CTB Locker

begin eens om de pc op te starten met Ubuntu of zo vanaf een USB drive. Dan kan je veilig het bestandssysteem bekijken en beginnen om niet-geblokkeerde files alvast veilig te stellen.
En geen backup? Tssss

Ga NIET grasduinen in de Dropbox kopie vanaf de pc die besmet is aangezien ook shares worden aangetast! En misschien vindt je hier ook wel tips: Virus - ctb locker - alle bestanden versleuteld

Je kan de harddisk uithalen en in een andere (niet belangrijke pc, los van het internet) steken om zo de infectie niet verder te zetten, maar zodat je wel kan kijken of je nog iets kan redden. Daarna kan je kijken of je met previous versions nog iets kan terughalen.

Mijn vader was ook slachtoffer, met een zakelijke PC. Hij had op een linkje geklikt in een e-mail die van KPN leek met een online factuur. (Hij is klant bij KPN voor Backup Online)

Mail weg, databases weg, foto's weg, documenten weg etc.

Ik heb hem kunnen helpen door een image backup van de C: schijf terug te zetten en alle databestanden van de KPN online backup te herstellen. Godzijdank dat deze in orde en up-to-date was.

MS Security Essentials heeft hem niet gepakt helaas. Voor de zekerheid maar Malwarebytes ernaast gezet. 't Is wel een lesje geweest. Hij moppert weleens over die 'vervelende' beveiliging en eindeloze updates maar hij heeft gezien wat er kan gebeuren. De online backup (draait al jaren, nooit eerder nodig gehad) heeft zich in ieder geval in één klap terugbetaald.

Als de data niet hersteld zou zijn geweest had het serieuze gevolgen gehad voor de continuïteit van zijn MKB onderneming.

Een klant van mij heeft via email een link voor een Factuur van KPN internet geopend, en meteen CTB Locker gedownload. Vervolgens heeft hij nog een paar keer OK geklikt en voilà het kwaad was geschied.
Alle beeldbestanden, behalve .tiff, en tekst en documenten hebben de extensie .faowqmf gekregen en zijn niet te openen. Alles van zijn PC.
De virus is eigenlijk een ransom malware. eenvoudig weg te halen met MalwareBytes.
Scannen en natuurlijk ook verwijderen, óók uit de quarantaine map.
Opnieuw opstarten.
Je kunt je verloren bestanden niet terugkrijgen. bewaar die als referentie naar de naam die het had.
Neem een recovery programma om van de laatste keer dat er een partitie is geschreven naar de schijf alle hervonden bestanden te schrijven naar een aparte map, het liefst in een externe schijf. Zeker 75% van alle verloren bestanden kun je er weer mee terugkrijgen. De laatste moet je als verlies nemen.

Ik ben net klaar met een klant van me, zijn bestanden op OneDrive, Googledrive en Dropbox waren nog intact, alleen vertrouwde deze man de Cloud niet en stond er weinig op.
Bij het zien van de onbeschadigde bestanden is hij nu "om".
Bij TransIp kun je een gratis 1 TB online STACK krijgen om al je bestanden op te slaan.
Ik heb mijn hele bedrijfsadministratie erop staan.


Succes mensen.

[ Voor 5% gewijzigd door Mirost op 01-05-2016 22:58 ]

Gebruikers zijn altijd de zwakke schakel. Enerzijds omdat ze geen backups maken, anderzijds omdat ze klikken zonder te kijken. Ook het standaard verbergen van extensies wat Windows doet, helpt niet mee. Je ziet op die manier pas te laat dat Factuur.pdf eigenlijk Factuur.pdf.exe heet...

Been there, done that. In mijn verdediging: het was 03:00, en een factuur van TransIP waar ik dus klant van ben. Ik had vrij rap door dat het niet klopte, omdat na 10 seconden de PDF nog niet geopend was. Toch preventief mijn disk geformatteerd en een backup terug gezet.

Goei tip: https://labsblog.f-secure...able-windows-script-host/

Ik krijg net een telefoontje van m'n vader, die heeft CTB ook te pakken op vakantie (geen back-up natuurlijk). Waarschijnlijk is het een inkopper...maar decrypt is nog steeds niet mogelijk zeker

edit: (zonder te betalen )?

Vriend Google laat het mij in elk geval niet zien, ik hoop stiekem dat ik nog niet goed genoeg gezocht heb

[ Voor 5% gewijzigd door Sumerechny op 11-06-2016 16:30 ]

Nee, helaas nog steeds niet mogelijk. Er staat dus echt CTB-Locker in de melding?

[ Voor 37% gewijzigd door FlipFluitketel op 11-06-2016 20:12 ]

FlipFluitketel schreef op zaterdag 11 juni 2016 @ 20:12:
Nee, helaas nog steeds niet mogelijk. Er staat dus echt CTB-Locker in de melding?

Hij belde gisteren en hij noemde zelf de naam CTB locker en beschreef het meldingsscherm vrij duidelijk. Toen daarna de vraag gesteld werd wat hij moest doen met de dure KPN rekening en hoe hij het bijbehorende ZIP bestand kon openen was het vrij duidelijk

Edit: Ik hem direct gezegd dat hij WiFi moest afsluiten om te voorkomen dat bij thuiskomst (of bezoek aan ons) andere systemen besmet worden.

[ Voor 13% gewijzigd door Sumerechny op 12-06-2016 10:09 ]

Nu kijk ik naar NPO2 (Nieuwsuur) waar de cryptolocker hack in actie te zien was.

Ik heb hierover een vraag. In Nieuwsuur hadden ze het erover dat de computer wordt geencrypt wanneer je de email OPENT. Klopt dit? Of gaat het echt om het openen van bijlages etc?

Het gebeurt pas na het openen van de bijlage.

[ Voor 90% gewijzigd door boyette op 19-07-2016 10:51 ]