Getroffen door CTB virus (variant cryptolocker) virus

piethoogland schreef op zaterdag 26 maart 2016 @ 12:14:
Praktische adviezen om besmetting te voorkomen zijn ook welkom. Ik zelf heb mbam wat volgens mij afdoende zou moeten zijn en een online backup met 30 dagen geschiedenis bij livedrive

Zelf maak ik gebruik van een Chromebook waardoor ik automatisch alles naar Google's cloudiensten upload.

In mijn directe omgeving heeft iedereen een Windows machine waarop belangrijke documenten staan met alleen een virusscanner.

Tips om een cryptolocker-virus buiten de deur te houden zijn dus altijd handig.

je kunt met shadowcopy file explorer nog misschien een paar/veel bestanden herstellen vanuit de schaduwkopie.

b.v.: http://www.shadowexplorer.com/

kijk hier ook even

Virus - ctb locker - alle bestanden versleuteld

piethoogland schreef op zaterdag 26 maart 2016 @ 12:14:
Praktische adviezen om besmetting te voorkomen zijn ook welkom. Ik zelf heb mbam wat volgens mij afdoende zou moeten zijn en een online backup met 30 dagen geschiedenis bij livedrive

Géén één beveiliging werkt. Cryptolockers wijzigen steeds waardoor beveiligingssoftware achter de feiten aanloopt.
Enige oplossing is een niet-Windows OS zoals GNU/Linux, BSD of OSX te gebruiken.
Bestanden zijn sowieso weg.

DJMaze schreef op zaterdag 26 maart 2016 @ 15:08:
[...]

Géén één beveiliging werkt. Cryptolockers wijzigen steeds waardoor beveiligingssoftware achter de feiten aanloopt.
Enige oplossing is een niet-Windows OS zoals GNU/Linux, BSD of OSX te gebruiken.
Bestanden zijn sowieso weg.

Er zijn ook cryptolockers voor OSX. (Bijvoorbeeld nieuws: Officiële versie Mac-app Transmission bevatte ransomware )

Cryptolocker speelt niet alleen meer voor Windows systemen, maar voor Windows komen wel de meeste vormen voor. Er is bijvoorbeeld ook een cryptolocker variant die zich op Linux web omgevingen richt (blokkeren van webshops bijvoorbeeld).

DJMaze schreef op zaterdag 26 maart 2016 @ 15:08:
[...]

Géén één beveiliging werkt. Cryptolockers wijzigen steeds waardoor beveiligingssoftware achter de feiten aanloopt.
Enige oplossing is een niet-Windows OS zoals GNU/Linux, BSD of OSX te gebruiken.
Bestanden zijn sowieso weg.

Er WEL 1 beveiliging om dit te voorkomen En dat is ZELF je hdd encrypten.

Ik zie niet hoe dat zou werken. Tijdens runtime is je disc vast decrypted, dus dan kan de cryptolocker gewoon aan het werk. Hooguit zou je file based encryptie toe kunnen passen, maar de vraag is meer wanneer cryptolocker domweg alle bestanden aan gaat pakken (waarbij vast de eerste aandacht uitgaat naar .jpg, .doc, ..).

Dadona schreef op zaterdag 26 maart 2016 @ 15:13:
Er is bijvoorbeeld ook een cryptolocker variant die zich op Linux web omgevingen richt (blokkeren van webshops bijvoorbeeld).

Klopt, maar een thuis gebruiker heeft geen web services draaien.
En een "exe" via e-mail werkt niet omdat ze niet uitvoerbaar zijn.
Ook de doc/docx documenten met macro's werken niet omdat die een "exe" willen downloaden.

Zodra er e-mails met factuur.tar.gz komen moet je je meer zorgen maken.
Daarin kan best een "document.pdf" zitten met de executable bit actief.
Maar dat kan je anti malware makkelijk vinden.

