Toon posts:

Ransomware: nieuwe versie 'KPN'?

Pagina: 1
Acties:

woensdag 20 januari 2016 14:57

Acties:
  • vivenator
  • Registratie: September 2011
  • Laatst online: 01:13

vivenator

Topicstarter
Hi all,

ik kreeg vandaag bericht van een kennis dat zijn computer te grazen is genomen door ransomware. Daar het bepaald geen tweaker betreft en ik niet in de mogelijkheid ben om (op locatie) onderzoek te doen, ben ik benieuwd of er mensen zijn die (met de beperkte informatie) toevallig meer inzicht (betreft het een nieuwe soort ransomware of een verdwaalde mail?) of tips kunnen bieden. Kortom:

-De mail is gisteren (19-01-2016) verzonden 'van' KPN, afzender Bob Mols, onderwerp Factuur Internetdiensten. Na het openen van een zipfile werd ransomware geinstalleerd.

-Bijgevoegd een screenshot van de melding (geopend in: c:\ProgramData\motghcc.html, voor zo ver relevant)
Afbeeldingslocatie: http://i64.tinypic.com/2njcx7k.jpg

-De ransomware zelf is (...volgens mij dan) al verwijderd.

-Het viel me op dat er omstreeks Maart 2015 ook een 'kpn factuur internetdiensten' golf is geweest. Is iemand bekend met of dit een nieuwe versie betreft (of een verouderde) en of er (al) oplossingen voor zijn?

-Zijn er bepaalde tools die per definitie al een eind kunnen komen, zonder een specifieke variant te benoemen?

-Ik ben me er van bewust dat dit waarschijnlijk een gevalletje 'verlies nemen' wordt, maar ik heb toch de stille hoop op een goede oplossing :)
Mocht er (vooralsnog) geen fix zijn, laat dit in ieder geval een melding zijn dat er weer 'KPN' ransomware in de omloop is.

Alvast bedankt!

woensdag 20 januari 2016 17:39

Acties:

Verwijderd

Zucht..

Het gaat om een e-mail met een factuur voor internetdiensten van KPN, die lijkt op de factuur die KPN zelf verstuurt. In dit geval bestaat de bijlage uit een zipbestand die na opening het Cryptolocker virus installeert.

Op dit moment detecteren slechts 6 van de 56 virusscanners deze malware variant, voor zover bij mij bekend. Cryptolocker is wel erg vuil, zelfs na betaling blijft het onzeker of de bestanden weer toegankelijk worden.

Het grootste probleem is dat 99% van de internet en email gebruikers géén idee hebben over de risico's en het herkennen ervan.

Om terug te komen op je vraag of er een oplossing voor is: https://decryptcryptolocker.com/ alhoewel ik niet weet of deze pagina nog steeds Online staat. MalwareBytes anti malware zou ook kunnen helpen. Eventueel kan ik nog een tool benoemen die de files kan recoveren. Succes!

woensdag 20 januari 2016 17:46

Acties:
  • sypie
  • Registratie: Oktober 2000
  • Niet online

sypie

Verwijderd schreef op woensdag 20 januari 2016 @ 17:39:
Zucht..

Het gaat om een e-mail met een factuur voor internetdiensten van KPN, die lijkt op de factuur die KPN zelf verstuurt. In dit geval bestaat de bijlage uit een zipbestand die na opening het Cryptolocker virus installeert.

Het grootste probleem is dat 99% van de internet en email gebruikers géén idee hebben over de risico's en het herkennen ervan.
Het grootste deel van de internetgebruikers heeft geen flauw idee dat een factuur meestal in PDF of platte tekst gestuurd wordt. Wanneer men een zip-bestand toegestuurd krijgt is het voor veel gebruikers te moeilijk om hun nieuwsgierigheid te bedwingen... En ja, dan krijg je dit soort flauwekulsitiuaties.

woensdag 20 januari 2016 20:56

Acties:
  • vivenator
  • Registratie: September 2011
  • Laatst online: 01:13

vivenator

Topicstarter
@beide, thanks voor de replies.
Ik heb wellicht een ietwat korte bocht genomen, daar ik mij het meen te herinneren dat cryptolocker (en met name haar 'kpn' variant) om en rond maart 2015 veelvoudig in het nieuws was (en daarna een redelijk stille dood gestorven). Daarnaast dacht ik dat de bouwers hiervan opgepakt waren*, vandaar de vraag of dit weer een fork oid zou zijn (die nog niet gereport was).

Alright, ik heb dus met de 'normale' cryptolocker te maken. Dat maakt het in ieder geval allemaal een stuk duidelijker dan wel eenzijdiger. Was het echter niet zo dat de C&C van cryptolocker in beslag genomen was?

