Virus bestand extensie veranderd

doc is office bestand.

Al geprobeerd met office te openen?

extensie eerst aanpassen.
.YQNZFUH weghalen

Geen melding op het systeem dat je last hebt van encrypted files? Wij hebben deze laatst bij een klant ook gehad, die kreeg een melding dat CTB locker actief was. Ik heb alle bestanden weggegooid en een backup terug gezet, verder geen energie aan verspild.

Al deze bestanden zijn versleuteld, en niet terug te halen zonder het losgeld te betalen (in Bitcoin, allicht iets van een €450 omgerekend).
Normaal staat er op het bureaublad en in elke map de instructies hiervoor.

Google op Cryptolocker. Dit is niet bepaald grappig.

Externe harde schijven afkoppelen en netwerkschijven ontkoppelen, want deze bestanden worden ook versleuteld! Zeker als je nog geen instructies ziet verschijnen (dan is het proces nog bezig).

[ Voor 35% gewijzigd door Tweaker36 op 22-06-2015 20:27 ]

Ah deze weer. Je kunt alleen proberen of je met Shadow Explorer nog wat terug kunt halen, misschien is Windows backup ooit ingesteld? Dat zijn je opties. En anders betalen.

[ Voor 18% gewijzigd door oheng op 22-06-2015 20:29 ]

Eens de procedure gelopen heeft, blijft er niks achter. Geen infecties of andere trojans / rommel.
Heb dergelijke pc's al meermaals gescand met diverse tools, nooit wat gevonden. Op dat gebied hoef je weinig schrik te hebben. Uiteraard laat je wel even een scan lopen.

Ik heb voor een klant betaald, een maand of 2~3 terug. Data is toen hersteld. Maar goedkoop is het niet, nee, en een garantie is het evenmin.

djkavaa schreef op maandag 22 juni 2015 @ 20:28:
Dacht ook dat het de Cryptolocker was maar hier: https://www.decryptcryptolocker.com een bestandje geupload, en daar zegt hij dat het geen Cryptolocker is.

Gevalletje duizend-en-één varianten, maar allemaal hetzelfde principe.

[ Voor 32% gewijzigd door Tweaker36 op 22-06-2015 20:30 ]

djkavaa schreef op maandag 22 juni 2015 @ 20:31:
[...]

Lees ook dat het niet zeker is dat je je bestanden terug krijgt... Heb je toen wel netjes de software en sleutel gekregen etc.

Natuurlijk is het niet zeker. Iedere CTB Locker kan van een ander afkomstig zijn. Je kunt cryptolocker virussen kopen voor een paar duizend dollar.

djkavaa schreef op maandag 22 juni 2015 @ 20:31:
[...]
Lees ook dat het niet zeker is dat je je bestanden terug krijgt... Heb je toen wel netjes de software en sleutel gekregen etc.

Links: initiële melding
Rechts: melding na betaling in Bitcoins, via Tor.

Ik promoot niks, behalve goede offline backups, maar ik erger me aan berichten in de media dat je sowieso niks terug krijgt. Ja, het is afzetterij, misdaad, en al wat je wil, maar (soms?) krijg je wel waar naar je geld (lees: je bestanden terug).

De malware verwijderen is simpel: red de data die nog te redden is en dan formatteren. Data redden is lastiger.

Lees wat oudere topics hier in Beveiliging & Virussen over cryptolocker-virussen,

Tweaker36 schreef op maandag 22 juni 2015 @ 20:46:
[afbeelding] [afbeelding]
Links: initiële melding
Rechts: melding na betaling in Bitcoins, via Tor.

Ik promoot niks, behalve goede offline backups, maar ik erger me aan berichten in de media dat je sowieso niks terug krijgt. Ja, het is afzetterij, misdaad, en al wat je wil, maar (soms?) krijg je wel waar naar je geld (lees: je bestanden terug).

Twee redenen: iedereen die betaalt geeft de $#@* redenen en middelen om nog vele andere mensen te besmetten. En dat jij wel data terug kreeg na betalen van losgeld betekent niet dat anderen ook hun data terugkrijgen.

Waar ik zelf dat eerste argument belangrijker vind, maar ik heb het zelf dan ook nog niet meegemaakt. (edit: punt is dat je geen idee hebt wie er achter zit en geen enkele manier hebt om te weten of je je data terugkrijgt na betalen).
En helemaal eens vwb goede backups, natuurlijk.

[ Voor 7% gewijzigd door F_J_K op 23-06-2015 07:40 ]

Als ik een wilde gok zou moeten doen, dan gok ik dat je 75% kans hebt dat je je bestanden terugkrijgt na betaling.

En het is natuurlijk beste voor iedereen om nooit te betalen, maar dat zal nooit lukken. Want het is vaak de enige mogelijkheid, mensen _moeten_ wel betalen, als ze hun data ooit nog terug willen zien.

Ik probeer altijd uit alle macht te voorkomen dat mensen betalen, dus ik maak even hier een opsomming van de opties om misschien je data toch terug te krijgen:
- Datarecovery m.b.v. bijv. Recuva (deep scan optie) (werkt meestal niet)
- Terugzetten van vorige versies van bestanden (rechter muisklik op een bestand)
- Terughalen van data uit de Volume Shadow Copies m.b.v. Shadow Explorer (werkt ook vaak niet, soms staat systeem herstel uit)
- Vorige versies herstellen van een online backup (Google, Dropbox, OneDrive, etc)
- Datarecovery op de originelen (bijv geheugen kaartjes van telefoon of camera, oude/vorige laptop)
- Nog een optie: alle geencrypte bestanden incl. public key ergens bewaren en hopen dat er ooit een decrypter voor wordt gemaakt

Nou, dat was zo'n beetje alles wat je kunt doen

Zo nu en dan lees ik wat over CTB. Het is echt een vreselijk vervelende ransomwarevirus. Valt hier nou werkelijk niets aan te doen? Kunnen wij als tweakers de systemen van die mafkezen niet verzieken? Een programma schrijven dat het CTB virus kan voorkomen? Er zijn zoveel slachtoffers, daar moet toch iets voor te doen zijn?

NeFoRcE schreef op dinsdag 23 juni 2015 @ 12:01:
Zo nu en dan lees ik wat over CTB. Het is echt een vreselijk vervelende ransomwarevirus. Valt hier nou werkelijk niets aan te doen? Kunnen wij als tweakers de systemen van die mafkezen niet verzieken? Een programma schrijven dat het CTB virus kan voorkomen? Er zijn zoveel slachtoffers, daar moet toch iets voor te doen zijn?

Er is een Tweaker die dit al gedaan heeft http://www.surfright.nl/en/cryptoguard

GerardVanAfoort schreef op dinsdag 23 juni 2015 @ 12:05:
[...]

Er is een Tweaker die dit al gedaan heeft http://www.surfright.nl/en/cryptoguard

Awesome. Even lezen.

Ben wel van mening dat dit soort dingen wat meer gepromoot moet worden. Of snijden we ons dan in de vingers doordat die mafkezen hun software aanpassen?

GerardVanAfoort schreef op dinsdag 23 juni 2015 @ 12:05:
[...]

Er is een Tweaker die dit al gedaan heeft http://www.surfright.nl/en/cryptoguard

Wait? Whut? Waarom heeft dit nooit de FP gehaald? Bedankt voor het delen!

Zkrz wel fp nieuws: Hitman Pro gebruikt debugfunctie Intel-cpu's om gebruikers te beschermen
En nog oer-Nederlands ook, en de tweaker is Erik Loman!