Gehacked door wildfire locker (wflx)

Pieterll schreef op donderdag 28 juli 2016 @ 18:31:
[...]


Probeer de PC in veilige modus op te starten. Hiermee zou je zonder problemen het virus kunnen verwijderen / de bestanden kunnen overzetten.

Vermijd je met veilige modus dat het virus actief wordt?

555Henny555 schreef op donderdag 28 juli 2016 @ 16:58:

Iemand een idee?

Booten in Safe Mode en met Emsisoft Emergency Kit, Hitman Pro, Zemana Antimalware Free laten scannen en eventuele malware laten verwijderen.

Daarna zelf met Autoruns de autostarts nalopen of er nog vreemde eenden in de bijt zitten.

En dat allemaal nadat je je data hebt gekopieerd naar bijvoorbeeld een USB stick.

Sissors schreef op donderdag 28 juli 2016 @ 21:03:
En dat allemaal nadat je je data hebt gekopieerd naar bijvoorbeeld een USB stick.

Ahum; het probleem ligt ietsje complexer:

555Henny555 schreef op donderdag 28 juli 2016 @ 16:58:
De pc van mijn vader is ook besmet maar er is gelukkig nog niks geëncrypteerd. Het virus heeft er nog niet de kans voor gekregen. We hebben deze SSD aangesloten op een andere pc om zo de bestanden te back-uppen. Echter bleek dat hij met Windows al zijn bestanden versleuteld heeft.. Ik kan dus geen enkel bestand overzetten naar een externe HDD.

555Henny555 schreef op donderdag 28 juli 2016 @ 19:08:
[...]


Vermijd je met veilige modus dat het virus actief wordt?

Jazeker, maar zoals EricJH al aangeeft is het verstandig om even te scannen met wat anti-malware tools.

Blijkbaar was zijn pc dus niet besmet! Hail the old Word I guess... Maarja dit wisten we pas zeker nadat ik op mijn eigen laptop nog eens bewust het virus had gedownload en keek hoe het nu precies in zijn werk ging.

Nadat je de macro hebt uitgegevoerd gebeuren er een aantal dingen:
1. in ProgramData wordt er een map Sysmem met daarin ms.exe aangemaakt. (delete zich zelf blijkbaar ook weer..)
2. In Appdata\Roaming\yusrxhevbkse\Oeoao.exe bevindt zich het virus
3. Oeoao.exe, het virus, wordt toegevoegd aan de startup folder van Windows (druk Windows logo + R en dan: 'shell:startup' om de startfolder te openen)

Het virus gaat pas effectief encrypteren na een reboot bleek bij mij het geval. Wanneer je je pc reboot start Oeoao.exe wat een proces start iets met 'Windows' en 'Registry' oid erin. Sorteer in taskmanager op schijf en je zal het wel vanboven zien staan. Kill dit om het encrypteren tegen te gaan.

Beste is dus om stap 2 en 3 met de hand te verwijderen. Deze bestanden waren niet aanwezig bij mijn vader dus wisten we dat het virus niet aanwezig was.

Off topic:
Nu blijkt hij wel een ander probleem te hebben. Zijn SSD zit terug in zijn systeem, maar hij kan zelf niet meer aan zijn eigen geëncrypteerde bestanden.. Er is blijkbaar iets fout met een signature. Als iemand hier meer raad over weet..

Wat is er mee gebeurd? Ik heb de SSD dus in mijn computer gezet voor een poging tot het kopiëren van de bestanden. Ik heb mijzelf eigenaar gemaakt van 1 map omdat ik er niet in geraakte. Nadat we zeker waren dat het virus zich niet op die pc bevond heb ik hem terug in de originele computer gestoken. Reboot.. en toen bleek dat hij dus geen toegang meer heeft op zijn geëncrypteerde bestanden. Op NTFS-niveau zit het normaal gezien oke.

Toch jammer dat de TS na de topic-opening nooit meer heeft gereageerd.

[ Voor 9% gewijzigd door Domokun op 29-07-2016 03:06 ]

555Henny555 schreef op donderdag 28 juli 2016 @ 23:11:
Het virus gaat pas effectief encrypteren na een reboot bleek bij mij het geval. Wanneer je je pc reboot start Oeoao.exe wat een proces start iets met 'Windows' en 'Registry' oid erin. Sorteer in taskmanager op schijf en je zal het wel vanboven zien staan. Kill dit om het encrypteren tegen te gaan.

Dit was bij mijn vader niet het geval. Bij hem ging de ransomware direct aan de slag. Het was wel dezelfde bestandsnaam. Dus 'Oeoao' is niet random generated.

Pieterll schreef op vrijdag 29 juli 2016 @ 10:33:
[...]


Dit was bij mijn vader niet het geval. Bij hem ging de ransomware direct aan de slag. Het was wel dezelfde bestandsnaam. Dus 'Oeoao' is niet random generated.

Ah dat is minder..

En ja inderdaad, het virus bevindt zicht virus telkens hier:
Appdata\Roaming\yusrxhevbkse\Oeoao.exe

Verwijderd schreef op maandag 25 juli 2016 @ 14:05:
[...]

Ik word een beetje moe van wijsneuzen die dit nog even op een bijdehante manier willen duidelijk maken. TS zal zich waarschijnlijk ook wel voor z'n kop slaan. Hoef jij niet nog even erin te rammen hoor.

Nee niks, TS is betreft dit gewoon een domme sukkel die het IT beheer niet zelf had moeten doen, maar uitbesteden aan een partij die wel weet wat ze doen.

Maarja, mag weer niks kosten, dus neefje/vriendje fixt het wel ff.

Zie het resultaat.

Verwijderd schreef op vrijdag 29 juli 2016 @ 11:25:
[...]

Nee niks, TS is betreft dit gewoon een domme sukkel die het IT beheer niet zelf had moeten doen, maar uitbesteden aan een partij die wel weet wat ze doen.

Maarja, mag weer niks kosten, dus neefje/vriendje fixt het wel ff.

Zie het resultaat.

Waar zie jij dat TS het IT beheer zelf heeft gedaan?

Verwijderd schreef op vrijdag 29 juli 2016 @ 11:25:
[...]

Nee niks, TS is betreft dit gewoon een domme sukkel die het IT beheer niet zelf had moeten doen, maar uitbesteden aan een partij die wel weet wat ze doen.

Maarja, mag weer niks kosten, dus neefje/vriendje fixt het wel ff.

Zie het resultaat.

Ja, en niemand is er bij gebaat om dat duizend keer erin te gaan stampen. Totaal onnodig. TS snapt inmiddels ook wel wat je niet zonder verstand van IT wat moet gaan beunen.

Pieterll schreef op vrijdag 29 juli 2016 @ 11:48:
[...]


Waar zie jij dat TS het IT beheer zelf heeft gedaan?

Dat zie je toch aan de OP? Geen verwijzing naar een derde partij of zo. Nee, $familielid[TS] dacht het IT beheer wel ff op zich te kunnen nemen, nu dat het fout gaat beseffende hulp van anderen nodig te hebben, getuige dit topic.

---

Verwijderd schreef op vrijdag 29 juli 2016 @ 11:55:
[...]

Ja, en niemand is er bij gebaat om dat duizend keer erin te gaan stampen. Totaal onnodig. TS snapt inmiddels ook wel wat je niet zonder verstand van IT wat moet gaan beunen.

Waar maak jij uit op dat TS nu wel beseft incapabel te zijn dat klusje "iets met computers" op zich te kunnen nemen?

Ik lees dat hij/zij nog wel in de illusie is beheer in goede banen te kunnen leiden, daarom dit topic. Geen derde partij die wordt ingeschakeld. Nee, het moet nog steeds zo goedkoop mogelijk.

Laat staan zich het belang van backups&snapshots te realiseren, dit is echt weer zo'n "Als het kalf verdronken is, dempt men de put" verhaal.

[ Voor 49% gewijzigd door Verwijderd op 29-07-2016 12:17 ]

Verwijderd schreef op donderdag 28 juli 2016 @ 01:42:
Snap niet dat men niet met een premium antivirus wil werken. Trend micro, al voor meerdere aaneengesloten jaren, niks aan de hand. Ook een eigen mailserver die scant op malware, houdt het meeste voor 90% al tegen.

Of je klikt gewoon geen uitvoerbare bestanden aan uit schimmige spamberichten. Heb je geen 'premium anti-virus' voor nodig.

En ja, naast .exe zijn .js, .vbs, .wsf, .scr (en nog een paar andere) ook uitvoerbaar. Daarnaast kunnen .rtf en .docx ook macro's bevatten, al zal Microsoft Office die nooit zomaar zonder bevestiging uitvoeren.