*Nadere zoektocht leert me dat dat niet zo lijkt te zijn.

edit:
https://decryptcryptolocker.com/ lijkt offline. Bij het zoeken naar een passende oplossing kom ik weer zo ontzettend veel forks / benamingen tegen dat ik eigenlijk toch op locatie even naar de pc moet kijken. Je gaat bijna denken dat een full reinstall minder moeite is dan alles proberen te herstellen :-)

[ Voor 18% gewijzigd door vivenator op 20-01-2016 21:04 ]

woensdag 20 januari 2016 21:20

Acties:
  • Baserk
  • Registratie: Februari 2007
  • Laatst online: 00:50

Baserk

Er zijn verschillende decryptie tools voor (sommige) ransomware varianten.
Bijv. op de blog van Emsisoft link.
Echter; tijdrovend en nooit een garantie op succes.
Als je kennis z'n data redelijk heeft gebackuped, zou ik idd voor een verse install gaan en Sandboxie of Hitmanpro.Alert aanraden, afhankelijk van je kennis z'n kennis.
En meteen een OS partitie-image maken na install&updates, om een volgend bezoek voor te zijn.

Romanes eunt domus | AITMOAFU

donderdag 21 januari 2016 07:58

Acties:

Verwijderd

Dat is dus het grote gevaar bij een zip bestand, kunnen uit zichzelf een installer met maware etc. deployen.

Ik zou adviseren om een full re-install te doen en desnoods voor de toekomst een onedrive of stack (TransIP) cloud account aan te vragen. Ik weet niet hoeveel ze er nog uit gaan geven, is in ieder geval 1TB gratis wat voor de meeste gebruikers ruim voldoende is.

Wat @Baserk al aangeeft. Kans is klein dat het decrypten succesvol is en enorm tijdrovend.

donderdag 21 januari 2016 08:42

Acties:
  • FlipFluitketel
  • Registratie: Juli 2002
  • Laatst online: 19:56

FlipFluitketel

Frontpage Admin
Een kennis van me heeft deze mail ook gehad (en geopend maar dat was gelukkig op de laptop waar niks belangrijks op stond). In het scherm stond de naam van het "virus" en dat was CTB-Locker. Als je daar naar gaat zoeken kom je oa uit bij http://www.bleepingcomput...er-ransomware-information, helaas dus (nog) niet te decrypten.

Zoals hierboven al gezegd, pc opnieuw installeren is het veiligste. Mocht er in de toekomst een mogelijkheid zijn om de boel te decrypten zou je natuurlijk een image van de huidige installatie kunnen maken zodat je daar later nog wat mee kunt proberen.

[ Voor 26% gewijzigd door FlipFluitketel op 21-01-2016 08:43 ]

There are only 10 types of people in the world...those who understand binary and those who don't.
Jeremy Clarkson: It’s, um, a mobile phone holder, or as Richard Hammond calls it, a seat!

donderdag 21 januari 2016 08:47

Acties:

Verwijderd

CTB-Locker? Eigenlijk nog erger. Nieuwer en geavanceerder, actief sinds medio Juli meen ik.

Infecteert o.a. het volgende:

C:\<random>\<random>.exe
C:\Users\<User>\AppData\Local\<random>.exe (Vista/7/8)
C:\Users\<User>\AppData\Local\<random>.exe (Vista/7/8)
C:\Documents and Settings\<User>\Application Data\<random>.exe (XP)
C:\Documents and Settings\<User>\Local Application Data\<random>.exe (XP)
%Temp%

donderdag 21 januari 2016 09:51

Acties:
  • Hugo!
  • Registratie: September 2015
  • Laatst online: 20:10

Hugo!

Kort vraagje, komt van deze cryptoware altijd via een zip? Of zijn er meerdere manieren hoe deze software op je computer komt?

donderdag 21 januari 2016 10:46

Acties:

Verwijderd

@Gekkejantje RansomWare / Cryptoware zoals CBT-Locker en dergelijke varianten kunnen op allerlei manieren gedeployed (geinstalleerd) worden. Even in leken taal kort samengevat zijn er globaal genomen deze vier mogelijkheden:

- Surfen op het internet zonder een AntiVirus software pakket.
- Openen van bijlagen in je e-mail (zoals bijv die .zip die hier genoemd werd)
- Downloaden en installeren van "nep" programma's, denk hierbij aan nep-installers die ongewenst allerlei extra's installeren
- Downloaden en installeren van "gehackte" illegale software via bijv. torrents en dergelijke

Vertrouw je het niet - download het niet.Open in geen geval een bijlage vanuit een mail die er verdacht uitziet.

donderdag 21 januari 2016 16:42

Acties:
  • FlipFluitketel
  • Registratie: Juli 2002
  • Laatst online: 19:56

FlipFluitketel

Frontpage Admin
Verwijderd schreef op donderdag 21 januari 2016 @ 08:47:
CTB-Locker? Eigenlijk nog erger. Nieuwer en geavanceerder, actief sinds medio Juli meen ik.
Juli 2014 ja, zie dat linkje wat ik eerder gepost heb. :)
Verwijderd schreef op donderdag 21 januari 2016 @ 10:46:
- Surfen op het internet zonder een AntiVirus software pakket.
Even naar je eigen reactie verwijzen: Verwijderd in "Ransomware: nieuwe versie 'KPN'?"
Een (geupdate) virusscanner wil dus ook niks zeggen. ;)

Die laptop van mijn kennis had ook gewoon een virusscanner erop staan, virus werd niet tegengehouden. Vorige maand iemand die Teslacrypt te pakken had, Norman was geinstalleerd en geupdate, virus werd niet tegengehouden.

