Gehacked door wildfire locker (wflx)

audio-rent.nl schreef op donderdag 04 augustus 2016 @ 05:31:
Maar dat was ook allemaal versleuteld. Wat op de NAS zelf stond, niet. Dus daar moet ik ergens heen. Dat ik er wel heen kan schrijven en lezen (met een password of zo)

Don't even dare... Alles alleen lezen zetten (voor desnoods apart account) in de nas en daarna e.e.a. kopieren via het alleen lezen account is veeeeeel veiliger als dat je laatste backup is

edit: ook niet onbelangrijk: wat is het afzenderadres van die email??

[ Voor 7% gewijzigd door base_ op 04-08-2016 06:05 ]

Een relatief simpele en goedkope beveiligingslaag voor een-pitters en kleine bedrijfjes, is nog steeds good ol' Sandboxie.
Draai de browser en Office progs in die omgeving en alles wat door ransomware wordt geencrypt, is met 1 muisklik verwijderd.
Eén keertje hard gapen en nog wat muiskliks, en je werkt weer verder als 5 seconden daarvoor.

Klein beetje inlezen, installeren, klein beetje configureren, levenslange licentie er op klatsen voor 4 tientjes en wala.
Ransomware?->

[ Voor 18% gewijzigd door Baserk op 04-08-2016 10:57 . Reden: tiepvaud ]

Sophos UTM aanschaven (een Klein versie)
En dan ben je veilig als bedrijf

Raoul.TLS schreef op donderdag 04 augustus 2016 @ 16:31:
Sophos UTM aanschaven (een Klein versie)
En dan ben je veilig als bedrijf

Dan heb ik liever een cloudwerkplek .

Raoul.TLS schreef op donderdag 04 augustus 2016 @ 16:31:
Sophos UTM aanschaven (een Klein versie)
En dan ben je veilig als bedrijf

Promoot dit alstublieft niet als waarheid.
Ten eerste reageren zowel AV's and UTM's niet op nieuwe varianten. En zoek even rond hoeveel klachten er zijn dat zelfs oude versies door Sophos UTM's geraken.
Enige manier van dit te voorkomen is gebruikers opleiden op wat te openen en wat niet. En een combinatie van protectie systemen.
En tot slot back-ups, maar die hamer is al genoeg gevallen.

Betalen is de gemakkelijkste oplossing. En voor 290 dollar zou ik niet eens twijfelen. De standaard kost voor zo'n grapjes is 2 bitcoins, klein beetje duurder..

Niets mis met Sophos UTM met de juiste licentie
Werk bij een gemeente en die heeft in 5 jaar 0 ransomeware binnen gehad

Andere buurt gemeente heeft er in 1 jaar tijd meer al 10 binnen gehad.
Verschil is betere hardware (en ook een deel opleiden van je gebruikers)
Kost niet weinig maar dan heb je ook wat.

foetus_ schreef op donderdag 04 augustus 2016 @ 16:52:
[...]


Promoot dit alstublieft niet als waarheid.
Ten eerste reageren zowel AV's and UTM's niet op nieuwe varianten. En zoek even rond hoeveel klachten er zijn dat zelfs oude versies door Sophos UTM's geraken.
Enige manier van dit te voorkomen is gebruikers opleiden op wat te openen en wat niet. En een combinatie van protectie systemen.
En tot slot back-ups, maar die hamer is al genoeg gevallen.

Betalen is de gemakkelijkste oplossing. En voor 290 dollar zou ik niet eens twijfelen. De standaard kost voor zo'n grapjes is 2 bitcoins, klein beetje duurder..

Raoul.TLS schreef op donderdag 04 augustus 2016 @ 16:57:
Niets mis met Sophos UTM met de juiste licentie
Werk bij een gemeente en die heeft in 5 jaar 0 ransomeware binnen gehad

Andere buurt gemeente heeft er in 1 jaar tijd meer al 10 binnen gehad.
Verschil is betere hardware (en ook een deel opleiden van je gebruikers)
Kost niet weinig maar dan heb je ook wat.


[...]

