Cryptosoftware / ransomware op PC?

zondag 12 april 2015 20:26

Goed dat je de PC uit hebt gezet.

Ik zou dat programma dat admin rechten wil, nooit toestemming geven!

Maar eerst backups maken.
Boot via een Linux Live CD/USB Stick je PC en sluit een externe schijf (of iets anders) aan op de PC.
En kopieer alles wat relevant is naar die externe opslag.
Dan is ieder geval de persoonlijke data veilig.

Acties:

WouterG

Dit is geen ondertitel

Harde schijf openen in een linux machine en daarin een virusscan draaien?

zondag 12 april 2015 20:36

Acties:

zondag 12 april 2015 20:38

Topicstarter

Ik ga even zoeken naar het gebruiken van een Linux Live CD, die heb ik zelf niet zo bij de hand,

MSI MPG X870E CARBON WIFI, Ryzen 9 9900X, 64GB, Gigabyte AORUS M RTX5080, Samsung 990 Pro 4TB, Samsung 970 EVO 2TB, Samsung OLED G9, LG 48CX, LG 77G5, Xbox Series X, PS4 Pro, Galaxy Z Fold7 512GB, Kia EV6 RWD 77,4 kWh Plus, Weheat Blackbird P80

Acties:

D4NG3R

kiwi

:)

Houd dat systeem trouwens van het netwerk af. In Linux booten (bijvoorbeeld met het eerder opgenoemde Live CD'tje / USB stick) en dan redden wat er valt te redden. Die bestanden scannen, en dan gewoon Windows opnieuw installeren.

Komt d'r in, dan kö-j d’r oet kieken

zondag 12 april 2015 20:40

Acties:

zondag 12 april 2015 20:42

Topicstarter

D4NG3R schreef op zondag 12 april 2015 @ 20:38:
Houd dat systeem trouwens van het netwerk af. In Linux booten (bijvoorbeeld met het eerder opgenoemde Live CD'tje / USB stick) en dan redden wat er valt te redden. Die bestanden scannen, en dan gewoon Windows opnieuw installeren.

Welke live cd kan ik het makkelijkst gebruiken?

MSI MPG X870E CARBON WIFI, Ryzen 9 9900X, 64GB, Gigabyte AORUS M RTX5080, Samsung 990 Pro 4TB, Samsung 970 EVO 2TB, Samsung OLED G9, LG 48CX, LG 77G5, Xbox Series X, PS4 Pro, Galaxy Z Fold7 512GB, Kia EV6 RWD 77,4 kWh Plus, Weheat Blackbird P80

Acties:

D4NG3R

kiwi

:)

Als je weinig tot geen ervaring hebt met Linux zou ik lekker Mint pakken, qua navigeren is die namelijk erg gefocussed op Windows gebruikers:

http://www.everydaylinuxu...table-linux-mint-usb.html

Komt d'r in, dan kö-j d’r oet kieken

zondag 12 april 2015 22:06

Acties:

zondag 12 april 2015 22:08

Topicstarter

Door wat kan dit gebeurd zijn? Het lijkt allemaal gebeurd te zijn na het ontvangen van een PDF per mail. Deze was via de browser wel te openen en normaal in te zien en had de verwachte inhoud.
Dus eigenlijk kan ik mij niet voorstellen dat het daardoor kwam, maar daar lijkt het wel op als ik de tijdslijn van mijn ouders hoor.

MSI MPG X870E CARBON WIFI, Ryzen 9 9900X, 64GB, Gigabyte AORUS M RTX5080, Samsung 990 Pro 4TB, Samsung 970 EVO 2TB, Samsung OLED G9, LG 48CX, LG 77G5, Xbox Series X, PS4 Pro, Galaxy Z Fold7 512GB, Kia EV6 RWD 77,4 kWh Plus, Weheat Blackbird P80

Acties:

zondag 12 april 2015 22:10

Die melding die je krijgt, is omdat hij je system resotre points probeert te wissen. Want als je Windows Vista of hoger hebt, kun je daarmee namelijk met behulp van dit programma: http://www.shadowexplorer.com/ waarschijnlijk alle bestanden terughalen, of ze nou geencrypt zijn of niet.

