Gehacked door wildfire locker (wflx)

Dat er geen backup van de NAS is, wil niet zeggen dat alles verloren is; heeft de betreffende NAS niet iets als eigen "shadowcopy" of "snapshots" waar je nog iets meer zou kunnen?

Databases kunnen vaak nog herbouwd/restored worden door de transaction-logs etc allemaal in een bepaalde volgorde toe te passen op een oudere versie van de database.

Op dit moment zie ik elders op internet nog geen oplossing; het is wel opmerkelijk dat je eventueel ook met de kapers kan chatten via een online chat-functie om meer informatie & hulp te krijgen bij het terugkrijgen van jouw bestanden (uiteraard na betaling).

Hangt er volledig van af hoe noodzakelijk die bestanden zijn. En hoewel het al vaker is gezegt hier is de regel dat alles wat niet de moeite waard was om een backup van te maken geen probleem is om te verliezen
Misschien dat er een decrypttool oid is voor deze variant, anders heb je maar twee opties en de tweede (betalen) zou ik uit principe nooit doen, maar misschien dat die bestanden het wel waard zijn... Andere optie is formateren...........

@MAX3400: Meeste cryptolockers tegenwoordig verpesten de shadowcopies ook dus tenzij TS heel veel geluk heeft, zal de cryptolocker die allemaal al lang slopen voordat het zich laat zien...

RGAT schreef op donderdag 30 juni 2016 @ 21:57:
@MAX3400: Meeste cryptolockers tegenwoordig verpesten de Windows shadowcopies ook dus tenzij TS heel veel geluk heeft, zal de cryptolocker die allemaal al lang slopen voordat het zich laat zien...

Even gefixed voor je; de meeste SAN/NAS/DAS-oplossingen hebben (in de wat duurdere vormen) een eigen snapshot mechanisme op block-level niveau op hun eigen OS. En dat OS is over het algemeen nog nooit gehijacked door dit soort (simpele) ransomware.


/edit: Op http://pcinfectionskiller...ldfire-locker-ransomware/ lijkt een mogelijkheid te staan om veel zaken te herstellen/recoveren. Vanzelfsprekend heb ik weinig/geen garantie dat wat er staat ook daadwerkelijk helpt.

Ter info; er zit een counter op deze ransomware; als je niet binnen 72 uur betaalt, wordt de volgende optie 999 Euro betalen. De counter hiervan is nog niet bekend.

[ Voor 26% gewijzigd door MAX3400 op 30-06-2016 22:03 ]

MAX3400 schreef op donderdag 30 juni 2016 @ 21:59:
[...]

Even gefixed voor je; de meeste SAN/NAS/DAS-oplossingen hebben (in de wat duurdere vormen) een eigen snapshot mechanisme op block-level niveau op hun eigen OS. En dat OS is over het algemeen nog nooit gehijacked door dit soort (simpele) ransomware.

Ja ik weet niet per NAS/SAN/storage server wat de kwetsbaarheden zijn, weet alleen wel dat dit al actief wordt toegepast en dus hoewel het zeker het proberen waard is ook redelijk grote kans is dat het niet werkt...

ik heb geen nas of zoiets, maar ben wel geinfecteerd door wildfire locker. is het nu zo dat je een virus op de computer hebt? waardoor men controle over je computer heeft? hoe krijg ik dit virus dan eraf? en is er geen slimmerd die hier iets op kan vinden?? en dan nog een vraag alles wat ik na deze block doe is dit dan automatisch ook geinfecteerd???
dit is blijkbaar zo nieuw dat er nog niet veel over bekend is

[ Voor 8% gewijzigd door anneke62 op 03-07-2016 16:47 ]

Lama

[ Voor 98% gewijzigd door Harmen op 06-07-2016 08:06 ]

nog iets bekend over het vrijkrijgen van bestanden na encryptie van wildfire locker?

Ik raad je (voor de zekerheid) aan om je PC wat dan ook van ethernet af te halen en je klok elke ochtend even terug te zetten naar 2 uur na de infectie, zo heb je even wat meer tijd om je zaken op orde te krijgen.

Wij hebben hier ook mee te maken gekregen. Iemand een idee wat de bron is van de ransomware? Wij vermoeden een e-mail zoals deze: https://www.fraudehelpdes...mails-transportbedrijven/

Backups, backups, backups.....

Waarschijnlijk is het de scam mail van "Transportbedrijf Buitink" over een mislukte afleverpoging geweest. Hier is er wat meer over te lezen:
http://garwarner.blogspot...net-delivering-dutch.html

Xardas schreef op maandag 25 juli 2016 @ 13:19:
Waarschijnlijk is het de scam mail van "Transportbedrijf Buitink" over een mislukte afleverpoging geweest. Hier is er wat meer over te lezen:
http://garwarner.blogspot...net-delivering-dutch.html

De e-mail die wij binnen kregen had exact dezelfde layout, alleen het adres en de bedrijfsnaam waren afwijkend.

Audipower schreef op maandag 25 juli 2016 @ 08:27:
Backups, backups, backups.....

Ik word een beetje moe van wijsneuzen die dit nog even op een bijdehante manier willen duidelijk maken. TS zal zich waarschijnlijk ook wel voor z'n kop slaan. Hoef jij niet nog even erin te rammen hoor.

Ik word een beetje moe van mensen die geen back-up maken.

Verwijderd schreef op maandag 25 juli 2016 @ 14:05:
[...]

Ik word een beetje moe van wijsneuzen die dit nog even op een bijdehante manier willen duidelijk maken. TS zal zich waarschijnlijk ook wel voor z'n kop slaan. Hoef jij niet nog even erin te rammen hoor.

U mad bro?

Als ik een bedrijf was had ik al lang die 300 euro betaald en een (andere) it partij gezocht die het wel goed de boel op orde kan brengen.

Vandaag ook mee te maken gehad op een laptop van een kennis, bron was ook een mail van een transportbedrijf over een mislukte levering. Helaas stonden er bestanden op die niet op een 2e locatie weggeschreven waren. Daarom de gok gewaagd en de 300 euro betaald. Gelukkig een "eerlijke" partij, dus na +/- 20 minuten de sleutel ontvangen.

Helaas is de locker ook slim genoeg om bestanden op usb / nas te locken, dus daar zijn backups ook niet veilig.

Hier ook een geval bij het bedrijf van mijn pa. Verwijderen is vrij gemakkelijk, Malwarebytes heeft het gemakkelijk kunnen verwijderen, ook even met Hijackthis de nodige startup zooi verwijderd.

Decryption lijkt op het moment niet mogelijk te zijn zonder betaling.

Het lijkt dat de mailtjes afkomstig zijn van een van de volgende domeinen:

vandertaktransport.nl
jalinktransport.nl
vanloosbroektransport.nl

Virus lijkt zich in een doc bestand te hebben verstopt.

[ Voor 28% gewijzigd door Pieterll op 27-07-2016 18:31 ]

Als het virus via een .doc bestand binnen kwam was dat een .doc met een macro. Mogelijk had het de extensie .docm. Om een volgende besmetting langs deze route te voorkomen schakel je macro's uit in Word.

Hier ook exact hetzelfde geval. Mail van vandertaktranport.nl.nl..

is dat de gefakete domein van de afzender van de mail, of ook een downloadlocatie?
In dat laatste geval kan je de hosting even een mail sturen, dan voorkomt het nog meer onschuldige slachtoffers.

Heb hier ook een klant gehad met daarin de volgende bedrijfsnaam: Vlootman Transport.
Domein vlootmantransport . nl was in de Verenigde Arabische Emiraten geregistreerd.
Gelukkig was mijn klant voorzien van een goed werkende backup

Dit domein is reeds gemeld.