[ Voor 3% gewijzigd door DJMaze op 26-03-2016 20:58 ]

DJMaze schreef op zaterdag 26 maart 2016 @ 15:08:
Géén één beveiliging werkt. Cryptolockers wijzigen steeds waardoor beveiligingssoftware achter de feiten aanloopt.
Enige oplossing is een niet-Windows OS zoals GNU/Linux, BSD of OSX te gebruiken.
Bestanden zijn sowieso weg.

Géén één beveiliging werkt. Dus ook niet een ander OS Het geeft je alleen betere kansen (m.n. vanwege het lagere marktaandeel), net zoals dat andere maatregelen betere kansen geven in meer of mindere mate.

Sowieso: Alles updaten. Goede en geteste offline of readonly backups (meervoud). Zo min mogelijk rechten geven. Andere PDF-reader. Geen Flash/Java. Andere Office. Gezond verstand. (De volgorde is de haalbaarheid bij de gemiddelde eindgebruiker )

[ Voor 7% gewijzigd door F_J_K op 26-03-2016 21:07 ]

mell33 schreef op zaterdag 26 maart 2016 @ 15:26:
[...]


Er WEL 1 beveiliging om dit te voorkomen En dat is ZELF je hdd encrypten.

Encrypten is niet iets wat maar 1 keer gedaan kan worden, als jij je bestanden encrypt kan je er zelf sowieso al niet meer bij, met een beetje pech encrypt het virus dan je data en is het corrupt.
Of je mount je disk om m (Decrypted) te gebruiken, als die data belangrijk genoeg is om te beveiligen zal je het ook regelmatig nodig hebben en dan wordt het op dat moment door het virus gepakt...
Helpt niets tegen ransomware, alleen een goede (offsite) backup, echte backup dus geen sync, beschermt je tegen de gevolgen van ransomware.

Volgens mij ben ik wel 100% veilig tegen cryptolockers. Met crashplan worden oude versies van bestanden oneindig bewaard, ik zou dus na een besmetting eenvoudig terug kunnen gaan naar een tijdstip daarvoor.

WouterG schreef op zaterdag 26 maart 2016 @ 21:27:
Volgens mij ben ik wel 100% veilig tegen cryptolockers. Met crashplan worden oude versies van bestanden oneindig bewaard, ik zou dus na een besmetting eenvoudig terug kunnen gaan naar een tijdstip daarvoor.

Waar worden die bewaard? Naar mijn weten encrypt een cryptolocker virus alles wat ie kan vinden, ook externe schijven e.d.

WouterG schreef op zaterdag 26 maart 2016 @ 21:27:
Volgens mij ben ik wel 100% veilig tegen cryptolockers. Met crashplan worden oude versies van bestanden oneindig bewaard, ik zou dus na een besmetting eenvoudig terug kunnen gaan naar een tijdstip daarvoor.

Als de backups van oudere versies ook binnen bereik van het virus zijn zullen die ook verpest worden en heb je 10 versies van een bestand van de afgelopen dagen die alle 10 nutteloos zijn

SgtElPotato schreef op zaterdag 26 maart 2016 @ 21:36:
[...]

Waar worden die bewaard? Naar mijn weten encrypt een cryptolocker virus alles wat ie kan vinden, ook externe schijven e.d.

Die worden geupload naar Crashplan en zijn dan niet meer vanuit het filesystem te benaderen, alleen te downloaden vanuit de Crashplan applicatie.

Misschien een idee om hier op Tweakers een Best Practice document / topic / artikel te gaan schrijven en dit up to date te houden, zodat we in elk geval zo beschermd mogelijk zijn. Ik maak me ook zorgen over dit soort dingen en weet eigenlijk ook niet wat te doen om het te voorkomen (anders dan virusscanner gebruiken en "hangop, klik weg, bel uw bank").

Mijn laptop en NAS zijn zover ik weet niet bereikbaar van buiten, dus dat scheelt al wat, maar dan nog kan je getroffen worden door een drive-by-download, of andere ongein.

Naast voorkoming is de basis van bescherming een versioning bestandssysteem waarbij de geschiedenis readonly is. WouterG hierboven realiseert dat soort van op een alternatieve manier met een online backupservice.