555Henny555 schreef op donderdag 28 juli 2016 @ 23:11:
Wat is er mee gebeurd? Ik heb de SSD dus in mijn computer gezet voor een poging tot het kopiëren van de bestanden. Ik heb mijzelf eigenaar gemaakt van 1 map omdat ik er niet in geraakte. Nadat we zeker waren dat het virus zich niet op die pc bevond heb ik hem terug in de originele computer gestoken. Reboot.. en toen bleek dat hij dus geen toegang meer heeft op zijn geëncrypteerde bestanden. Op NTFS-niveau zit het normaal gezien oke.

Hoe weet je zeker dat het virus zich daar niet op bevindt? Er lijken redelijk lichtvaardig schijven in allerlei computers geduwd te worden. Dat een .exe niet meer te zien is betekent niet dat er geen verdere besmetting aanwezig is. Nog los van dat bestanden die opeens niet meer werken wel een indicatie is dat er toch wellicht wat mis is.

Verwijderd schreef op vrijdag 29 juli 2016 @ 13:06:
[...]

Hoe weet je zeker dat het virus zich daar niet op bevindt? Er lijken redelijk lichtvaardig schijven in allerlei computers geduwd te worden. Dat een .exe niet meer te zien is betekent niet dat er geen verdere besmetting aanwezig is. Nog los van dat bestanden die opeens niet meer werken wel een indicatie is dat er toch wellicht wat mis is.

Ik heb op mijn laptop nog eens het virus gedownload, 2x zelfs, om te analyseren hoe het virus precies werkte. En hij maakte dus onmiddellijk Appdata\Roaming\yusrxhevbkse\Oeoao.exe aan na uitvoering van macro. De naam is ook steeds het zelfde (daarmee 2x getest). Dus kon ik op die manier nagaan of de ssd van mijn vader besmet was. Heb de ssd ook nog wel gescand met antivirus rommel hoor

Het probleem met de Windows encryptie (EFS) op zijn eigen systeem werd hoogstwaarschijnlijk veroorzaakt doordat de ssd in een ander systeem heeft gezeten. Misschien een of andere vage "beveiliging" van Windows. Na heel veel proberen en doen heb ik het uiteindelijk kunnen oplossen mbv het programma Advanced EFS Data Recovery. Let op, je hebt wel de volledige versie nodig.. Met de trial/demo kon je zogezegd ook wel decrypteren maar kregen we de bestanden nog steeds niet open...

Naj_Geetsrev schreef op woensdag 27 juli 2016 @ 13:09:
Als ik een bedrijf was had ik al lang die 300 euro betaald en een (andere) it partij gezocht die het wel goed de boel op orde kan brengen.

En vaak is het juist de eindgebruiker die het niet wil betalen, ook al draagt je IT partij het wel aan.
Als de klant niet wil betalen gebeurt het niet.

Dus het is niet altijd de IT partij ze schuld

En nog een afzender: intrum@belangrijk.nl
Subject: Betalingsherinnering omtrent uw laatste aankoop

In dit mailtje gebruiken ze PostNL als postbedrijf om het factuurtje af te leveren.
Bijlagenaam: Factuurnummer-590339.doc

@555Henny555 waren de bestanden bij jouw wel al omgezet naar wflx bestanden? Wij hebben virus ook opgelopen, maar de computer niet opnieuw opgestart. Desondanks waren veel bestanden al "omgezet".

Hallo,

Ik als wantrouwend iemand met dat soort emailtjes (transport), heb ik toch via ons zakelijke account die mail geopend. Vervolgens kwam ik er vanmorgen achter dat mijn pc dus geen bestanden meer kan openen.

Is er iets dat ik nu zelf kan doen, zodat ik dit virus kan verwijderen? Of moet mijn pc naar een computerzaak? De winkels zijn hier nu namelijk dicht, dus ik kan nu niet rondbellen.

Hoor het graag,

Gooi eens twee ge-encrypte bestanden door dit heen:
https://www.nomoreransom.org/crypto-sheriff.php

En dan weet je of er een oplossing is, of niet. Houd er rekening mee dat er mogelijk ooit een oplossing kán komen als er nog geen oplossing kan worden geboden. Dus verwijder niets!

Verwijderd schreef op dinsdag 02 augustus 2016 @ 18:12:
Is er iets dat ik nu zelf kan doen, zodat ik dit virus kan verwijderen? Of moet mijn pc naar een computerzaak? De winkels zijn hier nu namelijk dicht, dus ik kan nu niet rondbellen.

Kort gezegd kan jij ook wat een computerzaak kan. De kans bestaat dat jullie allebei niets kunnen.

AW_Bos schreef op dinsdag 02 augustus 2016 @ 18:17:
Gooi eens twee ge-encrypte bestanden door dit heen:
https://www.nomoreransom.org/crypto-sheriff.php

En dan weet je of er een oplossing is, of niet. Houd er rekening mee dat er mogelijk ooit een oplossing kán komen als er nog geen oplossing kan worden geboden. Dus verwijder niets!

helaas, zij kunnen niets doen.

Ik heb zojuist ook dit gevonden: https://www.pcrisk.nl/ver...ildfire-locker-ransomware

Ben nu een scan aan het doen, dat malware opzoekt. Hij heeft toch al heel wat gevonden.. Maar jij zegt dat ik die vervolgens dan niet mag verwijderen?

Verwijderd schreef op dinsdag 02 augustus 2016 @ 19:01:
Ben nu een scan aan het doen, dat malware opzoekt. Hij heeft toch al heel wat gevonden.. Maar jij zegt dat ik die vervolgens dan niet mag verwijderen?

Even voor de duidelijkheid: wil je alleen het virus verwijderen, of is er ook data geëncrypt die je terug moet hebben en waarvan geen back-up bestaat?

Verwijderd schreef op dinsdag 02 augustus 2016 @ 19:08:
[...]

Even voor de duidelijkheid: wil je alleen het virus verwijderen, of is er ook data geëncrypt die je terug moet hebben en waarvan geen back-up bestaat?

Ik bedoelde het virus verwijderen, niet mijn bestanden. Er is een back-up gemaakt op 30-7. Dus ik kan straks nog systeemherstel proberen, dat staat ook op die link. Er is 1 bestand dat ik afgelopen 2 dagen nog heb aangepast, maar dat is wel weer aan te passen. Ik was nog niet van plan om bestanden te verwijderen

Verwijderd schreef op dinsdag 02 augustus 2016 @ 19:10:
[...]


Ik bedoelde het virus verwijderen, niet mijn bestanden. Er is een back-up gemaakt op 30-7. Dus ik kan straks nog systeemherstel proberen, dat staat ook op die link. Er is 1 bestand dat ik afgelopen 2 dagen nog heb aangepast, maar dat is wel weer aan te passen. Ik was nog niet van plan om bestanden te verwijderen

Zorg wel dat je die backup nog even op géén een pc binnen je netwerk aansluit voordat je alle overige systemen getest hebt op diezelfde wildfire locker, aangezien het een sluimerend virus is.

555Henny555 schreef op dinsdag 02 augustus 2016 @ 19:30:
[...]


Kijk eens of je Appdata\Roaming\yusrxhevbkse\Oeoao.exe terug vindt. Daar bevindt het virus zich normaal. Verwijder dat + controleer de programma's die opstarten en het virus zou kapot moeten zijn.

Het kan trouwens goed zijn dat de systeemherstel mee geëncrypteerd werd.

Die heb ik gevonden en gelijk verwijderd. Bedankt, dat is weer 1 stap in de goede richting hopelijk.

Deëncrypteren is btw onmogelijk tot heden. Wat je kan doen is je bestanden bijhouden om ze in de toekomst te kunnen deëncrypteren.

zie link:
http://www.bleepingcomput...-wflx/page-2#entry4037333

555Henny555 schreef op dinsdag 02 augustus 2016 @ 19:24:
Hmm, bij mij deed ie niks de eerste 15 minuten. Toen had ik hem maar herstart, en toen begon hij onmiddellijk met encrypteren. Kan zijn dat hij na een half uurtje bijvoorbeeld begint? Geen idee..

Bij jou ging het om een XP-client, toch?

555Henny555 schreef op dinsdag 02 augustus 2016 @ 19:44:
Deëncrypteren is btw onmogelijk tot heden. Wat je kan doen is je bestanden bijhouden om ze in de toekomst te kunnen deëncrypteren.

zie link:
http://www.bleepingcomput...-wflx/page-2#entry4037333

Dus ik ben sowieso al die bestanden kwijt??? (op dit moment in ieder geval?)

[ Voor 3% gewijzigd door Verwijderd op 02-08-2016 19:48 ]

Verwijderd schreef op dinsdag 02 augustus 2016 @ 19:48:
Dus ik ben sowieso al die bestanden kwijt??? (op dit moment in ieder geval?)

