backup terug zetten.

Dat is altijd een leuke . Als hij een back up had, dan vroeg hij waarschijnlijk niet om hulp!

---

Wat je mogelijk zou kunnen doen is: Je computer uitzetten (als nog niet alles geëncrypt is) en met linux op een usb stick zoals Brilsmurfffje hierboven aangeeft, kijken of er nog bestanden zijn die niet gelocked zijn.

Overigens als je het virus verwijderd hebt, dan zou je eventueel met wat tooltjes wat verwijderde bestanden kunnen terughalen (als die nog niet zijn overschreven).

Echt heel zuur, zeker als je geen backup hebt (of als die nog gekoppeld zat, zoals .Sjoerd is overkomen). Maar dan sta je volgens mij redelijk machteloos.

Wat Frozen denk ik bedoeld is dat je met een NTFS recovery-tool de schijf scant op oude versies van bestanden. Misschien heb je dan geluk, maar ik vrees het ergste.

Sowieso de computer uit laten nu. Alles wat je doet moet je vanuit een ander OS doen en NIET meer naar de harddisk schrijven maar naar andere media (USB stick of andere harddisk).

Ja, maar die draait dus wel onder Windows. Jij hebt inmiddels de geïnfecteerde computer allang uit staan, toch? Hoe ga je voorkomen dat de andere computer, waar jij Get Data Back op draait, geïnfecteerd wordt door de cryptolocker?

er is een kans dat je nog een oude versie hebt die je met https://www.decryptcryptolocker.com/ nog kan terughalen, maar die kans is klein.

Als dat bovenstaande niet werkt, mag je je vader condoleren met het verlies van zijn bestanden.

(dit werkt omdat er een master key gevonden was)

Decrypt, onmogelijk. Zie hier tweakers ctb: http://gathering.tweakers.net/forum/find?keyword=Ctb+locker

En dit:
"Elliptical Curve Cryptography and Tor: CTB-Locker’s Secret Weapons
CTB-Locker, which stands for Curve-Tor-Bitcoin Locker, is also known as Critroni. It uses elliptical curve cryptography (ECC) to encrypt user files. ECC is tougher to crack than traditional RSA cryptography. ECC builds keys on the elliptical curve equation y2=x3 + ax + b while traditional RSA cryptography uses lengthy factoring operations to encrypt files.
Both CryptoLocker and CTB-Locker are currently in the wild despite the takedown of the GOZ network. Ransomware can become a nightmare for users, which is why using cloud computing security solutions, network security tools and antivirus software for individual machines is more crucial now than ever before. CTB-Locker is worse than CryptoLocker because by using ECC, CTB-Locker encrypts user files more quickly, and makes them virtually impossible for users to decrypt. In fact, any attempt to decrypt the files results in the destruction of the private key.
To add another layer of complexity, CTB-Locker routes command-and-control traffic through the anonymous Tor network. By routing traffic through Tor, the creator of CTB-Locker makes it difficult to track down and eliminate the command-and-control server. When a user’s computer is infected with CTB-Locker, a locked onscreen message commands the user to pay ransom by sending Bitcoin. With both ECC encryption and Tor in play, the user has no options for decrypting the files or finding the attacker."

Edit: en uit een recent fp artikel de opmerking van MAX3400:
"Alle gekoppelde drives worden versleuteld. Dus als jij een share op je NAS hebt en deze heb je aan Windows toegekend onder letter N: bijvoorbeeld, zal je N: dus volledig versleuteld worden.

Het protocol doet er ook niet toe; CIFS, SMB, iSCSI etc. is allemaal kwetsbaar."

Kijk uit!

[ Voor 9% gewijzigd door GerardVanAfoort op 06-04-2015 00:05 ]

GerardVanAfoort schreef op zondag 05 april 2015 @ 23:55:
Decrypt, onmogelijk. Zie hier tweakers ctb: http://gathering.tweakers.net/forum/find?keyword=Ctb+locker