En je moet dit probleem offline aanpakken. Je kunt de harde schijf ook in een andere PC drukken, en dan handmatig de volgende bestanden veiligstellen:
- Bureaublad
- Documenten
- Afbeeldingen
- Video's
- Muziek
- Email bestanden (van bijv. Outlook)
- Adresboek (indien je iets anders gebruikt dan Outlook)
- Favorieten van de browser (die van Chrome zijn hier: %USERPROFILE%\AppData\Local\Google\Chrome\User Data\Default\Bookmarks

Let erop dat Cryptovirussen meestal niet gevonden worden door virusscanners, dus bijvoorbeeld Malwarebytes draaien kan, maar tenzij je goed bent in het opsporen van virussen, moet je helemaal opnieuw installeren.

Het is te gevaarlijk om te vertrouwen op virusscanners.

Acties:

zondag 12 april 2015 22:29

Topicstarter

oheng schreef op zondag 12 april 2015 @ 22:08:
Die melding die je krijgt, is omdat hij je system resotre points probeert te wissen. Want als je Windows Vista of hoger hebt, kun je daarmee namelijk met behulp van dit programma: http://www.shadowexplorer.com/ waarschijnlijk alle bestanden terughalen, of ze nou geencrypt zijn of niet.

En je moet dit probleem offline aanpakken. Je kunt de harde schijf ook in een andere PC drukken, en dan handmatig de volgende bestanden veiligstellen:
- Bureaublad
- Documenten
- Afbeeldingen
- Video's
- Muziek
- Email bestanden (van bijv. Outlook)
- Adresboek (indien je iets anders gebruikt dan Outlook)
- Favorieten van de browser (die van Chrome zijn hier: %USERPROFILE%\AppData\Local\Google\Chrome\User Data\Default\Bookmarks

Let erop dat Cryptovirussen meestal niet gevonden worden door virusscanners, dus bijvoorbeeld Malwarebytes draaien kan, maar tenzij je goed bent in het opsporen van virussen, moet je helemaal opnieuw installeren.

Het is te gevaarlijk om te vertrouwen op virusscanners.

Wordt mijn pc niet besmet als ik die hardeschijf aansluit?

MSI MPG X870E CARBON WIFI, Ryzen 9 9900X, 64GB, Gigabyte AORUS M RTX5080, Samsung 990 Pro 4TB, Samsung 970 EVO 2TB, Samsung OLED G9, LG 48CX, LG 77G5, Xbox Series X, PS4 Pro, Galaxy Z Fold7 512GB, Kia EV6 RWD 77,4 kWh Plus, Weheat Blackbird P80

Acties:

zondag 12 april 2015 22:31

PC's worden besmet doordat programma starten.
Als je geen programma start vanaf de besmette harde schijf, zit je veilig.
Maar kijk altijd goed uit wat je overzet naar de nieuwe harde schijf.
Daar kan dan ook weer dat bewuste crypto-virus bij zitten.

Acties:

zondag 12 april 2015 22:33

Topicstarter

cornfed99111 schreef op zondag 12 april 2015 @ 22:29:
PC's worden besmet doordat programma starten.
Als je geen programma start vanaf de besmette harde schijf, zit je veilig.
Maar kijk altijd goed uit wat je overzet naar de nieuwe harde schijf.
Daar kan dan ook weer dat bewuste crypto-virus bij zitten.

Is dit sowieso een .exe, .bat of iets in die richting? Of kan het ook gewoon een pdf, doc of ander databestand zijn?

MSI MPG X870E CARBON WIFI, Ryzen 9 9900X, 64GB, Gigabyte AORUS M RTX5080, Samsung 990 Pro 4TB, Samsung 970 EVO 2TB, Samsung OLED G9, LG 48CX, LG 77G5, Xbox Series X, PS4 Pro, Galaxy Z Fold7 512GB, Kia EV6 RWD 77,4 kWh Plus, Weheat Blackbird P80

Acties:

maandag 13 april 2015 06:09

Dat is vaak het grote probleem.
Er is geen eenduidige dader aan te wijzen. Dan was het een simpele zaak voor de virus scanners.
Het kan echt van alles zijn.