Vooralsnog wel. Let ook op dat het virus verwijderen en je bestanden decrypten twee verschillende dingen zijn. Omdat je eerste zei alleen het virus te willen verwijderen, ging ik ervan uit dat je je bestanden op een andere manier gezekerd had.

Als je geen goede back-ups had, is dit het moment om dat te gaan regelen.

Verwijderd schreef op dinsdag 02 augustus 2016 @ 19:50:
[...]

Vooralsnog wel. Let ook op dat het virus verwijderen en je bestanden decrypten twee verschillende dingen zijn. Omdat je eerste zei alleen het virus te willen verwijderen, ging ik ervan uit dat je je bestanden op een andere manier gezekerd had.

Als je geen goede back-ups had, is dit het moment om dat te gaan regelen.

Ik heb een back-up van 1 maand terug op externe harde schijf (maar inmiddels veel bestanden aan gewerkt) en een systeem-herstel van 2 dagen terug. Bij die systeemherstel worden toch ook je bestanden meegenomen of dat niet?

Verwijderd schreef op dinsdag 02 augustus 2016 @ 19:52:
Ik heb een back-up van 1 maand terug op externe harde schijf (maar inmiddels veel bestanden aan gewerkt) en een systeem-herstel van 2 dagen terug. Bij die systeemherstel worden toch ook je bestanden meegenomen of dat niet?

Sommige virussen vallen ook systeemherstel-bestanden aan, dus die ben je mogelijk kwijt. Wellicht heb je mazzel.

De externe harde schijf zou ik ver van besmette computers houden totdat je Windows op die computers opnieuw hebt geïnstalleerd. Hoewel je dan wel wat werk kwijt bent, heb je daar een zekere back-up aan. Beter een maand dan alles

Verwijderd schreef op dinsdag 02 augustus 2016 @ 19:46:
[...]

Bij jou ging het om een XP-client, toch?

Nee dat ging over mijn eigen laptop, windows 10. De pc van mijn vader draait win xp met Word 97. Het virus was, kuch, jammer genoeg niet compatibel met Word 97...

Verwijderd schreef op dinsdag 02 augustus 2016 @ 19:52:
[...]


Ik heb een back-up van 1 maand terug op externe harde schijf (maar inmiddels veel bestanden aan gewerkt) en een systeem-herstel van 2 dagen terug. Bij die systeemherstel worden toch ook je bestanden meegenomen of dat niet?

Bij systeemherstel worden je documenten/afbeeldingen niet meegenomen. Mits het ingeschakeld is zou je kunnen kijken of er nog shadowcopies zijn waar je bestanden uit terug kunt halen (met bijvoorbeeld ShadowExplorer).

Shadowcopies worden sinds enige tijd ook gelocked dus ik zou niet te hard hopen.

Ik heb veel gelezen over dit onderwerp, de ge-encrypte bestanden ingediend en het was me al snel duidelijk. Er is maar één optie: betalen. Vrijdag gaf mijn backup schijf al de geest, Acronis bleef zeuren dat de bewerking was mislukt, maar ik dacht, jij komt straks aan de beurt. Eerst mijn video's afmonteren van een opname van een rouwdienst en de daaropvolgende teraarde bestelling. Ik had de blu ray's en DVD's net gebrand toen ik zag dat wat bestanden een rare naam hadden gekregen en niet meer wilde openen. Toen ik ging kijken zag ik dat mijn kopieën op dropbox en ook die op mijn NAS versleuteld waren. Op één laptop na, die stond uit. Daar stonden al mijn facturen, offertes en veel foto's op. Wifi uitgezet, laptop aan en copy van gemaakt op externe harde schijf. Het werd van een ramp, naar een kleine ramp.
Dan ben ik gaan kijken waarom als beloofd Hitman Pro dit niet gemerkt had. Maar die was oneens niet meer geactiveerd en stond idle te wezen. Na invoering van de sleutel kreeg ik te horen dat deze sleutel al te vaak gebruikt was.

Ik heb ge-googled op oplossingen, maar er zijn alleen schijn oplossingen waarbij je bestanden kwijt bent. Dus ik heb besloten om op het voorstel in te gaan dat in bijna elke folder geplaatst is in de vorm van een html bestand. Daar staan wat links in en dat je 0.5 bitcoins moet betalen om een sleutel te krijgen voor het decrypten van je bestanden. Nog nooit iets met bitcoins gedaan, dus eerst daar in gedoken. Wallet geopend en 0,5 bitcoins over gemaakt. Daarvoor moet 0,51 bitcoins in je wallet zitten, vanwege de fee. Ik hoefde niet alleen te klooien, de hackers hebben een prima helpdesk die je met chat overal door helpen. Twee minuten na het overmaken kreeg ik de sleutel te zien en een download maar de decrypting software. Deze draait niet standalone, maar alleen icm de brouwser. In het tooltje kun je kiezen uit enkele opties en bladeren naar welke drive/map je wil gaan. Als je kiest voor decrypten van een hele schijf, loopt die al snel vol als je "delete encrypted file (not recommanded)" niet aangevinkt hebt.
Bij mij liep dus de c schijf vol en de mbr ging er zelfs aan. Die gerepareerd en weer opgestart. Gelukkig had ik de link opgeslagen naar mijn "persoonlijke pagina met tool en wachtwoord en kon ik verder gaan met opschonen. Het heeft mij een dag en 249 euro gekost, maar alles draait weer.
In de window van het tooltje staat nog een tip:" wij raden nod32 aan en het uitschakelen van macro's in Word."
En ja, het kwam door een mailtje over een onbestelbaar pakketje.

[ Voor 1% gewijzigd door audio-rent.nl op 04-08-2016 00:58 . Reden: Speltypevouten ]

audio-rent.nl schreef op donderdag 04 augustus 2016 @ 00:40:
Het heeft mij een dag en 249 euro gekost, maar alles draait weer.

Ik neem aan dat je alles opnieuw geïnstalleerd hebt? Je kunt die computers niet meer vertrouwen. Wie zegt dat je over een maand niet weer de klos bent dankzij een sluimerend stukje software? Ze weten nu dat je betaalt - net als inbrekers die vaak weer even terugkomen als de verzekeraar net nieuwe spullen heeft bekostigd.

Overigens heb je mazzel gehad dat je daadwerkelijk een werkende sleutel hebt gekregen. Het is te hopen dat de arme ziel die het slachtoffer wordt van een van jouw centen nog verder doorontwikkeld stukje malware ook zoveel mazzel heeft. Je zat uiteraard in een pijnlijke spagaat, maar hebt zo wel het probleem van een ander gefinancierd.

Je gaat nu uiteraard een back-up-oplossing (laten) bouwen waarmee dit nooit meer kan voorkomen

Verwijderd schreef op donderdag 04 augustus 2016 @ 02:05:

Overigens heb je mazzel gehad dat je daadwerkelijk een werkende sleutel hebt gekregen.

Wel ik ben (helaas) van mening dat die criminelen vooralsnog het meeste baat hebben bij het geven van een werkende sleutel. Ze verdienen namelijk van het feit dat ze bij betaling een 'oplossing' geven. Pure chantage dus, maar omdat ze wel degelijk de bestanden weer ontsleutelen zorgt er voor dat meer mensen gaan betalen voor de bestanden. Als ze dat niet deden zou geen enkele hond hen meer geld geven.
Genoeg verhalen van mensen die 'blij' zijn dat ze iig de bestanden terugkrijgen door te betalen.

Het beste zou zijn als niemand meer een cent aan hen geeft, dan is deze 'business' ook niet meer rendabel voor hen.

MB113 schreef op donderdag 04 augustus 2016 @ 03:36:
Wel ik ben (helaas) van mening dat die criminelen vooralsnog het meeste baat hebben bij het geven van een werkende sleutel. Ze verdienen namelijk van het feit dat ze bij betaling een 'oplossing' geven. Pure chantage dus, maar omdat ze wel degelijk de bestanden weer ontsleutelen zorgt er voor dat meer mensen gaan betalen voor de bestanden. Als ze dat niet deden zou geen enkele hond hen meer geld geven.
Genoeg verhalen van mensen die 'blij' zijn dat ze iig de bestanden terugkrijgen door te betalen.

Dat de groep als geheel gebaat is bij het leveren van de sleutels klopt. Echter blijken de ervaringen wisselend. There's no honour among thieves. Als andere boeven het wel doen, zullen sommigen verzinnen dat zij het niet hoeven te doen. Dat is nog minder werk.

Het blijft een gok.