[ Voor 6% gewijzigd door mydogisgone op 28-07-2016 00:02 ]

-------- Origineel bericht --------
Onderwerp: Levering TT-763241 op 26 juli
Datum: 27 Jul 2016 11:11:10 -0700
Van: info@vandertaktransport.nl
Aan: info@dakconsult.nl

Van der Tak Transport B.V.
Argonweg 315
1362 AD Almere
--------------------------------

Geachte heer / mevrouw,

Op dinsdag 26 juli heeft een van onze chauffeurs omstreeks 16.25 geprobeerd om een pakket af te leveren op het onderstaande adres.
Dakconsult B.V.
Weegschaalstraat 3
NL-5632 CW EINDHOVEN

Aangezien dit niet is gelukt willen wij u graag verzoeken om zo spoedig mogelijk een nieuwe afspraak te maken.
U kunt een nieuwe afspraak maken door het volgende formulier te downloaden, in te vullen en retour te mailen naar info@vandertaktransport.nl.nl
url ... (dit formulier bevat ook informatie m.b.t. de levering)

Met vriendelijke groet,
Eva Meelman

De informatie verzonden in dit e-mail bericht is automatisch gegenereerd en uitsluitend bestemd voor de geaddresseerde. Gebruik van deze informatie door anderen dan de geadresseerde is verboden.

-------------------------------------------------------------------------------------------------------------------------------------------------------

Download het bestand niet, want dan heb je het zitten..

Lambo LP670 SV schreef op donderdag 28 juli 2016 @ 00:05:
-------- Origineel bericht --------
Onderwerp: Levering TT-763241 op 26 juli
Datum: 27 Jul 2016 11:11:10 -0700
Van: info@vandertaktransport.nl
Aan: info@dakconsult.nl

Van der Tak Transport B.V.
Argonweg 315
1362 AD Almere
--------------------------------

Geachte heer / mevrouw,

Op dinsdag 26 juli heeft een van onze chauffeurs omstreeks 16.25 geprobeerd om een pakket af te leveren op het onderstaande adres.
Dakconsult B.V.
Weegschaalstraat 3
NL-5632 CW EINDHOVEN

Aangezien dit niet is gelukt willen wij u graag verzoeken om zo spoedig mogelijk een nieuwe afspraak te maken.
U kunt een nieuwe afspraak maken door het volgende formulier te downloaden, in te vullen en retour te mailen naar info@vandertaktransport.nl.nl

Met vriendelijke groet,
Eva Meelman

De informatie verzonden in dit e-mail bericht is automatisch gegenereerd en uitsluitend bestemd voor de geaddresseerde. Gebruik van deze informatie door anderen dan de geadresseerde is verboden.

-------------------------------------------------------------------------------------------------------------------------------------------------------

Download het bestand niet, want dan heb je het zitten..

Haal die URL even weg. Just 2 be sure.

uhh, haal die link er dan ff snel uit Lambo!

Jammer dat TS verder geen enige terugkoppeling geeft hoe hij eea heeft opgelost.. wel 8 dagen later elders posten.... VivaAtloni in "\[RTL-SDR] De 25 euro allesontvanger"

Berichtje naar SIDN sturen? Als ik die WHOIS bekijk is het één en al phishy. Wist niet dat buitenlandse registars ook .nl mogen registreren.

[ Voor 29% gewijzigd door AW_Bos op 28-07-2016 00:21 ]

De cryptolockers komen meestal als Javascript (.js) bestandje binnen. Recent zag ik ook verdachte bestanden met .wsf extensie en een enkele keer als .vbs.

Om toekomstige besmetting te voorkomen kun je de Windows Scripthost uitschakelen en Notepad het standaardprogramma maken voor het openen van bovengenoemde bestandtypes

Snap niet dat men niet met een premium antivirus wil werken. Trend micro, al voor meerdere aaneengesloten jaren, niks aan de hand. Ook een eigen mailserver die scant op malware, houdt het meeste voor 90% al tegen.

Maar macro's zijn ook meer in trek..
https://www.security.nl/posting/424616/

Ik had het doc voor de zekerheid gescant met windows defender, en die gaf zo'n groen vinkje..

Malwarebyets ging ook niet af, dus daar sta je dan met je virus scanners. Heb het proces vroegtijdig gekilt omdat ik zag dat dropbox vreemde bestanden begon te synchroniseren en na 1m googlen wist ik genoeg.

[ Voor 0% gewijzigd door Lambo LP670 SV op 28-07-2016 08:56 . Reden: typo ]

Lambo LP670 SV schreef op donderdag 28 juli 2016 @ 08:26:
Ik had het doc voor de zekerheid gescant met windows defender, en die gaf zen grozn vinkje..

Malwarebyets ging ook niet af, dus daar sta je dan met je virus scanners. Heb het proces vroegtijdig gekilt omdat ik zag dat dropbox vreemde bestanden begon te synchroniseren en na 1m googlen wist ik genoeg.

Windows Defender is dan ook farce van een virusscanner.

Even voor de compleetheid, in het geval van Synology NASsen had je een prachtige snapshot kunnen maken. dan was er nu niks aan de hand geweest. of natuurlijk een good old backup.

Als bedrijf zou ik hopen (niet verwachten) dat er wel een enigszins competent IT persoon zou zitten die dit kon bedenken eigenlijk.

Xantios schreef op donderdag 28 juli 2016 @ 08:48:
[...]


Windows Defender is dan ook farce van een virusscanner.

Even voor de compleetheid, in het geval van Synology NASsen had je een prachtige snapshot kunnen maken. dan was er nu niks aan de hand geweest. of natuurlijk een good old backup.

Als bedrijf zou ik hopen (niet verwachten) dat er wel een enigszins competent IT persoon zou zitten die dit kon bedenken eigenlijk.

Er is een good old backup in de vorm van een Seagate 8TB Archive schijf die in de kluis ligt en de crypto locker dus niet kan versleutelen (data is 1 maand oud, dus ben vermoedelijk geen schokkende dingen kwijt). Verder pakt deze ook alle netwerk schijven aan en maakt system restores onklaar. Betwijfel dus of een aangesloten Synology hier de oplossing zou zijn.

We hebben het ook hier niet over een gans bedrijf maar een simpele zelfstandige die wat assistentie krijgt van zijn zoon

De reden waarom hij het document heeft proberen openen is omdat adres in de mail wel klopt. Is een postbus adres waar we normaal nooit iets laten afleveren, maar het doet toch vreemd om een mail te krijgen met jou adres erin. Toch net iets anders dan een gewone spam mail.

Lambo LP670 SV schreef op donderdag 28 juli 2016 @ 09:03:
[...]
Er is een good old backup in de vorm van een Seagate 8TB Archive schijf die in de kluis ligt en de crypto locker dus niet kan versleutelen (data is 1 maand oud, dus ben vermoedelijk geen schokkende dingen kwijt). Verder pakt deze ook alle netwerk schijven aan en maakt system restores onklaar. Betwijfel dus of een aangesloten Synology hier de oplossing zou zijn.

systeem restores als in de Windows functies? ja funky virusje.
gelukkig zijn de snapshots niet via het filesystem bereikbaar in geval van Synology.
dus zal die ook niet onklaar gemaakt kunnen worden door Wildfire / Cryptolocker.

Lambo LP670 SV schreef op donderdag 28 juli 2016 @ 09:03:
[...]


Er is een good old backup in de vorm van een Seagate 8TB Archive schijf die in de kluis ligt en de crypto locker dus niet kan versleutelen (data is 1 maand oud, dus ben vermoedelijk geen schokkende dingen kwijt). Verder pakt deze ook alle netwerk schijven aan en maakt system restores onklaar. Betwijfel dus of een aangesloten Synology hier de oplossing zou zijn.

We hebben het ook hier niet over een gans bedrijf maar een simpele zelfstandige die wat assistentie krijgt van zijn zoon

De reden waarom hij het document heeft proberen openen is omdat adres in de mail wel klopt. Is een postbus adres waar we normaal nooit iets laten afleveren, maar het doet toch vreemd om een mail te krijgen met jou adres erin. Toch net iets anders dan een gewone spam mail.

Zolang de cryptolockers nog niet met Linuxen overweg kunnen, niet met specifieke nas eigen tools en dat je niet vanaf een computer met Windows eigen tools het snapshot mechaniek van de nas beïnvloeden kan, is te stellen dat de nas dit voor je herstellen kon.

