Toon posts:

Cryptolocker Extensies

Pagina: 1
Acties:

  • furian88
  • Registratie: februari 2007
  • Laatst online: 16-09 16:35
De laatste tijd komen er steeds meer cryptolocker infecties voor (klanten van ons krijgen nu bijna dagelijks een infectie lijkt het wel..)

ik heb een script gemaakt om de extensies automatisch te blokkeren, echter blijven er natuurlijk nieuwe extensies bij komen.

Het leek me dan ook een goed plan om de extensies op een rijtje te gaan zetten die gebruikt worden door alle cryptolocker virussen,

hierbij mijn voorlopige lijst met extensies.
*.locked
*.crypto
*._crypt
*.crinf
*.XRNT
*.XTBL
*.pzdc
*.LOL!
*.OMG!
*.encryptedRSA
*.EnCiPhErEd
*.LeChiffre
*.keybtc@inbox_com
*.0x0
*.bleep
*.1999
*.HA3
*.toxcrypt
*.magic
*.CTB1
*.CTB2
*.ftelhdd
*.ztswgmc
*.extn
*.encrypted
*.hydracrypt
*.MP3
*.zzz
*.xyz
*.supercrypt
*.rrk
*.rdm
*.r16M*
*.nochance
*.kraken
*.kb15
*.hydracrypt*
*.good
*.frtrss
*.enc
*.darkness
*.cryptotorlocker*
*.crypto*
*.cry
*.locky
*.crjoker
*.cryptotorlocker*
*.ecc
*.encrypted
*.hydracrypt_ID*
*.r5a
*.vault
*.vault
*gmail*.crypt
*recover_instruction*.*
*restore_fi*.*
*want your files back.*
confirmation.key
cryptolocker.
*decrypt_instruct*.*
enc_files.txt
restore_fi.*
install_tor*.*
help_decrypt*.*
help_recover*.*
help_restore*.*
help_your_file*.*
how to decrypt*.*
how_recover*.*
how_to_decrypt*.*
how_to_recover*.*
howto_restore*.*
howtodecrypt*.*
install_tor*.*
last_chance.txt
message.txt
readme_decrypt*.*
readme_for_decrypt*.*
recovery_file.txt
recovery_key.txt
vault.hta
vault.key
vault.txt
your_files.url
recovery+*.*
*.cerber
decrypt my file*.*
Graag hoor ik uiteraard van jullie welke extensies er nog meer bij kunnen of eventueel andere ideeen om die kak locker virussen tegen te gaan.

edit: even overzichtelijker gemaakt.

[Voor 13% gewijzigd door furian88 op 23-03-2016 10:54]

https://pvoutput.org/list.jsp?userid=86006


  • Bor
  • Registratie: februari 2001
  • Laatst online: 23:02

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

De meer geavanceerdere lockers stappen af van vastgelegde extensies (maar gebruiken een extentie di systeem gebonden is) waardoor je aan dit soort lijstjes in de toekomst steeds minder hebt.

Frontpagemoderatie Forum


  • furian88
  • Registratie: februari 2007
  • Laatst online: 16-09 16:35
Bor schreef op woensdag 23 maart 2016 @ 11:22:
De meer geavanceerdere lockers stappen af van vastgelegde extensies (maar gebruiken een extentie di systeem gebonden is) waardoor je aan dit soort lijstjes in de toekomst steeds minder hebt.
Klopt als een bus, echter zolang er geen server variant van een antivirus is die dit goed weet te blokkeren heb je niet heel veel keuze.. Nu heb je in elk geval 50% kans dat je het wel weet tegen te houden..

https://pvoutput.org/list.jsp?userid=86006


  • downtime
  • Registratie: januari 2000
  • Niet online

downtime

Everybody lies

furian88 schreef op woensdag 23 maart 2016 @ 11:50:
Klopt als een bus, echter zolang er geen server variant van een antivirus is die dit goed weet te blokkeren heb je niet heel veel keuze.. Nu heb je in elk geval 50% kans dat je het wel weet tegen te houden..
Dit is gewoon symptoom bestrijding. Er zijn veel effectievere manieren. Denk aan SRP's en AppLocker (als je Windows draait). Sowieso geen eindgebruikers admin laten zijn op hun werkstations. Anders is het dweilen met de kraan open.

  • MAX3400
  • Registratie: mei 2003
  • Laatst online: 18-09 13:06

MAX3400

XBL: OctagonQontrol

Totdat een nieuwe versie bedenkt: goh, laten we dit soort scripts omzeilen en gewoon "jaaroverzicht2016.xls" hernoemen naar "jaaroverzicht2016_.xls". Dan ben je wel redelijk gezien met alle scripts / AV-scanners op een omgeving.

Mijn antwoorden zijn vaak niet snowflake-proof


  • Lightning89
  • Registratie: september 2007
  • Laatst online: 23:26
Mijn HTPC is zondag ook geinfecteerd. Maar alle bestanden zijn NIET veranderd van extensie, enig idee of dit een nieuwe variant is? Er zijn wel enkele bytes toegevoegd aan de bestanden.

[Voor 6% gewijzigd door Lightning89 op 25-03-2016 13:35]


  • furian88
  • Registratie: februari 2007
  • Laatst online: 16-09 16:35
Lightning89 schreef op vrijdag 25 maart 2016 @ 13:35:
Mijn HTPC is zondag ook geinfecteerd. Maar alle bestanden zijn NIET veranderd van extensie, enig idee of dit een nieuwe variant is? Er zijn wel enkele bytes toegevoegd aan de bestanden.
Het kan zijn dat het de nieuwste Teslacrypt is geweest.

http://www.bleepingcomput...-stops-adding-extensions/

https://pvoutput.org/list.jsp?userid=86006


  • patatman12
  • Registratie: maart 2011
  • Laatst online: 06-09 08:59
Vandaag een nieuwe versie tegenkomen bij een klant.
Kan nergens verder een extensie vinden die hier op rijmt, het lijkt dus echt een compleet nieuwe te zijn.
Het gaat hier om de extensie .ucnwtel
Eenmaal bijvoorbeeld een .txt terug gezet is de inhoud ook volledig encrypt.

Ik heb nog geen .txt op het bureaublad aangetroffen of een bureaublad achtergrond.

Het gaat hier om een mailtje van Intrum Justitia.
Het gaat hier om een .PDF welke executable is. De .PDF.exe is ingepakt in een .ZIP.
De grap is dat de klant dacht dat het een pdf was, aangezien bekende extensies verborgen worden.

Wellicht handig om op te nemen in de lijst.

  • Ray
  • Registratie: december 2000
  • Laatst online: 17-08 21:14
ik heb deze mail vandaag ook gehad echter haalde nod32 direct het virus er al uit. Schijnbaar hoeft het dus niet een probleem te zijn mits een goede scanner

Acties:
  • +1Henk 'm!

  • Paul
  • Registratie: september 2000
  • Laatst online: 23:24
patatman12 schreef op dinsdag 29 maart 2016 @ 11:59:
Kan nergens verder een extensie vinden die hier op rijmt, het lijkt dus echt een compleet nieuwe te zijn.
C#:
1
string extensie = GetRandomString(7);
De grap is dat de klant dacht dat het een pdf was, aangezien bekende extensies verborgen worden.
Worst. Default. Ever.

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock


  • jeroen3
  • Registratie: mei 2010
  • Laatst online: 18:23
Het moet toch doodeenvoudig zijn om dit te detecteren?
Meestal werken users in een paar top level mappen. Dus als users ineens grootschalig de gehele inhoud van bestanden wijzigt (incl magic bytes), de naam wijzigt, of verwijdert. Dan klopt er toch iets niet?
Of denk ik te simpel?

[Voor 4% gewijzigd door jeroen3 op 29-03-2016 12:06]


  • patatman12
  • Registratie: maart 2011
  • Laatst online: 06-09 08:59
De klant probeerde het mailtje door te sturen naar ons, maar onze mailservers blokkeerde inderdaad het mailtje.
Ray schreef op dinsdag 29 maart 2016 @ 12:02:
ik heb deze mail vandaag ook gehad echter haalde nod32 direct het virus er al uit. Schijnbaar hoeft het dus niet een probleem te zijn mits een goede scanner

  • Lightning89
  • Registratie: september 2007
  • Laatst online: 23:26
Ja klopt daar lijkt het op, zojuist enkele bestanden die ik wou behouden op m'n externe HD gezet. Wellicht over een paar jaar dat daar een oplossing voor is. Voor de rest windows opnieuw geinstalleerd.

  • FlipFluitketel
  • Registratie: juli 2002
  • Laatst online: 19:55

FlipFluitketel

Frontpage Admin
.surprise en .micro en .ttt mag je als extensies toevoegen. Maar zoals Bor al enigszins zei, er komen steeds meer van dit soort virussen die compleet willekeurige extensies toevoegen of het bestand compleet hernoemen of (zoals furian88 al zei) dat de extensies/bestandsnamen niet gewijzigd worden.

Ik heb ondertussen al een stuk of 7/8 pc's/laptops hier gehad met dit soort rommel en behalve .micro en .xxx zie ik geen enkele van de gebruikte extensies in je lijst staan aangezien het compleet willekeurige extensies waren.

There are only 10 types of people in the world...those who understand binary and those who don't.
Jeremy Clarkson: It’s, um, a mobile phone holder, or as Richard Hammond calls it, a seat!


  • Bor
  • Registratie: februari 2001
  • Laatst online: 23:02

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Lightning89 schreef op vrijdag 25 maart 2016 @ 13:35:
Mijn HTPC is zondag ook geinfecteerd. Maar alle bestanden zijn NIET veranderd van extensie, enig idee of dit een nieuwe variant is? Er zijn wel enkele bytes toegevoegd aan de bestanden.
Deze kans wordt steeds groter nu ransomware een grote toevlucht neemt gezien het een erg lucratieve business (b)lijkt. De tijd dat encrypted files aan de extentie te herkennen waren is zo langzamerhand wel voorbij. Steeds vaker worden random of dedicated extenties per systeem gebruikt of zoals je zelf al aangeeft het toevoegen van een paar bytes identificatiedata aan een bestand.

Een lijstje met bekende extenties is wellicht interessant voor de oudere en sommige huidige lockers maar het blijft een slecht lapmiddel en dweilen met de kraan open. Ik heb meer vertrouwen in andere oplossingen en het voorkomen van een besmetting dan het blokkeren van de encrypted files zelf.

Je zou bekende decrypt instructies ook nog kunnen detecteren maar daarvoor geldt hetzelfde als hierboven.

Enkele decrypt instructies zijn;
- DECRYPT_INSTRUCTION.txt
- DECRYPT_INSTRUCTION.htm
- DECRYPT_INSTRUCTION.html
- !Decrypt-All-Files-[RANDOM 7 chars].TXT
- !Decrypt-All-Files-[RANDOM 7 chars].BMP

[Voor 13% gewijzigd door Bor op 30-03-2016 09:41]

Frontpagemoderatie Forum


  • immetjes
  • Registratie: juli 2003
  • Laatst online: 16-09 14:51

immetjes

HIER is BERN-E

Ik heb een synology NAS in m'n netwerk hangen. Deze kun je via twee Windows 10 PCs benaderen over het bedrade netwerk, mijn kinderen (gebruiken geen e-mail) spelen op die Windows PCs minecraft en Roblox. Er zijn op de PCs geen drives gemapped naar de NAS. Kan zo'n cryptolocker dan toch mijn NAS encrypten?

Edit: Draai Malwarebytes & Avira, vooral die eerste scheelt me erg veel werk qua verwijderen van pop-ups en 'handige' toolbars. Hoop dat het ook helpt tegen Cryptoware.

Edit2: Ik heb op mijn NAS "wijziging van bestaande bestanden uitschakelen" maar eens aangevinkt voor de foto's en films folders.

