Toon posts:

PC overgenomen door cryptomalware?

Pagina: 1
Acties:

woensdag 8 juni 2022 01:36

Acties:
  • 0 Henk 'm!
  • Timoo.vanEsch
  • Registratie: December 2013
  • Laatst online: 05-11-2023

Timoo.vanEsch

Topicstarter
Hi,

Gisteren kreeg ik een paniek-telefoontje van een kennis van me.
Zijn PC was helemaal leeg gestript, met een leuk tekstbestandje met uitleg...

Eerst moeten inbreken op zijn account, want alle rechten waren gestript en de admin-account had ineens een onbekend wachtwoord. Daarna dit tegenkomen:

Afbeeldingslocatie: https://tweakers.net/i/ymLbuMWyxnpB5T3JBnoQ4VmwQjQ=/x800/filters:strip_icc():strip_exif()/f/image/vXxx8q8DU943i7XtPSh5QRaf.jpg?f=fotoalbum_large

Afbeeldingslocatie: https://tweakers.net/i/J3SNyBVCGcPL6-Vo9ca-cXvVt_k=/x800/filters:strip_icc():strip_exif()/f/image/aEETGDlywD47rGCYFHnCm403.jpg?f=fotoalbum_large

Lijkt mij het resultaat van professionals, want ik kan niets, maar dan ook niets terugvinden van de originele documenten. Nowhere, noppes, nada.

Heeft iemand enig idee of er tools bestaan om te kijken of er nog iets te decrypten valt?
En, oh ja, dit kan bijna niet anders dan Russische staatshackers zijn, toch?

[ Voor 74% gewijzigd door Timoo.vanEsch op 08-06-2022 01:40 ]

woensdag 8 juni 2022 01:58

Acties:
  • +1 Henk 'm!
  • Nobby
  • Registratie: April 2002
  • Laatst online: 11-10 02:17

Nobby

Nuts!

Wat staat er in het tekstbestandje? Het lijkt voor zover ik kan zien op een "standaard" randomware aanval?

From all the things I have lost, I miss my mind the most - Ozzy
Uitvindingen zijn niets anders dan betere middelen naar een slechter doel - Berry van Aerle
Het uitzetten van je pc is als het dooddrukken van een muis, dat doe je niet zo makkelijk.

woensdag 8 juni 2022 02:01

Acties:
  • 0 Henk 'm!
  • Timoo.vanEsch
  • Registratie: December 2013
  • Laatst online: 05-11-2023

Timoo.vanEsch

Topicstarter
Heel nietszeggend.
Tekst met "we hebben hard gewerkt om al uw bestanden veilig op te bergen in de cloud", enzo.
En een email adres + ID nr.

woensdag 8 juni 2022 02:03

Acties:
  • +15 Henk 'm!
  • Will_M
  • Registratie: Maart 2004
  • Niet online

Will_M

Intentionally Left Blank

@Timoo.vanEsch Weet je zeker dat 't de Russen waren, of zijn het misschien stiekem toch een paar Chinezen geweest welke een Crypto-Locker naar je kennis verstuurd hebben?

Of waren het misschien toch een paar Amerikanen of misschien zelfs wel Nederlanders..... Je weet 't niet, hé

Boldly going forward, 'cause we can't find reverse

woensdag 8 juni 2022 02:03

Acties:
  • 0 Henk 'm!
  • Nobby
  • Registratie: April 2002
  • Laatst online: 11-10 02:17

Nobby

Nuts!

Google eens op dat e-mail adres? Misschien kan je iets identificeren en heel misschien is er een decryptor beschikbaar. Anders formatteren en opnieuw beginnen.

From all the things I have lost, I miss my mind the most - Ozzy
Uitvindingen zijn niets anders dan betere middelen naar een slechter doel - Berry van Aerle
Het uitzetten van je pc is als het dooddrukken van een muis, dat doe je niet zo makkelijk.

woensdag 8 juni 2022 07:14

Acties:
  • +12 Henk 'm!
  • Jester-NL
  • Registratie: Januari 2003
  • Niet online

Jester-NL

... pakt een botte bijl

Op basis van de titel: Nee.