Verwijderd schreef op maandag 25 juli 2016 @ 14:05:
Ik word een beetje moe van wijsneuzen die dit nog even op een bijdehante manier willen duidelijk maken. TS zal zich waarschijnlijk ook wel voor z'n kop slaan. Hoef jij niet nog even erin te rammen hoor.

Het is niet bijdehand. Als het even meezit lezen hier meer ondernemers mee, die naast het probleem ook de oplossing gepresenteerd zien - back-ups! Die overkomt het nu natuurlijk niet meer.

De treurige realiteit is dat mensen zich pas bewust worden van het belang van back-ups als het te laat is. Alle wijsneuzen ten spijt is de opmerking nog steeds broodnodig. Als het niet steeds expliciet aangewezen wordt gaan mensen wellicht denken dat back-ups geen standaard onderdeel van het verhaal zijn.

Verwijderd schreef op donderdag 28 juli 2016 @ 01:42:
Snap niet dat men niet met een premium antivirus wil werken. Trend micro, al voor meerdere aaneengesloten jaren, niks aan de hand. Ook een eigen mailserver die scant op malware, houdt het meeste voor 90% al tegen.

Ook 'premium antivirus' houdt cryptomalware meestal niet tegen. Denken dat je veilig bent is de beste manier om ook de klos te zijn.

Lambo LP670 SV schreef op donderdag 28 juli 2016 @ 09:03:
De reden waarom hij het document heeft proberen openen is omdat adres in de mail wel klopt. Is een postbus adres waar we normaal nooit iets laten afleveren, maar het doet toch vreemd om een mail te krijgen met jou adres erin. Toch net iets anders dan een gewone spam mail.

Het afgelopen half jaar zie je meer en meer van dit soort getargete mails. Zo krijgen bijvoorbeeld ook personeelsafdelingen mailtjes met zogenaamde CV's. Blijkbaar leveren MKB-bedrijven genoeg op om dat maatwerk te laten lonen.

Wellicht heeft het ook te maken met een groeiende alertheid onder de bevolking, waardoor de traditionele overduidelijke mails minder succes hebben.

[ Voor 23% gewijzigd door Verwijderd op 28-07-2016 09:19 ]

Pieterll schreef op woensdag 27 juli 2016 @ 18:21:
Hier ook een geval bij het bedrijf van mijn pa. Verwijderen is vrij gemakkelijk, Malwarebytes heeft het gemakkelijk kunnen verwijderen, ook even met Hijackthis de nodige startup zooi verwijderd.

Decryption lijkt op het moment niet mogelijk te zijn zonder betaling.

Het lijkt dat de mailtjes afkomstig zijn van een van de volgende domeinen:

vandertaktransport.nl
jalinktransport.nl
vanloosbroektransport.nl

Virus lijkt zich in een doc bestand te hebben verstopt.

Zijn de mails daadwerkelijk afkomstig van die domeinen of bedoel je dat die domeinnamen misbruikt worden om de aandacht van de lezer te trekken? Nogal een verschilletje

vandertaktransport.nl
jalinktransport.nl
vanloosbroektransport.nl

Allemaal de registrar
Registrar:
PDR Ltd.
P.O. Box #16113
UAE
United Arab Emirates

Allemaal privacy protect en de domeinen zijn vorige week geregistreerd. Inderdaad gewoon aanmelden bij de hoster/SIDN als fraude.

Verwijderd schreef op donderdag 28 juli 2016 @ 09:16:
[...]

Het is niet bijdehand. Als het even meezit lezen hier meer ondernemers mee, die naast het probleem ook de oplossing gepresenteerd zien - back-ups! Die overkomt het nu natuurlijk niet meer.

De treurige realiteit is dat mensen zich pas bewust worden van het belang van back-ups als het te laat is. Alle wijsneuzen ten spijt is de opmerking nog steeds broodnodig. Als het niet steeds expliciet aangewezen wordt gaan mensen wellicht denken dat back-ups geen standaard onderdeel van het verhaal zijn.

Los van het duidelijke belang van backups, dat is ook niet het hele verhaal. Nu zijn Cryptolockers populair, omdat ze daar lekker makkelijk zonder gedoe geld mee kunnen verdienen. Maar er zijn nog heel veel andere virussen en trojans: wat nu je bestanden versleuteld, kan de volgende keer een virus zijn wat je bank leegtrekt, of in het geval van bedrijven wat je bedrijfsgegevens op straat gooit (of wat dacht je van: Betaal 50BTC als je niet wil dat deze pikante selfies die je hebt gemaakt online komen).

Dat zijn allemaal zaken waar backups niet voor helpen, en wat het belang onderstreept van in de eerste plaats ervoor zorgen dat je geen virus oppikt. Wat voor een groot gedeelte educatie is: Klik niet op alles wat je ziet, en als je een waarschuwing krijgt lees die serieus voor je op oké klikt.

Pietervs schreef op donderdag 28 juli 2016 @ 10:32:
[...]

Zijn de mails daadwerkelijk afkomstig van die domeinen of bedoel je dat die domeinnamen misbruikt worden om de aandacht van de lezer te trekken? Nogal een verschilletje

Mailtjes zijn daar daadwerkelijk afkomstig van. Heb een WHOIS check gedaan, en blijkt dat de domeinen bij de Verenigde Arabische Emiraten zijn geregistreerd.

Bedrijven blijken ook niet te bestaan. Doc file wordt ook gehost op de betreffende domeinen.

Even hier op inhaken, het gaat dus om een word document met macro, zag hem van de week ook al 2x langskomen. Nu simpel macro's uitschakelen in Word wordt wat moeilijk voor ons, we zitten met diverse plugins die deels werken op macro's*.

De andere optie is Word te blokkeren voor internettoegang via firewall, neem aan dat de macro 'iets' moet downloaden van het internet, dat op zo'n manier onmogelijk wordt.

*net als ING met z'n java, genoeg sites met flash, je wil wel anders, maar dat gaat niet zo makkelijk.

Er is sinds kort een nieuwe website opgericht door o.a. Kaspersky, Intel, Politie en Europol. Zie:
https://www.nomoreransom.org/

Wellicht dat je daar nog het e.e.a. van informatie of tooltjes af kunt halen.

SinergyX schreef op donderdag 28 juli 2016 @ 12:01:
Even hier op inhaken, het gaat dus om een word document met macro, zag hem van de week ook al 2x langskomen. Nu simpel macro's uitschakelen in Word wordt wat moeilijk voor ons, we zitten met diverse plugins die deels werken op macro's*.

De andere optie is Word te blokkeren voor internettoegang via firewall, neem aan dat de macro 'iets' moet downloaden van het internet, dat op zo'n manier onmogelijk wordt.

*net als ING met z'n java, genoeg sites met flash, je wil wel anders, maar dat gaat niet zo makkelijk.

Zie: https://support.office.co...7e2-9611-9efe4f860b12#bm2. Volgens mij als je het goed instelt kan je ervoor zorgen dat in jullie eigen documenten macro's automatisch uitvoeren, en voor alle andere het wordt gevraagd (of zo te lezen met trusted locations automatisch wordt geweigerd).

Verwijderd schreef op donderdag 28 juli 2016 @ 11:02:
vandertaktransport.nl
jalinktransport.nl
vanloosbroektransport.nl

Allemaal de registrar
Registrar:
PDR Ltd.
P.O. Box #16113
UAE
United Arab Emirates

Allemaal privacy protect en de domeinen zijn vorige week geregistreerd. Inderdaad gewoon aanmelden bij de hoster/SIDN als fraude.

Ik heb er 1 van kaartencentrum.nl. Ook afzender PostNL. De link verwijst in mijn geval naar http%3a%2f%2fmedia.mycatpics.tech%2fusa_drones_rate_is_90_percent_civilians_killed_10_percent_terrorists%2f3751bf%2fTrack_and_Trace.scr

Zie onderstaande mail:


Geachte Heer/Mevrouw,

Onze pakketbezorger heeft 26-07-2016 om 11:06 uur aan uw adress een pakket geprobeerd af te geven. Er was helaas niemand aanwezig om het pakket in ontvangst te kunnen nemen.

De zending afhalen op het postkantoor

Uw pakket ligt klaar op een PostNL punt bij u in de buurt. Bekijk uw track en trace informatie,. Neem de track en trace informatie uitgeprint mee naar het postkantoor. Vergeet niet om een geldig legitimatiebewijs (ID-Kaart, paspoort of rijbewijs) mee te nemen. De zending wordt veertien dagen na vandaag retour gestuurd, als het pakket niet opgehaald zal worden.

Met vriendelijke groet,

Herna Verhagen
CEO PostNL

Als SIDN Labs en TNO dan deze nieuws: SIDN detecteert honderden .nl-phishingsites met populaire merknamen klus geklaard hebben kunnen zie hier mee aan de slag, als ze dat al niet zijn..

Goedemiddag,

Deze mails worden ook gestuurd door: Vlootman Transport B.V.

Zelfde hier..

De pc van mijn vader is ook besmet maar er is gelukkig nog niks geëncrypteerd. Het virus heeft er nog niet de kans voor gekregen. We hebben deze SSD aangesloten op een andere pc om zo de bestanden te back-uppen. Echter bleek dat hij met Windows al zijn bestanden versleuteld heeft.. Ik kan dus geen enkel bestand overzetten naar een externe HDD.

Hij zou dus zijn eigen computer moeten kunnen opstarten om dan zo snel mogelijk het virus via task manager te killen. Maar dit houden we liefst als noodoplossing omdat we niet weten hoe groot de schade dan gaat zijn mocht de encryptie beginnen.

Iemand een idee om toch via een andere computer zijn bestanden veilig te stellen? Is er een manier om de encryptie key te bemachtigen vanaf mijn computer via explorer zodat ik ze wel kan overzetten? Hij heeft een Windows xp professional.

Alvast bedankt!

555Henny555 schreef op donderdag 28 juli 2016 @ 16:58:
Hij heeft een Windows xp professional.

Met een OS dat inmiddels al ruim twee jaar niet meer gesupport wordt is het natuurlijk wel een beetje vragen om problemen, al is dat mosterd na de maaltijd.

Nu wat ook nog kan is dat het virus niet uitgevoerd kon worden? Hij draait idd nog een Windows XP versie met daarop Word 97! Omdat hij anders bepaalde programma's niet meer kan gebruiken die niet werken in latere versies.

Hij vertelde me iets dat hij het document niet openkreeg, waardoor hij dus mijn laptop heeft gebruikt die wel lekker besmet werd.. Maar het virus ging pas actief na een uur of zo?

Is het mogelijk dat
1. zijn pc te oud is, Windows XP met Word 97, waardoor de ransomware (wildfire) niet uitgevoerd kon worden?
2. Het virus pas na een tijdje actief wordt? Dus na een reboot zou het virus dan beginnen op zijn pc.

555Henny555 schreef op donderdag 28 juli 2016 @ 16:58:
Zelfde hier..

De pc van mijn vader is ook besmet maar er is gelukkig nog niks geëncrypteerd. Het virus heeft er nog niet de kans voor gekregen. We hebben deze SSD aangesloten op een andere pc om zo de bestanden te back-uppen. Echter bleek dat hij met Windows al zijn bestanden versleuteld heeft.. Ik kan dus geen enkel bestand overzetten naar een externe HDD.

Hij zou dus zijn eigen computer moeten kunnen opstarten om dan zo snel mogelijk het virus via task manager te killen. Maar dit houden we liefst als noodoplossing omdat we niet weten hoe groot de schade dan gaat zijn mocht de encryptie beginnen.

Iemand een idee om toch via een andere computer zijn bestanden veilig te stellen? Is er een manier om de encryptie key te bemachtigen vanaf mijn computer via explorer zodat ik ze wel kan overzetten? Hij heeft een Windows xp professional.

Alvast bedankt!

Probeer de PC in veilige modus op te starten. Hiermee zou je zonder problemen het virus kunnen verwijderen / de bestanden kunnen overzetten.

Pieterll schreef op donderdag 28 juli 2016 @ 18:31:
[...]


Probeer de PC in veilige modus op te starten. Hiermee zou je zonder problemen het virus kunnen verwijderen / de bestanden kunnen overzetten.

Vermijd je met veilige modus dat het virus actief wordt?

555Henny555 schreef op donderdag 28 juli 2016 @ 16:58:

Iemand een idee?

Booten in Safe Mode en met Emsisoft Emergency Kit, Hitman Pro, Zemana Antimalware Free laten scannen en eventuele malware laten verwijderen.

Daarna zelf met Autoruns de autostarts nalopen of er nog vreemde eenden in de bijt zitten.

En dat allemaal nadat je je data hebt gekopieerd naar bijvoorbeeld een USB stick.

Sissors schreef op donderdag 28 juli 2016 @ 21:03:
En dat allemaal nadat je je data hebt gekopieerd naar bijvoorbeeld een USB stick.

Ahum; het probleem ligt ietsje complexer:

555Henny555 schreef op donderdag 28 juli 2016 @ 16:58:
De pc van mijn vader is ook besmet maar er is gelukkig nog niks geëncrypteerd. Het virus heeft er nog niet de kans voor gekregen. We hebben deze SSD aangesloten op een andere pc om zo de bestanden te back-uppen. Echter bleek dat hij met Windows al zijn bestanden versleuteld heeft.. Ik kan dus geen enkel bestand overzetten naar een externe HDD.

555Henny555 schreef op donderdag 28 juli 2016 @ 19:08:
[...]


Vermijd je met veilige modus dat het virus actief wordt?

Jazeker, maar zoals EricJH al aangeeft is het verstandig om even te scannen met wat anti-malware tools.

Blijkbaar was zijn pc dus niet besmet! Hail the old Word I guess... Maarja dit wisten we pas zeker nadat ik op mijn eigen laptop nog eens bewust het virus had gedownload en keek hoe het nu precies in zijn werk ging.

Nadat je de macro hebt uitgegevoerd gebeuren er een aantal dingen:
1. in ProgramData wordt er een map Sysmem met daarin ms.exe aangemaakt. (delete zich zelf blijkbaar ook weer..)
2. In Appdata\Roaming\yusrxhevbkse\Oeoao.exe bevindt zich het virus
3. Oeoao.exe, het virus, wordt toegevoegd aan de startup folder van Windows (druk Windows logo + R en dan: 'shell:startup' om de startfolder te openen)

Het virus gaat pas effectief encrypteren na een reboot bleek bij mij het geval. Wanneer je je pc reboot start Oeoao.exe wat een proces start iets met 'Windows' en 'Registry' oid erin. Sorteer in taskmanager op schijf en je zal het wel vanboven zien staan. Kill dit om het encrypteren tegen te gaan.

Beste is dus om stap 2 en 3 met de hand te verwijderen. Deze bestanden waren niet aanwezig bij mijn vader dus wisten we dat het virus niet aanwezig was.

Off topic:
Nu blijkt hij wel een ander probleem te hebben. Zijn SSD zit terug in zijn systeem, maar hij kan zelf niet meer aan zijn eigen geëncrypteerde bestanden.. Er is blijkbaar iets fout met een signature. Als iemand hier meer raad over weet..

Wat is er mee gebeurd? Ik heb de SSD dus in mijn computer gezet voor een poging tot het kopiëren van de bestanden. Ik heb mijzelf eigenaar gemaakt van 1 map omdat ik er niet in geraakte. Nadat we zeker waren dat het virus zich niet op die pc bevond heb ik hem terug in de originele computer gestoken. Reboot.. en toen bleek dat hij dus geen toegang meer heeft op zijn geëncrypteerde bestanden. Op NTFS-niveau zit het normaal gezien oke.

Toch jammer dat de TS na de topic-opening nooit meer heeft gereageerd.

[ Voor 9% gewijzigd door Domokun op 29-07-2016 03:06 ]

555Henny555 schreef op donderdag 28 juli 2016 @ 23:11:
Het virus gaat pas effectief encrypteren na een reboot bleek bij mij het geval. Wanneer je je pc reboot start Oeoao.exe wat een proces start iets met 'Windows' en 'Registry' oid erin. Sorteer in taskmanager op schijf en je zal het wel vanboven zien staan. Kill dit om het encrypteren tegen te gaan.

Dit was bij mijn vader niet het geval. Bij hem ging de ransomware direct aan de slag. Het was wel dezelfde bestandsnaam. Dus 'Oeoao' is niet random generated.

Pieterll schreef op vrijdag 29 juli 2016 @ 10:33:
[...]


Dit was bij mijn vader niet het geval. Bij hem ging de ransomware direct aan de slag. Het was wel dezelfde bestandsnaam. Dus 'Oeoao' is niet random generated.

Ah dat is minder..

En ja inderdaad, het virus bevindt zicht virus telkens hier:
Appdata\Roaming\yusrxhevbkse\Oeoao.exe

Verwijderd schreef op maandag 25 juli 2016 @ 14:05:
[...]

Ik word een beetje moe van wijsneuzen die dit nog even op een bijdehante manier willen duidelijk maken. TS zal zich waarschijnlijk ook wel voor z'n kop slaan. Hoef jij niet nog even erin te rammen hoor.

Nee niks, TS is betreft dit gewoon een domme sukkel die het IT beheer niet zelf had moeten doen, maar uitbesteden aan een partij die wel weet wat ze doen.

Maarja, mag weer niks kosten, dus neefje/vriendje fixt het wel ff.

Zie het resultaat.

Verwijderd schreef op vrijdag 29 juli 2016 @ 11:25:
[...]

Nee niks, TS is betreft dit gewoon een domme sukkel die het IT beheer niet zelf had moeten doen, maar uitbesteden aan een partij die wel weet wat ze doen.

Maarja, mag weer niks kosten, dus neefje/vriendje fixt het wel ff.

Zie het resultaat.

Waar zie jij dat TS het IT beheer zelf heeft gedaan?

Verwijderd schreef op vrijdag 29 juli 2016 @ 11:25:
[...]

Nee niks, TS is betreft dit gewoon een domme sukkel die het IT beheer niet zelf had moeten doen, maar uitbesteden aan een partij die wel weet wat ze doen.

Maarja, mag weer niks kosten, dus neefje/vriendje fixt het wel ff.

Zie het resultaat.

Ja, en niemand is er bij gebaat om dat duizend keer erin te gaan stampen. Totaal onnodig. TS snapt inmiddels ook wel wat je niet zonder verstand van IT wat moet gaan beunen.

Pieterll schreef op vrijdag 29 juli 2016 @ 11:48:
[...]


Waar zie jij dat TS het IT beheer zelf heeft gedaan?

Dat zie je toch aan de OP? Geen verwijzing naar een derde partij of zo. Nee, $familielid[TS] dacht het IT beheer wel ff op zich te kunnen nemen, nu dat het fout gaat beseffende hulp van anderen nodig te hebben, getuige dit topic.

---

Verwijderd schreef op vrijdag 29 juli 2016 @ 11:55:
[...]

Ja, en niemand is er bij gebaat om dat duizend keer erin te gaan stampen. Totaal onnodig. TS snapt inmiddels ook wel wat je niet zonder verstand van IT wat moet gaan beunen.

Waar maak jij uit op dat TS nu wel beseft incapabel te zijn dat klusje "iets met computers" op zich te kunnen nemen?

Ik lees dat hij/zij nog wel in de illusie is beheer in goede banen te kunnen leiden, daarom dit topic. Geen derde partij die wordt ingeschakeld. Nee, het moet nog steeds zo goedkoop mogelijk.

Laat staan zich het belang van backups&snapshots te realiseren, dit is echt weer zo'n "Als het kalf verdronken is, dempt men de put" verhaal.

[ Voor 49% gewijzigd door Verwijderd op 29-07-2016 12:17 ]

Verwijderd schreef op donderdag 28 juli 2016 @ 01:42:
Snap niet dat men niet met een premium antivirus wil werken. Trend micro, al voor meerdere aaneengesloten jaren, niks aan de hand. Ook een eigen mailserver die scant op malware, houdt het meeste voor 90% al tegen.

Of je klikt gewoon geen uitvoerbare bestanden aan uit schimmige spamberichten. Heb je geen 'premium anti-virus' voor nodig.

En ja, naast .exe zijn .js, .vbs, .wsf, .scr (en nog een paar andere) ook uitvoerbaar. Daarnaast kunnen .rtf en .docx ook macro's bevatten, al zal Microsoft Office die nooit zomaar zonder bevestiging uitvoeren.

555Henny555 schreef op donderdag 28 juli 2016 @ 23:11:
Wat is er mee gebeurd? Ik heb de SSD dus in mijn computer gezet voor een poging tot het kopiëren van de bestanden. Ik heb mijzelf eigenaar gemaakt van 1 map omdat ik er niet in geraakte. Nadat we zeker waren dat het virus zich niet op die pc bevond heb ik hem terug in de originele computer gestoken. Reboot.. en toen bleek dat hij dus geen toegang meer heeft op zijn geëncrypteerde bestanden. Op NTFS-niveau zit het normaal gezien oke.

Hoe weet je zeker dat het virus zich daar niet op bevindt? Er lijken redelijk lichtvaardig schijven in allerlei computers geduwd te worden. Dat een .exe niet meer te zien is betekent niet dat er geen verdere besmetting aanwezig is. Nog los van dat bestanden die opeens niet meer werken wel een indicatie is dat er toch wellicht wat mis is.

Verwijderd schreef op vrijdag 29 juli 2016 @ 13:06:
[...]

Hoe weet je zeker dat het virus zich daar niet op bevindt? Er lijken redelijk lichtvaardig schijven in allerlei computers geduwd te worden. Dat een .exe niet meer te zien is betekent niet dat er geen verdere besmetting aanwezig is. Nog los van dat bestanden die opeens niet meer werken wel een indicatie is dat er toch wellicht wat mis is.

Ik heb op mijn laptop nog eens het virus gedownload, 2x zelfs, om te analyseren hoe het virus precies werkte. En hij maakte dus onmiddellijk Appdata\Roaming\yusrxhevbkse\Oeoao.exe aan na uitvoering van macro. De naam is ook steeds het zelfde (daarmee 2x getest). Dus kon ik op die manier nagaan of de ssd van mijn vader besmet was. Heb de ssd ook nog wel gescand met antivirus rommel hoor

Het probleem met de Windows encryptie (EFS) op zijn eigen systeem werd hoogstwaarschijnlijk veroorzaakt doordat de ssd in een ander systeem heeft gezeten. Misschien een of andere vage "beveiliging" van Windows. Na heel veel proberen en doen heb ik het uiteindelijk kunnen oplossen mbv het programma Advanced EFS Data Recovery. Let op, je hebt wel de volledige versie nodig.. Met de trial/demo kon je zogezegd ook wel decrypteren maar kregen we de bestanden nog steeds niet open...

Naj_Geetsrev schreef op woensdag 27 juli 2016 @ 13:09:
Als ik een bedrijf was had ik al lang die 300 euro betaald en een (andere) it partij gezocht die het wel goed de boel op orde kan brengen.

En vaak is het juist de eindgebruiker die het niet wil betalen, ook al draagt je IT partij het wel aan.
Als de klant niet wil betalen gebeurt het niet.

Dus het is niet altijd de IT partij ze schuld

En nog een afzender: intrum@belangrijk.nl
Subject: Betalingsherinnering omtrent uw laatste aankoop

In dit mailtje gebruiken ze PostNL als postbedrijf om het factuurtje af te leveren.
Bijlagenaam: Factuurnummer-590339.doc

@555Henny555 waren de bestanden bij jouw wel al omgezet naar wflx bestanden? Wij hebben virus ook opgelopen, maar de computer niet opnieuw opgestart. Desondanks waren veel bestanden al "omgezet".

Hallo,

Ik als wantrouwend iemand met dat soort emailtjes (transport), heb ik toch via ons zakelijke account die mail geopend. Vervolgens kwam ik er vanmorgen achter dat mijn pc dus geen bestanden meer kan openen.

