Ransomware explorer.exe

Pagina: 1
Acties:

Vraag


Acties:
  • 0 Henk 'm!

  • Chelseamarre123
  • Registratie: December 2019
  • Laatst online: 23:11
Hoi,

Krijg plots een melding van cyberreason dat er een infectie is.
Nu weet ik niet goed dat ik dit serieus moet nemen of hem zomaar kan verwijderen.
Mallwarebytes en bitdefender scan vinden niks op mijn pc.

Iemand ervaring met deze?

Afbeeldingslocatie: https://tweakers.net/i/uzkjyMqN0CkIdONuWgppCNeZJoA=/full-fit-in/4920x3264/filters:max_bytes(3145728):no_upscale():strip_icc():fill(white):strip_exif()/f/image/ARrYkYR4dsiP09YW7qz1JgJU.jpg?f=user_large

Beste antwoord (via Chelseamarre123 op 06-07-2020 18:19)


  • Heroic_Nonsense
  • Registratie: Januari 2015
  • Laatst online: 18:48

Heroic_Nonsense

bartonsontheweb.nl

Encrypters werken met een sleutel die ze in het geheugen houden tot ze klaar zijn met de encryptie van alle bestanden. Door die sleutel merk jij niks: de encrypted files openen gewoon zoals je gewend bent omdat de malware ze snel unencrypt (zodat jij niks doorhebt tot het te laat is). Totdat de malware besluit dat het klaar is en de sleutel weggooit; dan zijn alle bestanden ineens onleesbaar.

Die stap kun je simuleren. Start je PC op van een bootdisc of bootstick die je vanaf een andere PC hebt aangemaakt. Zodra je PC is opgestart, probeer je de bestanden op je eigen drives te openen. Lukt dat? Dan zijn ze niet encrypted. Krijg je vreemde foutmeldingen? Dan kan het zijn dat je bestanden gecompromitteerd zijn.

Achtergrond:
Zodra je opstart van een bootdisc/stick, wordt de tijdelijke ontsleutellaag van de malware niet geladen. De bestanden die al versleuteld zijn, zijn dus onleesbaar. Zo "betrap" je dus de malware.

EDIT: exact wat @F_J_K dus ook al zei 8)7 Sorry; totaal over die posts heen gelezen!

[ Voor 5% gewijzigd door Heroic_Nonsense op 03-07-2020 09:35 . Reden: Ik moet eerst alle posts lezen voor ik post. Ik moet eerst alle posts lezen voor ik post. Ik moet eerst alle posts lezen voor ik post. Ik moet eerst alle posts lezen voor ik post. ]

Such Heroic Nonsense - Proud admin of https://www.bartonsontheweb.nl and owner of https://netstek.nl

Alle reacties


Acties:
  • 0 Henk 'm!

  • Chelseamarre123
  • Registratie: December 2019
  • Laatst online: 23:11
Even wat verder gekeken. Stuurt mij naar een specifieke locatie op mijn pc.
Zie er 2 bizarre mapjes, ik krijg deze niet verwijderd. Komen meteen bij refreshen terug?

Met bitdefender=> bestandsvernietiger ook geprobeerd maar kwam meteen terug. Lijkt me niet pluis dit

Afbeeldingslocatie: https://tweakers.net/i/GrC83119KkxGeePUn9_2nWmRzIE=/800x/filters:strip_icc():strip_exif()/f/image/acODqcH6QPGP72UzvRIDHqeo.jpg?f=fotoalbum_large

Afbeeldingslocatie: https://tweakers.net/i/E621uwnCwWsTZwxf7t1kYAP_86Y=/full-fit-in/4920x3264/filters:max_bytes(3145728):no_upscale():strip_icc():fill(white):strip_exif()/f/image/5vFgHsM6gj0XcMjGltMVOZeV.jpg?f=user_large

Acties:
  • 0 Henk 'm!