Zeker is dat er iets gestart is op die PC.
Want anders had je al die meldingen niet gezien.

[ Voor 23% gewijzigd door cornfed99111 op 12-04-2015 22:39 ]

Acties:

xFeverr

Brilsmurfffje schreef op zondag 12 april 2015 @ 22:39:
[...]

je kan een executabel zo maken dat het eruit ziet als een word bestand en ook gewoon als je dubbelklikt een word bestand opent

Maar die zal wel de .exe extensie hebben natuurlijk.

Controleer wel goed of je je bestanden hebt gebackupt. Zou zonde zijn als je er een paar geëncrypteerd kopieerd. Die zou je misschien nog uit de file recovery kunnen halen, want je hebt geen toestemming gegeven om ze te wissen

maandag 13 april 2015 18:43

Acties:

maandag 13 april 2015 22:56

Topicstarter

xFeverr schreef op maandag 13 april 2015 @ 06:09:
[...]

Maar die zal wel de .exe extensie hebben natuurlijk.

Controleer wel goed of je je bestanden hebt gebackupt. Zou zonde zijn als je er een paar geëncrypteerd kopieerd. Die zou je misschien nog uit de file recovery kunnen halen, want je hebt geen toestemming gegeven om ze te wissen

Ja, even kijken hoe ik dat ga doen.

Werkt dat ook voor afbeeldingen? Ik heb wel al 100den afbeeldingen gezien die geencrypt zijn.

MSI MPG X870E CARBON WIFI, Ryzen 9 9900X, 64GB, Gigabyte AORUS M RTX5080, Samsung 990 Pro 4TB, Samsung 970 EVO 2TB, Samsung OLED G9, LG 48CX, LG 77G5, Xbox Series X, PS4 Pro, Galaxy Z Fold7 512GB, Kia EV6 RWD 77,4 kWh Plus, Weheat Blackbird P80

Acties:

dinsdag 14 april 2015 10:36

MrBlueEyes schreef op maandag 13 april 2015 @ 18:43:
[...]

Ja, even kijken hoe ik dat ga doen.

Werkt dat ook voor afbeeldingen? Ik heb wel al 100den afbeeldingen gezien die geencrypt zijn.

Je kunt bijvoorbeeld naar een bepaalde extensie zoeken, in een map, en dan alle zoekresultaten in 1 keer verwijderen.

Acties:

dinsdag 14 april 2015 11:39

Topicstarter

oheng schreef op maandag 13 april 2015 @ 22:56:
[...]
Je kunt bijvoorbeeld naar een bepaalde extensie zoeken, in een map, en dan alle zoekresultaten in 1 keer verwijderen.

Ja, verwijderen gaat wel lukken.

Bedoelde meer voor die shadowkopieën.

MSI MPG X870E CARBON WIFI, Ryzen 9 9900X, 64GB, Gigabyte AORUS M RTX5080, Samsung 990 Pro 4TB, Samsung 970 EVO 2TB, Samsung OLED G9, LG 48CX, LG 77G5, Xbox Series X, PS4 Pro, Galaxy Z Fold7 512GB, Kia EV6 RWD 77,4 kWh Plus, Weheat Blackbird P80

Acties:

dinsdag 14 april 2015 11:43

MrBlueEyes schreef op dinsdag 14 april 2015 @ 10:36:
[...]

Ja, verwijderen gaat wel lukken.

Bedoelde meer voor die shadowkopieën.

Schaduw kopiëen zie ik vrij vaak verwijderd worden door een cryptovirus, maar je kunt het altijd proberen met Shadow Explorer.

Acties:

dinsdag 14 april 2015 11:58

Topicstarter

oheng schreef op dinsdag 14 april 2015 @ 11:39:
[...]
Schaduw kopiëen zie ik vrij vaak verwijderd worden door een cryptovirus, maar je kunt het altijd proberen met Shadow Explorer.