Is er iets dat ik nu zelf kan doen, zodat ik dit virus kan verwijderen? Of moet mijn pc naar een computerzaak? De winkels zijn hier nu namelijk dicht, dus ik kan nu niet rondbellen.

Hoor het graag,

Gooi eens twee ge-encrypte bestanden door dit heen:
https://www.nomoreransom.org/crypto-sheriff.php

En dan weet je of er een oplossing is, of niet. Houd er rekening mee dat er mogelijk ooit een oplossing kán komen als er nog geen oplossing kan worden geboden. Dus verwijder niets!

Verwijderd schreef op dinsdag 02 augustus 2016 @ 18:12:
Is er iets dat ik nu zelf kan doen, zodat ik dit virus kan verwijderen? Of moet mijn pc naar een computerzaak? De winkels zijn hier nu namelijk dicht, dus ik kan nu niet rondbellen.

Kort gezegd kan jij ook wat een computerzaak kan. De kans bestaat dat jullie allebei niets kunnen.

AW_Bos schreef op dinsdag 02 augustus 2016 @ 18:17:
Gooi eens twee ge-encrypte bestanden door dit heen:
https://www.nomoreransom.org/crypto-sheriff.php

En dan weet je of er een oplossing is, of niet. Houd er rekening mee dat er mogelijk ooit een oplossing kán komen als er nog geen oplossing kan worden geboden. Dus verwijder niets!

helaas, zij kunnen niets doen.

Ik heb zojuist ook dit gevonden: https://www.pcrisk.nl/ver...ildfire-locker-ransomware

Ben nu een scan aan het doen, dat malware opzoekt. Hij heeft toch al heel wat gevonden.. Maar jij zegt dat ik die vervolgens dan niet mag verwijderen?

Verwijderd schreef op dinsdag 02 augustus 2016 @ 19:01:
Ben nu een scan aan het doen, dat malware opzoekt. Hij heeft toch al heel wat gevonden.. Maar jij zegt dat ik die vervolgens dan niet mag verwijderen?

Even voor de duidelijkheid: wil je alleen het virus verwijderen, of is er ook data geëncrypt die je terug moet hebben en waarvan geen back-up bestaat?

Verwijderd schreef op dinsdag 02 augustus 2016 @ 19:08:
[...]

Even voor de duidelijkheid: wil je alleen het virus verwijderen, of is er ook data geëncrypt die je terug moet hebben en waarvan geen back-up bestaat?

Ik bedoelde het virus verwijderen, niet mijn bestanden. Er is een back-up gemaakt op 30-7. Dus ik kan straks nog systeemherstel proberen, dat staat ook op die link. Er is 1 bestand dat ik afgelopen 2 dagen nog heb aangepast, maar dat is wel weer aan te passen. Ik was nog niet van plan om bestanden te verwijderen

Verwijderd schreef op dinsdag 02 augustus 2016 @ 19:10:
[...]


Ik bedoelde het virus verwijderen, niet mijn bestanden. Er is een back-up gemaakt op 30-7. Dus ik kan straks nog systeemherstel proberen, dat staat ook op die link. Er is 1 bestand dat ik afgelopen 2 dagen nog heb aangepast, maar dat is wel weer aan te passen. Ik was nog niet van plan om bestanden te verwijderen

Zorg wel dat je die backup nog even op géén een pc binnen je netwerk aansluit voordat je alle overige systemen getest hebt op diezelfde wildfire locker, aangezien het een sluimerend virus is.

555Henny555 schreef op dinsdag 02 augustus 2016 @ 19:30:
[...]


Kijk eens of je Appdata\Roaming\yusrxhevbkse\Oeoao.exe terug vindt. Daar bevindt het virus zich normaal. Verwijder dat + controleer de programma's die opstarten en het virus zou kapot moeten zijn.

Het kan trouwens goed zijn dat de systeemherstel mee geëncrypteerd werd.

Die heb ik gevonden en gelijk verwijderd. Bedankt, dat is weer 1 stap in de goede richting hopelijk.

Deëncrypteren is btw onmogelijk tot heden. Wat je kan doen is je bestanden bijhouden om ze in de toekomst te kunnen deëncrypteren.

zie link:
http://www.bleepingcomput...-wflx/page-2#entry4037333

555Henny555 schreef op dinsdag 02 augustus 2016 @ 19:24:
Hmm, bij mij deed ie niks de eerste 15 minuten. Toen had ik hem maar herstart, en toen begon hij onmiddellijk met encrypteren. Kan zijn dat hij na een half uurtje bijvoorbeeld begint? Geen idee..

Bij jou ging het om een XP-client, toch?

555Henny555 schreef op dinsdag 02 augustus 2016 @ 19:44:
Deëncrypteren is btw onmogelijk tot heden. Wat je kan doen is je bestanden bijhouden om ze in de toekomst te kunnen deëncrypteren.

zie link:
http://www.bleepingcomput...-wflx/page-2#entry4037333

Dus ik ben sowieso al die bestanden kwijt??? (op dit moment in ieder geval?)

[ Voor 3% gewijzigd door Verwijderd op 02-08-2016 19:48 ]

Verwijderd schreef op dinsdag 02 augustus 2016 @ 19:48:
Dus ik ben sowieso al die bestanden kwijt??? (op dit moment in ieder geval?)

Vooralsnog wel. Let ook op dat het virus verwijderen en je bestanden decrypten twee verschillende dingen zijn. Omdat je eerste zei alleen het virus te willen verwijderen, ging ik ervan uit dat je je bestanden op een andere manier gezekerd had.

Als je geen goede back-ups had, is dit het moment om dat te gaan regelen.

Verwijderd schreef op dinsdag 02 augustus 2016 @ 19:50:
[...]

Vooralsnog wel. Let ook op dat het virus verwijderen en je bestanden decrypten twee verschillende dingen zijn. Omdat je eerste zei alleen het virus te willen verwijderen, ging ik ervan uit dat je je bestanden op een andere manier gezekerd had.

Als je geen goede back-ups had, is dit het moment om dat te gaan regelen.

Ik heb een back-up van 1 maand terug op externe harde schijf (maar inmiddels veel bestanden aan gewerkt) en een systeem-herstel van 2 dagen terug. Bij die systeemherstel worden toch ook je bestanden meegenomen of dat niet?

Verwijderd schreef op dinsdag 02 augustus 2016 @ 19:52:
Ik heb een back-up van 1 maand terug op externe harde schijf (maar inmiddels veel bestanden aan gewerkt) en een systeem-herstel van 2 dagen terug. Bij die systeemherstel worden toch ook je bestanden meegenomen of dat niet?

Sommige virussen vallen ook systeemherstel-bestanden aan, dus die ben je mogelijk kwijt. Wellicht heb je mazzel.

De externe harde schijf zou ik ver van besmette computers houden totdat je Windows op die computers opnieuw hebt geïnstalleerd. Hoewel je dan wel wat werk kwijt bent, heb je daar een zekere back-up aan. Beter een maand dan alles

Verwijderd schreef op dinsdag 02 augustus 2016 @ 19:46:
[...]

Bij jou ging het om een XP-client, toch?

Nee dat ging over mijn eigen laptop, windows 10. De pc van mijn vader draait win xp met Word 97. Het virus was, kuch, jammer genoeg niet compatibel met Word 97...

Verwijderd schreef op dinsdag 02 augustus 2016 @ 19:52:
[...]


Ik heb een back-up van 1 maand terug op externe harde schijf (maar inmiddels veel bestanden aan gewerkt) en een systeem-herstel van 2 dagen terug. Bij die systeemherstel worden toch ook je bestanden meegenomen of dat niet?

Bij systeemherstel worden je documenten/afbeeldingen niet meegenomen. Mits het ingeschakeld is zou je kunnen kijken of er nog shadowcopies zijn waar je bestanden uit terug kunt halen (met bijvoorbeeld ShadowExplorer).

Shadowcopies worden sinds enige tijd ook gelocked dus ik zou niet te hard hopen.