Het beste zou zijn als niemand meer een cent aan hen geeft, dan is deze 'business' ook niet meer rendabel voor hen.

Daar doelde ik inderdaad op, al snap ik ook dat je bij dit soort beelden niet zo snel volgende keer beter roept. Als iedereen die centen bij voorbaat in back-ups stopte was het een non-verhaal.

[ Voor 3% gewijzigd door Verwijderd op 04-08-2016 03:51 ]

Niet betalen, klinkt stoer. Maar nee, als je een bedrijf hebt, is dat geen optie. Je moet door. Uit principe je bedrijf stilleggen klinkt nobel, maar de kinderen moeten gewoon studeren en bijstand voor een ondernemer ligt ook nogal lastig.

Ik wordt een beetje moe van het roepen dat je alles uit moet besteden. Als je thuis een feestje hebt, ga je toch ook geen bedrijf in huren? Dat doe je zelf, of er is wel een neefje. Nergens in de zakenwereld wordt zoveel zwart gebeund als in de "disco" industrie.

Uitbesteden aan de "kenners", zoals die van Surfright zeker. Het eerst wat het virus deed was hitmanpro uitschakelen. En security Essentials was helemaal in slaap, en werd pas wakker toen ik het tooltje opende. Wat nou jij je files decrypten, daar ga ik een stokje voor steken "de bedreiging is opgeruimd".

En dat die schijf er uitgerekend nu mee op houdt, dat is domme pech. Daar werd elke nacht een backup op weggeschreven. En die hing aan mijn computer, dus wie weet wat daarmee gebeurd zou zijn. Wat ik dus moet doen is elke avond een schijf aan mijn computer hangen en de opdracht geven aan acronis om een backup te maken. En dan 's morgens er weer afhalen. Zoiets denk ik maar.
En over betalen: iedereen doet het bij gijzeling van mensen of goederen. Ook de overheid.

audio-rent.nl schreef op donderdag 04 augustus 2016 @ 03:59:
Niet betalen, klinkt stoer. Maar nee, als je een bedrijf hebt, is dat geen optie. Je moet door. Uit principe je bedrijf stilleggen klinkt nobel, maar de kinderen moeten gewoon studeren en bijstand voor een ondernemer ligt ook nogal lastig.

Ik wordt een beetje moe van het roepen dat je alles uit moet besteden. Als je thuis een feestje hebt, ga je toch ook geen bedrijf in huren? Dat doe je zelf, of er is wel een neefje. Nergens in de zakenwereld wordt zoveel zwart gebeund als in de "disco" industrie.

Ondernemen is bepaalde risico's uitsluiten en andere risico's nemen. Als je bedrijf zo afhankelijk is van computergerelateerde zaken en door één simpel mailtje platgelegd kan worden, dan heb je toch iets danig over het hoofd gezien in je risico-analyse. Dan had je allang moeten nadenken over hoe je dat risico zo klein mogelijk maakt.

Weet je waar ik moe van wordt? Ondernemers die met wat uitzoekwerk en een kleine investering problemen voor hadden kunnen zijn, maar pas in actie komen als het veel te laat is. IT is een bijzaak - totdat het een keer misgaat. Terwijl in veel bedrijven goed wordt nagedacht hoe zoiets opgevangen moet worden. De data is in het geval van opnames immers je corebusiness en daarmee een intrinsiek onderdeel van het bedrijf. Nu wordt het probleem achteraf gegooid op iets dat je overkomt, in plaats van iets dat je je hebt laten overkomen. En passant maak je je medeplichtig en heb je een aandeel in de komende slachtoffers en de software die gefinancierd wordt met jouw bijdrage. De slachtofferrol past daar niet goed bij. Niemand verwacht dat je je bedrijf stillegt, maar dat is dan ook met enige eenvoud te voorkomen.

Wat had je gedaan als deze criminelen geen sleutel geleverd hadden?

En dat die schijf er uitgerekend nu mee op houdt, dat is domme pech. Daar werd elke nacht een backup op weggeschreven. En die hing aan mijn computer, dus wie weet wat daarmee gebeurd zou zijn. Wat ik dus moet doen is elke avond een schijf aan mijn computer hangen en de opdracht geven aan acronis om een backup te maken. En dan 's morgens er weer afhalen. Zoiets denk ik maar.

Een schijf die te benaderen is vanaf je computer is altijd kwetsbaar. Je bent één van de redenen al tegengekomen, maar je kunt ook bestolen worden, een blikseminslag te verduren krijgen of met andere defecten te maken krijgen. Dan zijn beide kopieën ook weg. Met domme pech heeft het dus maar beperkt te maken. Wat pech, met consequenties die te voorzien waren. Daarom is bij relevante data altijd sprake van een meertrapssysteem. In een serieus backup-plan zit ook altijd een back-up op een andere locatie, met bestanden die niet zomaar te benaderen of overschrijven zijn.

En over betalen: iedereen doet het bij gijzeling van mensen of goederen. Ook de overheid.

Een paar gegijzelde Canadezen kan je iets anders vertellen. Of niet meer vertellen, beter gezegd.

"Ondernemen is bepaalde risico's uitsluiten en andere risico's nemen. Als je bedrijf zo afhankelijk is van computergerelateerde zaken en door één simpel mailtje platgelegd kan worden, dan heb je toch iets danig over het hoofd gezien in je risico-analyse. Dan had je allang moeten nadenken over hoe je dat risico zo klein mogelijk maakt."

Ik had al "backup in the claud. En klik niet op mailtjes die verdacht zijn. Dit gaat al 35 jaar goed. En ik had een backup van mijn belangrijkste bestanden, op dropbax op een laptop die uit staat, 50 Gb andocumentn en de belangrijkste foto's. En ja, ik heb er van geleerd. Maar ook iets over bitcoins. En dat ze gewoon een heel eind traceerbaar zijn. https://btc.com/1H5w9t1zAA1715morXmvPdzzfGB5KDcLQN

Wat dit mailtje onderscheidde van de andere is dat het aan mij persoonlijk gericht was:

Verzonden: maandag 1 augustus 2016 21:43
Aan: info@audio-rent.nl
Onderwerp: Levering BR-825342 op 1 augustus

Bob Roodkamp Transport B.V.
Havenstraat 282
7553 GG Hengelo
--------------------------------

Geachte heer / mevrouw,

Op maandag 1 augustus heeft een van onze chauffeurs omstreeks 09:20 geprobeerd om een pakket af te leveren op het onderstaande adres.
Audio Rent
Schoener 8
NL-1276 CZ HUIZEN

Aangezien dit niet is gelukt willen wij u graag verzoeken om zo spoedig mogelijk een nieuwe afspraak te maken.
U kunt een nieuwe afspraak maken door het volgende formulier te downloaden, in te vullen en retour te mailen naar info@transport.nl
U kunt het benodigde formulier downloaden op onze website.nl/ (dit formulier bevat ook informatie m.b.t. de levering)

Met vriendelijke groet,
Miranda Slootman

De informatie verzonden in dit e-mail bericht is automatisch gegenereerd en uitsluitend bestemd voor de geaddresseerde. Gebruik van deze informatie door anderen dan de geadresseerde is verboden.

Ja, achteraf bestaat het adres niet, de site niet en de firma niet.

audio-rent.nl schreef op donderdag 04 augustus 2016 @ 05:16:
Ik had al "backup in the claud. En klik niet op mailtjes die verdacht zijn. Dit gaat al 35 jaar goed. En ik had een backup van mijn belangrijkste bestanden, op dropbax op een laptop die uit staat, 50 Gb andocumentn en de belangrijkste foto's. En ja, ik heb er van geleerd.

Een back-up die je niet redt is geen back-up. Maar goed, je lijkt wel degelijk stappen gemaakt te hebben in je kennis en besef. Hopelijk is daarmee de eerste stap gezet een dergelijk incident de volgende keer te voorkomen.

En ja, de mails zijn tegenwoordig een stuk lastiger van echt te onderscheiden en netter in elkaar gezet. De tijd van Nigeriaanse prinsen lijkt helaas voorbij te zijn. De vorige keer waren en het CV's die rondgestuurd worden, nu mislukte bezorgingen. Het is wachten op de volgende.

Mocht je overigens eens na willen denken over een goed IT-plan (dat uiteraard niets mag kosten), dan kunnen ik of andere vriendelijke mensen je ook daarbij helpen. We zijn er niet alleen om je uit te kafferen omdat je betaald hebt

U kunt het benodigde formulier downloaden op onze website: [knip] (dit formulier bevat ook informatie m.b.t. de levering)

Dat is toch niet de link naar het daadwerkelijke besmette bestand?