Het probleem is dat, zelfs als Sophos UTM 99.999% van alle malware tegenhoudt, je nog steeds vatbaar bent voor die 0.001%. Naast een goede antivirus/-malware/-ransomware oplossing ben je gewoon (in sommige gevallen zelfs wettelijk) verplicht om een goede backup strategie te hebben. Simpel zeggen "Sophos UTM fixt alles" is dus niet afdoende.

Verder, zoals foetus_ al aangaf geven veel UTMs en virusscanners op dit moment geen gehoor aan de nieuwste ransom-/malware versies. Omdat deze oplossingen altijd achterlopen op de nieuwste technieken is het simpelweg niet genoeg om je data veilig te stellen.

Je kan ook checken mailomgeving secure mail spf check en zo messagelabs dat houd de rest tegen
Het is niet onmogelijk veilige omgeving te bouwen.
Moet wel kijken wat kost een dag productie verlies en maatregelen.
Wegen ze tegen elkaar op en zo

Dropbox kan je gewoon terugdraaien overigens. Stuur de support een mailtje met het delete event en dan doen ze een rollback voor je. Zo simpel als wat.

Hier de ZEPTO versie gewoon binnen gehad na met 3 verschillende AV's gescant te zijn.
En ja, ook een sophos UTM met full guard.

Zat eerst wel te kijken, om 15.00 ding binnen gehad en virustotal kende hem nog niet.
Pas om 20.45 kwam de juiste update binnen en kon ik deze verwijderen.
note to self: nooit hetzelfde merk AV op de FW en op clients

Veeam hielp me in 45min weer aan schone schijven

[ Voor 6% gewijzigd door arjants op 04-08-2016 21:05 ]

Wat meer generiek ransomware nieuws op Security.nl;

Sophos meldt over een variant die zich via LNK bestanden verspreidt.
Aangezien de extensie niet standaard zichtbaar is, en je een LNK bestand toch kan hernoemen naar PDF of whatever, een nieuwe 'uitdaging' voor de eindgebruiker (en verantwoordelijke admins). Link

Daarnaast meldt Cisco het gebruik van het simpelweg hernoemen van een .docm bestand naar .rtf bestand, waarbij Word het zogenaamd veilige .rtf bestand zal openen en macro-ellende toch automagisch z'n gang kan gaan. Link
Beiden ITW dus 'be careful out there'.

(Aangezien er geen 'algemeen ransomware' topic is (dat toch ondergesneeuwd zal worden met meldingen) heb ik het 't maar hier neergezet).

[ Voor 8% gewijzigd door Baserk op 04-08-2016 22:26 ]

k forward al mij mail naar Gmail, vanuit de externe host. Het Mailtje met de ransomeware is daar nooit binnen gekomen. Is gmail daar zo alert op?

Baserk schreef op donderdag 04 augustus 2016 @ 09:53:
Een relatief simpele en goedkope beveiligingslaag voor een-pitters en kleine bedrijfjes, is nog steeds good ol' Sandboxie.
Draai de browser en Office progs in die omgeving en alles wat door ransomware wordt geencrypt, is met 1 muisklik verwijderd.
Eén keertje hard gapen en nog wat muiskliks, en je werkt weer verder als 5 seconden daarvoor.

Klein beetje inlezen, installeren, klein beetje configureren, levenslange licentie er op klatsen voor 4 tientjes en wala.
Ransomware?->

Iemand die proactief durft te denken als belangrijke laag in gelaagde beveiliging. Je kunt ook Comodo Internet Security met automatische sandbox overwegen. Zorg ervoor dat je je data mappen beschermt onder Beschermde Data Mappen (Protected Data Folders). Daarnaast kun je programma's ook zelf in de sandbox laten draaien.

Schakel de Windows Script Host uit. Maak voor alle zekerheid Kladblok het standaardprogramma voor .js, .wsf en vbs en schakel Macro's in Word uit.

Dan ben je bijna niet meer afhankelijk van detectie die per definitie achter de feiten aan loopt.

Verwijderd schreef op donderdag 28 juli 2016 @ 11:02:
vandertaktransport.nl
jalinktransport.nl
vanloosbroektransport.nl
Nog eentje: waalkosttransport.nl (schade beperkt, PC opnieuw installeren. Backups aanwezig).