Wat kun je er aan doen? Goede backups maken en ook regelmatig. Misschien dat de betaalde versie van HitmanPro Alert het wel tegenhoudt maar de normale virusscanners heb ik dus heel erg mijn twijfels over.

There are only 10 types of people in the world...those who understand binary and those who don't.
Jeremy Clarkson: It’s, um, a mobile phone holder, or as Richard Hammond calls it, a seat!

donderdag 21 januari 2016 17:11

Acties:

Verwijderd

Klopt helemaal. Ik zal ook niet beweren dat elke virusscanner het zal voorkomen ;) zodra je zelf iets uitpakt of ergens op klikt is het gedaan.

Backup maken blijft essentieel. Ofwel een image of cloud opslag zoals OneDrive of Stack van TransIP.

Geen idee wat Hitman pro verder overigens kost.

[ Voor 34% gewijzigd door Verwijderd op 22-01-2016 11:01 ]

vrijdag 22 januari 2016 10:03

Acties:
  • furian88
  • Registratie: Februari 2007
  • Laatst online: 06-11 15:11

furian88

FlipFluitketel schreef op donderdag 21 januari 2016 @ 16:42:
[...]

Juli 2014 ja, zie dat linkje wat ik eerder gepost heb. :)


[...]

Even naar je eigen reactie verwijzen: Verwijderd in "Ransomware: nieuwe versie 'KPN'?"
Een (geupdate) virusscanner wil dus ook niks zeggen. ;)

Die laptop van mijn kennis had ook gewoon een virusscanner erop staan, virus werd niet tegengehouden. Vorige maand iemand die Teslacrypt te pakken had, Norman was geinstalleerd en geupdate, virus werd niet tegengehouden.

Wat kun je er aan doen? Goede backups maken en ook regelmatig. Misschien dat de betaalde versie van HitmanPro Alert het wel tegenhoudt maar de normale virusscanners heb ik dus heel erg mijn twijfels over.
ondanks dat ik zelf systeembeheerder ben heb ik dus voor de zekerheid ook hitmanpro.alert aangeschaft, en wel juist voor dit soort dingen.

In mijn ogen de 60 euro voor 3 jaar tijd voor 3 pcs meer dan waard !

https://pvoutput.org/list.jsp?userid=86006

vrijdag 29 januari 2016 12:39

Acties:
  • oheng
  • Registratie: Januari 2001
  • Laatst online: 20-10 19:53

oheng

Eigenlijk he... Eigenlijk komt dit probleem voort uit de beslissing die Microsoft ooit heeft genomen om bestandsextensies te verbergen in Windows 2000 en XP.
Verreweg de meeste Cryptolocker besmettingen komen voort uit deze historische beslissing.

Ik heb een kleine handleiding geschreven voor wat betreft Cryptolockers:
- Data recovery helpt normaal gesproken niet
- Shadow copies worden geleegd
- Er staat vaak een lijst van bestanden in: HKCU\Software\ bovenste enrty met allemaal cijfers
- Cloud opslag: vaak kun je terug naar vorige versies
- Backup: kijk ook of Windows backup per ongeluk heeft gedraaid

Decrypters:
https://www.decryptcryptolocker.com/ (werkt niet meer)
https://noransom.kaspersk...=text&utm_campaign=kd-com
Kaspersky's RectorDecryptor.exe
RakhniDecryptor.exe

Na besmetting:
- Zet backup jobs / sync schema's uit
- scan PC na een paar dagen nogmaals, er is vaak nog terugkerende malware te vinden!!!
- Zet System Restore weer aan (wordt soms uitgeschakeld)
- zet bestanden in explorer weer op verborgen


En maatregelen tegen Cryptolockers? Misschien dat Malwarebytes iets kan doen om met name de digibeten te beschermen: downloads: Malwarebytes Anti-Ransomware 0.9.4.299 bèta

vrijdag 29 januari 2016 14:12

Acties:
  • FlipFluitketel
  • Registratie: Juli 2002
  • Laatst online: 19:56

FlipFluitketel

Frontpage Admin
Er zijn veel meer decrypters te vinden aangezien er ook veel meer verschillende ransomware-virussen zijn. Sommige zijn enorm "slecht" gemaakt waardoor ze ook vrij snel gekraakt worden, andere zijn na 1,5jaar nog steeds niet gekraakt.

Paar voorbeelden:
LeChiffre Ransomware met een decrypter van EmsiSoft
Teslacrypt met TeslaDecoder of TeslaCrack (ondertussen is TeslaCrypt ook al weer toe aan een nieuwe versie die nog niet te gekraakt is).
Radamant Ransomware met weer een decrypter van Emsisoft.

Ben je geïnfecteerd met zo'n virus, probeer dan niet alleen de genoemde namen maar ga op zoek (en op bleepingcomputer.com heb je grote kans meer "lotgenoten" te vinden).

There are only 10 types of people in the world...those who understand binary and those who don't.
Jeremy Clarkson: It’s, um, a mobile phone holder, or as Richard Hammond calls it, a seat!

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq