Mail bandenconcurrent met virus

Beste Tweakers,

Mijn schoonmoeder heeft een email ontvangen van zogenaamd de Bandenconcurrent, over een openstaande factuur die binnen 7 dagen betaald moet worden. Helaas heeft ze het zip-bestand in de bijlage geopend ondanks dat ze het idee had dat er iets niet klopte.

Een korte Google zoek actie geeft de volgende resultaten:
http://opgelicht.avrotros...-e-mail-bandenconcurrent/

https://www.fraudehelpdes...concurrent-nl-is-malware/

Ook de echte bandenconcurrent waarschuwt hierover op hun website:

Oplichters hebben valse e-mails gestuurd namens BandenConcurrent. In de bijlage zit een .zip- of pdf bestand met kwaadaardige software.
De mail is verzonden vanaf adressen dat lijkt op dat van ons bijvoorbeeld, order@bandenconcurrent-nl.nl. Het echte adres van ons bedrijf eindigt op @bandenconcurrent.nl, dus zonder toevoeging van –nl, cijfers of een variant daarvan.
Advies
Gooi de mail gelijk weg. Er staat geen factuur open, dat is slechts een smoes van oplichters.

Zover ik heb kunnen achterhalen gaat het over een vorm van ransomware, maar welke variant het precies is weet ik nog niet.

Ik heb helaas maar weinig informatie over wat er precies is gebeurd, mijn schoonmoeder wist het niet goed na te vertellen. Ze had op het bestand in de bijlage geklikt, ze kreeg de vraag met welk programma ze het wilde openen en of ze dit in het vervolg altijd wilde. Welk programma dat was weet ze niet meer, maar ze heeft op OK geklikt.

Ik weet dus niet zeker of de PC is geïnfecteerd, maar ik ga er vanuit van wel. Mijn schoonouders hebben wel Bullguard draaien, maar die heeft waarschijnlijk niet ingegrepen. De PC is ongeveer 5 minuten na de besmetting afgesloten op mijn advies. Er is ooit wel een backup ingesteld, maar ik betwijfel of die nog regelmatig draait.

Afhankelijk van de weersomstandigheden ga ik later vandaag of morgen bij ze langs. Mijn idee is om een Kaspersky bootable USB stick te maken en op die manier de PC te scannen. Is dat ook de aanpak waar jullie voor zouden kiezen? Hebben jullie nog tips?

Zodra ik meer weet zal ik mijn bevindingen hier plaatsen, wie weet heeft iemand er nog wat aan.

Squ1zZy schreef op zaterdag 7 januari 2017 @ 13:53:
"Zover ik heb kunnen achterhalen gaat het over een vorm van ransomware"

Als het ransomware is zou je computer gegijzeld moeten zijn in de vorm van bestanden of het OS. Hoe kom je erbij dat het een vorm van ransomware is dan?

Ik heb nog geen toegang tot de computer, deze is zo snel mogelijk uit gezet en moet nog naar mijn schoonouders toe. Volgens de waarschuwingen die ik vond in mijn Google zoektocht betreft het ransomware dus de PC zo snel mogelijk uitzetten lijkt een goede beslissing.

"ze kreeg de vraag met welk programma ze het wilde openen en of ze dit in het vervolg altijd wilde"

Lijkt mij dan geen executabel. Wat kreeg ze na het klikken van ok? Een bestand wat werd geopend?

Dit is wat mijn schoonmoeder vertelde, maar ze heeft er niet veel verstand van. Het was een gezipt bestand van ca 5kB. Ze probeerde het te openen en toen dat leek te lukken, gebeurde er naar zeggen niets. Dat wil natuurlijk niet zeggen dat er geen bestanden op de achtergrond werden versleuteld.

Als je het echt goed wilde doen zou je alleen de netwerk moeten ontkoppelen. Dan kan je nog een analyse los laten (ook in het geheugen).

Ik ga er vanuit dat het prima mogelijk is voor een crypto locker ransomware om offline te werken?

Hier nog een tip:

Een herinstalleren wordt snel gedaan, maar dan ben ik het vaak niet mee eens. Je kunt na een herinstalleatie niet een complete analyse doen namelijk. Als je weet dat de malware je cookies heeft gestolen weet je ook dat je je wachtwoorden moet veranderen. Misschien verwijder je de malware wel door een herinstall, maar wijzig je misschien je wachtwoorden niet. Je zou echt moeten weten wat de malware gedaan heeft voor je een herinstall doet in mijn ogen.

P.s. Zet het zip bestand eens online. Dan kan ik voor je kijken wat het precies doet.

Bedankt voor de tip, dat is een goede. Ik zal het bestand via DM linken. Ik ben ook erg benieuwd wat het virus doet. Of er daadwerkelijk toegang tot de PC is verkregen of dat inhoud van bestanden voor anderen inzichtelijk zijn geworden. Zou mij namelijk niets verbazen als er ergens een document staat met allemaal wachtwoorden. Dat geeft ook wel aan hoe goed de beveiliging is geregeld op die pc..

Maargoed aan mij de schone taak om de schade zoveel mogelijk te beperken en de PC weer schoon van virussen te krijgen.
Ik ga inderdaad proberen de bestanden op de PC te kopiëren naar een externe hdd.

Gezien de weersomstandigheden wordt het morgen dat ik naar mijn schoonouders ga. Ik laat zeker weten hoe het herstellen verloopt en waar ik tegenaan loop. Wordt vervolgd!

Excuses, ben de afgelopen dagen niet in staat geweest om een update te plaatsen.

Ik heb met behulp van een Kaspersky rescue disk een backup gemaakt van alle bestanden en gescand op virussen, totaal duurde dat zeker zo'n 8 uur . Lang leve USB 2.0..

Er werden 2 virussen en wat adware dingetjes gevonden. En nu komt het punt waarop mijn verhaal teleurstellend wordt; door de speciale omgeving waarin ik werkte kon ik helaas niet veel vastleggen. De virus bestanden stonden in de bestanden van Java en leken qua naamvorming erg op elkaar, veel meer weet ik niet.

Vervolgens heb ik Windows weer opgestart. Ik heb taakbeheer in de gaten gehouden om verdacht CPU gebruik in de gaten te houden, daar merkte ik niets geks maar het is een oude, voor mij onbekende PC met veel troep erop dus is meer een grove inschatting dat er niete geks gebeurde.

Ik heb nog in de mail gekeken voor het virus bronbestand, het ZIP bestand is helaas foetsie. Mijn schoonouders gebruiken POP3 en toen bleek dat ze wellicht een virus in huis hebben gehaald, is de ZIP bijlage direct verwijderd van de locatie waar die is binnengesleept, hij is uiteraard niet meer op de mailserver. Ik heb alleen een .dat bestand kunnen vinden van 8kB groot, ik weet niet precies wat het inhoudt maar heb niet het idee dat het de virus is, maar durf er ook niet echt in te duiken.

Ben nog van plan om Windows opnieuw te installeren, tot die tijd is mijn advies om de PC niet / zo min mogelijk te gebruiken. Heeft alleen aardig wat voeten in de aarde, er is veel in te stellen (mail accounts en synchronisatie, etc.) en ik ken die instellingen niet, waarschijnlijk mijn schoonouders ook niet allemaal.

Het grote manco op dit moment is vooral tijd..