[Voor 33% gewijzigd door immetjes op 30-03-2016 10:59. Reden: info added]


  • Bor
  • Registratie: februari 2001
  • Laatst online: 23:02

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

immetjes schreef op woensdag 30 maart 2016 @ 09:52:
Ik heb een synology NAS in m'n netwerk hangen. Deze kun je via twee Windows 10 PCs benaderen over het bedrade netwerk, mijn kinderen (gebruiken geen e-mail) spelen op die Windows PCs minecraft en Roblox. Er zijn op de PCs geen drives gemapped naar de NAS. Kan zo'n cryptolocker dan toch mijn NAS encrypten?
Dat hangt helemaal van de malware af. De huidige varianten nemen vaak mapped drives mee maar ik sluit niet uit dat toekomstige versies acties gaan zoeken naar shares.

Frontpagemoderatie Forum


  • furian88
  • Registratie: februari 2007
  • Laatst online: 16-09 16:35
Bor schreef op woensdag 30 maart 2016 @ 10:01:
[...]


Dat hangt helemaal van de malware af. De huidige varianten nemen vaak mapped drives mee maar ik sluit niet uit dat toekomstige versies acties gaan zoeken naar shares.
Ik weet eigenlijk wel zeker dat dit gaat gebeuren...

https://pvoutput.org/list.jsp?userid=86006


  • krietjur
  • Registratie: februari 2001
  • Laatst online: 04-09 21:12

krietjur

Where am I?

Bor schreef op woensdag 30 maart 2016 @ 10:01:
[...]


Dat hangt helemaal van de malware af. De huidige varianten nemen vaak mapped drives mee maar ik sluit niet uit dat toekomstige versies acties gaan zoeken naar shares.
Dat gebeurt bij sommige soorten momenteel al. Hier op het werk al een paar keer meegemaakt dat een share die niet gemapt is, toch getroffen wordt.

  • Bor
  • Registratie: februari 2001
  • Laatst online: 23:02

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

krietjur schreef op woensdag 30 maart 2016 @ 10:39:
[...]


Dat gebeurt bij sommige soorten momenteel al. Hier op het werk al een paar keer meegemaakt dat een share die niet gemapt is, toch getroffen wordt.
Dat ga je in de toekomst alleen maar vaker zien. Nu is het vaak nog dat er een verbinding moet zijn of zijn geweest die op basis van cached credentials nog toegankelijk is maar ik sluit niet uit dat er meer en meer gebruik gemaakt gaat worden van actief scannen van het netwerk.

Frontpagemoderatie Forum


  • krietjur
  • Registratie: februari 2001
  • Laatst online: 04-09 21:12

krietjur

Where am I?

In dit geval had de gebruiker nog nooit enige verbinding gehad met de betreffende share. Was een aparte computer waar voor een paar gebruikers een share op was aangemaakt, maar waar voor het gemak maar voor alle domain users rechten waren gegeven. :X

Maar vanaf de geinfecteerde computer is 100% zeker nooit enige verbinding geweest met die share.. dus dat was al een gevalletje van netwerk afspeuren naar beschikbare shares.

  • Dutchdeveloper
  • Registratie: juni 2011
  • Laatst online: 13-03-2020
...

[Voor 107% gewijzigd door Dutchdeveloper op 01-04-2016 08:52]


  • Olala77
  • Registratie: april 2016
  • Laatst online: 14-05-2016
Spam is verschrikkelijk! :(
dat is wat mij geholpen: Het algemeen beleid #verbodenspam

[Voor 55% gewijzigd door F_J_K op 18-04-2016 07:38]


  • johnkeates
  • Registratie: februari 2008
  • Laatst online: 14-09 21:36
Olala77 schreef op zondag 17 april 2016 @ 19:06:
Cerberus is verschrikkelijk! :(
dat is wat mij geholpen:
quote dan niet ;)
Ben jij een spambot?

