laxvhza extentie

Cryptolocker?

Cryptolocker, backup terugplaatsen of betalen om je zooi te decrypten. Succes

PS: Je hebt nog geluk dat deze de bestanden hernoemt zodat je precies weet welke encrypted zijn. Er zijn ook vervelendere die de extensies ongemoeid laten waardoor je op het oog niet kunt zien welke files encrypted zijn en welke niet. Ook een backup terugplaatsen is hierdoor veel minder gericht.

CTB-Locker idd. You're in deep trouble mate. Dat wordt betalen.

Dit past beter in Beveiliging en Virussen, want je bent zoals hierboven al een paar keer is genoemd getroffen door een cryptolocker virus.

Voor de volgende keer, http://exploitsrevealed.c...g-infected-by-ransomware/

Inderdaad de CTB-cryptolocker. Collega had dit ook, laptop maar opnieuw geimaged.
Volgens mij is hier geen oplossing voor...

- Backup
- Shadow Explorer of rechter muisklik op een bestand en "Vorige Versies Terugzetten" (werkt meestal niet)
- Windows backup (wordt soms per ongeluk gedaan door gebruiker)
- Data recovery (werkt bijna nooit)

Laatste optie: betalen. *Meestal* krijg je je data dan wel terug.

En daarna maatregelen nemen zodat dit nooit weer kan gebeuren.

chimera2 schreef op woensdag 08 juli 2015 @ 13:09:
we hebben hier gelukkig een goed werkend backup systeem. Maar zou dat echt werken betalen?
Ik vraag het me af.

Ik heb "goede" ervaringen.

Als ik een wilde gok zou moeten doen: 50% tot 80% kans dat je na betaling al je data terugkrijgt.

chimera2 schreef op woensdag 08 juli 2015 @ 13:09:
we hebben hier gelukkig een goed werkend backup systeem. Maar zou dat echt werken betalen?
Ik vraag het me af.

Dat is onderdeel van het "business model" van de criminelen. Als betalen nooit zou werken dan zou dat wel bekend worden en zullen (de meeste) slachtoffers uiteindelijk stoppen met betalen. Juist omdat het meestal wel goed gaat blijven mensen betalen en blijft dit "business model" bestaan.

Verwijderd schreef op dinsdag 07 juli 2015 @ 21:43:
Voor de volgende keer, http://exploitsrevealed.c...g-infected-by-ransomware/

Is dat betrouwbaar, zo'n tool die wel even de maatregelen voor je neemt? Zoiets lijkt me een uitstekend paard van Troje om voorzichtige gebruikers alsnog te grazen te nemen.

Verwijderd schreef op woensdag 08 juli 2015 @ 14:42:
Is dat betrouwbaar, zo'n tool die wel even de maatregelen voor je neemt? Zoiets lijkt me een uitstekend paard van Troje om voorzichtige gebruikers alsnog te grazen te nemen.

Ik zou het zelf nooit gebruiken. En je kunt met een paar minuutjes klikken ook gewoon zelf die policies aanmaken.

Die policies aanpassen beletten ook een hoop andere functies om correct te werken, zoals allerlei app-installaties en updates. Vergeet hier dus niet aan te denken als er iets niet correct wilt installeren !

marcop82 schreef op donderdag 09 juli 2015 @ 09:20:
Die policies aanpassen beletten ook een hoop andere functies om correct te werken, zoals allerlei app-installaties en updates. Vergeet hier dus niet aan te denken als er iets niet correct wilt installeren !

Dat is eigenlijk met alles dat je dichtgooit of beschermt en waarschijnlijk helaas ook waarom de gemiddelde gebruiker dat allemaal veel te veel moeite vindt.

Ja het is een gevolg van dichttimmeren inderdaad.

De installatieproblemen zijn echter niet meteen duidelijk voor een gemiddelde gebruiker, omdat je niet de melding krijgt dat de installatie niet verder kan door het niet kunnen schrijven naar AppData. Vaak is het iets in de trend van "Could not install - Error 4013" ofzo. Zeker als het niet vers in het geheugen staat dat je de aanpassing gemaakt hebt (of iemand anders) met het gebruik van apps zoals CryptoPrevent.

Zelf had ik dit ook maanden geleden (manueel) ingesteld en vond ik het bizar dat ik sommige apps niet kon updaten. Maar na zo'n periode denk je daar niet onmiddellijk aan.

marcop82 schreef op vrijdag 10 juli 2015 @ 08:22:
De installatieproblemen zijn echter niet meteen duidelijk voor een gemiddelde gebruiker

Gemiddelde gebruikers horen niet onder een account te werken waarmee je uberhaupt iets kan installeren.

Gewoon Software Restriction Policies voor de gebruikers instellen waarmee alleen nog executables uit de Windows en Program Files folders uitgevoerd kunnen worden. En zorgen dat de "gemiddelde gebruiker" daar geen schrijfrechten krijgt, daar heb je admins voor. Alles wat een gebruiker dan nog kan downloaden of zelf op een USB-stick heeft meegenomen wordt dan gewoon niet uitgevoerd.

Jammer alleen van meuk als iTunes enzo die ook executables onder AppData neer plempen. Daar moet je dan toch even over nadenken.

marcop82 schreef op vrijdag 10 juli 2015 @ 08:22:
Ja het is een gevolg van dichttimmeren inderdaad.

De installatieproblemen zijn echter niet meteen duidelijk voor een gemiddelde gebruiker, omdat je niet de melding krijgt dat de installatie niet verder kan door het niet kunnen schrijven naar AppData. Vaak is het iets in de trend van "Could not install - Error 4013" ofzo. Zeker als het niet vers in het geheugen staat dat je de aanpassing gemaakt hebt (of iemand anders) met het gebruik van apps zoals CryptoPrevent.

Zelf had ik dit ook maanden geleden (manueel) ingesteld en vond ik het bizar dat ik sommige apps niet kon updaten. Maar na zo'n periode denk je daar niet onmiddellijk aan.

Je kan zelf handmatig het updaten van apps toegang geven.

If you use Software Restriction Policies, or CryptoPrevent, to block CTB Locker you may find that some legitimate applications no longer run. This is because some companies mistakenly install their applications under a user’s profile rather than in the Program Files folder where they belong. Due to this, the Software Restriction Policies will prevent those applications from running.

Thankfully, when Microsoft designed Software Restriction Policies they made it so a Path Rule that specifies a program is allowed to run overrides any path rules that may block it.

Dat virus staat meestal direct overal waar de gebruiker die het opende rechten heeft. Opzoeken en backups terugzetten lijkt me..