Toon posts:

Cryptolocker Extensies

Pagina: 1
Acties:

woensdag 23 maart 2016 10:45

Acties:
  • +3 Henk 'm!
  • furian88
  • Registratie: Februari 2007
  • Laatst online: 17-07 11:36

furian88

Topicstarter
De laatste tijd komen er steeds meer cryptolocker infecties voor (klanten van ons krijgen nu bijna dagelijks een infectie lijkt het wel..)

ik heb een script gemaakt om de extensies automatisch te blokkeren, echter blijven er natuurlijk nieuwe extensies bij komen.

Het leek me dan ook een goed plan om de extensies op een rijtje te gaan zetten die gebruikt worden door alle cryptolocker virussen,

hierbij mijn voorlopige lijst met extensies.
*.locked
*.crypto
*._crypt
*.crinf
*.XRNT
*.XTBL
*.pzdc
*.LOL!
*.OMG!
*.encryptedRSA
*.EnCiPhErEd
*.LeChiffre
*.keybtc@inbox_com
*.0x0
*.bleep
*.1999
*.HA3
*.toxcrypt
*.magic
*.CTB1
*.CTB2
*.ftelhdd
*.ztswgmc
*.extn
*.encrypted
*.hydracrypt
*.MP3
*.zzz
*.xyz
*.supercrypt
*.rrk
*.rdm
*.r16M*
*.nochance
*.kraken
*.kb15
*.hydracrypt*
*.good
*.frtrss
*.enc
*.darkness
*.cryptotorlocker*
*.crypto*
*.cry
*.locky
*.crjoker
*.cryptotorlocker*
*.ecc
*.encrypted
*.hydracrypt_ID*
*.r5a
*.vault
*.vault
*gmail*.crypt
*recover_instruction*.*
*restore_fi*.*
*want your files back.*
confirmation.key
cryptolocker.
*decrypt_instruct*.*
enc_files.txt
restore_fi.*
install_tor*.*
help_decrypt*.*
help_recover*.*
help_restore*.*
help_your_file*.*
how to decrypt*.*
how_recover*.*
how_to_decrypt*.*
how_to_recover*.*
howto_restore*.*
howtodecrypt*.*
install_tor*.*
last_chance.txt
message.txt
readme_decrypt*.*
readme_for_decrypt*.*
recovery_file.txt
recovery_key.txt
vault.hta
vault.key
vault.txt
your_files.url
recovery+*.*
*.cerber
decrypt my file*.*
Graag hoor ik uiteraard van jullie welke extensies er nog meer bij kunnen of eventueel andere ideeen om die kak locker virussen tegen te gaan.

edit: even overzichtelijker gemaakt.

[ Voor 13% gewijzigd door furian88 op 23-03-2016 10:54 ]

https://pvoutput.org/list.jsp?userid=86006

woensdag 23 maart 2016 11:22

Acties:
  • 0 Henk 'm!
  • Bor
  • Registratie: Februari 2001
  • Laatst online: 22:23

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

De meer geavanceerdere lockers stappen af van vastgelegde extensies (maar gebruiken een extentie di systeem gebonden is) waardoor je aan dit soort lijstjes in de toekomst steeds minder hebt.

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

woensdag 23 maart 2016 11:50

Acties:
  • 0 Henk 'm!
  • furian88
  • Registratie: Februari 2007
  • Laatst online: 17-07 11:36

furian88

Topicstarter
Bor schreef op woensdag 23 maart 2016 @ 11:22:
De meer geavanceerdere lockers stappen af van vastgelegde extensies (maar gebruiken een extentie di systeem gebonden is) waardoor je aan dit soort lijstjes in de toekomst steeds minder hebt.
Klopt als een bus, echter zolang er geen server variant van een antivirus is die dit goed weet te blokkeren heb je niet heel veel keuze.. Nu heb je in elk geval 50% kans dat je het wel weet tegen te houden..

https://pvoutput.org/list.jsp?userid=86006

woensdag 23 maart 2016 11:55

Acties:
  • +1 Henk 'm!
  • downtime
  • Registratie: Januari 2000
  • Niet online

downtime

Everybody lies

furian88 schreef op woensdag 23 maart 2016 @ 11:50:
Klopt als een bus, echter zolang er geen server variant van een antivirus is die dit goed weet te blokkeren heb je niet heel veel keuze.. Nu heb je in elk geval 50% kans dat je het wel weet tegen te houden..
Dit is gewoon symptoom bestrijding. Er zijn veel effectievere manieren. Denk aan SRP's en AppLocker (als je Windows draait). Sowieso geen eindgebruikers admin laten zijn op hun werkstations. Anders is het dweilen met de kraan open.