Zelf heb ik een vergelijkbare opzet op mijn Linux file server: alle data daarop wordt daar elke nacht gesnapshot (met rsnapshot) naar een backup directory welke readonly is (zowel lokaal als via netwerk). Ik kan dus niet alleen bij de bestanden van gisteren, maar ook van 5 jaar geleden...

Voor tante Annie zou je zoiets echter met 2 clicks aanzetten op haar Windows laptop maar dat valt niet mee. Ten eerste zou Annie niet onder volledige Administrator of systeem rechten moeten werken, maar ook zou iets als versioning aangezet moeten worden welke alleen via een speciale veilige modus zijn te benaderen. Gat in de markt (tot middels een privilege escalation vulnerability cryptolockers eerst de geschiedenis wissen zoals reeds gebeurt).

[ Voor 30% gewijzigd door Rukapul op 26-03-2016 22:45 ]

Daar zou de ransomware dan toch ook naar toe kunnen schrijven, zodat-ie steeds opduikt als jij een backup benadert?

Nogmaals, veel van der dingen die nu genoemd worden, ben ik gewoon niet bekend mee. Ik ben momenteel mijn oude backups juist aan het sorteren en verplaatsen om een fatsoenlijk archief van mijn foto's en documenten op te bouwen. Op dit moment zou het dus een regelrechte ramp zijn als mij dit overkomt! Welke backup is dan nog compleet, enz...

Crashplan kan ook naar "Friends" backuppen. Op die manier maken mijn pa en ik kruislings backups naar elkaar, inclusief versioning.

Geen kosten behalve storage ruimte en fysieke scheiding van 100km

[ Voor 21% gewijzigd door redfoxert op 26-03-2016 22:55 ]

Volgens mij heb ik maar 1 share op mijn NAS momenteel: "volume 1".

Daarom ook mijn vraag naar een best practice. Ik wil best mede-auteur van zo'n topic zijn, maar zal dan wel alles moeten leren daarover. Ik dacht namelijk wel dat een NAS als backup voldoende was, maar had ook niet stil gestaan bij het feit dat zo'n cryptolocker die gemakkelijk even meeneemt.

Hier staan een aantal zeer goede tips die ook voor gebruikers te implementeren zijn:
http://blog.matrixforce.c...es-against-business-loss/

Die ga ik snel doornemen. Bedankt!

Ik weet niet of ik veilig ben. Heb een aantal maanden terug wel een bepaalde opzet gemaakt met de gedachte dat ik veilig was.

Windows client met network shares op Diskstation beveiligd met een wachtwoord dat niet opgeslagen staat in windows en dus telkens ingevoerd moet worden.
Daarnaast een apart account met backups waarvan het wachtwoord in acronis staat. Mochten de shares gekoppeld zijn nam ik zelf maar even aan dat het cryptolocker virus niet het wachtwoord voor de backup share uit acronis kon halen.

Eigenlijk wil ik nog een off site backup maar het wordt me allemaal wel duur genoeg zo. Het kost ook allemaal best wat tijd om alles goed op te zetten.

Vraag me wel af of ik met die opzet veilig ben.
Wat betreft TS zijn vragen,
Geen systeemherstel doen. En naar mijn ervaring is betalen de enige optie als er geen offline backups zijn. Betalen is wel echt een nare gewaarwording. Ik zou pas betalen als de data me meer waard zou zijn als mijn jaarsalaris. Anders zou ik het uit principe echt gewoon niet doen.
Het is echt een vervelende ontwikkeling die cryptolockers en ik snap niet waarom virusscanners hier niet goed tegen gewapend zijn. Vroeger konden virussen nog wel tegengehouden worden.

Overigens het encrypten van iets tegen een cryptolocker heeft geen enkele zin. Afaik versleutelen ze de eerste paar bits van je files en dus ook je encrypted files waardoor ze onleesbaar worden voor jou decrypter.

DJMaze schreef op zaterdag 26 maart 2016 @ 20:57:
[...]

Klopt, maar een thuis gebruiker heeft geen web services draaien.