Allemaal de registrar
Registrar:
PDR Ltd.
P.O. Box #16113
UAE
United Arab Emirates

Allemaal privacy protect en de domeinen zijn vorige week geregistreerd. Inderdaad gewoon aanmelden bij de hoster/SIDN als fraude.

audio-rent.nl schreef op donderdag 04 augustus 2016 @ 03:59:
Niet betalen, klinkt stoer. Maar nee, als je een bedrijf hebt, is dat geen optie. Je moet door. Uit principe je bedrijf stilleggen klinkt nobel, maar de kinderen moeten gewoon studeren en bijstand voor een ondernemer ligt ook nogal lastig.

Ik wordt een beetje moe van het roepen dat je alles uit moet besteden. Als je thuis een feestje hebt, ga je toch ook geen bedrijf in huren? Dat doe je zelf, of er is wel een neefje. Nergens in de zakenwereld wordt zoveel zwart gebeund als in de "disco" industrie.

Uitbesteden aan de "kenners", zoals die van Surfright zeker. Het eerst wat het virus deed was hitmanpro uitschakelen. En security Essentials was helemaal in slaap, en werd pas wakker toen ik het tooltje opende. Wat nou jij je files decrypten, daar ga ik een stokje voor steken "de bedreiging is opgeruimd".

En dat die schijf er uitgerekend nu mee op houdt, dat is domme pech. Daar werd elke nacht een backup op weggeschreven. En die hing aan mijn computer, dus wie weet wat daarmee gebeurd zou zijn. Wat ik dus moet doen is elke avond een schijf aan mijn computer hangen en de opdracht geven aan acronis om een backup te maken. En dan 's morgens er weer afhalen. Zoiets denk ik maar.
En over betalen: iedereen doet het bij gijzeling van mensen of goederen. Ook de overheid.

Al zorg je er voor dat op de back-up NAS een andere username en password zit en wellicht met een tijdschakel mechanisme, dat deze alleen aanstaat als er back-up wordt weggeschreven. Op een andere locatie neerzetten is natuurlijk nog mooier. Ik snap dat als je een klein of middelgroot bedrijf hebt je niet de wereld kwijt wil zijn aan een hightech back-up systeem. Maar het is wel slim om nu te gaan kijken naar een oplossing, risico dat het gebeurt Vs. het geld dat je er voor over hebt om er tegen bestand te zijn.

Helaas is mijn computer ook geïnfecteerd/gehacked door virus die al de bestanden omzet naar wflx. ondanks mijn viruscan 2x per dag een update krijgen en de computer scant. Nu was mijn account van dropbox gekoppeld met mijn computer en ook deze bestanden zijn nu geïnfecteerd.
weet iemand of dropbox ook een back-up maakt van de bestanden en zijn de bestanden nog terug te krijgen?

[ Voor 10% gewijzigd door Verwijderd op 09-08-2016 21:51 ]

Hoera, ik ben ook de pineut van het wildfire virus. Heb alles al geprobeerd maar geen resultaat! Pc blijft zelfs in veilige modus hangen en kan alleen nog op internet met lan.
Ben nu maar begonnen alle bestanden "ook mijn back-ups" op een externe schijf te verzamelen om een schone installatie te doen en de besmette bestanden maar te verzamelen op 1 harde externe harde schijf, wie weet komt er nog een programma wat mijn bestanden terug virusvrij kan krijgen.

Bij het inloggen van mijn gmail stond er een account ingesteld van bcrpqta4@gmail.com wat niet van mij is, ook erg vreemd.

de mail die mij het virus gaf was van;
Valkenburg Transport B.V.
Henricuskade 730B
2497 NB Den Haag
--------------------------------

Geachte heer / mevrouw,

Op vrijdag 5 augustus heeft een van onze chauffeurs omstreeks 10.00 geprobeerd om een pakket af te leveren op het onderstaande adres.

Aangezien dit niet is gelukt willen wij u graag verzoeken om zo spoedig mogelijk een nieuwe afspraak te maken.
U kunt een nieuwe afspraak maken door het volgende formulier te downloaden, in te vullen en retour te mailen naar info@valkenburgtransport.nl
Het benodigde formulier is te downloaden op onze website: hxxp://bestanden.valkenburgtransport.nl/iets (dit formulier bevat ook informatie m.b.t. de levering)

Met vriendelijke groet,
Marloes Werkman

De informatie verzonden in dit e-mail bericht is automatisch gegenereerd en uitsluitend bestemd voor de geaddresseerde. Gebruik van deze informatie door anderen dan de geadresseerde is verboden.