Ja, maar windows gaf ik geen toegang het te laten doen. Daar kreeg ik steeds de melding dat iets het wilde verwijderen.

Voor Shadow Explorer moet ik wel weer met Windows inloggen toch?

MSI MPG X870E CARBON WIFI, Ryzen 9 9900X, 64GB, Gigabyte AORUS M RTX5080, Samsung 990 Pro 4TB, Samsung 970 EVO 2TB, Samsung OLED G9, LG 48CX, LG 77G5, Xbox Series X, PS4 Pro, Galaxy Z Fold7 512GB, Kia EV6 RWD 77,4 kWh Plus, Weheat Blackbird P80

Acties:

dinsdag 14 april 2015 21:56

MrBlueEyes schreef op dinsdag 14 april 2015 @ 11:43:
[...]

Ja, maar windows gaf ik geen toegang het te laten doen. Daar kreeg ik steeds de melding dat iets het wilde verwijderen.

Voor Shadow Explorer moet ik wel weer met Windows inloggen toch?

Ja. Dus je moet eerst het virus eraf halen. Als je een beetje overweg kunt met computers en softwar. dan kan dat bijvoorbeeld offline met het programma Autoruns

En anders Malwarebytes, Hitman Pro, en andere virusscanners gebruiken.

Acties:

dinsdag 14 april 2015 23:01

Topicstarter

oheng schreef op dinsdag 14 april 2015 @ 11:58:
[...]

Ja. Dus je moet eerst het virus eraf halen. Als je een beetje overweg kunt met computers en softwar. dan kan dat bijvoorbeeld offline met het programma Autoruns

En anders Malwarebytes, Hitman Pro, en andere virusscanners gebruiken.

Ik heb het volgende gevonden:

Mijn ouders hebben blijkbaar last van CoinVault. De Nederlandse politie heeft in samenwerking met kasperky blijkbaar een tool hiervoor op de markt gebracht.

Nu blijkt alleen dat de tool pas werkt wanneer je de Demand van Coinvault is gekomen. Terwijl ik nu natuurlijk al eerder de pc stopte waardoor dat stopgezet is. Moet ik die pc nu rechtstreeks weer op internetplaatsen zodat CoinVault alles vast kan zetten en dat ik een kans heb om de bestanden die al encrypt zijn nog te kunnen decrypten?

Hmm zo te zien is dit natuurlijk voor url's die ze al hebben. Die van mijn ouders bestaat nog niet, dus die kunnen ze nog niet hebben.

http://www.pcworld.com/ar...ool-may-decrypt-them.html

https://noransom.kaspersky.com/

https://noransom.kaspersk...nvault-decrypt-manual.pdf

En zie nu ook dat Tweakers het er gisteren over had.

nieuws: Politie: dader achter Coinvault-ransomware is mogelijk in Nederland

[ Voor 14% gewijzigd door MrBlueEyes op 14-04-2015 22:05 ]

MSI MPG X870E CARBON WIFI, Ryzen 9 9900X, 64GB, Gigabyte AORUS M RTX5080, Samsung 990 Pro 4TB, Samsung 970 EVO 2TB, Samsung OLED G9, LG 48CX, LG 77G5, Xbox Series X, PS4 Pro, Galaxy Z Fold7 512GB, Kia EV6 RWD 77,4 kWh Plus, Weheat Blackbird P80

Acties:

dinsdag 14 april 2015 23:12

MrBlueEyes schreef op dinsdag 14 april 2015 @ 21:56:
[...]

Ik heb het volgende gevonden:

Mijn ouders hebben blijkbaar last van CoinVault. De Nederlandse politie heeft in samenwerking met kasperky blijkbaar een tool hiervoor op de markt gebracht.

Nu blijkt alleen dat de tool pas werkt wanneer je de Demand van Coinvault is gekomen. Terwijl ik nu natuurlijk al eerder de pc stopte waardoor dat stopgezet is. Moet ik die pc nu rechtstreeks weer op internetplaatsen zodat CoinVault alles vast kan zetten en dat ik een kans heb om de bestanden die al encrypt zijn nog te kunnen decrypten?

