mijn foto's zijn door computer "tuig"versleuteld

Backup terug zettten

Je bent een slachtoffer van een cryptolocker, enige 2 mogenlijkheden zijn;

1. Bitcoins overmaken
2. Zoals DarkSide vermeldde, een backup terug zetten.

Heb een aantal klanten met het probleem gehad, vaak via een nep e-mail van Iterm Justitia over achterstallige betaling.

Met een .EXE bestand als bijlage dat vermomd is als een .PDF bestand (let goed op het icoontje).

Die extentie is randomised.

DarkSide schreef op maandag 07 september 2015 @ 13:44:
Backup terug zettten

Let wel: dat doe je dus pas nadat je je systeem hebt voorzien van een schone installatie. Als je nu je backup (bijv. op externe USB disk) aansluit om terug te zetten, dan loop je een groot risico dat die backup ook versleuteld wordt.

Maar het belangrijkste op dit moment is vooral om te ontdekken waarmee je precies besmet bent geraakt en zorgen dat het verder versleutelen van bestanden stopt. Bij voorkeur door de getroffen disk in een ander systeem te hangen om hem vanuit een andere (schone) windows installatie te kunnen scannen of door te scannen vanaf een live CD of iets dergelijks. Als je dat niet kan, dan op zijn minst eens een grondige virusscan uitvoeren.

Meer info over waar je precies mee besmet bent zou ook helpen om je hier van wat meer specifieke tips te voorzien (voor zover er heel veel te redden valt).

[ Voor 8% gewijzigd door Orion84 op 07-09-2015 13:58 ]

finniespin schreef op maandag 07 september 2015 @ 13:50:
Je bent een slachtoffer van een cryptolocker, enige 2 mogenlijkheden zijn;

Sommige Cryptolocker's zijn al wel gekraakt door beveiligingsbedrijven en daarvoor zijn er gratis decrypt tools verkrijgbaar.

Er is weinig gekraakt, er is alleen wel ooit een keer een lijst met sleutels onderschept tijdens het onderzoek naar een groep achter een bepaalde cryptolocker.

Maar daarom: probeer uit te vinden waar je precies door besmet bent.

[ Voor 18% gewijzigd door Orion84 op 07-09-2015 13:59 ]

_trickster_ schreef op maandag 07 september 2015 @ 13:58:
[...]


Sommige Cryptolocker's zijn al wel gekraakt door beveiligingsbedrijven en daarvoor zijn er gratis decrypt tools verkrijgbaar.

Top!

Heb jij een verwijzing hiervoor?

Blijkbaar toch minder als ik verwacht had, zoals Orion84 aangaf.

Een pagina http://blogs.technet.com/...lock-encrypted-files.aspx die ik hier nog kan terug vinden point allemaal naar een site die nu off-line is gehaald.

Dus ik ben bang dat je toch terug moet vallen op je backups

* _trickster_ gaat gelijk zijn Backup's even controleren of het nog goed loopt

finniespin schreef op maandag 07 september 2015 @ 14:00:
Heb jij een verwijzing hiervoor?

Als je weet welke ransomware, kan je er wellicht zelf ook naar zoeken via Google.
Dan hoef je niet als een kip zonder kop te testen.

[ Voor 10% gewijzigd door CH4OS op 07-09-2015 14:09 ]

CptChaos schreef op maandag 07 september 2015 @ 14:09:
[...]
Als je weet welke ransomware, kan je er wellicht zelf ook naar zoeken via Google.
Dan hoef je niet als een kip zonder kop te testen.

Ik ben bekend met die term, en ik heb dit al gedaan (samen met mijn collega).

Dit voegt ook niet veel toe aan dit topic naar mijn mening.

finniespin schreef op maandag 07 september 2015 @ 14:13:
Ik ben bekend met die term, en ik heb dit al gedaan (samen met mijn collega)

Dus je weet om welke ransomware het gaat? Dan kan je toch daarop zoeken icm 'decrypt' of zo? Of mis ik je punt volledig? Ik las jouw bericht dusdanig dat je de decrypt tool zocht van de ransomware. Wellicht zit daar de verwarring.

Dit voegt ook niet veel toe aan dit topic naar mijn mening.

Er wordt op GoT echter ook zelfredzaamheid verwacht, wat totaal niet naar boven kwam in je vorige post. Dus geen idee waarom het dan niet nuttig zou kunnen zijn, zie bovenstaande alinea van mij in deze post.