Russische staatshackers hebben iets andere doelen dan de privé-computer van een willekeurige Nederlander. Tenzij je kennis natuurlijk een of andere hoge ome is bij, zeg, de een of andere ambassade. Maar in dat geval heeft hij waarschijnlijk ook wel andere hulpbronnen dan jij (en back-ups, en een betere beveiliging). Bovendien heeft een staatshacker meer profijt van langdurig kunnen meekijken wat er gebeurd op een belangrijke machine, dan het onbruikbaar maken (en zichzelf laten zien) op een oninteressante machine.

The sky above the port was the color of television, turned to a dead channel
me @ last.fm

woensdag 8 juni 2022 07:22

Acties:
  • +1 Henk 'm!
  • souljah1h
  • Registratie: November 2008
  • Niet online

souljah1h

sneller dan het slotje!

Eerst moeten inbreken op zijn account, want alle rechten waren gestript en de admin-account had ineens een onbekend wachtwoord.
Hoe heb je dit aangepakt?

En waarom denk je dat het Russen zijn, is daar aanleiding voor?

[ Voor 100% gewijzigd door souljah1h op 08-06-2022 07:24 ]

woensdag 8 juni 2022 07:29

Acties:
  • 0 Henk 'm!
  • MrRobert
  • Registratie: September 2005
  • Laatst online: 10-10 07:01

MrRobert

Is de toetsenbord layout aangepast voor de admin user?

Plus kun je op basis van logging (systeem logs) zien wanneer het gebeurt is (verwijzing naar tijdszone)?

Denk dat de indicaties aangeven waar het ongeveer zou kunnen vandaan komen. Plus ik zou in de firewall logs kijken van welk land het mogelijks afkomt. Maar eerlijk, lijkt me geen staat gesponsorde aanvaller.

iRacing Profiel

woensdag 8 juni 2022 09:01

Acties:
  • 0 Henk 'm!
  • Miepermans
  • Registratie: Oktober 2004
  • Niet online

Miepermans

BIEM!

Waarschijnlijker is dat je slachtoffer bent van grotendeels geautomatiseerde scripts die het "Laaghangend fruit" voor de grote hackersgroepen binnenharken. Enorm klote natuurlijk, maar zolang je een backup hebt komt het meestal wel goed.

Vergeet niet om EERST te onderzoeken waarom je mogelijk gehacked bent (open poorten op je router voor RDP/VNC/Whatever), herinstalleer je pc en update hem zsm.

Mocht je geen backup hebben, het is helaas gebleken dat dergelijke groepen vaak na betalen netjes je bestanden teruggeven (wat betaling stimuleert :( ).

woensdag 8 juni 2022 09:08

Acties:
  • +2 Henk 'm!
  • PeacekeeperNL
  • Registratie: Augustus 2013
  • Niet online

PeacekeeperNL

Koning Review 2023 en 2024

Naast de reeds gegeven adviezen. Als er belangrijke documenten op stonden en er is geen backup van, schijf bewaren en nieuwe inbouwen of imagen (met de gratis forensische tool FTK Imager bijvoorbeeld) en de image ergens veilig opslaan. Mogelijk dat er nu nog geen (gratis) decryptor is, maar wellicht op wat langere termijn wel. Geduld is daarin een schone zaak.

Maar dit lijkt inderdaad het werk van een cryptolocker.

Mijn reviews al gezien?

woensdag 8 juni 2022 09:30

Acties:
  • 0 Henk 'm!
  • Harm_H
  • Registratie: Juli 2008
  • Laatst online: 00:58

Harm_H

Toen mijn synology nog relatief makkelijk vindbaar was, kwamen de pogingen uit de 'Russian Federation' qua ip adres. Je weet het natuurlijk nooit zeker, maar het ruikt wel naar een bepaalde geur. Oh, en ik verwacht geen 'staatshackers', maar onafhankelijke hackers, waar de salarissen erg laag zijn.

Ik denk dat je aannames waarschijnlijk zijn & succes met het herstel.