woensdag 23 maart 2016 12:00

Acties:
  • 0 Henk 'm!
  • MAX3400
  • Registratie: Mei 2003
  • Laatst online: 10-07 12:56

MAX3400

XBL: OctagonQontrol

Totdat een nieuwe versie bedenkt: goh, laten we dit soort scripts omzeilen en gewoon "jaaroverzicht2016.xls" hernoemen naar "jaaroverzicht2016_.xls". Dan ben je wel redelijk gezien met alle scripts / AV-scanners op een omgeving.

Mijn advertenties!!! | Mijn antwoorden zijn vaak niet snowflake-proof

vrijdag 25 maart 2016 13:35

Acties:
  • 0 Henk 'm!
  • Lightning89
  • Registratie: September 2007
  • Laatst online: 09:50

Lightning89

Mijn HTPC is zondag ook geinfecteerd. Maar alle bestanden zijn NIET veranderd van extensie, enig idee of dit een nieuwe variant is? Er zijn wel enkele bytes toegevoegd aan de bestanden.

[ Voor 6% gewijzigd door Lightning89 op 25-03-2016 13:35 ]

dinsdag 29 maart 2016 09:39

Acties:
  • 0 Henk 'm!
  • furian88
  • Registratie: Februari 2007
  • Laatst online: 17-07 11:36

furian88

Topicstarter
Lightning89 schreef op vrijdag 25 maart 2016 @ 13:35:
Mijn HTPC is zondag ook geinfecteerd. Maar alle bestanden zijn NIET veranderd van extensie, enig idee of dit een nieuwe variant is? Er zijn wel enkele bytes toegevoegd aan de bestanden.
Het kan zijn dat het de nieuwste Teslacrypt is geweest.

http://www.bleepingcomput...-stops-adding-extensions/

https://pvoutput.org/list.jsp?userid=86006

dinsdag 29 maart 2016 11:59

Acties:
  • 0 Henk 'm!
  • patatman12
  • Registratie: Maart 2011
  • Laatst online: 17-07 16:45

patatman12

Vandaag een nieuwe versie tegenkomen bij een klant.
Kan nergens verder een extensie vinden die hier op rijmt, het lijkt dus echt een compleet nieuwe te zijn.
Het gaat hier om de extensie .ucnwtel
Eenmaal bijvoorbeeld een .txt terug gezet is de inhoud ook volledig encrypt.

Ik heb nog geen .txt op het bureaublad aangetroffen of een bureaublad achtergrond.

Het gaat hier om een mailtje van Intrum Justitia.
Het gaat hier om een .PDF welke executable is. De .PDF.exe is ingepakt in een .ZIP.
De grap is dat de klant dacht dat het een pdf was, aangezien bekende extensies verborgen worden.

Wellicht handig om op te nemen in de lijst.

dinsdag 29 maart 2016 12:02

Acties:
  • 0 Henk 'm!
  • Ray
  • Registratie: December 2000
  • Laatst online: 28-02 20:13

Ray

ik heb deze mail vandaag ook gehad echter haalde nod32 direct het virus er al uit. Schijnbaar hoeft het dus niet een probleem te zijn mits een goede scanner

dinsdag 29 maart 2016 12:02

Acties:
  • +1 Henk 'm!
  • Paul
  • Registratie: September 2000
  • Laatst online: 15:00

Paul

patatman12 schreef op dinsdag 29 maart 2016 @ 11:59:
Kan nergens verder een extensie vinden die hier op rijmt, het lijkt dus echt een compleet nieuwe te zijn.
C#:
1

string extensie = GetRandomString(7);
De grap is dat de klant dacht dat het een pdf was, aangezien bekende extensies verborgen worden.
Worst. Default. Ever.

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

dinsdag 29 maart 2016 12:06

Acties:
  • 0 Henk 'm!
  • jeroen3
  • Registratie: Mei 2010
  • Laatst online: 21:38

jeroen3

Het moet toch doodeenvoudig zijn om dit te detecteren?
Meestal werken users in een paar top level mappen. Dus als users ineens grootschalig de gehele inhoud van bestanden wijzigt (incl magic bytes), de naam wijzigt, of verwijdert. Dan klopt er toch iets niet?
Of denk ik te simpel?

[ Voor 4% gewijzigd door jeroen3 op 29-03-2016 12:06 ]

dinsdag 29 maart 2016 12:32

Acties:
  • 0 Henk 'm!
  • patatman12
  • Registratie: Maart 2011
  • Laatst online: 17-07 16:45

patatman12

De klant probeerde het mailtje door te sturen naar ons, maar onze mailservers blokkeerde inderdaad het mailtje.
Ray schreef op dinsdag 29 maart 2016 @ 12:02:
ik heb deze mail vandaag ook gehad echter haalde nod32 direct het virus er al uit. Schijnbaar hoeft het dus niet een probleem te zijn mits een goede scanner

dinsdag 29 maart 2016 22:17

Acties:
  • 0 Henk 'm!
  • Lightning89
  • Registratie: September 2007
  • Laatst online: 09:50

Lightning89

furian88 schreef op dinsdag 29 maart 2016 @ 09:39:
[...]


Het kan zijn dat het de nieuwste Teslacrypt is geweest.

http://www.bleepingcomput...-stops-adding-extensions/
Ja klopt daar lijkt het op, zojuist enkele bestanden die ik wou behouden op m'n externe HD gezet. Wellicht over een paar jaar dat daar een oplossing voor is. Voor de rest windows opnieuw geinstalleerd.

woensdag 30 maart 2016 08:49

Acties:
  • +1 Henk 'm!
  • FlipFluitketel
  • Registratie: Juli 2002
  • Laatst online: 20:20

FlipFluitketel

Frontpage Admin
.surprise en .micro en .ttt mag je als extensies toevoegen. Maar zoals Bor al enigszins zei, er komen steeds meer van dit soort virussen die compleet willekeurige extensies toevoegen of het bestand compleet hernoemen of (zoals furian88 al zei) dat de extensies/bestandsnamen niet gewijzigd worden.

Ik heb ondertussen al een stuk of 7/8 pc's/laptops hier gehad met dit soort rommel en behalve .micro en .xxx zie ik geen enkele van de gebruikte extensies in je lijst staan aangezien het compleet willekeurige extensies waren.

There are only 10 types of people in the world...those who understand binary and those who don't.
Jeremy Clarkson: It’s, um, a mobile phone holder, or as Richard Hammond calls it, a seat!

woensdag 30 maart 2016 09:15

Acties:
  • 0 Henk 'm!
  • Bor
  • Registratie: Februari 2001
  • Laatst online: 22:23

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Lightning89 schreef op vrijdag 25 maart 2016 @ 13:35:
Mijn HTPC is zondag ook geinfecteerd. Maar alle bestanden zijn NIET veranderd van extensie, enig idee of dit een nieuwe variant is? Er zijn wel enkele bytes toegevoegd aan de bestanden.
Deze kans wordt steeds groter nu ransomware een grote toevlucht neemt gezien het een erg lucratieve business (b)lijkt. De tijd dat encrypted files aan de extentie te herkennen waren is zo langzamerhand wel voorbij. Steeds vaker worden random of dedicated extenties per systeem gebruikt of zoals je zelf al aangeeft het toevoegen van een paar bytes identificatiedata aan een bestand.

Een lijstje met bekende extenties is wellicht interessant voor de oudere en sommige huidige lockers maar het blijft een slecht lapmiddel en dweilen met de kraan open. Ik heb meer vertrouwen in andere oplossingen en het voorkomen van een besmetting dan het blokkeren van de encrypted files zelf.

Je zou bekende decrypt instructies ook nog kunnen detecteren maar daarvoor geldt hetzelfde als hierboven.

Enkele decrypt instructies zijn;
- DECRYPT_INSTRUCTION.txt
- DECRYPT_INSTRUCTION.htm
- DECRYPT_INSTRUCTION.html
- !Decrypt-All-Files-[RANDOM 7 chars].TXT
- !Decrypt-All-Files-[RANDOM 7 chars].BMP

[ Voor 13% gewijzigd door Bor op 30-03-2016 09:41 ]

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

woensdag 30 maart 2016 09:52

Acties:
  • 0 Henk 'm!
  • immetjes
  • Registratie: Juli 2003
  • Laatst online: 17-07 09:15

immetjes

HIER is BERN-E

Ik heb een synology NAS in m'n netwerk hangen. Deze kun je via twee Windows 10 PCs benaderen over het bedrade netwerk, mijn kinderen (gebruiken geen e-mail) spelen op die Windows PCs minecraft en Roblox. Er zijn op de PCs geen drives gemapped naar de NAS. Kan zo'n cryptolocker dan toch mijn NAS encrypten?