[ Voor 23% gewijzigd door Verwijderd op 04-08-2016 05:31 ]

Oops, nu niet meer. Over het hoofd gezien, dom. Aardig aangeboden. Er staat een Synology NAS te draaien, met een "Claud". Maar dat was ook allemaal versleuteld. Wat op de NAS zelf stond, niet. Dus daar moet ik ergens heen. Dat ik er wel heen kan schrijven en lezen (met een password of zo) maar de files niet zo maar te benaderen zijn. Die claud staat gewoon open, dat is het denk ik.

[ Voor 78% gewijzigd door audio-rent.nl op 04-08-2016 05:37 . Reden: aanvulling ]

audio-rent.nl schreef op donderdag 04 augustus 2016 @ 05:31:
Oops, nu niet meer. Over het hoofd gezien, dom. Aardig aangeboden. Er staat een Synology NAS te draaien, met een "Claud". Maar dat was ook allemaal versleuteld. Wat op de NAS zelf stons, niet. Dus daar moet ik ergens heen. Dat ik er wel heen kan schrijven en lezen (met een password of zo) maar de file niet zo maar te benaderen zijn. Die claud staat gewoon open, dat is het denk ik.

Dat begint inderdaad de goede kant op te gaan. Zolang je niet zomaar vanaf de computer kunt schrijven, wordt schade al veel meer beperkt. Hoe meer muurtjes je tussen je data en een virus kunt bouwen, hoe beter het is.

Zoals gezegd kunnen we op Tweakers ook een keer meedenken met je situatie in een daarvoor geopend topic. Dan kan je toch van een hoop kennis gebruik maken, zonder gelijk in de buidel te hoeven tasten Wellicht kan het ook hier, want ik zie dat TS een redelijk soortgelijke situatie heeft. Dat laat ik aan een moderator.

[ Voor 6% gewijzigd door Verwijderd op 04-08-2016 05:41 ]

audio-rent.nl schreef op donderdag 04 augustus 2016 @ 05:31:
Maar dat was ook allemaal versleuteld. Wat op de NAS zelf stond, niet. Dus daar moet ik ergens heen. Dat ik er wel heen kan schrijven en lezen (met een password of zo)

Don't even dare... Alles alleen lezen zetten (voor desnoods apart account) in de nas en daarna e.e.a. kopieren via het alleen lezen account is veeeeeel veiliger als dat je laatste backup is

edit: ook niet onbelangrijk: wat is het afzenderadres van die email??

[ Voor 7% gewijzigd door base_ op 04-08-2016 06:05 ]

Een relatief simpele en goedkope beveiligingslaag voor een-pitters en kleine bedrijfjes, is nog steeds good ol' Sandboxie.
Draai de browser en Office progs in die omgeving en alles wat door ransomware wordt geencrypt, is met 1 muisklik verwijderd.
Eén keertje hard gapen en nog wat muiskliks, en je werkt weer verder als 5 seconden daarvoor.

Klein beetje inlezen, installeren, klein beetje configureren, levenslange licentie er op klatsen voor 4 tientjes en wala.
Ransomware?->

[ Voor 18% gewijzigd door Baserk op 04-08-2016 10:57 . Reden: tiepvaud ]

Sophos UTM aanschaven (een Klein versie)
En dan ben je veilig als bedrijf

Raoul.TLS schreef op donderdag 04 augustus 2016 @ 16:31:
Sophos UTM aanschaven (een Klein versie)
En dan ben je veilig als bedrijf

Dan heb ik liever een cloudwerkplek .

Raoul.TLS schreef op donderdag 04 augustus 2016 @ 16:31:
Sophos UTM aanschaven (een Klein versie)
En dan ben je veilig als bedrijf

Promoot dit alstublieft niet als waarheid.
Ten eerste reageren zowel AV's and UTM's niet op nieuwe varianten. En zoek even rond hoeveel klachten er zijn dat zelfs oude versies door Sophos UTM's geraken.
Enige manier van dit te voorkomen is gebruikers opleiden op wat te openen en wat niet. En een combinatie van protectie systemen.
En tot slot back-ups, maar die hamer is al genoeg gevallen.

Betalen is de gemakkelijkste oplossing. En voor 290 dollar zou ik niet eens twijfelen. De standaard kost voor zo'n grapjes is 2 bitcoins, klein beetje duurder..

Niets mis met Sophos UTM met de juiste licentie
Werk bij een gemeente en die heeft in 5 jaar 0 ransomeware binnen gehad

Andere buurt gemeente heeft er in 1 jaar tijd meer al 10 binnen gehad.
Verschil is betere hardware (en ook een deel opleiden van je gebruikers)
Kost niet weinig maar dan heb je ook wat.

foetus_ schreef op donderdag 04 augustus 2016 @ 16:52:
[...]


Promoot dit alstublieft niet als waarheid.
Ten eerste reageren zowel AV's and UTM's niet op nieuwe varianten. En zoek even rond hoeveel klachten er zijn dat zelfs oude versies door Sophos UTM's geraken.
Enige manier van dit te voorkomen is gebruikers opleiden op wat te openen en wat niet. En een combinatie van protectie systemen.
En tot slot back-ups, maar die hamer is al genoeg gevallen.

Betalen is de gemakkelijkste oplossing. En voor 290 dollar zou ik niet eens twijfelen. De standaard kost voor zo'n grapjes is 2 bitcoins, klein beetje duurder..

Raoul.TLS schreef op donderdag 04 augustus 2016 @ 16:57:
Niets mis met Sophos UTM met de juiste licentie
Werk bij een gemeente en die heeft in 5 jaar 0 ransomeware binnen gehad

Andere buurt gemeente heeft er in 1 jaar tijd meer al 10 binnen gehad.
Verschil is betere hardware (en ook een deel opleiden van je gebruikers)
Kost niet weinig maar dan heb je ook wat.


[...]

Het probleem is dat, zelfs als Sophos UTM 99.999% van alle malware tegenhoudt, je nog steeds vatbaar bent voor die 0.001%. Naast een goede antivirus/-malware/-ransomware oplossing ben je gewoon (in sommige gevallen zelfs wettelijk) verplicht om een goede backup strategie te hebben. Simpel zeggen "Sophos UTM fixt alles" is dus niet afdoende.

Verder, zoals foetus_ al aangaf geven veel UTMs en virusscanners op dit moment geen gehoor aan de nieuwste ransom-/malware versies. Omdat deze oplossingen altijd achterlopen op de nieuwste technieken is het simpelweg niet genoeg om je data veilig te stellen.

Je kan ook checken mailomgeving secure mail spf check en zo messagelabs dat houd de rest tegen
Het is niet onmogelijk veilige omgeving te bouwen.
Moet wel kijken wat kost een dag productie verlies en maatregelen.
Wegen ze tegen elkaar op en zo

Dropbox kan je gewoon terugdraaien overigens. Stuur de support een mailtje met het delete event en dan doen ze een rollback voor je. Zo simpel als wat.

Hier de ZEPTO versie gewoon binnen gehad na met 3 verschillende AV's gescant te zijn.
En ja, ook een sophos UTM met full guard.

Zat eerst wel te kijken, om 15.00 ding binnen gehad en virustotal kende hem nog niet.
Pas om 20.45 kwam de juiste update binnen en kon ik deze verwijderen.
note to self: nooit hetzelfde merk AV op de FW en op clients

Veeam hielp me in 45min weer aan schone schijven

[ Voor 6% gewijzigd door arjants op 04-08-2016 21:05 ]

Wat meer generiek ransomware nieuws op Security.nl;

Sophos meldt over een variant die zich via LNK bestanden verspreidt.
Aangezien de extensie niet standaard zichtbaar is, en je een LNK bestand toch kan hernoemen naar PDF of whatever, een nieuwe 'uitdaging' voor de eindgebruiker (en verantwoordelijke admins). Link

Daarnaast meldt Cisco het gebruik van het simpelweg hernoemen van een .docm bestand naar .rtf bestand, waarbij Word het zogenaamd veilige .rtf bestand zal openen en macro-ellende toch automagisch z'n gang kan gaan. Link
Beiden ITW dus 'be careful out there'.

(Aangezien er geen 'algemeen ransomware' topic is (dat toch ondergesneeuwd zal worden met meldingen) heb ik het 't maar hier neergezet).

[ Voor 8% gewijzigd door Baserk op 04-08-2016 22:26 ]

k forward al mij mail naar Gmail, vanuit de externe host. Het Mailtje met de ransomeware is daar nooit binnen gekomen. Is gmail daar zo alert op?

Baserk schreef op donderdag 04 augustus 2016 @ 09:53:
Een relatief simpele en goedkope beveiligingslaag voor een-pitters en kleine bedrijfjes, is nog steeds good ol' Sandboxie.
Draai de browser en Office progs in die omgeving en alles wat door ransomware wordt geencrypt, is met 1 muisklik verwijderd.
Eén keertje hard gapen en nog wat muiskliks, en je werkt weer verder als 5 seconden daarvoor.