[ Voor 21% gewijzigd door Harm_H op 08-06-2022 09:32 ]

woensdag 8 juni 2022 09:40

Acties:
  • +2 Henk 'm!
  • eric.1
  • Registratie: Juli 2014
  • Laatst online: 12-10 14:02

eric.1

Alles is mogelijk. Hoe waarschijnlijk het is, dat is een tweede. Was die kennis van je zo interessant? Anders hebben staatshackers hun tijd wel beter te besteden dan van een willekeurige Nederlandse inwoner wat data te slopen op een zeer transparante manier. Ik snap niet zo goed hoe je bij die conclusie komt.

Verder, wat betreft tools;
https://www.nomoreransom.org/en/index.html
Maar menig anti-malware aanbieder heeft ook nog wel een tool.

[ Voor 7% gewijzigd door eric.1 op 08-06-2022 09:49 ]

woensdag 8 juni 2022 10:29

Acties:
  • 0 Henk 'm!
  • Niet_Jan_Jaap
  • Registratie: Maart 2016
  • Laatst online: 11-10 10:34

Niet_Jan_Jaap

Cozy Bear staat er inderdaad om bekend dat ze naast de onbelangrijke zaken zoals vaccinatie IP jatten van de USA zich ook focussen op random NL'ers die geen verstand van IT hebben.

woensdag 8 juni 2022 10:36

Acties:
  • +1 Henk 'm!
  • Bor
  • Registratie: Februari 2001
  • Laatst online: 23:01

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Timoo.vanEsch schreef op woensdag 8 juni 2022 @ 02:01:
Heel nietszeggend.
Tekst met "we hebben hard gewerkt om al uw bestanden veilig op te bergen in de cloud", enzo.
En een email adres + ID nr.
Wat staat er exact in het document? Doorgaans wordt er losgeld geëist tenzij je met een destructieve vorm van malware te maken hebt. De exacte tekst geeft soms enige indicatie over de malware die is losgelaten. Het zijn veelal "standaard" teksten namelijk.

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

woensdag 8 juni 2022 10:53

Acties:
  • 0 Henk 'm!
  • Timoo.vanEsch
  • Registratie: December 2013
  • Laatst online: 05-11-2023

Timoo.vanEsch

Topicstarter
zoals gezegd: veel te generic om er iets van te maken.
ik ga enkel screenshots plaatsen, geen gegevens (om te vermijden dat mijn account gelinkt wordt).

Afbeeldingslocatie: https://tweakers.net/i/ij-aQ9W202zhxr35JfQj6OSLkRc=/800x/filters:strip_icc():strip_exif()/f/image/h3HV5hkWiUVqBtDwts8jFcfA.jpg?f=fotoalbum_large

Afbeeldingslocatie: https://tweakers.net/i/xQ3q-8udgDsJ2j7fvgkPgtb3W78=/x800/filters:strip_icc():strip_exif()/f/image/VJhhg0kZAohwer9TImx6b3dx.jpg?f=fotoalbum_large

[ Voor 21% gewijzigd door Timoo.vanEsch op 08-06-2022 11:43 ]

woensdag 8 juni 2022 10:59

Acties:
  • 0 Henk 'm!
  • Timoo.vanEsch
  • Registratie: December 2013
  • Laatst online: 05-11-2023

Timoo.vanEsch

Topicstarter
Nobby schreef op woensdag 8 juni 2022 @ 02:03:
Google eens op dat e-mail adres? Misschien kan je iets identificeren en heel misschien is er een decryptor beschikbaar. Anders formatteren en opnieuw beginnen.
For now, browsing in a private window on DuckDuckGo, kan ik niets vinden.
Helaas.

En ja, uiteraard. Format & restart is de uiteindelijke optie.

woensdag 8 juni 2022 11:05

Acties:
  • 0 Henk 'm!
  • Timoo.vanEsch
  • Registratie: December 2013
  • Laatst online: 05-11-2023

Timoo.vanEsch

Topicstarter
souljah1h schreef op woensdag 8 juni 2022 @ 07:22:
[...]


Hoe heb je dit aangepakt?

En waarom denk je dat het Russen zijn, is daar aanleiding voor?
Ik heb eerst enkele uurtjes besteed aan het resetten van het admin-paswoord, om er vervolgens via USB ettelijke undelete-pakketten op los te laten.

Russen: Omdat één van de laatst verwijderde folder-structuren die van hun software is, waarbij enkel de ru-RU language pakketten aanwezig waren. Dus ik ga ervan uit dat het in elk geval russisch-taligen zijn.

Dit is hoe ver ik kwam gisteren.
En toen ik die "deleted folder structure" zag, met enkel zzz, wist ik dat ik hier op mijzelf geen bier meer van kan brouwen. En wilde ik het ook hier op het forum -als waarschuwing- plaatsen.

De oorlog in Ukraine heeft het aantal aanvallen verhoogd, las ik. En dit is er één van. En ja, het slachtoffer komt uit één van de oude USSR-gebieden. Dus wellicht een eenvoudiger slachtoffer voor scams etc.

woensdag 8 juni 2022 11:05

Acties:
  • +1 Henk 'm!
  • F_J_K
  • Registratie: Juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

offtopic:
'Russische staatshackers' is wat overdreven, ik pas de topictitel wat aan. Het lijkt "gewone" gijzeling te betreffen.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

woensdag 8 juni 2022 11:07

Acties:
  • 0 Henk 'm!
  • Timoo.vanEsch
  • Registratie: December 2013
  • Laatst online: 05-11-2023

Timoo.vanEsch

Topicstarter
Jester-NL schreef op woensdag 8 juni 2022 @ 07:14:
Op basis van de titel: Nee.

Russische staatshackers hebben iets andere doelen dan de privé-computer van een willekeurige Nederlander. Tenzij je kennis natuurlijk een of andere hoge ome is bij, zeg, de een of andere ambassade. Maar in dat geval heeft hij waarschijnlijk ook wel andere hulpbronnen dan jij (en back-ups, en een betere beveiliging). Bovendien heeft een staatshacker meer profijt van langdurig kunnen meekijken wat er gebeurd op een belangrijke machine, dan het onbruikbaar maken (en zichzelf laten zien) op een oninteressante machine.
Goed punt.
Ik zie het meer als "Russische staatshackers" als zijnde die hacker-groups die momenteel de staatskas aan het spekken zijn om de oorlog te betalen, mits de geruchten waar zijn. Anders is het idd gewoon een set criminelen zonder staatsbanden.

Ik vind het echter wel een professionele hack; accounts aangepast, alles keurig verwijderd, ZZZ geimplementeerd, etc. etc.

woensdag 8 juni 2022 11:15

Acties:
  • +2 Henk 'm!
  • F_J_K
  • Registratie: Juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

offtopic:
attribution is al moeilijk tot semi-onmogelijk genoeg als je een ervaren professional bent. Misschien beter om die discussie weg te laten - leid alleen maar af van de hoofdvraag. Hooguit wil je het meenemen in een advies niet te betalen.
Timoo.vanEsch schreef op woensdag 8 juni 2022 @ 10:53:
ik ga enkel screenshots plaatsen, geen gegevens (om te vermijden dat mijn account gelinkt wordt).
Je screenshot bevat een unieke code, die wil je even zwartmaken als je geen link wilt.

Als er voldoende recente backups zijn, pak die. Stel backups veilig en controleer ze op een machine zonder netwerktoegang / in een ander, vertrouwd, netwerk.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

woensdag 8 juni 2022 11:20

Acties:
  • +1 Henk 'm!
  • Flamesz
  • Registratie: Oktober 2010
  • Laatst online: 22:55

Flamesz

De link die @eric.1 heeft geplaatst is voor nu denk ik de beste oplossing die je hebt. Je kan op die website een geëncrypt bestand uploaden, en dan kijkt de website of het een cryptolocker is die al door die organisatie gekraakt is. Als dat het geval is kan je daar een decryptor krijgen. Zo niet zijn je opties wachten tot er ooit/misschien een decryptor beschikbaar komt, of betalen als het je je waard is.
NoMoreRansom is een organisatie die gesteund word door de Nederlandse politie dus zou je in die zin moeten kunnen vertrouwen.

woensdag 8 juni 2022 11:31

Acties:
  • +1 Henk 'm!
  • dutchgio
  • Registratie: April 2012
  • Laatst online: 22:39

dutchgio

Zie inderdaad:
https://www.nomoreransom.org/crypto-sheriff.php?lang=nl
‘No More Ransom’ is een initiatief van het Team High-Tech Crime van de Nationale Politie, het European Cybercrime Centre van Europol, Kapersky en McAfee. Het heeft tot doel slachtoffers van ransomware te helpen bij het herstellen van hun versleutelde gegevens zonder dat zij de criminelen hiervoor betalen.
Upload een bestand en kijk of er een decryptie mogelijkheid is.

Als er geen backup is de schijf loskoppelen en hopen dat die mogelijkheid er later nog komt.

Check het netwerk/systemen op verouderde software en update en spoel opnieuw in waar nodig.
De betreffende PC ook van het netwerk halen om verspreiding te voorkomen.

Russische staatshackers lijkt overigens wel mee te vallen, dit kunnen scriptkiddies ook als de deur open staat.

[ Voor 7% gewijzigd door dutchgio op 08-06-2022 11:33 ]

woensdag 8 juni 2022 11:32

Acties:
  • +2 Henk 'm!

Verwijderd

Flamesz schreef op woensdag 8 juni 2022 @ 11:20:
De link die @eric.1 heeft geplaatst is voor nu denk ik de beste oplossing die je hebt. Je kan op die website een geëncrypt bestand uploaden, en dan kijkt de website of het een cryptolocker is die al door die organisatie gekraakt is. Als dat het geval is kan je daar een decryptor krijgen. Zo niet zijn je opties wachten tot er ooit/misschien een decryptor beschikbaar komt, of betalen als het je je waard is.
NoMoreRansom is een organisatie die gesteund word door de Nederlandse politie dus zou je in die zin moeten kunnen vertrouwen.
Als ik dit zo lees, is er helemaal geen data versleuteld. De hackers hebben de data geupload naar een eigen dropbox account en met een decryptiesleutel gaat TS dus geen data terug krijgen.

Zonder backup zit er dan maar één oplossing op: betalen van 3000 euro. Maar, vaak is er over de prijs nog te onderhandelen. Ik wil TS daar best kosteloos bij helpen, mocht het zover komen.

woensdag 8 juni 2022 11:44

Acties:
  • +1 Henk 'm!
  • Timoo.vanEsch
  • Registratie: December 2013
  • Laatst online: 05-11-2023

Timoo.vanEsch

Topicstarter
F_J_K schreef op woensdag 8 juni 2022 @ 11:15:
offtopic:
attribution is al moeilijk tot semi-onmogelijk genoeg als je een ervaren professional bent. Misschien beter om die discussie weg te laten - leid alleen maar af van de hoofdvraag. Hooguit wil je het meenemen in een advies niet te betalen.


[...]

Je screenshot bevat een unieke code, die wil je even zwartmaken als je geen link wilt.

Als er voldoende recente backups zijn, pak die. Stel backups veilig en controleer ze op een machine zonder netwerktoegang / in een ander, vertrouwd, netwerk.
Done so.
Belangrijkste vond ik echter om het niet uit te typen; da's eenvoudig terug te vinden.
Image recognition software van de hackers om te zien of er over je gebabbeld wordt op een forum?
Ja, wellicht...
Kans acht ik echter wat kleiner.

woensdag 8 juni 2022 11:51

Acties:
  • 0 Henk 'm!
  • Timoo.vanEsch
  • Registratie: December 2013
  • Laatst online: 05-11-2023

Timoo.vanEsch

Topicstarter
Verwijderd schreef op woensdag 8 juni 2022 @ 11:32:
[...]

Als ik dit zo lees, is er helemaal geen data versleuteld. De hackers hebben de data geupload naar een eigen dropbox account en met een decryptiesleutel gaat TS dus geen data terug krijgen.