En Jos1940 is jouw collega, denk ik dan?

[ Voor 3% gewijzigd door CH4OS op 07-09-2015 14:30 ]

finniespin schreef op maandag 07 september 2015 @ 13:50:
Je bent een slachtoffer van een cryptolocker, enige 2 mogenlijkheden zijn;

1. Bitcoins overmaken
2. Zoals DarkSide vermeldde, een backup terug zetten.

Houdt er wel rekening mee dat je direct meehelpt bij het in stand houden van dit soort malware. Deze malware is namelijk maar om een reden interessant; er valt geld te verdienen. Wanneer je deze motivatie weghaalt zal ransomware vanzelf minder worden. Daar ben je als slachtoffer niet direct mee geholpen maar soms zijn er ook andere acceptabele oplossingen zoals het terugzetten van een backup na herinstallatie.

Zorg er voor je met backups aan de gang gaat dat je er zeker van bent dat de besmetting is verdwenen maar ook dat het lek waardoor je besmet bent geraakt is gedicht (voor zover je dit kunt achterhalen). Voorkomen is immers beter dan genezen.

Als je gaat zoeken naar decryptie tools voor bekende ransomware dan zul je merken dat die er niet tot nauwelijks zijn.

Helaas voldoet jou topic (nog) niet aan de eisen die wij op Tweakers stellen.

Ik mis het volgende :

• Wat heb je zelf allemaal al geprobeerd om je probleem opgelost te krijgen?
• Welke oplossingen heb je (via de zoekmachines) gevonden en waarom voldoen deze niet?
• wat nu exact je probleem is (duidelijkere probleemomschrijving).
• welke oplossingen heb je gevonden en waarom voldoen deze niet?

Kijk even goed in het beleid, wat er nu precies verwacht wordt van een goede topicstart en vul je topicstart aan...

Het is hier namelijk op GoT de bedoeling dat je eerst zelf op zoek gaat naar een oplossing voor je probleem alvorens je hiervoor een topic aanmaakt. We zijn namelijk geen Helpdesk...

Dus als jij even laat zien dat je zelf ook inzet hebt getoond, zijn je mede-Tweakerts ook vast wel genegen om mee te denken..

Kijk eens hier: https://noransom.kaspersky.com/

Belangrijk is dat je NIKS doet, laat de computer uit tot het aantal uren verstreken is. Dit is zo'n 4 dagen als ik het goed heb. Doe daarna de computer aan, het virus vermeldt dat hij zichzelf verwijdert heeft. Je bestanden zijn dan uiteraard nog steeds gelocked, download daarom shadowexplorer, en bekijk het schaduwvolume de dag voordat je het virus kreeg. Maak dan een backup (dmv exporteren) van alle bestanden die daar instaan die je wilt redden. Scan deze bestanden op een andere pc, voor het geval dat. Daarna je schijf formatteren en de rest snap je wel.

Als je tussentijds wat wijzigt, dan heb je kans dat je schaduwvolume van voor het virus verloren gaat. Ik heb dit zo opgelost bij mijn schoonouders.

[ Voor 11% gewijzigd door fynrd1 op 07-09-2015 16:37 ]

Ja dat is erg slim. Geinfecteerde bestanden backupen.

Verwijderd schreef op maandag 07 september 2015 @ 17:56:
Ja dat is erg slim. Geinfecteerde bestanden backupen.

Zijn niet geïnfecteerd

fynrd1 schreef op maandag 07 september 2015 @ 16:33:
Doe daarna de computer aan, het virus vermeldt dat hij zichzelf verwijdert heeft.

Hoe weet je dat zonder dat je weet welke malware de TS precies heeft binnengehengeld?

Verwijderd schreef op maandag 07 september 2015 @ 17:56:
Ja dat is erg slim. Geinfecteerde bestanden backupen.

Encryptie is geen virus.

NMe schreef op maandag 07 september 2015 @ 18:53:
[...]

Hoe weet je dat zonder dat je weet welke malware de TS precies heeft binnengehengeld?


[...]

Encryptie is geen virus.

Dat wil niet zeggen dat de bestanden niet geinfecteerd zijn.

NMe schreef op maandag 07 september 2015 @ 18:53:
[...]

Hoe weet je dat zonder dat je weet welke malware de TS precies heeft binnengehengeld?