Klein beetje inlezen, installeren, klein beetje configureren, levenslange licentie er op klatsen voor 4 tientjes en wala.
Ransomware?->

Iemand die proactief durft te denken als belangrijke laag in gelaagde beveiliging. Je kunt ook Comodo Internet Security met automatische sandbox overwegen. Zorg ervoor dat je je data mappen beschermt onder Beschermde Data Mappen (Protected Data Folders). Daarnaast kun je programma's ook zelf in de sandbox laten draaien.

Schakel de Windows Script Host uit. Maak voor alle zekerheid Kladblok het standaardprogramma voor .js, .wsf en vbs en schakel Macro's in Word uit.

Dan ben je bijna niet meer afhankelijk van detectie die per definitie achter de feiten aan loopt.

Verwijderd schreef op donderdag 28 juli 2016 @ 11:02:
vandertaktransport.nl
jalinktransport.nl
vanloosbroektransport.nl
Nog eentje: waalkosttransport.nl (schade beperkt, PC opnieuw installeren. Backups aanwezig).

Allemaal de registrar
Registrar:
PDR Ltd.
P.O. Box #16113
UAE
United Arab Emirates

Allemaal privacy protect en de domeinen zijn vorige week geregistreerd. Inderdaad gewoon aanmelden bij de hoster/SIDN als fraude.

audio-rent.nl schreef op donderdag 04 augustus 2016 @ 03:59:
Niet betalen, klinkt stoer. Maar nee, als je een bedrijf hebt, is dat geen optie. Je moet door. Uit principe je bedrijf stilleggen klinkt nobel, maar de kinderen moeten gewoon studeren en bijstand voor een ondernemer ligt ook nogal lastig.

Ik wordt een beetje moe van het roepen dat je alles uit moet besteden. Als je thuis een feestje hebt, ga je toch ook geen bedrijf in huren? Dat doe je zelf, of er is wel een neefje. Nergens in de zakenwereld wordt zoveel zwart gebeund als in de "disco" industrie.

Uitbesteden aan de "kenners", zoals die van Surfright zeker. Het eerst wat het virus deed was hitmanpro uitschakelen. En security Essentials was helemaal in slaap, en werd pas wakker toen ik het tooltje opende. Wat nou jij je files decrypten, daar ga ik een stokje voor steken "de bedreiging is opgeruimd".

En dat die schijf er uitgerekend nu mee op houdt, dat is domme pech. Daar werd elke nacht een backup op weggeschreven. En die hing aan mijn computer, dus wie weet wat daarmee gebeurd zou zijn. Wat ik dus moet doen is elke avond een schijf aan mijn computer hangen en de opdracht geven aan acronis om een backup te maken. En dan 's morgens er weer afhalen. Zoiets denk ik maar.
En over betalen: iedereen doet het bij gijzeling van mensen of goederen. Ook de overheid.

Al zorg je er voor dat op de back-up NAS een andere username en password zit en wellicht met een tijdschakel mechanisme, dat deze alleen aanstaat als er back-up wordt weggeschreven. Op een andere locatie neerzetten is natuurlijk nog mooier. Ik snap dat als je een klein of middelgroot bedrijf hebt je niet de wereld kwijt wil zijn aan een hightech back-up systeem. Maar het is wel slim om nu te gaan kijken naar een oplossing, risico dat het gebeurt Vs. het geld dat je er voor over hebt om er tegen bestand te zijn.

Helaas is mijn computer ook geïnfecteerd/gehacked door virus die al de bestanden omzet naar wflx. ondanks mijn viruscan 2x per dag een update krijgen en de computer scant. Nu was mijn account van dropbox gekoppeld met mijn computer en ook deze bestanden zijn nu geïnfecteerd.
weet iemand of dropbox ook een back-up maakt van de bestanden en zijn de bestanden nog terug te krijgen?

[ Voor 10% gewijzigd door Verwijderd op 09-08-2016 21:51 ]

Hoera, ik ben ook de pineut van het wildfire virus. Heb alles al geprobeerd maar geen resultaat! Pc blijft zelfs in veilige modus hangen en kan alleen nog op internet met lan.
Ben nu maar begonnen alle bestanden "ook mijn back-ups" op een externe schijf te verzamelen om een schone installatie te doen en de besmette bestanden maar te verzamelen op 1 harde externe harde schijf, wie weet komt er nog een programma wat mijn bestanden terug virusvrij kan krijgen.

Bij het inloggen van mijn gmail stond er een account ingesteld van bcrpqta4@gmail.com wat niet van mij is, ook erg vreemd.

de mail die mij het virus gaf was van;
Valkenburg Transport B.V.
Henricuskade 730B
2497 NB Den Haag
--------------------------------

Geachte heer / mevrouw,

Op vrijdag 5 augustus heeft een van onze chauffeurs omstreeks 10.00 geprobeerd om een pakket af te leveren op het onderstaande adres.

Aangezien dit niet is gelukt willen wij u graag verzoeken om zo spoedig mogelijk een nieuwe afspraak te maken.
U kunt een nieuwe afspraak maken door het volgende formulier te downloaden, in te vullen en retour te mailen naar info@valkenburgtransport.nl
Het benodigde formulier is te downloaden op onze website: hxxp://bestanden.valkenburgtransport.nl/iets (dit formulier bevat ook informatie m.b.t. de levering)

Met vriendelijke groet,
Marloes Werkman

De informatie verzonden in dit e-mail bericht is automatisch gegenereerd en uitsluitend bestemd voor de geaddresseerde. Gebruik van deze informatie door anderen dan de geadresseerde is verboden.


Dit ter informatie van iedereen.

[ Voor 55% gewijzigd door FlipFluitketel op 10-08-2016 20:11 . Reden: Link naar virus verwijderd ]

Verwijderd schreef op woensdag 10 augustus 2016 @ 16:40:
Hoera, ik ben ook de pineut van het wildfire virus. Heb alles al geprobeerd maar geen resultaat! Pc blijft zelfs in veilige modus hangen en kan alleen nog op internet met lan.
Ben nu maar begonnen alle bestanden "ook mijn back-ups" op een externe schijf te verzamelen om een schone installatie te doen en de besmette bestanden maar te verzamelen op 1 harde externe harde schijf, wie weet komt er nog een programma wat mijn bestanden terug virusvrij kan krijgen.

Bij het inloggen van mijn gmail stond er een account ingesteld van bcrpqta4@gmail.com wat niet van mij is, ook erg vreemd.

de mail die mij het virus gaf was van;
Valkenburg Transport B.V.
Henricuskade 730B
2497 NB Den Haag
--------------------------------

Geachte heer / mevrouw,

Op vrijdag 5 augustus heeft een van onze chauffeurs omstreeks 10.00 geprobeerd om een pakket af te leveren op het onderstaande adres.

Aangezien dit niet is gelukt willen wij u graag verzoeken om zo spoedig mogelijk een nieuwe afspraak te maken.
U kunt een nieuwe afspraak maken door het volgende formulier te downloaden, in te vullen en retour te mailen naar info@valkenburgtransport.nl
Het benodigde formulier is te downloaden op onze website: (dit formulier bevat ook informatie m.b.t. de levering)

Met vriendelijke groet,
Marloes Werkman

De informatie verzonden in dit e-mail bericht is automatisch gegenereerd en uitsluitend bestemd voor de geaddresseerde. Gebruik van deze informatie door anderen dan de geadresseerde is verboden.


Dit ter informatie van iedereen.

Als dat een link naar het bestand met wildfire is heel snel weghalen ajb.

Verwijderd schreef op dinsdag 09 augustus 2016 @ 21:50:
Helaas is mijn computer ook geïnfecteerd/gehacked door virus die al de bestanden omzet naar wflx. ondanks mijn viruscan 2x per dag een update krijgen en de computer scant. Nu was mijn account van dropbox gekoppeld met mijn computer en ook deze bestanden zijn nu geïnfecteerd.
weet iemand of dropbox ook een back-up maakt van de bestanden en zijn de bestanden nog terug te krijgen?

Ja, via de support kan je een restore aanmaken. Kijk op de dropbox site onder events xxxxx files deleted. Dat event in je ticket zetten.

Duurde een weekje bij mij.

Ook hier een slachtoffer...namelijk mijn 70 jaar oude moeder. . Ik heb alle 118 discussies gelezen en begrijp dat het een herinstallatie eigenlijk enige oplossing is. En een backup terugzetten.