[Voor 24% gewijzigd door F_J_K op 18-04-2016 07:38]


  • redfoxert
  • Registratie: december 2000
  • Niet online
Ik heb al cryptolockers gezien die de files op het oog niet eens aantast. Normaliter restoren we gewoon een backup naast de infected files nadat we de bron hebben gelocaliseerd en verwijderen we daarna de rotzooi. Vrij eenvoudig. Maar wanneer een cryptolocker geen files aanpast op naam maar enkel op inhoud dan zul je dus alles moeten restoren. Hoe meer rechten een gebruiker heeft gehad, des te langer je restore loopt.

  • Erik777
  • Registratie: mei 2015
  • Laatst online: 02-02-2018
https://noransom.kaspersky.com/
deze gratis tool kan data decrypten.
October 28 update: ALL Coinvault and Bitcryptor keys (14k+) added to the database
April 29 update: 13 decryption keys added to the database
April 17 update: 711 decryption keys added to the database

[Voor 34% gewijzigd door Erik777 op 22-04-2016 02:13]


Acties:
  • 0Henk 'm!

  • anneke62
  • Registratie: november 2015
  • Laatst online: 05-02-2020
wil hier toch even op reageren, weet niet of dit nog kan! ik heb sinds vrijdag een wildfire locker op mijn pc. bijna overal de extensie wflc erachter naast de gewone extensie. het encryptieprogrammatje van kaspersky werkt hier nog niet. iemand anders een idee? een systeemherstel zal zeker niet werken?

Acties:
  • 0Henk 'm!

  • FlipFluitketel
  • Registratie: juli 2002
  • Laatst online: 19:55

FlipFluitketel

Frontpage Admin
anneke62 schreef op zondag 03 juli 2016 @ 17:58:
wil hier toch even op reageren, weet niet of dit nog kan! ik heb sinds vrijdag een wildfire locker op mijn pc. bijna overal de extensie wflc erachter naast de gewone extensie. het encryptieprogrammatje van kaspersky werkt hier nog niet. iemand anders een idee? een systeemherstel zal zeker niet werken?
Er is (nog) geen decrypter voor die ransomware en een herstelpunt gaat inderdaad niet helpen.. Al eens met ShadowExplorer gekeken of er nog wat shadowcopies zijn overgebleven?

[Voor 49% gewijzigd door FlipFluitketel op 03-07-2016 19:43]

There are only 10 types of people in the world...those who understand binary and those who don't.
Jeremy Clarkson: It’s, um, a mobile phone holder, or as Richard Hammond calls it, a seat!


Acties:
  • 0Henk 'm!

  • arjants
  • Registratie: mei 2000
  • Niet online
Hier de Zepto variant binnengekregen, *.ZEPTO en *_HELP_instructions*.* mogen ook op de lijst

Oorzaak:
Email, web en endpoints worden gescanned door Avira en Sophos.
Locker werd om 15.00 actief en ook virustotal gaf niks aan.
20.30 beide signature updates binnen waarin deze wel herkend werden, de email was geopend vanuit hotmail door gebruiker zonder verdere melding.

Policies maar eens herzien :P

[Voor 62% gewijzigd door arjants op 05-07-2016 13:01]

We worden allemaal geconfronteerd met een reeks grootse kansen, op schitterende wijze vermomd als onoplosbare problemen. (John W. Gardner)


  • MooFz
  • Registratie: november 2010
  • Laatst online: 19-12-2016
Ik had bij een klant ook de xtbl-variant. Helaas had deze klant geen geld over voor een backup en waren de VSS-bestanden ook versleuteld.

Ik heb bij alle klanten nu een group policy aangemaakt welke het starten van programma's vanuit de appdata tegen houd.

[Voor 68% gewijzigd door MooFz op 11-07-2016 13:34]


  • anneke62
  • Registratie: november 2015
  • Laatst online: 05-02-2020
Ik heb nog gekeken of er eerdere versies van mijn bestanden waren, maar ik denk dat het virus dit allemaal tegenhoudt. Ik ben noodgedwongen eergisteren overgegaan om de fabrieksinstellingen weer te installeren, omdat de computer geen enkel programma kon opstarten. ik kreeg elke keer een foutmelding.

