Ransomware explorer.exe

Klinkt als een zakelijk gebruik. Ik zou systeembeheer bellen.

<verwijderd>

[Voor 96% gewijzigd door Squ1zZy op 08-11-2020 17:03]

Scan eens hiermee :

https://support.norton.co...utions/kb20100824120155EN

https://support.norton.co...l/NPE/5.3/prod/en/NPE.exe

Kijk hier eens:

https://community.consume...ti-gijzelingssofware-1374

De mappen die je ziet zijn waarschijnlijk honneypots van Cybereason zelf. En dus kun je ze inderdaad niet verwijderen; dan maakt Cybereason ze meteen gewoon zelf weer aan.

Squ1zZy schreef op maandag 29 juni 2020 @ 07:11:
Het is een ander proces wat gebruik maakt van explorer om je bestanden te encrypten. Waarschijnlijk zijn er al een X aantal bestanden ge-encrypt en mag je blij zijn dat je EDR oplossing het heeft gestopt.

Ervan uitgaande dat de EDR melding legit is en geen pop-up vanaf een ander malicious proces.

Dat denk ik ook.

Die files zullen inderdaad wel eens deel kunnen uitmaken van een Honeypot

Schakel de PC geheel uit, start op vanaf USB (of netwerk of andere 'schone' manier), maak backup, scan daarvandaan (edit: daar = die usb, niet die backup), kijk of je op voor de hand liggende plaatsen alle documenten nog kunt zien met normale filenames en normale extenties (.docx etc, ik zie in je screenshots dat je extenties verbergt dus stel in dat je die wel ziet! Nu kan je niet weten of je dubbelklikt op ikbenechtgeenvirushoor.pdf of op ikbenechtgeenvirushoor.exe met een pdf-icon).

[Voor 7% gewijzigd door F_J_K op 29-06-2020 09:13. Reden: puntje in url]

Formatteren 'kan nooit kwaad', maar het kan nog best vals alarm zijn.

Chelseamarre123 schreef op maandag 29 juni 2020 @ 11:54:
Kan ik mijn bestanden nog back uppen of is er grote kans dat deze besmet zijn en deze zo ga meekrijgen op een eventuele nieuwe instal

Vandaar mijn tip om op te starten vanaf bijv USB: als het al versleuteld is, dan zal je dat dan merken. De bestaande backups kan je ook vanaf een ander apparaat checken. Zorg sowieso dat de mogelijk besmette PC de bestaande backups niet kan aanpassen of verwijderen.

Daar kun je vrij simpel achterkomen.

Ik weet niet hoeveel data je op je pc hebt staan waarvan je geen backup hebt. (Backup die niet op je pc of netwerk was aangesloten tijdens de besmetting).

Is dit minder dan 32gb koop voor een paar euro een usb stick. Zet de bestanden daarop.

Maak op een schone pc een windows 10 dvd met de media creation tool.

Daarna de harde schijf/ssd formatteren. Alle schijven in de computer formatteren!, dus niet de data schijf zo laten. Dit kan met de media creation tool bij nieuwe installatie.

Als dit gedaan is installatie afbreken.

Daarna eventueel op schone pc met nieuwe usb stick een bios voor je moederbord downloaden en dan deze updaten/flashen. (bios op standaardinstellingen zetten en usb stick in poort achterop de pc doen met enkel toetsenbord en monitor aangesloten) Er zijn ransomwarevarianten die in je bios kunnen gaan zitten en dan je schone pc weer infecteren. Dit om er zeker van te zijn dat het daarna weg is.

Daarna nogmaals met windows dvd formatteren en windows installeren. Productcode heb je niet nodig. Deze zit in de microsoftserver d.m.v. en combinatie van jouw unieke hardwarenummers. Windows wordt bij internetverbinding automatisch geactiveerd.

Sluit de pc aan op internet, maar enkel rechtstreeks op het modem zonder andere apparaten. Dan kan deze als er nog iets zit niks besmetten. Bij windows installeren nog niet inloggen op je account, dit pas doen als alles echt 100% zeker schoon is. Dan kunnen hackers ook je gegevens niet verkrijgen.

Installeer je (betaalde) virusscanner en malwarebytes anti malware free en super anti spyware.

Voer een volledige scan uit met alle 3 de scanners. Eventueel ook nog met hitman pro. Deze mogen absoluut niks vinden.

Niks gevonden. Mooi. Zet nu je bestanden van de usb stick terug en scan nog een keer. Weer niks gevonden. Bestanden schoon.

Nu inloggen bij microsoft account en alles weer aansluiten zoals het was.

Nog steeds alles pluis? Plaats je backup maar terug en alles werkt weer.

Wat gevonden of weer vreemd gedrag? Begin maar helemaal opnieuw en je bestanden zijn geinfecteerd. Die usb stick weggooien! Je kan er dan ook een andere pc mee besmetten. Bestanden als verloren beschouwen.

Zo moet je pc echt door en door schoon zijn.

[Voor 4% gewijzigd door JA93 op 02-07-2020 23:57]

JA93 schreef op donderdag 2 juli 2020 @ 23:54:
Is dit minder dan 32gb koop voor een paar euro een usb stick. Zet de bestanden daarop.

Een advies om een zo goedkoop mogelijke usb-stick te kopen en daar de ene backup op te zetten, vind ik eerlijk gezegd niet zo geslaagd De kans is erg niet nul dat die backup dat corrupt is, zeker bij el cheapo usb sticks die zeker bij 'Chinese webwinkels' best wel eens fake kunnen zijn. Zorg altijd voor meer dan 1 backup en test die ook.

Chelseamarre123 schreef op maandag 29 juni 2020 @ 12:25:
[...]

Ok, opstarten via usb. Welke software moet ik daar op zetten voor te scannen?

Oeps, vraag gemist. Makkelijkste legale manier is misschien iets als Ubuntu op een usb stick, https://ubuntu.com/tutori...tick-on-ubuntu#1-overview

Testen of je bent 'gegijzeld' kan dan door openen van wat documenten uit je Mijn Documenten, wat video's, wat foto's, etc: oftewel de zaken die dergelijke gijzelvirussen zsm zouden versleutelen. @Heroic_Nonsense legde mooier dan ik ( ) uit waarom dat een handige test is.

Chelseamarre123 schreef op maandag 6 juli 2020 @ 18:21:
Zo usb bootable gemaakt met linux erop. Bestanden gaan gewoon open zie niets verdachts.

Mooi, loopt dan hopelijk met een sisser af

Zou graag eens scannen via linux maar weet niet goed welke software goed is voor linux.
Mijn antivirus software van Windows krijg ik niet open

Scannen van een verdacht systeem wil je inderdaad ook doen via opstarten met schone usb. Bijvoorbeeld https://www.adaware.com/rescue-USB of https://support.kaspersky.com/viruses/krd18#downloads (of beide na elkaar).

edit: en dan die bootable USB of CD maken vanaf schone machine

[Voor 5% gewijzigd door F_J_K op 06-07-2020 18:47]