Dit ter informatie van iedereen.

[ Voor 55% gewijzigd door FlipFluitketel op 10-08-2016 20:11 . Reden: Link naar virus verwijderd ]

Verwijderd schreef op woensdag 10 augustus 2016 @ 16:40:
Hoera, ik ben ook de pineut van het wildfire virus. Heb alles al geprobeerd maar geen resultaat! Pc blijft zelfs in veilige modus hangen en kan alleen nog op internet met lan.
Ben nu maar begonnen alle bestanden "ook mijn back-ups" op een externe schijf te verzamelen om een schone installatie te doen en de besmette bestanden maar te verzamelen op 1 harde externe harde schijf, wie weet komt er nog een programma wat mijn bestanden terug virusvrij kan krijgen.

Bij het inloggen van mijn gmail stond er een account ingesteld van bcrpqta4@gmail.com wat niet van mij is, ook erg vreemd.

de mail die mij het virus gaf was van;
Valkenburg Transport B.V.
Henricuskade 730B
2497 NB Den Haag
--------------------------------

Geachte heer / mevrouw,

Op vrijdag 5 augustus heeft een van onze chauffeurs omstreeks 10.00 geprobeerd om een pakket af te leveren op het onderstaande adres.

Aangezien dit niet is gelukt willen wij u graag verzoeken om zo spoedig mogelijk een nieuwe afspraak te maken.
U kunt een nieuwe afspraak maken door het volgende formulier te downloaden, in te vullen en retour te mailen naar info@valkenburgtransport.nl
Het benodigde formulier is te downloaden op onze website: (dit formulier bevat ook informatie m.b.t. de levering)

Met vriendelijke groet,
Marloes Werkman

De informatie verzonden in dit e-mail bericht is automatisch gegenereerd en uitsluitend bestemd voor de geaddresseerde. Gebruik van deze informatie door anderen dan de geadresseerde is verboden.


Dit ter informatie van iedereen.

Als dat een link naar het bestand met wildfire is heel snel weghalen ajb.

Verwijderd schreef op dinsdag 09 augustus 2016 @ 21:50:
Helaas is mijn computer ook geïnfecteerd/gehacked door virus die al de bestanden omzet naar wflx. ondanks mijn viruscan 2x per dag een update krijgen en de computer scant. Nu was mijn account van dropbox gekoppeld met mijn computer en ook deze bestanden zijn nu geïnfecteerd.
weet iemand of dropbox ook een back-up maakt van de bestanden en zijn de bestanden nog terug te krijgen?

Ja, via de support kan je een restore aanmaken. Kijk op de dropbox site onder events xxxxx files deleted. Dat event in je ticket zetten.

Duurde een weekje bij mij.

Ook hier een slachtoffer...namelijk mijn 70 jaar oude moeder. . Ik heb alle 118 discussies gelezen en begrijp dat het een herinstallatie eigenlijk enige oplossing is. En een backup terugzetten.

Echter als ik nieuwe schijf in pc hang en vervolgens oude schijf ernaast, kan ik dan zonder problemen oude schijf ook nog benaderen?
Neem aan dat het virus zich nesteld in opstart mappen en dus op de oude schijf niet actief wordt?

Ook ik ga hopen dat een decryptie mogelijkheid zich voordoet, maar dat terzijde.

HighFly schreef op woensdag 10 augustus 2016 @ 23:17:
Ook hier een slachtoffer...namelijk mijn 70 jaar oude moeder. . Ik heb alle 118 discussies gelezen en begrijp dat het een herinstallatie eigenlijk enige oplossing is. En een backup terugzetten.

Echter als ik nieuwe schijf in pc hang en vervolgens oude schijf ernaast, kan ik dan zonder problemen oude schijf ook nog benaderen?
Neem aan dat het virus zich nesteld in opstart mappen en dus op de oude schijf niet actief wordt?