[...]

Encryptie is geen virus.

De extensie bij mijn schoonouders was hetzelfde, dit is de meest recente versie van CTB-locker

Verwijderd schreef op maandag 07 september 2015 @ 18:55:
[...]
Dat wil niet zeggen dat de bestanden niet geinfecteerd zijn.

Daarom voor de zekerheid scannen zeg ik toch? Het gaat erom dat je een niet versleutelde versie van je bestanden kan terug krijgen, indien deze schaduw kopie nog bestaat en niet al is gewijzigd.

Als het een ''slechte'' ransomware is kan je hem soms ook nog eens verwijderen door middel van systeem herstel. Je moet dan ''geluk'' hebben dat het om een slecht geprogrammeerde ransomeware gaat en wil het soms nog wel eens lukken. Als het echt cryptolocker is heb je pech.

Wat soms ook nog help is de schijf bekijken onder windows 2000 of MS-DOS. De randomware werkt niet op oudere OSen en met Windows 2000 en zeker met MS-DOS 6.22 krijg je het nog wel eens voor elkaar om je bestanden daarmee te redden. Maar ik heb geen flauw idee of dit trucje nog steeds werkt, plus het feit dat MS-DOS misschien de SATA schijf niet herkend. Misschien lukt het ook met free DSB maar dat denk ik niet om eerlijk te zijn.

Dat zijn dingen die je kan proberen maar gooi er niet al je hoop op, Succes !

finniespin schreef op maandag 07 september 2015 @ 13:50:
Je bent een slachtoffer van een cryptolocker, enige 2 mogenlijkheden zijn;

1. Bitcoins overmaken
2. Zoals DarkSide vermeldde, een backup terug zetten.

Heb een aantal klanten met het probleem gehad, vaak via een nep e-mail van Iterm Justitia over achterstallige betaling.

Met een .EXE bestand als bijlage dat vermomd is als een .PDF bestand (let goed op het icoontje).

Die extentie is randomised.

Betalen nooit doen ! Criminelen nemen vaak de moeite niet om jou computer te bevrijden en het hele sleutel verhaal lijkt me ook een pot nat. Als je betaald ben je alleen je geld kwijt en heb je nog steeds een PC die versleuteld is.

rickboy333 schreef op maandag 07 september 2015 @ 21:54:
Betalen nooit doen ! Criminelen nemen vaak de moeite niet om jou computer te bevrijden en het hele sleutel verhaal lijkt me ook een pot nat. Als je betaald ben je alleen je geld kwijt en heb je nog steeds een PC die versleuteld is.

Sowieso niet betalen. Zolang er mensen zijn die dat wel doen blijft dit lucratief...

Zo makkelijk gezegd, 'niet betalen'. Het is misschien onjuist om te doen, maar het is (zeker als je geen backup hebt) misschien nog de enige manier om je bestanden terug te krijgen.

Ik ben gelukkig nog nooit slachtoffer geworden van dergelijke praktijken, maar het is vanaf een afstandje zo makkelijk praten.

Ik heb trouwens mijn schoonouders aangifte laten doen, aangezien er ook scans etc van paspoorten op zaten. Bij de Politie weten ze waarschijnlijk niet zo heel goed wat ze met je aangifte moeten doen, maar het komt neer op afpersing via internet en mogelijke identiteitsfraude.

spone schreef op maandag 07 september 2015 @ 22:06:
Ik ben gelukkig nog nooit slachtoffer geworden van dergelijke praktijken, maar het is vanaf een afstandje zo makkelijk praten.

Ik ken het gevoel prima hoor, ik heb ook wel eens een harde schijf waar ik geen recente backups van had zien crashen. Waarvoor ik overigens ook geen 500 euro wilde neerleggen om de verloren data (inclusief foto's) te restoren.

Makkelijk praten of niet, zolang mensen blijven betalen hou je dit systeem in stand en verdoem je andere mensen om hetzelfde te overkomen terwijl je geen enkele garantie hebt dat je na betaling ook echt je bestanden weer terugkrijgt. Dat is nogal een gok...

spone schreef op maandag 07 september 2015 @ 22:06:
Zo makkelijk gezegd, 'niet betalen'. Het is misschien onjuist om te doen, maar het is (zeker als je geen backup hebt) misschien nog de enige manier om je bestanden terug te krijgen.