Echter als ik nieuwe schijf in pc hang en vervolgens oude schijf ernaast, kan ik dan zonder problemen oude schijf ook nog benaderen?
Neem aan dat het virus zich nesteld in opstart mappen en dus op de oude schijf niet actief wordt?

Ook ik ga hopen dat een decryptie mogelijkheid zich voordoet, maar dat terzijde.

HighFly schreef op woensdag 10 augustus 2016 @ 23:17:
Ook hier een slachtoffer...namelijk mijn 70 jaar oude moeder. . Ik heb alle 118 discussies gelezen en begrijp dat het een herinstallatie eigenlijk enige oplossing is. En een backup terugzetten.

Echter als ik nieuwe schijf in pc hang en vervolgens oude schijf ernaast, kan ik dan zonder problemen oude schijf ook nog benaderen?
Neem aan dat het virus zich nesteld in opstart mappen en dus op de oude schijf niet actief wordt?

Ook ik ga hopen dat een decryptie mogelijkheid zich voordoet, maar dat terzijde.

Als je de boel als slave aansluit, dan kan je gewoon rustig de schijf doorspitten. Het virus zal in de daarop geïnstalleerde Windows zitten die dan niet actief is, maar pas op met wat je opent.

HighFly schreef op woensdag 10 augustus 2016 @ 23:17:
Ook hier een slachtoffer...namelijk mijn 70 jaar oude moeder. . Ik heb alle 118 discussies gelezen en begrijp dat het een herinstallatie eigenlijk enige oplossing is. En een backup terugzetten.

Echter als ik nieuwe schijf in pc hang en vervolgens oude schijf ernaast, kan ik dan zonder problemen oude schijf ook nog benaderen?
Neem aan dat het virus zich nesteld in opstart mappen en dus op de oude schijf niet actief wordt?

Ook ik ga hopen dat een decryptie mogelijkheid zich voordoet, maar dat terzijde.

Wat zuur! Ik heb iedereen in mijn kring gewaarschuwd, want die Wildfire Locker lijkt steeds hardnekkig te worden. Er zijn methodes om het virus zelf te verwijderen, maar de encryptie krijg je helaas op dit moment niet van je gegevens af. Als je een nieuwe schijf plaatst verwijder dan op zijn minst eerst het virus van de huidige schijf en bewaar hem totdat er een decrypt-mogelijkheid is.
Je geeft aan dat je back-ups ter beschikking hebt, maar als ze op dezelfde schijf staan als waarop het virus zich heeft genesteld dan is de kans groot dat ook die ge-encrypt en onbruikbaar zijn.

FreshM schreef op donderdag 11 augustus 2016 @ 00:05:
[...]
Wat zuur! Ik heb iedereen in mijn kring gewaarschuwd, want die Wildfire Locker lijkt steeds hardnekkig te worden. Er zijn methodes om het virus zelf te verwijderen, ...

Bedankt voor je antwoord. Ik kan nog niet echt een goede link vinden hoe het virus te verwijderen, weet jij die?

Je geeft aan dat je back-ups ter beschikking hebt, maar als ze op dezelfde schijf staan als waarop het virus zich heeft genesteld dan is de kans groot dat ook die ge-encrypt en onbruikbaar zijn.

Denk dat dat meevalt. Het is een Online Cloud backup, waarbij hooguit een dag de encrypte files zijn meegenomen. Maar het virus zal zich daar niet kunnen verspreiden en dus eerdere dagen zullen onbeschadigd terug te halen zijn.
Jammere is alleen dat het KPN Online Cloud backup is (IASO gebaseerd) en niet goed beschreven staat hoe ik de backup software kan installeren op een andere pc en dan de boel restoren om weer op de nieuwe pc te zetten.

Kan iemand mij uitleggen hoe dat precies zit met Office?

Er was een gevalletje WildFire (weinig schade gelukkig).

Het ging om een bestandje PT-960823.doc info op hybrid-analysis.com

De Macro instellingen in Word 2016 stonden op
"Alle macro's uitschakelen met melding"

Nou hebben we dat maar veranderd in

"Alle macro's uitschakelen zonder melding "

Maar ik blijf het raar vinden dat hij zonder verder commentaar blijkbaar gewoon die Macro uitvoert. Weet iemand daar meer van, ik ben niet zo'n Office guru.

Verder: Google Mail (zo kwam het binnen), Adblocker + malware extensies, OpenDNS, Windows Defender: geen enkele melding dat er iets mis mee kon zijn. Ik heb het .exe bestandje gevonden in de AppData folder en Windows Defender, MalwareBytes, en enkele andere viruscheckers die ik voor de gelegenheid heb gedownload vonden het allemaal gewoon een prima .exe

Daar ga je dan met je fantastische security ;-)

[ Voor 12% gewijzigd door Tauchmeister op 11-08-2016 11:45 . Reden: extra info ]

HighFly schreef op donderdag 11 augustus 2016 @ 08:59:
[...]

Bedankt voor je antwoord. Ik kan nog niet echt een goede link vinden hoe het virus te verwijderen, weet jij die?


[...]

Ik heb het virus niet (gehad). Google is je vriend v.w.b. verwijdering van Wildfire Locker. Zoals gezegd heb ik ook geen mogelijkheid gevonden om bestanden weer te decrypten als het virus eenmaal heeft toegeslagen. https://www.google.nl/sea...ei=zu6sV879AuXG8Ae7u6L4BQ

Hier ook een slachtoffer hier staat die in de

C:\Users\{username}\AppData\Roaming\gsdkfyfascbx\Arrxoeoao.exe

Via een mail van een transportbedrijf opgelopen.
Mallwarebytes laten scannen, maar kon hem niet vinden of verwijderen?

In het register staat er een verwijzing naar de exe in Shell/Muicache.
Geen verwijzingen in de run en runonce.

Wel in Shell:startup gevonden.

[ Voor 24% gewijzigd door Ch4oZZzz op 12-08-2016 15:33 ]

PC Heaith Advisor strujke software:
http://www.virus-entferne...e-locker-virus-entfernen/

Hallo allemaal,

Is er al een oplossing gevonden om bestanden te decrypten?

Verwijderd schreef op woensdag 17 augustus 2016 @ 14:09:
Hallo allemaal,

Is er al een oplossing gevonden om bestanden te decrypten?

Een goede back-up ?

Ik heb nu een backup abonnement van Acronis Cloud én een schijf als securezone gemaakt. De hele computer gaat naar de cloud (duurt een dag of 10) en mijn c en d schijf naar de secure zone.

Maar ook voor mij de vraag hoe/of ik alles weerterug kan zetten mocht mijn computer niet meer opstarten.... Iemand daar thuis in?

^Is 'securezone' een Acronis functionaliteit?
Met alle respect, je info is voor mij niet helemaal duidelijk.
De 'hele computer' in de cloud; is dat een 'always-online'-achtige share functie?
'Een hele schijf als securezone'; is dat ook echt een losse schijf/hdd/ssd of een partitie? In je computer, altijd verbonden met je computer of een hdd/ssd die in de kast/kluis ligt?
En je C en D partities. Ik neem aan dat C je OS en progs is en dan op D je data?

Van m'n OS+progs partitie (meestal C:) zou ik een image maken en die bewaren op een niet verbonden drager/hdd/ssd.
Van m'n belangrijkere data zou ik een backup maken.
En dan het liefste die data ook nog eens op een andere locatie. Thuis ipv op je bedrijf of bij een vriend/ouders ipv thuis etc.

En controleer ook ajb de integriteit van zowel de image als de backup(s).
Wbt backups zijn er hier op GoT trouwens al vele posts met betere/uitgebreidere tips te vinden.

Op mijn werk gisteren ook 2 devices die een infectie te pakken hebben, toevallig allebei van dezelfde persoon...
Moest die persoon daarna toch wel niet naar een vergadering, heeft een tweetal uur rustig zitten encrypteren en heeft zelfs onze netwerkshares zitten versleutelen (maar is daar niet mee klaargeraakt). Een geluk dat we backups hebben... maar de persoon in kwestie is alles kwijt, we hebben wel een pak van zijn files van OneDrive kunnen redden (omdat deze in de prullenbak kwamen kunnen we ze herstellen), maar voor de rest is hij alles kwijt.

Nu is het vooral zorgen dat al die netwerkshares weer in orde komen en gerestored raken... Best wel wat werk - ik begrijp compleet waarom mensen die €299 gewoon betalen - het is gewoon een pak goedkoper

Heb ook net kennis gemaakt bij een horeca-klant met deze leuke ransomware.

Toen hij me belde, dacht ik eerst dat het om een gelijkaardig politievirus ging. Dus ik snel een Hitmanpro Kickstarter usb-stick aangemaakt en voor zekerheid mijn laptop meegenomen. Maar dit was duidelijk een ander kaliber.