Ook ik ga hopen dat een decryptie mogelijkheid zich voordoet, maar dat terzijde.

Als je de boel als slave aansluit, dan kan je gewoon rustig de schijf doorspitten. Het virus zal in de daarop geïnstalleerde Windows zitten die dan niet actief is, maar pas op met wat je opent.

HighFly schreef op woensdag 10 augustus 2016 @ 23:17:
Ook hier een slachtoffer...namelijk mijn 70 jaar oude moeder. . Ik heb alle 118 discussies gelezen en begrijp dat het een herinstallatie eigenlijk enige oplossing is. En een backup terugzetten.

Echter als ik nieuwe schijf in pc hang en vervolgens oude schijf ernaast, kan ik dan zonder problemen oude schijf ook nog benaderen?
Neem aan dat het virus zich nesteld in opstart mappen en dus op de oude schijf niet actief wordt?

Ook ik ga hopen dat een decryptie mogelijkheid zich voordoet, maar dat terzijde.

Wat zuur! Ik heb iedereen in mijn kring gewaarschuwd, want die Wildfire Locker lijkt steeds hardnekkig te worden. Er zijn methodes om het virus zelf te verwijderen, maar de encryptie krijg je helaas op dit moment niet van je gegevens af. Als je een nieuwe schijf plaatst verwijder dan op zijn minst eerst het virus van de huidige schijf en bewaar hem totdat er een decrypt-mogelijkheid is.
Je geeft aan dat je back-ups ter beschikking hebt, maar als ze op dezelfde schijf staan als waarop het virus zich heeft genesteld dan is de kans groot dat ook die ge-encrypt en onbruikbaar zijn.

FreshM schreef op donderdag 11 augustus 2016 @ 00:05:
[...]
Wat zuur! Ik heb iedereen in mijn kring gewaarschuwd, want die Wildfire Locker lijkt steeds hardnekkig te worden. Er zijn methodes om het virus zelf te verwijderen, ...

Bedankt voor je antwoord. Ik kan nog niet echt een goede link vinden hoe het virus te verwijderen, weet jij die?

Je geeft aan dat je back-ups ter beschikking hebt, maar als ze op dezelfde schijf staan als waarop het virus zich heeft genesteld dan is de kans groot dat ook die ge-encrypt en onbruikbaar zijn.

Denk dat dat meevalt. Het is een Online Cloud backup, waarbij hooguit een dag de encrypte files zijn meegenomen. Maar het virus zal zich daar niet kunnen verspreiden en dus eerdere dagen zullen onbeschadigd terug te halen zijn.
Jammere is alleen dat het KPN Online Cloud backup is (IASO gebaseerd) en niet goed beschreven staat hoe ik de backup software kan installeren op een andere pc en dan de boel restoren om weer op de nieuwe pc te zetten.

Kan iemand mij uitleggen hoe dat precies zit met Office?

Er was een gevalletje WildFire (weinig schade gelukkig).

Het ging om een bestandje PT-960823.doc info op hybrid-analysis.com

De Macro instellingen in Word 2016 stonden op
"Alle macro's uitschakelen met melding"

Nou hebben we dat maar veranderd in

"Alle macro's uitschakelen zonder melding "

Maar ik blijf het raar vinden dat hij zonder verder commentaar blijkbaar gewoon die Macro uitvoert. Weet iemand daar meer van, ik ben niet zo'n Office guru.

Verder: Google Mail (zo kwam het binnen), Adblocker + malware extensies, OpenDNS, Windows Defender: geen enkele melding dat er iets mis mee kon zijn. Ik heb het .exe bestandje gevonden in de AppData folder en Windows Defender, MalwareBytes, en enkele andere viruscheckers die ik voor de gelegenheid heb gedownload vonden het allemaal gewoon een prima .exe

Daar ga je dan met je fantastische security ;-)

[ Voor 12% gewijzigd door Tauchmeister op 11-08-2016 11:45 . Reden: extra info ]

HighFly schreef op donderdag 11 augustus 2016 @ 08:59:
[...]

Bedankt voor je antwoord. Ik kan nog niet echt een goede link vinden hoe het virus te verwijderen, weet jij die?


[...]