En dit:
"Elliptical Curve Cryptography and Tor: CTB-Locker’s Secret Weapons
CTB-Locker, which stands for Curve-Tor-Bitcoin Locker, is also known as Critroni. It uses elliptical curve cryptography (ECC) to encrypt user files. ECC is tougher to crack than traditional RSA cryptography. ECC builds keys on the elliptical curve equation y2=x3 + ax + b while traditional RSA cryptography uses lengthy factoring operations to encrypt files.
Both CryptoLocker and CTB-Locker are currently in the wild despite the takedown of the GOZ network. Ransomware can become a nightmare for users, which is why using cloud computing security solutions, network security tools and antivirus software for individual machines is more crucial now than ever before. CTB-Locker is worse than CryptoLocker because by using ECC, CTB-Locker encrypts user files more quickly, and makes them virtually impossible for users to decrypt. In fact, any attempt to decrypt the files results in the destruction of the private key.
To add another layer of complexity, CTB-Locker routes command-and-control traffic through the anonymous Tor network. By routing traffic through Tor, the creator of CTB-Locker makes it difficult to track down and eliminate the command-and-control server. When a user’s computer is infected with CTB-Locker, a locked onscreen message commands the user to pay ransom by sending Bitcoin. With both ECC encryption and Tor in play, the user has no options for decrypting the files or finding the attacker."

Dat ligt er dus aan welke cryptolocker het is, sommige versies zijn te decrypten omdat er een master key gelekt was. Nooit geschoten....

Je zou even kunnen kijken met: http://www.shadowexplorer.com/ of er nog bestanden in de system restore staan.

een soort van "poor man's backup".

Verwijderd schreef op zondag 05 april 2015 @ 23:21:
De cryptolocker voegt achter elk bestand de extentie ECC. Bestand extensie veranderen werkt helaas ook niet.

Volgens mij begrijp je niet echt hoe encryptie werkt. Het is niet zoiets simpels als het veranderen van een bestandsextensie

Even uitgaande dat ze een algoritme als AES gebruiken (met voldoende grote keys), dan is het echt ondoenlijk om het te decrypten als je de key niet hebt. Brute-forcen van AES-256 met een supercomputer duurt je langer dan het universum bestaat. Niet te doen dus.

Verwijderd schreef op zondag 05 april 2015 @ 23:50:
Get data back is dat een goede?

Nee, dat werkt alleen als de data er nog is (en niet overgeschreven), bijvoorbeeld in het geval dat je partitietabel corrupt is, of als je de bestanden verwijderd (maar niet overgeschreven) hebt.

Vergoeding is mogelijk mits resultaat behaald word.

De enige wie resultaat kan behalen is de maker van Cryptolocker. Je geeft aan dat je bereid bent een vergoeding te betalen. Ik heb geen idee hoeveel losgeld ze vragen, maar dat is denk ik je enige optie.

---

Geloof me, je hebt vier opties:

- Backup terugzetten
- Het virus heeft nog niet alle bestanden encrypted ¹
- Je kunt je bestanden dmv ShadowCopies nog terugkrijgen
- Betalen

¹ : CryptoLocker encrypt sowieso niet alle bestanden, dat zou veel te lang duren. Het virus gaat specifiek af op relatief kleine bestanden die de gebruiker belangrijk vindt: .docx/.xlsx, .jpg, enz.

[ Voor 9% gewijzigd door Compizfox op 06-04-2015 02:04 ]

Verwijderd schreef op maandag 06 april 2015 @ 01:04:
Backup terug proberen te zetten, maar helaas. XP maakt of heeft geen shadow copies gemaakt.

Windows XP is zeker voor mensen met weinig computerverstand sterk af te raden, die wordt niet meer ondersteund en bevat beveiligingslekken. Ga dus geen XP terugzetten, maar ga minstens naar Windows 7.

Je kunt het beste je energie besteden aan het beveiligen van de PC van je vader en deze ook uitleg geven over wat wel en niet kan, een backupstrategie ontwerpen, etc.

[ Voor 3% gewijzigd door gambieter op 06-04-2015 01:17 ]

Ouch, dat is mooi balen, r.breeuwsma Sterkte.

Maar pak het moment aub meteen aan om de backups goed in te richten. En goed betekent vooral off-site, zodat zo'n virus er niet bij kan.

Inderdaad schandalig dat dit gebeurt.

[ Voor 73% gewijzigd door GerardVanAfoort op 06-04-2015 01:25 . Reden: Niet nuttig ]

Je hoeft daarom de laptop niet weg te gooien. (iets met kind en badwater?)

Installeer Lubuntu en je vader kan weer aan de slag.

Werving is niet toegestaan.