Besmet met GandCrab (.gdcb)

woensdag 31 januari 2018 18:07

Acties:

0 Henk 'm!

Topicstarter

Mijn vraag:
Vandaag ben ik geinfecteerd door een onbekende ransomware die de naam GandCrab gebruikte. Omdat er nog redelijk wat belangrijke bestanden op mijn pc staan zou ik deze graag terug willen halen. Hoe doe ik dit?

Wat ik al gevonden of geprobeerd heb:
Het virus is al verwijderd, maar de bestanden zijn nog steeds encrypted. Optie 1 was recuva (op de schijf met belangrijke documenten), maar ongeveer 90 procent hiervan is onbruikbaar geworden na het terughalen. Kaspersky heeft een hele hoop decrypters, maar geen idee welke ik kan gebruiken. Ook kan ik niet echt gebruik maken van een herstelpunt, omdat de schijf met belangrijke data geen backup had, de windows schijf daarentegen wel. Ik heb dus even geen idee wat te doen.

[ Voor 8% gewijzigd door Lange-199 op 31-01-2018 18:10 ]

woensdag 31 januari 2018 19:22

MAX3400

XBL: OctagonQontrol

Decryptie lijkt onmogelijk; van wat ik lees is er een random private key gegenereerd en die is weggestuurd naar de "programmeur". Sommige berichten spreken zelfs van meerdere private keys als de machine tijdens het encrypten gereboot is.

De enige mogelijkheid is, theoretisch, enkele originele files hebben, en de besmette versies en bekijken of je met "een tool of code" kan analyseren of de Base64 encoding voor allen hetzelfde is verlopen. Dan nog is de private key (tegen betaling dus) om de decoding te beginnen.

Mijn advertenties!!! | Mijn antwoorden zijn vaak niet snowflake-proof

woensdag 31 januari 2018 18:12

Acties:

0 Henk 'm!

SMSfreakie

geen idee wat de officiele naam is.. maar een sector -> sector kopie van de schijf maken naar een leeg exemplaar..

op je kopie ga je dan los met de tools... als het failed heb je altijd nog je originele (dan wel encrypted) data

404 Signature not found

woensdag 31 januari 2018 18:23

Acties:

+1 Henk 'm!

MAX3400

XBL: OctagonQontrol

Er lijkt nog geen geneesmiddel te zijn op dit moment.

Start de machine op met een Linux-kernel (USB of CD), gebruik dd om je hele disk te klonen naar een extern device en ga "prutsen" op 1 van de 2 (dus of je PC of op de dump maar niet allebei).

Mijn advertenties!!! | Mijn antwoorden zijn vaak niet snowflake-proof

woensdag 31 januari 2018 18:54

Acties:

0 Henk 'm!

Lange-199

Topicstarter

MAX3400 schreef op woensdag 31 januari 2018 @ 18:23:
Er lijkt nog geen geneesmiddel te zijn op dit moment.

Start de machine op met een Linux-kernel (USB of CD), gebruik dd om je hele disk te klonen naar een extern device en ga "prutsen" op 1 van de 2 (dus of je PC of op de dump maar niet allebei).

Kan ik ook een usb pakken en elke keer weer een encrypted bestand ernaar kopiëren en dan een decryption tool op de usb losgooien? (Dit lijkt me minder lang duren dan een hele disk decrypten)

Daarnaast, hoe lang duurt het gemiddeld voordat encryptie gekraakt is?

Edit:
Geen idee of dit een aanwijzing geeft tot een vergelijkbaar ransomware, maar merkte wel dat het allemaal verliep door wmi (was zo stom om admin rechten te verlenen omdat ik dacht dat het veilig was, want van Microsoft).

Edit2:
Sorry voor nog een edit, maar zag in het report van de virusscanner dat het cryptolocker was.

[ Voor 20% gewijzigd door Lange-199 op 31-01-2018 19:17 ]

woensdag 31 januari 2018 19:22

Acties:

Beste antwoord ✓
0 Henk 'm!

MAX3400

XBL: OctagonQontrol

Decryptie lijkt onmogelijk; van wat ik lees is er een random private key gegenereerd en die is weggestuurd naar de "programmeur". Sommige berichten spreken zelfs van meerdere private keys als de machine tijdens het encrypten gereboot is.

De enige mogelijkheid is, theoretisch, enkele originele files hebben, en de besmette versies en bekijken of je met "een tool of code" kan analyseren of de Base64 encoding voor allen hetzelfde is verlopen. Dan nog is de private key (tegen betaling dus) om de decoding te beginnen.

Mijn advertenties!!! | Mijn antwoorden zijn vaak niet snowflake-proof

woensdag 31 januari 2018 19:41

Acties:

0 Henk 'm!

Lange-199

Topicstarter

MAX3400 schreef op woensdag 31 januari 2018 @ 19:22:
Decryptie lijkt onmogelijk; van wat ik lees is er een random private key gegenereerd en die is weggestuurd naar de "programmeur". Sommige berichten spreken zelfs van meerdere private keys als de machine tijdens het encrypten gereboot is.

De enige mogelijkheid is, theoretisch, enkele originele files hebben, en de besmette versies en bekijken of je met "een tool of code" kan analyseren of de Base64 encoding voor allen hetzelfde is verlopen. Dan nog is de private key (tegen betaling dus) om de decoding te beginnen.

Bedoel je het virus zelf? Ik weet nog precies waar die te vinden is, maar weet niet wat ik ermee zou kunnen doen.

Edit:
Is het veilig om Windows te herstellen naar een herstelpunt ver voordat het gebeurde? Of kan ik hiermee windows verzieken als dit ook encrypted is?

[ Voor 9% gewijzigd door Lange-199 op 31-01-2018 19:51 ]

woensdag 31 januari 2018 19:51

Acties:

0 Henk 'm!

MAX3400

XBL: OctagonQontrol

Lange-199 schreef op woensdag 31 januari 2018 @ 19:41:
[...]

Bedoel je het virus zelf? Ik weet nog precies waar die te vinden is, maar weet niet wat ik ermee zou kunnen doen.

Nee, er is geen virus. Er is een custom stuk programmatuur op jouw PC geinstalleerd, daarna is er, in leken-taal, een private SSL-certificaat gegenereerd met random informatie, die private key is weggestuurd naar de programmeur (en krijg je pas terug als je betaalt) en al jouw bestanden zijn versleuteld. Zonder het weggestuurde stuk informatie, is er geen mogelijkheid om te achterhalen hoe jouw bestanden exact versleuteld zijn.

Even beetje relateren naar normale toepassing: het is alsof jij inlogt op internetbankieren, 800 betalingen klaarzet, dan nogmaals je pincode moet intikken om alles goed te keuren. Op dat moment ben je acuut je pincode vergeten en al jouw klaarstaande betalingen, inlogpogingen en toegang tot de bank zijn ontzegd totdat je je pincode weer bedenkt. En laat nou net die "pincode" niet meer in jouw hoofd te zitten maar in het hoofd van "de programmeur".

Kom je je bankrekening nog in zonder pincode? Nope. Kom je nog bij je bestanden zonder private key? Nope. Klinkt bot/hard maar zo staat de situatie er ongeveer bij.

disclaimer: het ligt allemaal iets gecompliceerder / lastiger en sommige termen zijn niet 100% correct maar probeer hier een analogie naar the real world te maken

Mijn advertenties!!! | Mijn antwoorden zijn vaak niet snowflake-proof

woensdag 31 januari 2018 20:07

Acties:

0 Henk 'm!

Lange-199

Topicstarter

MAX3400 schreef op woensdag 31 januari 2018 @ 19:51:
[...]

Nee, er is geen virus. Er is een custom stuk programmatuur op jouw PC geinstalleerd, daarna is er, in leken-taal, een private SSL-certificaat gegenereerd met random informatie, die private key is weggestuurd naar de programmeur (en krijg je pas terug als je betaalt) en al jouw bestanden zijn versleuteld. Zonder het weggestuurde stuk informatie, is er geen mogelijkheid om te achterhalen hoe jouw bestanden exact versleuteld zijn.

Even beetje relateren naar normale toepassing: het is alsof jij inlogt op internetbankieren, 800 betalingen klaarzet, dan nogmaals je pincode moet intikken om alles goed te keuren. Op dat moment ben je acuut je pincode vergeten en al jouw klaarstaande betalingen, inlogpogingen en toegang tot de bank zijn ontzegd totdat je je pincode weer bedenkt. En laat nou net die "pincode" niet meer in jouw hoofd te zitten maar in het hoofd van "de programmeur".

Kom je je bankrekening nog in zonder pincode? Nope. Kom je nog bij je bestanden zonder private key? Nope. Klinkt bot/hard maar zo staat de situatie er ongeveer bij.

disclaimer: het ligt allemaal iets gecompliceerder / lastiger en sommige termen zijn niet 100% correct maar probeer hier een analogie naar the real world te maken

Malwarebytes heeft er een stuk over geschreven, en dit stuk viel me op:

Next, it calls the built-in crypto functions to generate keys. GandCrab generates the public and private keys on the client side and uses the standard Microsoft crypto libraries available using API calls from Advapi32.dll. It calls CryptGenKey with the RSA algorithm.

Geeft dit hoop?

Oh en is het veilig om windows te herstellen naar een herstel punt, of kan dit ook encrypted zijn?

woensdag 31 januari 2018 20:10

Acties:

0 Henk 'm!

MAX3400

XBL: OctagonQontrol

Lange-199 schreef op woensdag 31 januari 2018 @ 20:07:
[...]

Malwarebytes heeft er een stuk over geschreven, en dit stuk viel me op:

En 3 plaatjes verder: And builds the GET string to send to the C2 with all the system information from earlier, and also the encryption keys:

Een Restore Point gaat 'm ook niet worden; Windows werkt dan wel weer maar je andere bestanden blijven encrypted. Sterker nog, om het te decrypten (na eventuele betaling), heb je zomaar kans dat dit niet gaat omdat het OS "veranderd" is en mogelijk jouw helft van de key gereset is.

Ongetwijfeld zijn er anderen op dit forum met een hopelijk positiever bericht; de grote antivirus-bedrijven schrijven op dit moment ook weinig hoopvol.

Mijn advertenties!!! | Mijn antwoorden zijn vaak niet snowflake-proof

woensdag 28 februari 2018 12:50

Acties:

+6 Henk 'm!

Lange-199

Topicstarter

Kleine update: Er is toch nog een decryptor gekomen $_/-\o_$ : https://www.nomoreransom.org/nl/decryption-tools.html

vrijdag 15 februari 2019 16:54

Acties:

0 Henk 'm!

anold_01

Kleine update: er is al een vijfde versie van het virus
https://myspybot.com/gandcrab-5-1/

maandag 18 februari 2019 10:26

Acties:

0 Henk 'm!

F_J_K

Moderator CSA/PB

Front verplichte underscores

Laat: hmja, een update als Lange-199 in "Besmet met GandCrab (.gdcb)" voegt veel toe maar een topic / kick per versie van malware, is te veel eer voor die malware

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

Onderwerpen

Vraag

Beste antwoord (via Lange-199 op 31-01-2018 22:47)

Alle reacties