Ik heb het virus niet (gehad). Google is je vriend v.w.b. verwijdering van Wildfire Locker. Zoals gezegd heb ik ook geen mogelijkheid gevonden om bestanden weer te decrypten als het virus eenmaal heeft toegeslagen. https://www.google.nl/sea...ei=zu6sV879AuXG8Ae7u6L4BQ

Hier ook een slachtoffer hier staat die in de

C:\Users\{username}\AppData\Roaming\gsdkfyfascbx\Arrxoeoao.exe

Via een mail van een transportbedrijf opgelopen.
Mallwarebytes laten scannen, maar kon hem niet vinden of verwijderen?

In het register staat er een verwijzing naar de exe in Shell/Muicache.
Geen verwijzingen in de run en runonce.

Wel in Shell:startup gevonden.

[ Voor 24% gewijzigd door Ch4oZZzz op 12-08-2016 15:33 ]

PC Heaith Advisor strujke software:
http://www.virus-entferne...e-locker-virus-entfernen/

Hallo allemaal,

Is er al een oplossing gevonden om bestanden te decrypten?

Verwijderd schreef op woensdag 17 augustus 2016 @ 14:09:
Hallo allemaal,

Is er al een oplossing gevonden om bestanden te decrypten?

Een goede back-up ?

Ik heb nu een backup abonnement van Acronis Cloud én een schijf als securezone gemaakt. De hele computer gaat naar de cloud (duurt een dag of 10) en mijn c en d schijf naar de secure zone.

Maar ook voor mij de vraag hoe/of ik alles weerterug kan zetten mocht mijn computer niet meer opstarten.... Iemand daar thuis in?

^Is 'securezone' een Acronis functionaliteit?
Met alle respect, je info is voor mij niet helemaal duidelijk.
De 'hele computer' in de cloud; is dat een 'always-online'-achtige share functie?
'Een hele schijf als securezone'; is dat ook echt een losse schijf/hdd/ssd of een partitie? In je computer, altijd verbonden met je computer of een hdd/ssd die in de kast/kluis ligt?
En je C en D partities. Ik neem aan dat C je OS en progs is en dan op D je data?

Van m'n OS+progs partitie (meestal C:) zou ik een image maken en die bewaren op een niet verbonden drager/hdd/ssd.
Van m'n belangrijkere data zou ik een backup maken.
En dan het liefste die data ook nog eens op een andere locatie. Thuis ipv op je bedrijf of bij een vriend/ouders ipv thuis etc.

En controleer ook ajb de integriteit van zowel de image als de backup(s).
Wbt backups zijn er hier op GoT trouwens al vele posts met betere/uitgebreidere tips te vinden.

Op mijn werk gisteren ook 2 devices die een infectie te pakken hebben, toevallig allebei van dezelfde persoon...
Moest die persoon daarna toch wel niet naar een vergadering, heeft een tweetal uur rustig zitten encrypteren en heeft zelfs onze netwerkshares zitten versleutelen (maar is daar niet mee klaargeraakt). Een geluk dat we backups hebben... maar de persoon in kwestie is alles kwijt, we hebben wel een pak van zijn files van OneDrive kunnen redden (omdat deze in de prullenbak kwamen kunnen we ze herstellen), maar voor de rest is hij alles kwijt.

Nu is het vooral zorgen dat al die netwerkshares weer in orde komen en gerestored raken... Best wel wat werk - ik begrijp compleet waarom mensen die €299 gewoon betalen - het is gewoon een pak goedkoper

Heb ook net kennis gemaakt bij een horeca-klant met deze leuke ransomware.

Toen hij me belde, dacht ik eerst dat het om een gelijkaardig politievirus ging. Dus ik snel een Hitmanpro Kickstarter usb-stick aangemaakt en voor zekerheid mijn laptop meegenomen. Maar dit was duidelijk een ander kaliber.

Direct een betere antivirus(ESET) dan McAffee geinstalleerd, en deze had het direct gevonden. Het Decripten is andere koek. Na veel vijven en zessen gezegd dat ik dit zoiezo ga opvolgen.

Een geluk dat hij de belangrijkste boekhoudingsfiles op een beveiligde usb-stick heeft staan. Maar andere excel, word en pdf-documenten, afbeeldingen, enz... daar moet hij even op wachten.