  • DiedX
  • Registratie: December 2000
  • Laatst online: 10-07 11:26
Klinkt als een zakelijk gebruik. Ik zou systeembeheer bellen.

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards


Acties:
  • +2 Henk 'm!

  • Squ1zZy
  • Registratie: April 2011
  • Niet online
<verwijderd>

[ Voor 96% gewijzigd door Squ1zZy op 08-11-2020 17:03 ]


Acties:
  • +3 Henk 'm!

  • Croga
  • Registratie: Oktober 2001
  • Laatst online: 10-07 14:06

Croga

The Unreasonable Man

Kijk hier eens:

https://community.consume...ti-gijzelingssofware-1374

De mappen die je ziet zijn waarschijnlijk honneypots van Cybereason zelf. En dus kun je ze inderdaad niet verwijderen; dan maakt Cybereason ze meteen gewoon zelf weer aan.

Acties:
  • +1 Henk 'm!

  • hoi1234
  • Registratie: Augustus 2012
  • Laatst online: 28-10-2024
Squ1zZy schreef op maandag 29 juni 2020 @ 07:11:
Het is een ander proces wat gebruik maakt van explorer om je bestanden te encrypten. Waarschijnlijk zijn er al een X aantal bestanden ge-encrypt en mag je blij zijn dat je EDR oplossing het heeft gestopt.

Ervan uitgaande dat de EDR melding legit is en geen pop-up vanaf een ander malicious proces.
Dat denk ik ook.

Acties:
  • +1 Henk 'm!

  • F_J_K
  • Registratie: Juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

Die files zullen inderdaad wel eens deel kunnen uitmaken van een Honeypot

Schakel de PC geheel uit, start op vanaf USB (of netwerk of andere 'schone' manier), maak backup, scan daarvandaan (edit: daar = die usb, niet die backup), kijk of je op voor de hand liggende plaatsen alle documenten nog kunt zien met normale filenames en normale extenties (.docx etc, ik zie in je screenshots dat je extenties verbergt dus stel in dat je die wel ziet! Nu kan je niet weten of je dubbelklikt op ikbenechtgeenvirushoor.pdf of op ikbenechtgeenvirushoor.exe met een pdf-icon).

[ Voor 7% gewijzigd door F_J_K op 29-06-2020 09:13 . Reden: puntje in url ]

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)


Acties:
  • 0 Henk 'm!

  • Chelseamarre123
  • Registratie: December 2019
  • Laatst online: 23:11
Ow bedankt voor de reacties. Straks even de nodige tips uit voeren.
Op zich merk ik niks op mijn systeem. Gaat vlot, geen vreemde processen en geen bestanden/mappen gelocked.

Kan ik via een systeemherstel terug gaan om deze bedreiging van mijn systeem te krijgen?
Of best naar fabrieksinstellingen gaan?

Kan ik mijn bestanden nog back uppen of is er grote kans dat deze besmet zijn en deze zo ga meekrijgen op een eventuele nieuwe instal

Acties:
  • 0 Henk 'm!

  • F_J_K
  • Registratie: Juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

Formatteren 'kan nooit kwaad', maar het kan nog best vals alarm zijn.
Chelseamarre123 schreef op maandag 29 juni 2020 @ 11:54:
Kan ik mijn bestanden nog back uppen of is er grote kans dat deze besmet zijn en deze zo ga meekrijgen op een eventuele nieuwe instal
Vandaar mijn tip om op te starten vanaf bijv USB: als het al versleuteld is, dan zal je dat dan merken. De bestaande backups kan je ook vanaf een ander apparaat checken. Zorg sowieso dat de mogelijk besmette PC de bestaande backups niet kan aanpassen of verwijderen.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)


Acties:
  • 0 Henk 'm!

  • Chelseamarre123
  • Registratie: December 2019
  • Laatst online: 23:11
F_J_K schreef op maandag 29 juni 2020 @ 12:10:
Formatteren 'kan nooit kwaad', maar het kan nog best vals alarm zijn.

[...]

Vandaar mijn tip om op te starten vanaf bijv USB: als het al versleuteld is, dan zal je dat dan merken. De bestaande backups kan je ook vanaf een ander apparaat checken. Zorg sowieso dat de mogelijk besmette PC de bestaande backups niet kan aanpassen of verwijderen.
Ok, opstarten via usb. Welke software moet ik daar op zetten voor te scannen?

Acties:
  • 0 Henk 'm!

  • Chelseamarre123
  • Registratie: December 2019
  • Laatst online: 23:11
Hier mee gescand, vond niks.
Scan met hitmanPro leverde ook niks op.

Hoe zeker kan ik ervan uitgaan dat er niks besmet is op mijn systeem?

Acties:
  • +1 Henk 'm!

  • JA93
  • Registratie: Mei 2020
  • Laatst online: 19-11-2021
Daar kun je vrij simpel achterkomen.

Ik weet niet hoeveel data je op je pc hebt staan waarvan je geen backup hebt. (Backup die niet op je pc of netwerk was aangesloten tijdens de besmetting).

Is dit minder dan 32gb koop voor een paar euro een usb stick. Zet de bestanden daarop.

Maak op een schone pc een windows 10 dvd met de media creation tool.

Daarna de harde schijf/ssd formatteren. Alle schijven in de computer formatteren!, dus niet de data schijf zo laten. Dit kan met de media creation tool bij nieuwe installatie.

Als dit gedaan is installatie afbreken.

Daarna eventueel op schone pc met nieuwe usb stick een bios voor je moederbord downloaden en dan deze updaten/flashen. (bios op standaardinstellingen zetten en usb stick in poort achterop de pc doen met enkel toetsenbord en monitor aangesloten) Er zijn ransomwarevarianten die in je bios kunnen gaan zitten en dan je schone pc weer infecteren. Dit om er zeker van te zijn dat het daarna weg is.

Daarna nogmaals met windows dvd formatteren en windows installeren. Productcode heb je niet nodig. Deze zit in de microsoftserver d.m.v. en combinatie van jouw unieke hardwarenummers. Windows wordt bij internetverbinding automatisch geactiveerd.

Sluit de pc aan op internet, maar enkel rechtstreeks op het modem zonder andere apparaten. Dan kan deze als er nog iets zit niks besmetten. Bij windows installeren nog niet inloggen op je account, dit pas doen als alles echt 100% zeker schoon is. Dan kunnen hackers ook je gegevens niet verkrijgen.

Installeer je (betaalde) virusscanner en malwarebytes anti malware free en super anti spyware.

Voer een volledige scan uit met alle 3 de scanners. Eventueel ook nog met hitman pro. Deze mogen absoluut niks vinden.

Niks gevonden. Mooi. Zet nu je bestanden van de usb stick terug en scan nog een keer. Weer niks gevonden. Bestanden schoon.

Nu inloggen bij microsoft account en alles weer aansluiten zoals het was.

Nog steeds alles pluis? Plaats je backup maar terug en alles werkt weer.

Wat gevonden of weer vreemd gedrag? Begin maar helemaal opnieuw en je bestanden zijn geinfecteerd. Die usb stick weggooien! Je kan er dan ook een andere pc mee besmetten. Bestanden als verloren beschouwen.

Zo moet je pc echt door en door schoon zijn.

[ Voor 4% gewijzigd door JA93 op 02-07-2020 23:57 ]


Acties:
  • Beste antwoord
  • +1 Henk 'm!

  • Heroic_Nonsense
  • Registratie: Januari 2015
  • Laatst online: 18:48

Heroic_Nonsense

bartonsontheweb.nl

Encrypters werken met een sleutel die ze in het geheugen houden tot ze klaar zijn met de encryptie van alle bestanden. Door die sleutel merk jij niks: de encrypted files openen gewoon zoals je gewend bent omdat de malware ze snel unencrypt (zodat jij niks doorhebt tot het te laat is). Totdat de malware besluit dat het klaar is en de sleutel weggooit; dan zijn alle bestanden ineens onleesbaar.

Die stap kun je simuleren. Start je PC op van een bootdisc of bootstick die je vanaf een andere PC hebt aangemaakt. Zodra je PC is opgestart, probeer je de bestanden op je eigen drives te openen. Lukt dat? Dan zijn ze niet encrypted. Krijg je vreemde foutmeldingen? Dan kan het zijn dat je bestanden gecompromitteerd zijn.

Achtergrond:
Zodra je opstart van een bootdisc/stick, wordt de tijdelijke ontsleutellaag van de malware niet geladen. De bestanden die al versleuteld zijn, zijn dus onleesbaar. Zo "betrap" je dus de malware.

EDIT: exact wat @F_J_K dus ook al zei 8)7 Sorry; totaal over die posts heen gelezen!

[ Voor 5% gewijzigd door Heroic_Nonsense op 03-07-2020 09:35 . Reden: Ik moet eerst alle posts lezen voor ik post. Ik moet eerst alle posts lezen voor ik post. Ik moet eerst alle posts lezen voor ik post. Ik moet eerst alle posts lezen voor ik post. ]

Such Heroic Nonsense - Proud admin of https://www.bartonsontheweb.nl and owner of https://netstek.nl


Acties:
  • +2 Henk 'm!

  • F_J_K
  • Registratie: Juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

JA93 schreef op donderdag 2 juli 2020 @ 23:54:
Is dit minder dan 32gb koop voor een paar euro een usb stick. Zet de bestanden daarop.
Een advies om een zo goedkoop mogelijke usb-stick te kopen en daar de ene backup op te zetten, vind ik eerlijk gezegd niet zo geslaagd ;) De kans is erg niet nul dat die backup dat corrupt is, zeker bij el cheapo usb sticks die zeker bij 'Chinese webwinkels' best wel eens fake kunnen zijn. Zorg altijd voor meer dan 1 backup en test die ook.
Chelseamarre123 schreef op maandag 29 juni 2020 @ 12:25:
[...]

Ok, opstarten via usb. Welke software moet ik daar op zetten voor te scannen?
Oeps, vraag gemist. Makkelijkste legale manier is misschien iets als Ubuntu op een usb stick, https://ubuntu.com/tutori...tick-on-ubuntu#1-overview

Testen of je bent 'gegijzeld' kan dan door openen van wat documenten uit je Mijn Documenten, wat video's, wat foto's, etc: oftewel de zaken die dergelijke gijzelvirussen zsm zouden versleutelen. @Heroic_Nonsense legde mooier dan ik ( :* ) uit waarom dat een handige test is.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)


Acties:
  • +1 Henk 'm!

  • Chelseamarre123
  • Registratie: December 2019
  • Laatst online: 23:11
Zo usb bootable gemaakt met linux erop. Bestanden gaan gewoon open zie niets verdachts.

Zou graag eens scannen via linux maar weet niet goed welke software goed is voor linux.
Mijn antivirus software van Windows krijg ik niet open

Acties:
  • +1 Henk 'm!

  • F_J_K
  • Registratie: Juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

Chelseamarre123 schreef op maandag 6 juli 2020 @ 18:21:
Zo usb bootable gemaakt met linux erop. Bestanden gaan gewoon open zie niets verdachts.
Mooi, loopt dan hopelijk met een sisser af :)
Zou graag eens scannen via linux maar weet niet goed welke software goed is voor linux.
Mijn antivirus software van Windows krijg ik niet open
Scannen van een verdacht systeem wil je inderdaad ook doen via opstarten met schone usb. Bijvoorbeeld https://www.adaware.com/rescue-USB of https://support.kaspersky.com/viruses/krd18#downloads (of beide na elkaar).

edit: en dan die bootable USB of CD maken vanaf schone machine ;)

[ Voor 5% gewijzigd door F_J_K op 06-07-2020 18:47 ]

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

Pagina: 1