Direct een betere antivirus(ESET) dan McAffee geinstalleerd, en deze had het direct gevonden. Het Decripten is andere koek. Na veel vijven en zessen gezegd dat ik dit zoiezo ga opvolgen.

Een geluk dat hij de belangrijkste boekhoudingsfiles op een beveiligde usb-stick heeft staan. Maar andere excel, word en pdf-documenten, afbeeldingen, enz... daar moet hij even op wachten.

Dan maar het net afschuimen om misschien toch een oplossing te vinden. Maar hij heeft deze keer eens duidelijk geleerd dat hij backups moet maken. Ookal heb ik dit al van in het begin aangeraden.

Ik heb ook last gehad van het wildfire virus. De meeste bestanden had ik in backup en het virus is verwijderd. Alleen een flink aantal foto's zijn ge-encrypt waarvan ik geen backup heb. Via Stellar Phoenix zie ik die foto's wel staan, maar als voorbeeld zie ik geen foto, maar een afbeelding van een tabel met een soort code erin. Zou dit te maken hebben met de versleutelingscode, en loont het de moeite om die codes te 'herstellen' als middel om de echte bestanden weer te krijgen? Bijv. doordat met die tabellen de code gekraakt kan worden?

@Baserk De secure zone van Acronis is een ontoegankelijk gemaakt deel van een partitie. Acronis schrijft een versleutelde backup van bronnen die je selekteert daar heen, of naar de cloud. Alleen het programma kan daar naar toe. Het is geen map op je computer, zoals Idrive, google drive en dropbox. Die pakt de ransom allemaal gewoon mee. Bovendien staan er verschillende versies op de cloud. Een nadeel is dat het maken van 6 Terrabye aan data naar de cloud migreren 15 dagen kost. De overdracht gaat met een indrukwekkende 15 mbps.

Als je betaalt, zoals ik, vink in het tooltje "Decrypt subdirectories", "restore original filename" en "delete encrypted files" alle drie aan, anders zit je naderhand met allemaal verkeerde namen als als "AdwCleaner[R0] #WildFire_Locker#93cc2a## UNLOCKED.txt" en dubbele bestanden, de encrypte en de decrypte files en verdubbelt de inhoud op je schijf en bij mij liep daarna de computer vast, incl. de MBR.

[ Voor 0% gewijzigd door audio-rent.nl op 20-08-2016 13:00 . Reden: typo ]

@Pieter R
Met welk decrypt jij dan de afbeeldingen?

Er is nu een Wildfire decryptor beschikbaar: https://www.nomoreransom.org/decryption-tools.html

Artikel Tweakers:
nieuws: Politie stopt ransomware met voornamelijk Nederlandse en Belgische sl...

Oplossing gevonden - Tool door Intel Security en Kaspersky:
http://www.mcafee.com/us/...ools/wildfiredecrypt.aspx

Beide bestanden werken niet helaas, bij die van Kaspersky krijg ik de foutmelding 'Cannot decrypt this file' als ik een door wildfire geencrypt bestand selecteer.

Iemand wel positieve (of juist dezelfde negatieve) ervaringen met de removal software?

koekjah schreef op zaterdag 03 september 2016 @ 20:52:
Beide bestanden werken niet helaas, bij die van Kaspersky krijg ik de foutmelding 'Cannot decrypt this file' als ik een door wildfire geencrypt bestand selecteer.

Iemand wel positieve (of juist dezelfde negatieve) ervaringen met de removal software?

Ik heb met beide pakketten kunnen decrypten. Met die van Intel wilde een enkele file niet, die met Kaspersky wel ging. Beide niet perfect, maar zéér goed te gebruiken.

koekjah schreef op zaterdag 03 september 2016 @ 20:52:
Iemand wel positieve (of juist dezelfde negatieve) ervaringen met de removal software?

Waarom zou dit een negatieve ervaring zijn? Jouw besmetting valt er niet mee op te lossen, maar dat wordt feilloos aangegeven. Goed geïmplementeerde cryptomalware is waterdicht, dus het ligt niet aan de wat jij removal software noemt. Je moet wat mazzel hebben dat je een variant het opgelopen die te verwijderen valt.

Verwijderd schreef op zondag 04 september 2016 @ 09:17:
[...]

Waarom zou dit een negatieve ervaring zijn? Jouw besmetting valt er niet mee op te lossen, maar dat wordt feilloos aangegeven. Goed geïmplementeerde cryptomalware is waterdicht, dus het ligt niet aan de wat jij removal software noemt. Je moet wat mazzel hebben dat je een variant het opgelopen die te verwijderen valt.

Omdat mijn ervaring negatief is, het lukt niet. Dat zeg niets over de software, maar over mijn ervaring.
Ik begrijp dus dat er verschillende varianten zijn van wildfire en dat mijn schoonpa het gelukt heeft een variant te hebben die nog niet te encrypten is.

Ik heb intern een backup hersteld van zo'n 1200 ge-encrypteerde bestanden door Wildfire, Kaspersky hun tool kon ze op 2 na volledig decrypten.

Let er wel op dat ze niet in een netwerkpad zitten, want dan lukt het niet.

koekjah schreef op zondag 04 september 2016 @ 21:44:
Omdat mijn ervaring negatief is, het lukt niet.

Dat is geen negatieve ervaring ten aanzien van de software, eerlijk gezegd. Dat onderscheid moet je goed maken.

Ik zit hier ook op een bak die door wildfire is getroffen.
Inmiddels beide tools geprobeerd (Kaspersky en Intel)
Kaspersky meldt: ""Cannot decrypt this file" en in de logfile: "Cannot initialize decryptor on the file"
Intel/mcAfee meldt: "File not found" wat inhoud dat er geen decryptie sleutel is gevonden voor dit ID.

Deze gebruiker heeft geen systeem herstel punten waar het veilig is, een te oude backup en een externe schijf die ook te grazen is genomen door wildfire.

Geen oplossing tot zover kunnen vinden...

Ben je wel zeker dat het een encryptie is door Wildfire?

Probeer eens 2 files te uploaden op https://www.nomoreransom.org, normaal kan je dan zien wat het versleuteld heeft.
Wildfire (althans, de originele release) kan geen nieuwe infecties meer maken aangezien de CC-server down is.

Kevjoe schreef op donderdag 06 oktober 2016 @ 11:55:
Ben je wel zeker dat het een encryptie is door Wildfire?

Probeer eens 2 files te uploaden op https://www.nomoreransom.org, normaal kan je dan zien wat het versleuteld heeft.
Wildfire (althans, de originele release) kan geen nieuwe infecties meer maken aangezien de CC-server down is.

Is wel degelijk wildfire volgens die uploadtool.

Ook hier nog steeds geen oplossing, precies zelfde (fout)meldingen als suusmars.
Geeft aan dat het wildfire is, maar beide tools werken niet

JankY schreef op dinsdag 04 oktober 2016 @ 14:54:
Ik zit hier ook op een bak die door wildfire is getroffen.
Inmiddels beide tools geprobeerd (Kaspersky en Intel)
Kaspersky meldt: ""Cannot decrypt this file" en in de logfile: "Cannot initialize decryptor on the file"
Intel/mcAfee meldt: "File not found" wat inhoud dat er geen decryptie sleutel is gevonden voor dit ID.

Deze gebruiker heeft geen systeem herstel punten waar het veilig is, een te oude backup en een externe schijf die ook te grazen is genomen door wildfire.

Geen oplossing tot zover kunnen vinden...

Met andere woorden, fuckt.

Betalen of voor lief nemen.

Of eeuwig wachten tot het te decrypten is, en Ja ik ben het er mee eens dat het een vreselijk irritant iets is.
Echter ben ik nog steeds verbaasd over het niveau van back-ups.
Particulier kan ik het snappen, maar als je ziet hoeveel bedrijven het ook echt zo slecht geregeld hebben dan

iemand misschien inmiddels een decryptietool gevonden die wel werkt op de wildfire locher?? bij mij werken die kaspersky en intel ook niet.
ik heb alle bestanden die geinfecteerd zijn op een usb overgezet zodat ik ze niet meer op de computer heb. de computer is met nieuwe harde schijven opnieuw geinstalleerd.

@anneke62 Zou je me eens een of twee bestanden kunnen sturen? Kun je gewoon uploaden naar een filesharing dienst naar keuze en mij een DM sturen. Kan ik eens kijken of ik er iets mee kan.

hallo,
sorry voor deze late reactie. ik zie dit bericht nu pas. ik weet niet of ik hier toen op gereageerd heb. Ik zou je wel 2 bestanden willen toesturen maar ik weet niet hoe ik dit zou moeten doen??