Ik ben gelukkig nog nooit slachtoffer geworden van dergelijke praktijken, maar het is vanaf een afstandje zo makkelijk praten.

Waarom zou je betalen als de kans 90% is dat er niks gebeurd ? Het is een feit dat, als je betaald in de meeste gevallen er niks gebeurd en dat is ook wat de politie zegt. Dan kan je de schijf beter naar een reparatiebedrijf brengen en daar 2 tientjes meer voor betalen of het gewoon accepteren en de les er uit trekken dat je altijd op meerdere plaatsen moet back-upen. Die heb ik ook geleerd toen de ICT sukkels op mijn school de HDD's formatteerde waar mijn werk op stond van 40 Bladzijden terwijl ik ziek was.

Daarnaast is het maatschappelijk ook belangrijk dat niemand betaald. Als er niemand is die betaald gebeurd het ook niet en hebben minder mensen er last van. Als je wel betaald steun je in feite deze praktijken en zijn jij of ik misschien het volgende slachtoffer.

We moeten natuurlijk wel eerst op TS wachten voordat we door kunnen discussiëren.

Maar een tweede HDD in de PC hangen en daarop backup doen, is dat handig?
Dropbox is toch ook een uitkomst als je diverse bestanden vaak ophaalt.(uiteraard met synchronisatie PC).
Dropbox wordt veel gebruikt op hogescholen tussen studenten.

Die tweede schijf of gesynchroniseerde bestanden worden net zo snel versleuteld. Ik gebruik crashplan, die werkt op basis van gewijzigde bestanden. De oude versies zijn voor de cryptolocker niet te wijzigen. Zodra de cryptolocker actief wordt zullen de bestanden op je harde schijf wel wijzigen en deze bestanden zullen wel weer gebackupt worden in de cloud maar door het terugzetten van de eerder opgeslagen oude versies kun je alles herstellen. Werkt voor mij goed. Ik gebruik de betaalde versie maar je kunt ook gratis lokaal werken. Kan dan alleen niet beoordelen hoe kwetsbaar de oude versies zijn in je Back-up.

Oops!

Ik was helemaal vergeten te zeggen, de cryptolocker waar onze klant mee geinfecteerd was had het virus nodig om ook weer te decrypten! Het virus is randomized dus er weer terug op zetten heeft geen zin.

Als je virusscanner het virus al heeft opgeschoond is optie 1 (betalen) niet meer mogenlijk, aangezien hij dat bestand nodig heeft om het ook te ontsleutelen. Ligt er maar net aan of u ook bent besmet met dezelfde cryptoware!

Een klant had de keuzen wel gemaakt om te betalen (puur omdat dit meer rendabel was). Binnen een paar minuten was alles ontsleuteld. Ligt er maar echt aan of wij het over dezelfde cryptolocker hebben!


Excuses voor enige slechte opbouw van mijn text.

EDIT1: Het virus is randomized dus er weer terug op zetten heeft geen zin.
EDIT2: Woord vergeten

[ Voor 11% gewijzigd door finniespin op 08-09-2015 09:18 ]

finniespin schreef op dinsdag 08 september 2015 @ 09:17:
Als je virusscanner het virus al heeft opgeschoond is optie 1 (betalen) niet meer mogenlijk, aangezien hij dat bestand nodig heeft om het ook te ontsleutelen. Ligt er maar net aan of u ook bent besmet met dezelfde cryptoware!

Meeste virusscanners zetten het virus in de quarantaine. Tools hebben hun quarantaine meestal in C:\
Dus daaruit kan het virus weer gehaald worden.

Wat je trouwens meestal nodig hebt om te unlocken is het programma: CTB-Unlocker.exe

[ Voor 8% gewijzigd door oheng op 08-09-2015 15:45 ]

Even ter opheldering voor de TS.
Ik lees: "Mijn Foto's zijn door computer "tuig"versleuteld"
Bedoel je hiermee ook alleen maar foto's of ook andere documenten?

[ Voor 3% gewijzigd door iTeV op 08-09-2015 17:38 ]

finniespin schreef op maandag 07 september 2015 @ 13:50:
Met een .EXE bestand als bijlage dat vermomd is als een .PDF bestand (let goed op het icoontje).

Icoontje zegt niks op windows os. ik kan een virus verstoppen in een .exe en dat bestand het pdf icoontje meegeven.
Zorg gewoon altijd dat je extensies toont in explorer