Ik heb veel gelezen over dit onderwerp, de ge-encrypte bestanden ingediend en het was me al snel duidelijk. Er is maar één optie: betalen. Vrijdag gaf mijn backup schijf al de geest, Acronis bleef zeuren dat de bewerking was mislukt, maar ik dacht, jij komt straks aan de beurt. Eerst mijn video's afmonteren van een opname van een rouwdienst en de daaropvolgende teraarde bestelling. Ik had de blu ray's en DVD's net gebrand toen ik zag dat wat bestanden een rare naam hadden gekregen en niet meer wilde openen. Toen ik ging kijken zag ik dat mijn kopieën op dropbox en ook die op mijn NAS versleuteld waren. Op één laptop na, die stond uit. Daar stonden al mijn facturen, offertes en veel foto's op. Wifi uitgezet, laptop aan en copy van gemaakt op externe harde schijf. Het werd van een ramp, naar een kleine ramp.
Dan ben ik gaan kijken waarom als beloofd Hitman Pro dit niet gemerkt had. Maar die was oneens niet meer geactiveerd en stond idle te wezen. Na invoering van de sleutel kreeg ik te horen dat deze sleutel al te vaak gebruikt was.

Ik heb ge-googled op oplossingen, maar er zijn alleen schijn oplossingen waarbij je bestanden kwijt bent. Dus ik heb besloten om op het voorstel in te gaan dat in bijna elke folder geplaatst is in de vorm van een html bestand. Daar staan wat links in en dat je 0.5 bitcoins moet betalen om een sleutel te krijgen voor het decrypten van je bestanden. Nog nooit iets met bitcoins gedaan, dus eerst daar in gedoken. Wallet geopend en 0,5 bitcoins over gemaakt. Daarvoor moet 0,51 bitcoins in je wallet zitten, vanwege de fee. Ik hoefde niet alleen te klooien, de hackers hebben een prima helpdesk die je met chat overal door helpen. Twee minuten na het overmaken kreeg ik de sleutel te zien en een download maar de decrypting software. Deze draait niet standalone, maar alleen icm de brouwser. In het tooltje kun je kiezen uit enkele opties en bladeren naar welke drive/map je wil gaan. Als je kiest voor decrypten van een hele schijf, loopt die al snel vol als je "delete encrypted file (not recommanded)" niet aangevinkt hebt.
Bij mij liep dus de c schijf vol en de mbr ging er zelfs aan. Die gerepareerd en weer opgestart. Gelukkig had ik de link opgeslagen naar mijn "persoonlijke pagina met tool en wachtwoord en kon ik verder gaan met opschonen. Het heeft mij een dag en 249 euro gekost, maar alles draait weer.
In de window van het tooltje staat nog een tip:" wij raden nod32 aan en het uitschakelen van macro's in Word."
En ja, het kwam door een mailtje over een onbestelbaar pakketje.

[ Voor 1% gewijzigd door audio-rent.nl op 04-08-2016 00:58 . Reden: Speltypevouten ]

audio-rent.nl schreef op donderdag 04 augustus 2016 @ 00:40:
Het heeft mij een dag en 249 euro gekost, maar alles draait weer.

Ik neem aan dat je alles opnieuw geïnstalleerd hebt? Je kunt die computers niet meer vertrouwen. Wie zegt dat je over een maand niet weer de klos bent dankzij een sluimerend stukje software? Ze weten nu dat je betaalt - net als inbrekers die vaak weer even terugkomen als de verzekeraar net nieuwe spullen heeft bekostigd.

Overigens heb je mazzel gehad dat je daadwerkelijk een werkende sleutel hebt gekregen. Het is te hopen dat de arme ziel die het slachtoffer wordt van een van jouw centen nog verder doorontwikkeld stukje malware ook zoveel mazzel heeft. Je zat uiteraard in een pijnlijke spagaat, maar hebt zo wel het probleem van een ander gefinancierd.

Je gaat nu uiteraard een back-up-oplossing (laten) bouwen waarmee dit nooit meer kan voorkomen

Verwijderd schreef op donderdag 04 augustus 2016 @ 02:05:

Overigens heb je mazzel gehad dat je daadwerkelijk een werkende sleutel hebt gekregen.

Wel ik ben (helaas) van mening dat die criminelen vooralsnog het meeste baat hebben bij het geven van een werkende sleutel. Ze verdienen namelijk van het feit dat ze bij betaling een 'oplossing' geven. Pure chantage dus, maar omdat ze wel degelijk de bestanden weer ontsleutelen zorgt er voor dat meer mensen gaan betalen voor de bestanden. Als ze dat niet deden zou geen enkele hond hen meer geld geven.
Genoeg verhalen van mensen die 'blij' zijn dat ze iig de bestanden terugkrijgen door te betalen.

Het beste zou zijn als niemand meer een cent aan hen geeft, dan is deze 'business' ook niet meer rendabel voor hen.

MB113 schreef op donderdag 04 augustus 2016 @ 03:36:
Wel ik ben (helaas) van mening dat die criminelen vooralsnog het meeste baat hebben bij het geven van een werkende sleutel. Ze verdienen namelijk van het feit dat ze bij betaling een 'oplossing' geven. Pure chantage dus, maar omdat ze wel degelijk de bestanden weer ontsleutelen zorgt er voor dat meer mensen gaan betalen voor de bestanden. Als ze dat niet deden zou geen enkele hond hen meer geld geven.
Genoeg verhalen van mensen die 'blij' zijn dat ze iig de bestanden terugkrijgen door te betalen.

Dat de groep als geheel gebaat is bij het leveren van de sleutels klopt. Echter blijken de ervaringen wisselend. There's no honour among thieves. Als andere boeven het wel doen, zullen sommigen verzinnen dat zij het niet hoeven te doen. Dat is nog minder werk.

Het blijft een gok.

Het beste zou zijn als niemand meer een cent aan hen geeft, dan is deze 'business' ook niet meer rendabel voor hen.

Daar doelde ik inderdaad op, al snap ik ook dat je bij dit soort beelden niet zo snel volgende keer beter roept. Als iedereen die centen bij voorbaat in back-ups stopte was het een non-verhaal.

[ Voor 3% gewijzigd door Verwijderd op 04-08-2016 03:51 ]

Niet betalen, klinkt stoer. Maar nee, als je een bedrijf hebt, is dat geen optie. Je moet door. Uit principe je bedrijf stilleggen klinkt nobel, maar de kinderen moeten gewoon studeren en bijstand voor een ondernemer ligt ook nogal lastig.

Ik wordt een beetje moe van het roepen dat je alles uit moet besteden. Als je thuis een feestje hebt, ga je toch ook geen bedrijf in huren? Dat doe je zelf, of er is wel een neefje. Nergens in de zakenwereld wordt zoveel zwart gebeund als in de "disco" industrie.

Uitbesteden aan de "kenners", zoals die van Surfright zeker. Het eerst wat het virus deed was hitmanpro uitschakelen. En security Essentials was helemaal in slaap, en werd pas wakker toen ik het tooltje opende. Wat nou jij je files decrypten, daar ga ik een stokje voor steken "de bedreiging is opgeruimd".

En dat die schijf er uitgerekend nu mee op houdt, dat is domme pech. Daar werd elke nacht een backup op weggeschreven. En die hing aan mijn computer, dus wie weet wat daarmee gebeurd zou zijn. Wat ik dus moet doen is elke avond een schijf aan mijn computer hangen en de opdracht geven aan acronis om een backup te maken. En dan 's morgens er weer afhalen. Zoiets denk ik maar.
En over betalen: iedereen doet het bij gijzeling van mensen of goederen. Ook de overheid.

audio-rent.nl schreef op donderdag 04 augustus 2016 @ 03:59:
Niet betalen, klinkt stoer. Maar nee, als je een bedrijf hebt, is dat geen optie. Je moet door. Uit principe je bedrijf stilleggen klinkt nobel, maar de kinderen moeten gewoon studeren en bijstand voor een ondernemer ligt ook nogal lastig.

Ik wordt een beetje moe van het roepen dat je alles uit moet besteden. Als je thuis een feestje hebt, ga je toch ook geen bedrijf in huren? Dat doe je zelf, of er is wel een neefje. Nergens in de zakenwereld wordt zoveel zwart gebeund als in de "disco" industrie.

