Toon posts:

Virus: [+-xxx-HELP-xxx-+wparl-+.txt]

Pagina: 1

Acties:

1.689 views
Reageer

Vraag

donderdag 24 maart 2016 11:26

Acties:

Topicstarter

Vandaag hebben we schade van een virus geconstateerd op een terminal server, welke bekende bestandstypen heeft beschadigd en instructies heeft achtergelaten in de vorm van een tekstbestand genaamd "+-xxx-HELP-xxx-+wparl-+.txt".

Op het internet kan ik op basis van die omschrijving helemaal niks terugvinden over wat voor variant het betreft, en of en hoe je je er tegen kunt wapenen. Verdere informatie hebben we ook niet op de server terug kunnen vinden.

Herkent iemand deze virusvariant?

Alvast bedankt voor de moeite!

We all make choices, but in the end our choices make us! - Andrew Ryan

Alle reacties

donderdag 24 maart 2016 11:33

Acties:

Admin IN & Moderator Mobile

Anne schreef op donderdag 24 maart 2016 @ 11:26:
Herkent iemand deze virusvariant?

Aangezien het allerlei bestandstypen heeft beschadigd, heb je te maken met een cryptolocker.

Zijn de extensies alleen veranderd of zijn ook de complete bestanden niet meer leesbaar? (wanneer de extensies terug gezet worden).

Wat staat er in het textbestand? Daar staat eigenlijk altijd wel een stappenplan om tegen betaling je bestanden terug te krijgen.

donderdag 24 maart 2016 11:35

Acties:

XBL: OctagonQontrol

Meer cryptolocker topics waar allerlei opties/hints in staan wat je wel/niet moet gaan doen en hoe je je bestanden het snelst terugkrijgt.

Mijn advertenties!!! | Mijn antwoorden zijn vaak niet snowflake-proof

donderdag 24 maart 2016 11:36

Acties:

Verwijderd

Anne schreef op donderdag 24 maart 2016 @ 11:26:
Vandaag hebben we schade van een virus geconstateerd op een terminal server, welke bekende bestandstypen heeft beschadigd en instructies heeft achtergelaten in de vorm van een tekstbestand genaamd "+-xxx-HELP-xxx-+wparl-+.txt".

Op het internet kan ik op basis van die omschrijving helemaal niks terugvinden over wat voor variant het betreft, en of en hoe je je er tegen kunt wapenen. Verdere informatie hebben we ook niet op de server terug kunnen vinden.

Herkent iemand deze virusvariant?

Alvast bedankt voor de moeite!

En wat staat er in die instructies? Het zou kunnen dat jullie slachtoffer zijn geworden van een zogeheten cryptolocker virus.

Wikipedia: CryptoLocker

https://blogs.sophos.com/...to-stay-safe-infographic/

donderdag 24 maart 2016 12:04

Acties:

Topicstarter

De extensies zijn onveranderd, maar bij het openen geeft het betreffende programma als foutmelding dat de indeling niet klopt.

De inhoud van het tekstbestand (en overigens ook de html en png bestanden) is als volgt:

----------------------------------------------------
NOT YOUR LANGUAGE? USE https://translate.google.com

What's the matter with your files?

Your data was secured using a strong encryption with RSA4096.
Use the link down below to find additional information on the encryption keys using RSA-4096 Wikipedia: RSA (cryptosystem)

What exactly that means?

It means that on a structural level your files have been transformed . You won't be able to use , read , see or work with them anymore .
In other words they are useless , however , there is a possibility to restore them with our help .

What exactly happened to your files ???

*** Two personal RSA-4096 keys were generated for your PC/Laptop; one key is public, another key is private.
*** All your data and files were encrypted by the means of the public key , which you received over the web .
*** In order to decrypt your data and gain access to your computer you need a private key and a decryption software, which can be found on one of our secret servers.

What should you do next ?

There are several options for you to consider :
*** You can wait for a while until the price of a private key will raise, so you will have to pay twice as much to access your files or
*** You can start getting BitCoins right now and get access to your data quite fast .
In case you have valuable files , we advise you to act fast as there is no other option rather
than paying in order to get back your data.