Dan maar het net afschuimen om misschien toch een oplossing te vinden. Maar hij heeft deze keer eens duidelijk geleerd dat hij backups moet maken. Ookal heb ik dit al van in het begin aangeraden.

Ik heb ook last gehad van het wildfire virus. De meeste bestanden had ik in backup en het virus is verwijderd. Alleen een flink aantal foto's zijn ge-encrypt waarvan ik geen backup heb. Via Stellar Phoenix zie ik die foto's wel staan, maar als voorbeeld zie ik geen foto, maar een afbeelding van een tabel met een soort code erin. Zou dit te maken hebben met de versleutelingscode, en loont het de moeite om die codes te 'herstellen' als middel om de echte bestanden weer te krijgen? Bijv. doordat met die tabellen de code gekraakt kan worden?

@Baserk De secure zone van Acronis is een ontoegankelijk gemaakt deel van een partitie. Acronis schrijft een versleutelde backup van bronnen die je selekteert daar heen, of naar de cloud. Alleen het programma kan daar naar toe. Het is geen map op je computer, zoals Idrive, google drive en dropbox. Die pakt de ransom allemaal gewoon mee. Bovendien staan er verschillende versies op de cloud. Een nadeel is dat het maken van 6 Terrabye aan data naar de cloud migreren 15 dagen kost. De overdracht gaat met een indrukwekkende 15 mbps.

Als je betaalt, zoals ik, vink in het tooltje "Decrypt subdirectories", "restore original filename" en "delete encrypted files" alle drie aan, anders zit je naderhand met allemaal verkeerde namen als als "AdwCleaner[R0] #WildFire_Locker#93cc2a## UNLOCKED.txt" en dubbele bestanden, de encrypte en de decrypte files en verdubbelt de inhoud op je schijf en bij mij liep daarna de computer vast, incl. de MBR.

[ Voor 0% gewijzigd door audio-rent.nl op 20-08-2016 13:00 . Reden: typo ]

@Pieter R
Met welk decrypt jij dan de afbeeldingen?

Er is nu een Wildfire decryptor beschikbaar: https://www.nomoreransom.org/decryption-tools.html

Artikel Tweakers:
nieuws: Politie stopt ransomware met voornamelijk Nederlandse en Belgische sl...

Oplossing gevonden - Tool door Intel Security en Kaspersky:
http://www.mcafee.com/us/...ools/wildfiredecrypt.aspx

Beide bestanden werken niet helaas, bij die van Kaspersky krijg ik de foutmelding 'Cannot decrypt this file' als ik een door wildfire geencrypt bestand selecteer.

Iemand wel positieve (of juist dezelfde negatieve) ervaringen met de removal software?

koekjah schreef op zaterdag 03 september 2016 @ 20:52:
Beide bestanden werken niet helaas, bij die van Kaspersky krijg ik de foutmelding 'Cannot decrypt this file' als ik een door wildfire geencrypt bestand selecteer.

Iemand wel positieve (of juist dezelfde negatieve) ervaringen met de removal software?

Ik heb met beide pakketten kunnen decrypten. Met die van Intel wilde een enkele file niet, die met Kaspersky wel ging. Beide niet perfect, maar zéér goed te gebruiken.

koekjah schreef op zaterdag 03 september 2016 @ 20:52:
Iemand wel positieve (of juist dezelfde negatieve) ervaringen met de removal software?

Waarom zou dit een negatieve ervaring zijn? Jouw besmetting valt er niet mee op te lossen, maar dat wordt feilloos aangegeven. Goed geïmplementeerde cryptomalware is waterdicht, dus het ligt niet aan de wat jij removal software noemt. Je moet wat mazzel hebben dat je een variant het opgelopen die te verwijderen valt.

Verwijderd schreef op zondag 04 september 2016 @ 09:17:
[...]

Waarom zou dit een negatieve ervaring zijn? Jouw besmetting valt er niet mee op te lossen, maar dat wordt feilloos aangegeven. Goed geïmplementeerde cryptomalware is waterdicht, dus het ligt niet aan de wat jij removal software noemt. Je moet wat mazzel hebben dat je een variant het opgelopen die te verwijderen valt.