Hmm zo te zien is dit natuurlijk voor url's die ze al hebben. Die van mijn ouders bestaat nog niet, dus die kunnen ze nog niet hebben.

http://www.pcworld.com/ar...ool-may-decrypt-them.html

https://noransom.kaspersky.com/

https://noransom.kaspersk...nvault-decrypt-manual.pdf

En zie nu ook dat Tweakers het er gisteren over had.

nieuws: Politie: dader achter Coinvault-ransomware is mogelijk in Nederland

Als je alle niet-geencrypte bestanden er al af hebt gehaald, dan kun je een gokje wagen.
Ik heb de Coinvault decryptie tool nog niet nodig gehad. Dus ik weet niet welke bestanden die kan decrypten.

Acties:

woensdag 15 april 2015 16:43

Topicstarter

oheng schreef op dinsdag 14 april 2015 @ 23:01:
[...]
Als je alle niet-geencrypte bestanden er al af hebt gehaald, dan kun je een gokje wagen.
Ik heb de Coinvault decryptie tool nog niet nodig gehad. Dus ik weet niet welke bestanden die kan decrypten.

Moet ik hem wel direct op internet aansluiten lijkt mij? zonder toegang tot de rest van het netwerk

Edit: Ik heb nu de melding gehad en een bitcoinadres. Helaas is deze nog niet bekend.

Is het genoeg als ik nu alleen de encrypte bestanden houd voor als de code ooit bekend wordt? Of heb ik daar de hele Windows installatie voor nodig?

[ Voor 22% gewijzigd door MrBlueEyes op 15-04-2015 10:02 ]

MSI MPG X870E CARBON WIFI, Ryzen 9 9900X, 64GB, Gigabyte AORUS M RTX5080, Samsung 990 Pro 4TB, Samsung 970 EVO 2TB, Samsung OLED G9, LG 48CX, LG 77G5, Xbox Series X, PS4 Pro, Galaxy Z Fold7 512GB, Kia EV6 RWD 77,4 kWh Plus, Weheat Blackbird P80

Acties:

woensdag 15 april 2015 22:51

Je hebt alleen de geëncrypteerde bestanden nodig. En de informatie die je nu (alsnog) hebt gekregen.

Acties:

Audi-RS4

wat voor bestandsextensie wordt er dit keer gebruikt door de cryptolocker? toevallig *.ebd bestanden?

woensdag 15 april 2015 22:52

Acties:

vrijdag 17 april 2015 20:02

Topicstarter

Audi-RS4 schreef op woensdag 15 april 2015 @ 22:51:
wat voor bestandsextensie wordt er dit keer gebruikt door de cryptolocker? toevallig *.ebd bestanden?

Zal ik zo niet even durven te zeggen. Viel mij niet echt op dat bestandstype was aangepast. Volgens mij bleef deze hetzelfde.

Heb net pc leeg gemaakt.

MSI MPG X870E CARBON WIFI, Ryzen 9 9900X, 64GB, Gigabyte AORUS M RTX5080, Samsung 990 Pro 4TB, Samsung 970 EVO 2TB, Samsung OLED G9, LG 48CX, LG 77G5, Xbox Series X, PS4 Pro, Galaxy Z Fold7 512GB, Kia EV6 RWD 77,4 kWh Plus, Weheat Blackbird P80

Acties:

vrijdag 17 april 2015 21:23

Topicstarter

Het is gelukt met https://noransom.kaspersky.com/ om al de encrypte bestanden van mijn ouders terug te krijgen! Erg blij mee!

MSI MPG X870E CARBON WIFI, Ryzen 9 9900X, 64GB, Gigabyte AORUS M RTX5080, Samsung 990 Pro 4TB, Samsung 970 EVO 2TB, Samsung OLED G9, LG 48CX, LG 77G5, Xbox Series X, PS4 Pro, Galaxy Z Fold7 512GB, Kia EV6 RWD 77,4 kWh Plus, Weheat Blackbird P80

Acties: