Ransomware via gedeelde dropbox bestanden (clop)

Hey allemaal,

Quarantaine middagje even mijn dropbox opschonen leverde het volgende resultaat op: .clop bestanden. Wat ik heb gedaan: mijn dropbox is al een tijdje non-actief omdat ik teveel opslagruimte heb gebruikt. Ik ben erachter gekomen dat gedeelde bestanden ook meetellen voor mijn opslagruimte. Dus bijv een 1gb bestand met foto's waarvan maar een enkele voor mijn relevant zijn.

Ik heb dus mijn gehele dropbox (incl gedeelde bestanden) gedownload zodat ik die later kan doorzoeken voor evt relevante foto's, Word bestanden etc.

Anyway, het viel mij toen op dat 1 van de met mij gedeelde folders voor een project (met allemaal Word bestanden) die ik heb gedownload vol staat met .clop bestanden. Ik heb de overige bestanden in mijn pc bekeken, en die zijn niet geransomewared. Het is echt alleen deze dropbox map. Een scan van de folder met Windows Defender leverde niks op . Dus ik gok dat de ramsomware zelf niet bij mij naar binnen is gekomen (ik hoop dat de wat meer security-wijze tweakers hier dat kunnen bevestigen ) maar alle bestanden dus wel nog gewoon geransomed zijn, hoe kan ik dit oplossen?

MAX3400 schreef op zondag 29 maart 2020 @ 15:38:
[...]

Allicht dat ik je niet goed begrijp maar de "clop" bestanden zitten dus in een directory die niet door/van jou in Dropbox geshared is maar bijvoorbeeld door een vriend?

Ik heb het even nagekeken, het bestand is namelijk gedeeld tussen 14 mensen. Ik ben niet de owner, de owner is persoon X. Maar leuk detail: laatste bewerkingen (inclusief de ClopReadMe) zijn allemaal op het zelfde tijdstip door persoon Y.

Ik gok dan dat persoon Y dan ransomware binnen heeft gekregen, correct? Maar ik zal nog wel veilig zijn hoop ik?

MAX3400 schreef op zondag 29 maart 2020 @ 15:52:
[...]

Y is inderdaad "het slachtoffer" en als het mee zit is Y ook "de oplossing".

En ja, zeeeeer waarschijnlijk ben je veilig maar aangezien je niks met de files kan; wegmikken van je PC en Y even informeren dat hij/zij ransomware heeft/had?

Ik kan de bestanden dus zelf niet decrypten?

Het zijn geen belangrijke bestanden, gewoon een groepsproject aan de uni. Ik vond het alleen wel leuk om het nog te hebben (horder). Maar ik vind het best wel kwalijk dat diegene het ons niet even heeft laten weten, ik zie namelijk dat het al bijna 7 maanden geleden is gebeurd

F_J_K schreef op zondag 29 maart 2020 @ 16:27:
[...]

Sommige ransomware is 'gekraakt'. Je zou het ontsleutelen kunnen proberen via bv. https://noransom.kaspersky.com/

[...]

Leermoment: maak zelf backups! En (alleen) dropbox is geen backup.


[...]

If you pay peanuts you get monkeys Ik kan het niet raar vinden dat een gratis dienst niet iedere versie van ieder bestand van de afgelopen 7 maanden bewaarde.. Neem dan een betaalde dienst met SLA.

Edit:
[...]

niet zolang je ze niet uitvoert, niet dubbelklikt, etc. Bij twijfel: ontneem jezelf de leesrechten.

Haha fair enough, maar ik dacht dat ik+mijn data juist de goudmijn was voor Dropbox
Ik ben nog student dus een betaalde service is voor mij geen optie. Maar dit is wel even een eye opener dat ik mijn cloud+desktop bestanden (Google Drive, Dropbox, OneDrive etc) ook gewoon extern moet beginnen op te slaan (Edit: en extern moet loskoppelen want die externe hdd staat die standaard gewoon aangesloten). Dat deed ik soms periodiek met willekeurige bestanden/foto's, maar misschien toch maar tijd dat ik naar een wat meer systematische oplossing zoek.


Ik heb trouwens wel op een .clop file dubbelgeklikt en de readme geopend, met name omdat ik eerst gewoon niet wist wat er aan de hand was.

1. Als voorzorgsmaatregel heb ik de losse download/backup van die folder verwijderd van mijn desktop
2. Bij Dropbox heb ik als voorkeur opgegeven dat ik niet wil dat die folder wordt gesynct met mijn pc. Daarop heeft Dropbox de folder automatisch van mijn externe hdd gehaald (die staat standaard aangesloten, en bevat ook het doelpad van mijn dropbox account.

Wat kan of moet ik nog doen? Of is dit wel genoeg?

F_J_K schreef op zondag 29 maart 2020 @ 17:26:
Ik zou suggereren dat je alles dat je belangrijk genoeg vindt (die map met pr0n niet, die kan je tzt opnieuw downloaden ), zowel synct naar een dienst als Google Drive/Onedrive (zodat je veilig ziet bij brand of diefstal) als af en toe een offline backup van alles (zodat je veiliger bent tegen malware).
Die offline backup: 1 USB disk (of share op een NAS) voldoet niet, die gaat immers ook besmet worden als de malware eerst een weekje wacht. Beter: check een van de bestaande topics over backupstrategieën.

"(die map met pr0n niet, die kan je tzt opnieuw downloaden ) dit waren dan juist de bestanden die ik wilde beschermen"

Ik zie geen megathread op gepinde post over backupstrategieën in Privacy & Beveiliging? Zou je me misschien op weg kunnen helpen? Want van de zoekfunctie word ik ook niet veel wijzer, ik zie daar alleen individuele topics van mensen

Maar even ter geruststelling van mezelf: waarschijnlijk geen ransomware infectie bij mij zelf dus?

psychonetics schreef op zondag 29 maart 2020 @ 18:28:
Als het al 7 maanden geleden gebeurd is, dan had je het nu al wel gemerkt als jij ook geïnfecteerd was. Ik kan me overigens ook voorstellen dat de eigenaar van de dropboxmap er oprecht niet aan gedacht heeft om jou/jullie te informeren. Misschien wist hij niet meer dat die map geshared was, of had hij iets anders aan zijn hoofd (een ransomwareinfectie bijvoorbeeld). Ik zou daar eerlijk gezegd ook niet direct aan denken.

Dat is waar. Ik zou er zelf wss ook niet aan denken.

Maar goed ik heb wel geprobeerd om de bestanden te openen en de readme geopend... daar maak ik me wel zorgen over.

Thanks @F_J_K ik zal het doornemen en evt vragen stellen hier nog stellen .

Helaas kon zoals @hoi1234 al vermoedde Dropbox niet veel betekenen qua versies. Was idd al te lang geleden gebeurd.

Wel nog extra gerustgesteld door Dropbox toen ik vroeg of de bestanden gevaarlijk konden zijn:

Thanks for your reply, and at this point there is no danger keeping these files in your account.

With Dropbox, whilst we Sync encrypted files, the infection is not Synced through your account. This means that since the files are merely encrypted, they can't make changes to there files in your account or on your devices.

The infection was only limited to the device that originality caused these changes.

Hopefully this helps clarify things, but if I can do anything else, or if you have further questions, please let me know.

Geen .exe bestanden oid. Gewoon kwestie van afwachten dus tot ik het can decrypten allemaal, heel waardevol zijn deze bestanden ook weer niet.

Blijf het wel vreemd vinden dat er geen extra beveiliging is van cloud diensten hiertegen. Een actie die plots tegelijkertijd de extensie van alle files aan het veranderen is zou toch alarmbellen moeten laten afgaan bij zo een dienst. Maar goed voor mij is het een goede reminder geweest om goed te kijken naar backup mogelijkheden