Ondernemen is bepaalde risico's uitsluiten en andere risico's nemen. Als je bedrijf zo afhankelijk is van computergerelateerde zaken en door één simpel mailtje platgelegd kan worden, dan heb je toch iets danig over het hoofd gezien in je risico-analyse. Dan had je allang moeten nadenken over hoe je dat risico zo klein mogelijk maakt.

Weet je waar ik moe van wordt? Ondernemers die met wat uitzoekwerk en een kleine investering problemen voor hadden kunnen zijn, maar pas in actie komen als het veel te laat is. IT is een bijzaak - totdat het een keer misgaat. Terwijl in veel bedrijven goed wordt nagedacht hoe zoiets opgevangen moet worden. De data is in het geval van opnames immers je corebusiness en daarmee een intrinsiek onderdeel van het bedrijf. Nu wordt het probleem achteraf gegooid op iets dat je overkomt, in plaats van iets dat je je hebt laten overkomen. En passant maak je je medeplichtig en heb je een aandeel in de komende slachtoffers en de software die gefinancierd wordt met jouw bijdrage. De slachtofferrol past daar niet goed bij. Niemand verwacht dat je je bedrijf stillegt, maar dat is dan ook met enige eenvoud te voorkomen.

Wat had je gedaan als deze criminelen geen sleutel geleverd hadden?

En dat die schijf er uitgerekend nu mee op houdt, dat is domme pech. Daar werd elke nacht een backup op weggeschreven. En die hing aan mijn computer, dus wie weet wat daarmee gebeurd zou zijn. Wat ik dus moet doen is elke avond een schijf aan mijn computer hangen en de opdracht geven aan acronis om een backup te maken. En dan 's morgens er weer afhalen. Zoiets denk ik maar.

Een schijf die te benaderen is vanaf je computer is altijd kwetsbaar. Je bent één van de redenen al tegengekomen, maar je kunt ook bestolen worden, een blikseminslag te verduren krijgen of met andere defecten te maken krijgen. Dan zijn beide kopieën ook weg. Met domme pech heeft het dus maar beperkt te maken. Wat pech, met consequenties die te voorzien waren. Daarom is bij relevante data altijd sprake van een meertrapssysteem. In een serieus backup-plan zit ook altijd een back-up op een andere locatie, met bestanden die niet zomaar te benaderen of overschrijven zijn.

En over betalen: iedereen doet het bij gijzeling van mensen of goederen. Ook de overheid.

Een paar gegijzelde Canadezen kan je iets anders vertellen. Of niet meer vertellen, beter gezegd.

"Ondernemen is bepaalde risico's uitsluiten en andere risico's nemen. Als je bedrijf zo afhankelijk is van computergerelateerde zaken en door één simpel mailtje platgelegd kan worden, dan heb je toch iets danig over het hoofd gezien in je risico-analyse. Dan had je allang moeten nadenken over hoe je dat risico zo klein mogelijk maakt."

Ik had al "backup in the claud. En klik niet op mailtjes die verdacht zijn. Dit gaat al 35 jaar goed. En ik had een backup van mijn belangrijkste bestanden, op dropbax op een laptop die uit staat, 50 Gb andocumentn en de belangrijkste foto's. En ja, ik heb er van geleerd. Maar ook iets over bitcoins. En dat ze gewoon een heel eind traceerbaar zijn. https://btc.com/1H5w9t1zAA1715morXmvPdzzfGB5KDcLQN

Wat dit mailtje onderscheidde van de andere is dat het aan mij persoonlijk gericht was:

Verzonden: maandag 1 augustus 2016 21:43
Aan: info@audio-rent.nl
Onderwerp: Levering BR-825342 op 1 augustus

Bob Roodkamp Transport B.V.
Havenstraat 282
7553 GG Hengelo
--------------------------------

Geachte heer / mevrouw,

Op maandag 1 augustus heeft een van onze chauffeurs omstreeks 09:20 geprobeerd om een pakket af te leveren op het onderstaande adres.
Audio Rent
Schoener 8
NL-1276 CZ HUIZEN

Aangezien dit niet is gelukt willen wij u graag verzoeken om zo spoedig mogelijk een nieuwe afspraak te maken.
U kunt een nieuwe afspraak maken door het volgende formulier te downloaden, in te vullen en retour te mailen naar info@transport.nl
U kunt het benodigde formulier downloaden op onze website.nl/ (dit formulier bevat ook informatie m.b.t. de levering)

Met vriendelijke groet,
Miranda Slootman

De informatie verzonden in dit e-mail bericht is automatisch gegenereerd en uitsluitend bestemd voor de geaddresseerde. Gebruik van deze informatie door anderen dan de geadresseerde is verboden.

Ja, achteraf bestaat het adres niet, de site niet en de firma niet.

audio-rent.nl schreef op donderdag 04 augustus 2016 @ 05:16:
Ik had al "backup in the claud. En klik niet op mailtjes die verdacht zijn. Dit gaat al 35 jaar goed. En ik had een backup van mijn belangrijkste bestanden, op dropbax op een laptop die uit staat, 50 Gb andocumentn en de belangrijkste foto's. En ja, ik heb er van geleerd.

Een back-up die je niet redt is geen back-up. Maar goed, je lijkt wel degelijk stappen gemaakt te hebben in je kennis en besef. Hopelijk is daarmee de eerste stap gezet een dergelijk incident de volgende keer te voorkomen.

En ja, de mails zijn tegenwoordig een stuk lastiger van echt te onderscheiden en netter in elkaar gezet. De tijd van Nigeriaanse prinsen lijkt helaas voorbij te zijn. De vorige keer waren en het CV's die rondgestuurd worden, nu mislukte bezorgingen. Het is wachten op de volgende.

Mocht je overigens eens na willen denken over een goed IT-plan (dat uiteraard niets mag kosten), dan kunnen ik of andere vriendelijke mensen je ook daarbij helpen. We zijn er niet alleen om je uit te kafferen omdat je betaald hebt

U kunt het benodigde formulier downloaden op onze website: [knip] (dit formulier bevat ook informatie m.b.t. de levering)

Dat is toch niet de link naar het daadwerkelijke besmette bestand?

[ Voor 23% gewijzigd door Verwijderd op 04-08-2016 05:31 ]

Oops, nu niet meer. Over het hoofd gezien, dom. Aardig aangeboden. Er staat een Synology NAS te draaien, met een "Claud". Maar dat was ook allemaal versleuteld. Wat op de NAS zelf stond, niet. Dus daar moet ik ergens heen. Dat ik er wel heen kan schrijven en lezen (met een password of zo) maar de files niet zo maar te benaderen zijn. Die claud staat gewoon open, dat is het denk ik.

[ Voor 78% gewijzigd door audio-rent.nl op 04-08-2016 05:37 . Reden: aanvulling ]

audio-rent.nl schreef op donderdag 04 augustus 2016 @ 05:31:
Oops, nu niet meer. Over het hoofd gezien, dom. Aardig aangeboden. Er staat een Synology NAS te draaien, met een "Claud". Maar dat was ook allemaal versleuteld. Wat op de NAS zelf stons, niet. Dus daar moet ik ergens heen. Dat ik er wel heen kan schrijven en lezen (met een password of zo) maar de file niet zo maar te benaderen zijn. Die claud staat gewoon open, dat is het denk ik.

Dat begint inderdaad de goede kant op te gaan. Zolang je niet zomaar vanaf de computer kunt schrijven, wordt schade al veel meer beperkt. Hoe meer muurtjes je tussen je data en een virus kunt bouwen, hoe beter het is.

Zoals gezegd kunnen we op Tweakers ook een keer meedenken met je situatie in een daarvoor geopend topic. Dan kan je toch van een hoop kennis gebruik maken, zonder gelijk in de buidel te hoeven tasten Wellicht kan het ook hier, want ik zie dat TS een redelijk soortgelijke situatie heeft. Dat laat ik aan een moderator.

[ Voor 6% gewijzigd door Verwijderd op 04-08-2016 05:41 ]