In order to obtain specific instructions , please access your personal homepage by choosing one of the few addresses down below :
http://9hrds.wolfcrap.at/***
http://6g4ds.froekuge.com/***
http://vewrb.italisumo.at/***

If you can't access your personal homepage or the addresses are not working, complete the following steps:
*** Download TOR Browser - http://www.torproject.org/projects/torbrowser.html.en
*** Install TOR Browser and open TOR Browser
*** Insert the following link in the address bar: k7tlx3ghr3m4n2tu.onion/***
*** Follow instructions on your screen !!!

*** *** *** *** *** *** *** IMPORTANT INFORMATION *** *** *** *** *** ***

Your personal homepages
http://9hrds.wolfcrap.at/***
http://6g4ds.froekuge.com/***
http://vewrb.italisumo.at/***

Your personal homepage Tor-Browser k7tlx3ghr3m4n2tu.onion/FEF57C49EB82AFD4
Your personal ID ***

Op de plaats van *** staat het persoonlijke ID.

Er zal in geen geval gebruik worden gemaakt van het aanbod om de bestanden terug te krijgen door te betalen, de back-up wordt inmiddels terug gezet.

We zijn wel benieuwd of we deze variant enigszins kunnen weren in de toekomst door een simpele aanpassing zoals bijv. bij de Locky variant het geval is door het blokkeren van de .locky extensie in File Server Resource Manager.

Ik zal de gelinkte artikelen eens doorlezen.

We all make choices, but in the end our choices make us! - Andrew Ryan

donderdag 24 maart 2016 12:08

Acties:

Attack | Exploit | Pwn

Teslacrypt zo te zien: http://www.bleepingcomput...ed-cant-use-them-anymore/

Mocht je niet willen betalen maar wel storage over hebben, sla je bestanden op eventueel met image van het OS. Heel af en toe worden er nog zwakke plekken gevonden in ransomware welke later gebruikt kunnen worden om je bestanden te ontsleutelen.

This signature has been taken down by the Dutch police in the course of an international lawenforcement operation.

donderdag 24 maart 2016 12:40

Acties:

Wij hebben hem zojuist ook gekregen.
Het bleek vanuit 1 pc te komen in het netwerk en encrypt al je bestanden

donderdag 24 maart 2016 13:10

Acties:

Ik vind dit toch wel bijzonder, hier op het werk ook rond 11:00 vanochtend.

Saying "um" is the human equivalent of buffering...

donderdag 24 maart 2016 13:15

Acties:

Waarschijnlijk TeslaCrypt 4.0, valt nog weinig aan te doen.

My favorite programming language is solder.

donderdag 24 maart 2016 13:16

Acties:

Een verband met het gemelde rondje 'KPN factuur.zip' per email? klik

Romanes eunt domus | AITMOAFU

donderdag 24 maart 2016 16:24

Acties:

Topicstarter

Wij ervaren als ICT leverancier momenteel hoogtijdagen als het gaat om spamberichten met encryptievirussen bijgesloten als bijlage, dus wat dat betreft vind ik het niet vreemd dat we niet de enige zijn die vandaag iets hebben geconstateerd.

De bron van dit geval hebben we (nog) niet daadwerkelijk vastgesteld, maar het zou zo maar een KPN factuur.zip geval kunnen zijn geweest.

Er is dus geen relatief eenvoudige oplossing voor TeslaCrypt zoals bij Locky?

We all make choices, but in the end our choices make us! - Andrew Ryan

vrijdag 25 maart 2016 07:46

Acties:

Het blijkt dat deze vanuit %userprofile%\documents een .exe bestand aanroept. Wij hebben via gpo ingesteld dat vanuit documents geen .exe bestanden mogen worden uitgevoerd

vrijdag 25 maart 2016 13:26

Acties:

Hier ook op mijn HTPC binnengekomen na het bekijken van een online stream van PSV Ajax afgelopen weekend. Normaal nooit ergens last van, maar voor de medetweakers toch wel een grappig verhaal om mij uit te lachen:

Omdat Chrome veel RAM gebruikt en ik geen browser voorhanden had heb ik Internet Explorer maar even aangezet. Vervolgens vraagt Windows om activatie (dit vertrouw ik al niet, dus wegklikken). Elke minuut komt de melding terug. Vervolgens maar gedacht, goh het zal wel (dom dom dom) en toen gebeurde er niks, vervolgens werd er gevraagd door windows om de zogenaamde Shadowvolume copy toestemming te geven. Toen wist ik dat er iets goed fout was.

Op mijn HTPC zit een externe HD en die speelde prima films en series af, af en toe haperen in het scherm (bleek dus het encryptie process te zijn later). Dag erna geen melding van Shadowvolume copy, maar wel een aantal willekeurige bestanden werkten niet meer, op dat moment MBAM en Hitman Pro al gedraaid en in MSconfig alles opgeschoond.

Ik kwam er later achter dat er willekeurige files geencrypte waren, opzich niet heel erg want op de HD van de HTPC staat 0,0 info, mijn externe HD (waar ook nog wat backup foto's op staan) was OOK geraakt.

Nu is mijn vraag: Het maakt me niet uit dat er willekeurige dingen geencrypt zijn, de interne HD haal ik leeg en herinstalleer W7.
Ik heb echter 1 txt file van 3 kb waarin ik bijhoud welke series ik heb gekeken en wanneer ze uitkomen, is het mogelijk deze te decipheren, en hoe moet ik bestanden decrypten, welk programma gebruik ik daarvoor? Mijn backup foto's komen wel een keer over een jaar of 5-10 dat ik ze decrypt, daar is geen haast bij. Alle bestanden hebben hun originele extensie behouden, er zijn geen shadowvolume kopieen bekend en system restore werkt ook niet echt. Voordeel is ook dat alle series en films behouden zijn.

Plan 1: Bestanden die ik wil behouden zet ik op de Ext HD (ook als encrypted zijn, komt wel)
Plan 2: Interne HD W7 opnieuw installeren
Plan 3: PC lekker laten bruteforcen op dat 3kb Txt bestand (maar hoe, op het internet kan ik zo 1,2,3 geen informatie daarover vinden?)

Waar deze infectie in verschilt is dat bij mij alle bestandsnamen en extensies behouden zijn? Alleen de bestanden verschillende enkele bytes in grootte.

[ Voor 3% gewijzigd door Lightning89 op 25-03-2016 13:29 ]

vrijdag 25 maart 2016 13:32

Acties:

Verwijderd

Anne schreef op donderdag 24 maart 2016 @ 16:24:
Wij ervaren als ICT leverancier momenteel hoogtijdagen als het gaat om spamberichten met encryptievirussen bijgesloten als bijlage, dus wat dat betreft vind ik het niet vreemd dat we niet de enige zijn die vandaag iets hebben geconstateerd.

De bron van dit geval hebben we (nog) niet daadwerkelijk vastgesteld, maar het zou zo maar een KPN factuur.zip geval kunnen zijn geweest.

Er is dus geen relatief eenvoudige oplossing voor TeslaCrypt zoals bij Locky?

Volgens mij komen dit soort dingen vaak als .zip binnen. .zip blokkeren op mailniveau wellicht?

vrijdag 25 maart 2016 18:08

Acties:

Topicstarter

Vooralsnog lijken het blokkeren van executables in %userprofile% en bepaalde extensies via de mail de beste oplossingen.

Helaas levert dat ook weer de nodige praktische problemen op voor gebruikers.

We all make choices, but in the end our choices make us! - Andrew Ryan

vrijdag 25 maart 2016 18:23

Acties:

Ofwel varken in 't Limburgs

Daar geeft het ook al programma's voor: https://www.foolishit.com/cryptoprevent-malware-prevention/
Maar goed, het blijft rot. Sinds het TeslaCrypt virus bij diverse familieleden heeft toegeslagen heb ik een spreekwoordelijke quarantaine qua backup HDD's ingesteld, familie uitgelegd hoe ze deze onzin zo goed mogelijk kunnen voorkomen en dat ze backups moeten maken.

9800X3D - RX 6900XT - Volvo S40 T5 '10 - Kever '74

vrijdag 25 maart 2016 19:55

Acties:

Topicstarter

CryptoPrevent van FoolishIT klinkt goed! Ik zal kijken of we dit eens kunnen testen.

We all make choices, but in the end our choices make us! - Andrew Ryan

Pagina: 1

Reageer