Edit: Draai Malwarebytes & Avira, vooral die eerste scheelt me erg veel werk qua verwijderen van pop-ups en 'handige' toolbars. Hoop dat het ook helpt tegen Cryptoware.

Edit2: Ik heb op mijn NAS "wijziging van bestaande bestanden uitschakelen" maar eens aangevinkt voor de foto's en films folders.

[ Voor 33% gewijzigd door immetjes op 30-03-2016 10:59 . Reden: info added ]

woensdag 30 maart 2016 10:01

Acties:
  • +1 Henk 'm!
  • Bor
  • Registratie: Februari 2001
  • Laatst online: 22:23

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

immetjes schreef op woensdag 30 maart 2016 @ 09:52:
Ik heb een synology NAS in m'n netwerk hangen. Deze kun je via twee Windows 10 PCs benaderen over het bedrade netwerk, mijn kinderen (gebruiken geen e-mail) spelen op die Windows PCs minecraft en Roblox. Er zijn op de PCs geen drives gemapped naar de NAS. Kan zo'n cryptolocker dan toch mijn NAS encrypten?
Dat hangt helemaal van de malware af. De huidige varianten nemen vaak mapped drives mee maar ik sluit niet uit dat toekomstige versies acties gaan zoeken naar shares.

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

woensdag 30 maart 2016 10:35

Acties:
  • 0 Henk 'm!
  • furian88
  • Registratie: Februari 2007
  • Laatst online: 17-07 11:36

furian88

Topicstarter
Bor schreef op woensdag 30 maart 2016 @ 10:01:
[...]


Dat hangt helemaal van de malware af. De huidige varianten nemen vaak mapped drives mee maar ik sluit niet uit dat toekomstige versies acties gaan zoeken naar shares.
Ik weet eigenlijk wel zeker dat dit gaat gebeuren...

https://pvoutput.org/list.jsp?userid=86006

woensdag 30 maart 2016 10:39

Acties:
  • 0 Henk 'm!
  • krietjur
  • Registratie: Februari 2001
  • Laatst online: 19:34

krietjur

Where am I?

Bor schreef op woensdag 30 maart 2016 @ 10:01:
[...]


Dat hangt helemaal van de malware af. De huidige varianten nemen vaak mapped drives mee maar ik sluit niet uit dat toekomstige versies acties gaan zoeken naar shares.
Dat gebeurt bij sommige soorten momenteel al. Hier op het werk al een paar keer meegemaakt dat een share die niet gemapt is, toch getroffen wordt.

woensdag 30 maart 2016 11:11

Acties:
  • 0 Henk 'm!
  • Bor
  • Registratie: Februari 2001
  • Laatst online: 22:23

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

krietjur schreef op woensdag 30 maart 2016 @ 10:39:
[...]


Dat gebeurt bij sommige soorten momenteel al. Hier op het werk al een paar keer meegemaakt dat een share die niet gemapt is, toch getroffen wordt.
Dat ga je in de toekomst alleen maar vaker zien. Nu is het vaak nog dat er een verbinding moet zijn of zijn geweest die op basis van cached credentials nog toegankelijk is maar ik sluit niet uit dat er meer en meer gebruik gemaakt gaat worden van actief scannen van het netwerk.

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

woensdag 30 maart 2016 12:50

Acties:
  • 0 Henk 'm!
  • krietjur
  • Registratie: Februari 2001
  • Laatst online: 19:34

krietjur

Where am I?

In dit geval had de gebruiker nog nooit enige verbinding gehad met de betreffende share. Was een aparte computer waar voor een paar gebruikers een share op was aangemaakt, maar waar voor het gemak maar voor alle domain users rechten waren gegeven. :X

Maar vanaf de geinfecteerde computer is 100% zeker nooit enige verbinding geweest met die share.. dus dat was al een gevalletje van netwerk afspeuren naar beschikbare shares.

vrijdag 1 april 2016 07:57

Acties:
  • 0 Henk 'm!
  • Dutchdeveloper
  • Registratie: Juni 2011
  • Laatst online: 13-03-2020

Dutchdeveloper

...

[ Voor 107% gewijzigd door Dutchdeveloper op 01-04-2016 08:52 ]

zondag 17 april 2016 19:06

Acties:
  • 0 Henk 'm!

Anoniem: 760463

Spam is verschrikkelijk! :(
dat is wat mij geholpen: Het algemeen beleid #verbodenspam

[ Voor 55% gewijzigd door F_J_K op 18-04-2016 07:38 ]

zondag 17 april 2016 19:09

Acties:
  • 0 Henk 'm!
  • johnkeates
  • Registratie: Februari 2008
  • Laatst online: 04-07 16:30

johnkeates

Anoniem: 760463 schreef op zondag 17 april 2016 @ 19:06:
Cerberus is verschrikkelijk! :(
dat is wat mij geholpen:
quote dan niet ;)
Ben jij een spambot?

[ Voor 24% gewijzigd door F_J_K op 18-04-2016 07:38 ]

zondag 17 april 2016 19:23

Acties:
  • 0 Henk 'm!
  • redfoxert
  • Registratie: December 2000
  • Niet online

redfoxert

Ik heb al cryptolockers gezien die de files op het oog niet eens aantast. Normaliter restoren we gewoon een backup naast de infected files nadat we de bron hebben gelocaliseerd en verwijderen we daarna de rotzooi. Vrij eenvoudig. Maar wanneer een cryptolocker geen files aanpast op naam maar enkel op inhoud dan zul je dus alles moeten restoren. Hoe meer rechten een gebruiker heeft gehad, des te langer je restore loopt.

https://discord.com/invite/tweakers

vrijdag 22 april 2016 02:11

Acties:
  • 0 Henk 'm!

Anoniem: 672534

https://noransom.kaspersky.com/
deze gratis tool kan data decrypten.
October 28 update: ALL Coinvault and Bitcryptor keys (14k+) added to the database
April 29 update: 13 decryption keys added to the database
April 17 update: 711 decryption keys added to the database

[ Voor 34% gewijzigd door Anoniem: 672534 op 22-04-2016 02:13 ]

zondag 3 juli 2016 17:58

Acties:
  • 0 Henk 'm!
  • anneke62
  • Registratie: November 2015
  • Laatst online: 02-07-2022

anneke62

wil hier toch even op reageren, weet niet of dit nog kan! ik heb sinds vrijdag een wildfire locker op mijn pc. bijna overal de extensie wflc erachter naast de gewone extensie. het encryptieprogrammatje van kaspersky werkt hier nog niet. iemand anders een idee? een systeemherstel zal zeker niet werken?

zondag 3 juli 2016 19:43

Acties:
  • 0 Henk 'm!
  • FlipFluitketel
  • Registratie: Juli 2002
  • Laatst online: 20:20

FlipFluitketel

Frontpage Admin
anneke62 schreef op zondag 03 juli 2016 @ 17:58:
wil hier toch even op reageren, weet niet of dit nog kan! ik heb sinds vrijdag een wildfire locker op mijn pc. bijna overal de extensie wflc erachter naast de gewone extensie. het encryptieprogrammatje van kaspersky werkt hier nog niet. iemand anders een idee? een systeemherstel zal zeker niet werken?
Er is (nog) geen decrypter voor die ransomware en een herstelpunt gaat inderdaad niet helpen.. Al eens met ShadowExplorer gekeken of er nog wat shadowcopies zijn overgebleven?

[ Voor 49% gewijzigd door FlipFluitketel op 03-07-2016 19:43 ]

There are only 10 types of people in the world...those who understand binary and those who don't.
Jeremy Clarkson: It’s, um, a mobile phone holder, or as Richard Hammond calls it, a seat!

maandag 4 juli 2016 18:02

Acties:
  • 0 Henk 'm!
  • arjants
  • Registratie: Mei 2000
  • Niet online

arjants

Hier de Zepto variant binnengekregen, *.ZEPTO en *_HELP_instructions*.* mogen ook op de lijst

Oorzaak:
Email, web en endpoints worden gescanned door Avira en Sophos.
Locker werd om 15.00 actief en ook virustotal gaf niks aan.
20.30 beide signature updates binnen waarin deze wel herkend werden, de email was geopend vanuit hotmail door gebruiker zonder verdere melding.

Policies maar eens herzien :P

[ Voor 62% gewijzigd door arjants op 05-07-2016 13:01 ]

We worden allemaal geconfronteerd met een reeks grootse kansen, op schitterende wijze vermomd als onoplosbare problemen. (John W. Gardner)

woensdag 6 juli 2016 11:14

Acties:
  • 0 Henk 'm!

Anoniem: 381820

Ik had bij een klant ook de xtbl-variant. Helaas had deze klant geen geld over voor een backup en waren de VSS-bestanden ook versleuteld.

Ik heb bij alle klanten nu een group policy aangemaakt welke het starten van programma's vanuit de appdata tegen houd.

[ Voor 68% gewijzigd door Anoniem: 381820 op 11-07-2016 13:34 ]

zaterdag 9 juli 2016 13:32

Acties:
  • 0 Henk 'm!
  • anneke62
  • Registratie: November 2015
  • Laatst online: 02-07-2022

anneke62

Ik heb nog gekeken of er eerdere versies van mijn bestanden waren, maar ik denk dat het virus dit allemaal tegenhoudt. Ik ben noodgedwongen eergisteren overgegaan om de fabrieksinstellingen weer te installeren, omdat de computer geen enkel programma kon opstarten. ik kreeg elke keer een foutmelding.

Erik77. Ik zal deze proberen. Aangezien het om een recente encryptie gaat hoop ik dat ie bijgewerkt is. Dank je wel iig

[ Voor 16% gewijzigd door anneke62 op 09-07-2016 13:33 ]

zaterdag 9 juli 2016 19:55

Acties:
  • 0 Henk 'm!
  • FlipFluitketel
  • Registratie: Juli 2002
  • Laatst online: 20:20

FlipFluitketel

Frontpage Admin
anneke62 schreef op zaterdag 09 juli 2016 @ 13:32:
Ik heb nog gekeken of er eerdere versies van mijn bestanden waren, maar ik denk dat het virus dit allemaal tegenhoudt. Ik ben noodgedwongen eergisteren overgegaan om de fabrieksinstellingen weer te installeren, omdat de computer geen enkel programma kon opstarten. ik kreeg elke keer een foutmelding.

Erik77. Ik zal deze proberen. Aangezien het om een recente encryptie gaat hoop ik dat ie bijgewerkt is. Dank je wel iig
Ik kan je garanderen dat de decrypter die Erik77 aangaf niet voor jou werkt, die was alleen voor de coinvault/bitcryptor-ransomware en jij hebt de wildfire-rommel. Een decrypter voor het ene type werkt niet voor het andere, er moet echt specifiek voor die wildfire-ransomware een decrypter komen wil je de bestanden nog terug krijgen.

There are only 10 types of people in the world...those who understand binary and those who don't.
Jeremy Clarkson: It’s, um, a mobile phone holder, or as Richard Hammond calls it, a seat!

maandag 11 juli 2016 13:33

Acties:
  • 0 Henk 'm!

Anoniem: 381820

Ik had er nu één welke de gebruiker binnen heeft gekregen als bijlage in de e-mail.
Het was een .docm bestand (Word bestand met Macro's).
Na het openen van het document en het toestaan van Macro's werden de bestanden van de gebruiker versleuteld.

maandag 11 juli 2016 13:36

Acties:
  • 0 Henk 'm!
  • maarud
  • Registratie: Mei 2005
  • Laatst online: 16-07 21:52

maarud

Dat is bijna de meest gebruikte manier om te besmetten dus regel #1 is NOOIT macro's inschakelen.

dinsdag 12 juli 2016 12:26

Acties:
  • 0 Henk 'm!

Anoniem: 381820

maarud schreef op maandag 11 juli 2016 @ 13:36:
Dat is bijna de meest gebruikte manier om te besmetten dus regel #1 is NOOIT macro's inschakelen.
Oké, ik heb macro's inderdaad overal uitgeschakeld (met melding).
Had deze alleen nog niet gezien. Tot nu toe waren het altijd Faktuur0000.pfd.exe bestanden.

woensdag 13 juli 2016 07:56

Acties:
  • 0 Henk 'm!
  • Thulium
  • Registratie: September 2011
  • Laatst online: 26-04 10:28

Thulium

Gisteren een javascriptje in een zipje gezien bij een klant, met Cerberus erin. Verder gewoon de laatste backup kunnen herstellen, dus weinig aan de hand :-)

Echter... Heeft een van jullie ervaring met het uitschakelen van de WSH (Windows Script Host)? Dat lijkt vooralsnog de beste verdediging (tegen scriptjes in de mail welteverstaan).

Ik draai zelf alleen Linux. Dus in het hypothetische geval dat ik zo'n bestandje uitvoer, zal het waarschijnlijk zeuren over wie of wat WScript is :p

[ Voor 4% gewijzigd door Thulium op 13-07-2016 07:59 ]

Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq