Ransomware: .enc na mail "PostNL"

Dat klinkt meer als ransomware, was een eigen topic niet handiger geweest dan deze oude koe ?

Verwijderd schreef op donderdag 06 oktober 2016 @ 18:25:
Is er iemand die mij kan vertellen hoe ik van het virus af kom? Malwarebytes vind niks.

Ik heb je vraag afgesplitst van Spam PostNL, aangezien het vast niet hetzelfde is als dat van twee jaar geleden. Als wel dan is het hoog tijd je virusscanner en OS te updaten Overigens welkom op GoT.

Inhoudelijk: IMHO wil je niet gaan proberen schoon te maken na ransomware. Maak een extra backup, installeer opnieuw, beveilig, zet backup terug (incl backup van de al versleutelde bestanden).

Je kunt voor de versleutelde bestanden misschien onderzoeken welke ransomware het precies is en kijken of er een bekende manier is om te decrypten. Als de bestanden niet belangrijk zijn: formatteer, installeer, beveilig.

[ Voor 13% gewijzigd door F_J_K op 07-10-2016 11:44 . Reden: Even quoten, voor het geval je je vraag kwijt was. ]

Je kunt proberen om hier je versleutelde bestand te uploaden en checken of er een decryptietool aanwezig is.

F_J_K, daar sluit ik me 100% bij aan. Je weet nooit zeker of je PC clean is, tenzij je een reïnstall doet. (Ervanuitgaande dat hij niet in je bios zit etc).

Collega van mij heeft ook PostNL encryption ware gehad en dat was geen feestje.. Lokale snapshots (voor "Restore to previous version") waren weg en/of werkte niet meer. Ook veel tools geprobeerd, inclusief die op de site van de overheid/politie (https://www.nomoreransom.org) maar niets hielp. Hij stond al op het punt van betalen aan 'de boeven' toen we op het Bleeping Computer forum iets vonden over het "Recovery Package" van Dr Web (anti virus bedrijf, ook uit Rusland). Dat traject hebben we toen opgestart en apart genoeg hadden zij vrij snel de juiste decryption key voor handen (als bewijs konden ze een sample van 1-2 bestanden decrypten) en voor EUR 150 had mijn collega alle files (op meerdere PCs!) weer in handen!!

Blijft natuurlijk vreemd/verdacht dat Dr Web het enige bedrijf lijkt te zijn wat dit "zomaar" kan oplossen (je zou bijna denken......) maar goed, als je desperate bent en gewoon je data terug wil, zou ik liever EUR 150 aan Dr Web storten dan 600 direct aan de oplichters!!

Wij hebben deze enc ransomware gehad bij een van onze users op een terminal server. Ransomware komt binnen via een .gif of een .png in de webpagina als je op de link in de mail hebt geklikt. Het waren profielen met normale rechten, dus profiel weg en we konden weer door. (Is niet bij deze user gebleven, ransomware is later door meer gebruikers opengeklikt, telkens was profiel weggooien voldoende)
Als je met meer rechten dan een user (met admin bijvoorbeeld) de ransomware hebt uitgevoerd, sowieso schijf formatteren en een clean install doen.