Dat was niet mijn punt, het ging mij om de uitspraak "Enige oplossing is een niet-Windows OS zoals GNU/Linux, BSD of OSX te gebruiken." Met mijn voorbeeld (en de poster voor mij) is al aangetoond dat het sowieso geen oplossing is. Hooguit beperkt het de kans, maar het is werkelijk een kwestie van tijd dat de kans bij Linux, BSD en OSX toeneemt.

piethoogland schreef op zaterdag 26 maart 2016 @ 12:14:
Beste Tweakers,

Een klant van mij met veel documenten en foto op de schijf is getroffen door het CTB virus.

Is het echt CTB-Locker? Die naam staat dan in de "informatie" die je te zien krijgt.
Wat meer info over wat er in staat, of de extensies aangepast zijn enz is wel handig. Een aantal van dit soort crypto-prullen zijn gekraakt en dan zou je dus niet hoeven te betalen.

PC van mijn vader was besmet. Alles wordt standaard via Synology CloudStation gebackupped naar mijn NAS. Een geluk bij een ongeluk dat ik net mijn NAS had geupgrade maar de CloudStation client van mijn vader nog niet. Hierdoor zijn er geen corrupte bestanden geupload (anders heeft CloudStation zelf ook nog wel een historie). Bestanden heb ik dus allemaal kunnen redden.

Ik heb nu een system restore gedaan naar een herstelpunt van een week eerder. Vooralsnog heb ik geen nieuwe corrupte bestanden gezien. Ook de popup die bij het opstarten kwam is nu weg.

Is het virus hier nu helemaal weg. Heeft iemand daar ervaring mee?

De oorzaak was een 'kpn' mailtje met een factuur er in. Zag er in eerste oogopslag ok uit, behalve dat zijn naam niet expliciet werd genoemd, het een zakelijke factuur betrof en een url naar een andere site bevatte. Bijlage heb ik niet gezien. In zijn mailbox zag ik echter ook een ander 'incasso' mailtje met als bijlage een .zip met daarin een .pdf.exe. Kortom, ze weten hem nu te vinden waardoor de kans op herhaling toch groot is.

Hefft iemand enig idee wat ik kan doen om toekomstige besmettingen te voorkomen?

De ervaring die ik er mee heb is dat het altijd probeert te starten vanuit appdata omdat dit in principe straffeloos schrijfbaar is, uiteindelijk het opstarten van executables/scripts vanuit APPDATA heeft bij ons er voor gezorgd dat het niet meer voorgekomen is.

In het begin zaten ze ook in macro's van office bestanden verwerkt, standaard macro's uitschakelen helpt ook al enorm

piethoogland schreef op zaterdag 26 maart 2016 @ 12:14:
De klant overweegt te betalen gezien de waarde van de data, Is de kans groot dat hij zijn data dan terug krijgt?

Daar valt weinig over te zeggen. De ene ransomware 'distributeur' wil alleen geld opstrijken en zal niet reageren op betalingen en de ander gaat voor een zo goed mogelijke klant tevredenheid (ahum) en zorgt dat er na betaling gedecrypt kan worden om zo d.m.v. o.a. mond op mond "reclame" meer inkomsten te genereren (meer betalende slachtoffers). Behaalde resultaten bieden geen garantie voor de toekomst.

Houd er wel rekening mee dat je direct bijdraagt aan het instand houden van deze vorm van malware! De enige reden dat dit bestaat is omdat mensen betalen. Het beste advies is dan ook om dit niet te doen (tevens het advies van veel grote bedrijven in de industrie waaronder Microsoft als ik het goed heb).

mell33 schreef op zaterdag 26 maart 2016 @ 15:26:
[...]


Er WEL 1 beveiliging om dit te voorkomen En dat is ZELF je hdd encrypten.

Dat is totaal irrelevant. Een encrypted container kan zonder problemen nogmaals worden versleuteld. Bovendien zul je zelf de hdd ook moeten unlocken om toegang te krijgen waarmee de malware weer toegang krijgt.

[ Voor 18% gewijzigd door Bor op 30-03-2016 09:48 ]