Erik77. Ik zal deze proberen. Aangezien het om een recente encryptie gaat hoop ik dat ie bijgewerkt is. Dank je wel iig

[Voor 16% gewijzigd door anneke62 op 09-07-2016 13:33]


  • FlipFluitketel
  • Registratie: juli 2002
  • Laatst online: 19:55

FlipFluitketel

Frontpage Admin
anneke62 schreef op zaterdag 09 juli 2016 @ 13:32:
Ik heb nog gekeken of er eerdere versies van mijn bestanden waren, maar ik denk dat het virus dit allemaal tegenhoudt. Ik ben noodgedwongen eergisteren overgegaan om de fabrieksinstellingen weer te installeren, omdat de computer geen enkel programma kon opstarten. ik kreeg elke keer een foutmelding.

Erik77. Ik zal deze proberen. Aangezien het om een recente encryptie gaat hoop ik dat ie bijgewerkt is. Dank je wel iig
Ik kan je garanderen dat de decrypter die Erik77 aangaf niet voor jou werkt, die was alleen voor de coinvault/bitcryptor-ransomware en jij hebt de wildfire-rommel. Een decrypter voor het ene type werkt niet voor het andere, er moet echt specifiek voor die wildfire-ransomware een decrypter komen wil je de bestanden nog terug krijgen.

There are only 10 types of people in the world...those who understand binary and those who don't.
Jeremy Clarkson: It’s, um, a mobile phone holder, or as Richard Hammond calls it, a seat!


  • MooFz
  • Registratie: november 2010
  • Laatst online: 19-12-2016
Ik had er nu één welke de gebruiker binnen heeft gekregen als bijlage in de e-mail.
Het was een .docm bestand (Word bestand met Macro's).
Na het openen van het document en het toestaan van Macro's werden de bestanden van de gebruiker versleuteld.

  • maarud
  • Registratie: mei 2005
  • Laatst online: 18-09 14:01
Dat is bijna de meest gebruikte manier om te besmetten dus regel #1 is NOOIT macro's inschakelen.

  • MooFz
  • Registratie: november 2010
  • Laatst online: 19-12-2016
maarud schreef op maandag 11 juli 2016 @ 13:36:
Dat is bijna de meest gebruikte manier om te besmetten dus regel #1 is NOOIT macro's inschakelen.
Oké, ik heb macro's inderdaad overal uitgeschakeld (met melding).
Had deze alleen nog niet gezien. Tot nu toe waren het altijd Faktuur0000.pfd.exe bestanden.

  • Thulium
  • Registratie: september 2011
  • Laatst online: 17-08 11:04
Gisteren een javascriptje in een zipje gezien bij een klant, met Cerberus erin. Verder gewoon de laatste backup kunnen herstellen, dus weinig aan de hand :-)

Echter... Heeft een van jullie ervaring met het uitschakelen van de WSH (Windows Script Host)? Dat lijkt vooralsnog de beste verdediging (tegen scriptjes in de mail welteverstaan).

Ik draai zelf alleen Linux. Dus in het hypothetische geval dat ik zo'n bestandje uitvoer, zal het waarschijnlijk zeuren over wie of wat WScript is :p

[Voor 4% gewijzigd door Thulium op 13-07-2016 07:59]

Pagina: 1


Nintendo Switch (OLED model) Apple iPhone 13 LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S21 5G Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True

Tweakers maakt gebruik van cookies

Bij het bezoeken van het forum plaatst Tweakers alleen functionele en analytische cookies voor optimalisatie en analyse om de website-ervaring te verbeteren. Op het forum worden geen trackingcookies geplaatst. Voor het bekijken van video's en grafieken van derden vragen we je toestemming, we gebruiken daarvoor externe tooling die mogelijk cookies kunnen plaatsen.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Forum cookie-instellingen

Bekijk de onderstaande instellingen en maak je keuze. Meer informatie vind je in ons cookiebeleid.

Functionele en analytische cookies

Deze cookies helpen de website zijn functies uit te voeren en zijn verplicht. Meer details

janee

    Cookies van derden

    Deze cookies kunnen geplaatst worden door derde partijen via ingesloten content en om de gebruikerservaring van de website te verbeteren. Meer details

    janee