Crypt0L0cker virus verwijderd, maar files nog encrypted

Je back-up terugzetten of betalen is vaak de enige optie.

ResuCigam schreef op maandag 22 augustus 2016 @ 15:53:
Je back-up terugzetten of betalen is vaak de enige optie.

En voor je betaalt (als dat je keuze is) eerst controleren of het verwijderen van de cryptolocker niet herstel onmogelijk heeft gemaakt!

Je kan nog een paar encrypted bestanden naar een folder kopieren en Panda crypto unlocker tool proberen. Misschien heb je geluk en was het een locker waar fouten in de encryptie in gevonden zijn.

[ Voor 24% gewijzigd door Verwijderd op 22-08-2016 15:59 ]

Je kunt je bestanden ontsleutelen met de zogenaamde "decrypters". Zie dit artikel hoe je dit moet doen. Webpagina bevat linkjes naar de originele websites waar je de decrypters kunt downloaden (voor oa Crypt0l0cker) : https://www.bugsfighter.c...-decrypt-encrypted-files/

[ Voor 19% gewijzigd door Anonymoussaurus op 25-08-2016 01:03 ]

Dit is misschien ook nog een idee?

https://www.nomoreransom.org/

Volgens mij is er een recente nieuwe variant voor deze crypto die ze als .enc opslaat, dus betwijfel of die decrypter werkt.

Wat je kunt proberen is om met bijvoorbeeld shadowexplorer de shadowcopy van windows uit te lezen. En daarvan uit je bestanden terug te halen.

Zelfde virus hier nu ook. Pc uitgeschakeld en internet afgekoppeld. Pc opgestart met een mini windows bootable usb. Bestanden zijn geincrypt in het YWYFUB File.

Iemand een stappenplan om toch de bestanden terug te krijgen?

Groeten Nick

Knip. Sneu, hooguit 10 jaar geleden nog grappig.

[ Voor 88% gewijzigd door F_J_K op 10-02-2017 12:17 ]

..

[ Voor 98% gewijzigd door impactftw op 09-02-2017 21:20 ]

Bestanden bewaren en wachten op een oplossing?

Dan kan ik lang wachten denk ik

Wat had jij daar nou geschreven.., daarvoor?

Als het alleen gebruikersbestanden zijn wat encrypted zijn kun je ze wegschrijven naar dvd en wachten op een oplossing. Begint het het hele systeem te encrypten dan tja..

[ Voor 66% gewijzigd door Verwijderd op 09-02-2017 21:28 ]

Verwijderd schreef op donderdag 9 februari 2017 @ 21:24:
Wat had jij daar nou geschreven.., daarvoor?

Als het alleen gebruikersbestanden zijn wat encrypted zijn kun je ze wegschrijven naar dvd en wachten op een oplossing. Begint het het hele systeem te encrypten dan tja..

Nee alleen gebruikersbestanden

Is er geen tool die ik erover heen kan draaien die wie weet nog wat bestanden kan terug halen?

Eerst uitzoeken (google is je beste vriend) welke variant je precies hebt en vervolgens kijken of die al te decypten zijn. Anders zal er betaald moeten worden als het om belangrijke bestanden zijn die je niet kan missen en geen backup (stom!) hebt.

impactftw schreef op donderdag 9 februari 2017 @ 21:31:
Nee alleen gebruikersbestanden

Is er geen tool die ik erover heen kan draaien die wie weet nog wat bestanden kan terug halen?

Hierboven staat een link naar een website. Heb je daar al eens naar gekeken?

impactftw schreef op donderdag 9 februari 2017 @ 21:31:
Nee alleen gebruikersbestanden

Is er geen tool die ik erover heen kan draaien die wie weet nog wat bestanden kan terug halen?

Weet ik niet, als je maar van de Malware (de cryptolocker) af bent. Een snuggere kan misschien zien aan de hand van hoe de data is weggeschreven hoe de encryptie te werk gaat. (aangezien jij weet wat het voor een bestand was en hoe het eruit zag of wat er stond).

Maar uit de openingspost kan ik ook uit maken dat er een herstelpunt, of alle, vernaggelt worden, en hoe je die moet bewaren of opslaan/kopiëren, waar die staan.. .

[ Voor 65% gewijzigd door Verwijderd op 09-02-2017 21:41 ]

Zoals in topics over gelijksoortige problemen, check hier even welk virus het is en je krijgt ook direct te zien of er een oplossing voor is.

Dr Web is de oplossing geweest voor mij.

via hun website kan je een support-request aanmaken en moet je 3 samples van ge-encrypteerde bestanden uploaden.
Als het hen lukt krijg je via hun support-tool feedback dat het mogelijk is. Als bewijs krijg je ook de ge-uploade bestanden ge-decrypt terug.

Je moet echter wel 150EUR betalen voor niet bestaande klanten voor een abbo op hun antivirus-software.
Als je dat hebt kan je de license-key in de support-request steken als bewijs van betaling en krijg je een dagje later links naar de de-cryptor en pass-file.

Eigenlijk is het wel allemaal vreemd hoor. Zij zijn de enige die het kunnen de-crypten, maar je moet er voor betalen. 150EUR is nog aanvaardbaar voor bepaalde mensen als het hun hele fotocollectie betreft.
Maar je zou bijna denken dat er ergens een link is tussen de ransomware-partij en dr-web-partij.
Misschien gaan ze ervan uit als je toch al zoekt op de-crypten en bij hen terecht komt dat je zeker niet van plan bent om 900EUR te gaan betalen bij de ransomware-partij.
who knows, complicated world.

Ik heb nog een vraag m.b.t. ransomware/cryptolockers.

Ik heb begrepen dat deze malware zich versrpeid over lokale en gedeelde schijven. Als ik een Dropbox folder met iemand deel die besmet raakt betreft het neem ik aan enkel de gedeelde folder? Dus mijn overige, niet-gedeelde Dropbox folders kunnen niet bereikt worden?

Ik heb gezien dat ook shares waar een gebruiker (in een lokaal netwerk met Windows server) geen of onvoldoende toegang toe had besmet raakten, weet iemand hoe dat überhaupt mogelijk is?