Omdat mijn ervaring negatief is, het lukt niet. Dat zeg niets over de software, maar over mijn ervaring.
Ik begrijp dus dat er verschillende varianten zijn van wildfire en dat mijn schoonpa het gelukt heeft een variant te hebben die nog niet te encrypten is.

Ik heb intern een backup hersteld van zo'n 1200 ge-encrypteerde bestanden door Wildfire, Kaspersky hun tool kon ze op 2 na volledig decrypten.

Let er wel op dat ze niet in een netwerkpad zitten, want dan lukt het niet.

koekjah schreef op zondag 04 september 2016 @ 21:44:
Omdat mijn ervaring negatief is, het lukt niet.

Dat is geen negatieve ervaring ten aanzien van de software, eerlijk gezegd. Dat onderscheid moet je goed maken.

Ik zit hier ook op een bak die door wildfire is getroffen.
Inmiddels beide tools geprobeerd (Kaspersky en Intel)
Kaspersky meldt: ""Cannot decrypt this file" en in de logfile: "Cannot initialize decryptor on the file"
Intel/mcAfee meldt: "File not found" wat inhoud dat er geen decryptie sleutel is gevonden voor dit ID.

Deze gebruiker heeft geen systeem herstel punten waar het veilig is, een te oude backup en een externe schijf die ook te grazen is genomen door wildfire.

Geen oplossing tot zover kunnen vinden...

Ben je wel zeker dat het een encryptie is door Wildfire?

Probeer eens 2 files te uploaden op https://www.nomoreransom.org, normaal kan je dan zien wat het versleuteld heeft.
Wildfire (althans, de originele release) kan geen nieuwe infecties meer maken aangezien de CC-server down is.

Kevjoe schreef op donderdag 06 oktober 2016 @ 11:55:
Ben je wel zeker dat het een encryptie is door Wildfire?

Probeer eens 2 files te uploaden op https://www.nomoreransom.org, normaal kan je dan zien wat het versleuteld heeft.
Wildfire (althans, de originele release) kan geen nieuwe infecties meer maken aangezien de CC-server down is.

Is wel degelijk wildfire volgens die uploadtool.

Ook hier nog steeds geen oplossing, precies zelfde (fout)meldingen als suusmars.
Geeft aan dat het wildfire is, maar beide tools werken niet

JankY schreef op dinsdag 04 oktober 2016 @ 14:54:
Ik zit hier ook op een bak die door wildfire is getroffen.
Inmiddels beide tools geprobeerd (Kaspersky en Intel)
Kaspersky meldt: ""Cannot decrypt this file" en in de logfile: "Cannot initialize decryptor on the file"
Intel/mcAfee meldt: "File not found" wat inhoud dat er geen decryptie sleutel is gevonden voor dit ID.

Deze gebruiker heeft geen systeem herstel punten waar het veilig is, een te oude backup en een externe schijf die ook te grazen is genomen door wildfire.

Geen oplossing tot zover kunnen vinden...

Met andere woorden, fuckt.

Betalen of voor lief nemen.

Of eeuwig wachten tot het te decrypten is, en Ja ik ben het er mee eens dat het een vreselijk irritant iets is.
Echter ben ik nog steeds verbaasd over het niveau van back-ups.
Particulier kan ik het snappen, maar als je ziet hoeveel bedrijven het ook echt zo slecht geregeld hebben dan

iemand misschien inmiddels een decryptietool gevonden die wel werkt op de wildfire locher?? bij mij werken die kaspersky en intel ook niet.
ik heb alle bestanden die geinfecteerd zijn op een usb overgezet zodat ik ze niet meer op de computer heb. de computer is met nieuwe harde schijven opnieuw geinstalleerd.

@anneke62 Zou je me eens een of twee bestanden kunnen sturen? Kun je gewoon uploaden naar een filesharing dienst naar keuze en mij een DM sturen. Kan ik eens kijken of ik er iets mee kan.

hallo,
sorry voor deze late reactie. ik zie dit bericht nu pas. ik weet niet of ik hier toen op gereageerd heb. Ik zou je wel 2 bestanden willen toesturen maar ik weet niet hoe ik dit zou moeten doen??