Zonder backup zit er dan maar één oplossing op: betalen van 3000 euro. Maar, vaak is er over de prijs nog te onderhandelen. Ik wil TS daar best kosteloos bij helpen, mocht het zover komen.
Hi,

Allereerst dank voor het aanbod; daar ga ik het slachtoffer heel blij mee maken.
Niet eens zozeer omwille van de mogelijkheid de prijs te reduceren; veel meer omwille van de bereidheid.
Een goed hart raakt mensen diep, dezer dagen.

Wat ik niet begrijp, is hoe ze alle data kunnen doen verdwijnen. Ik kan letterlijk niets terugvinden. Geen folderstructuren, niets. Dan moeten ze toch eerst een backup hebben gemaakt en vervolgens de PC herhaaldelijk hebben gevuld met garbage, om die garbage vervolgens weer te verwijderen, ofzo?

En zelfs dan?
Of gewoon de $MFT aanpassen?

woensdag 8 juni 2022 11:57

Acties:
  • +1 Henk 'm!

Verwijderd

Timoo.vanEsch schreef op woensdag 8 juni 2022 @ 11:51:
[...]

Hi,

Allereerst dank voor het aanbod; daar ga ik het slachtoffer heel blij mee maken.
Niet eens zozeer omwille van de mogelijkheid de prijs te reduceren; veel meer omwille van de bereidheid.
Een goed hart raakt mensen diep, dezer dagen.

Wat ik niet begrijp, is hoe ze alle data kunnen doen verdwijnen. Ik kan letterlijk niets terugvinden. Geen folderstructuren, niets. Dan moeten ze toch eerst een backup hebben gemaakt en vervolgens de PC herhaaldelijk hebben gevuld met garbage, om die garbage vervolgens weer te verwijderen, ofzo?

En zelfs dan?
Of gewoon de $MFT aanpassen?
Mijn theorie die ik niet kan waarmaken omdat dit puur op basis van de gegeven informatie is:

- Er is een virus binnen gehaald of de computer heeft/had een service open staan waardoor er naar de computer verbonden is.
- De aanvaller heeft de data ongemerkt geupload, op wat voor manier dan ook. Iets als Dropbox kun je rustig op de achtergrond laten draaien.
- Met bijv. powershell kun je in bulk data aanpassen/verwijderen. Als je geen logging aan hebt staan, is het zeer aannemelijk dat je daar dus niks over terug kunt vinden. Ik kijk er niet van op.
- Het kan ook zijn dat er wel degelijk bewijs te vinden is, maar dat je deze simpelweg nog niet hebt gevonden. In bedrijven worden daar vaak forensisch specialisten voor ingehuurd.
- Ik zou het verlies nemen en als les leren dat een goede back-up handig is voor dit soort vervelende situaties. Je kennis is zeer waarschijnlijk geen gericht doel, maar gewoon een ongelukkig slachtoffer. Veel tijd stoppen in het proberen erachter komen wat er exact gebeurd is, lijkt mij zonde.

Misschien dat er wat andere technieken gebruikt zijn, maar ik denk dat het in de grote lijnen zo gegaan is.

[ Voor 8% gewijzigd door Verwijderd op 08-06-2022 11:58 ]

woensdag 8 juni 2022 12:25

Acties:
  • 0 Henk 'm!
  • Timoo.vanEsch
  • Registratie: December 2013
  • Laatst online: 05-11-2023

Timoo.vanEsch

Topicstarter
ps. Alexander Larson is een well-known ransomware blogger, apparently.
Leuk; gebruik de naam van één van de "good guys". Lekker. :-(

woensdag 8 juni 2022 12:26

Acties:
  • +1 Henk 'm!
  • SinergyX
  • Registratie: November 2001
  • Laatst online: 01:06

SinergyX

____(>^^(>0o)>____

Timoo.vanEsch schreef op woensdag 8 juni 2022 @ 11:51:
Wat ik niet begrijp, is hoe ze alle data kunnen doen verdwijnen. Ik kan letterlijk niets terugvinden. Geen folderstructuren, niets. Dan moeten ze toch eerst een backup hebben gemaakt en vervolgens de PC herhaaldelijk hebben gevuld met garbage, om die garbage vervolgens weer te verwijderen, ofzo?

En zelfs dan?
Of gewoon de $MFT aanpassen?
Powertools heeft toch gewoon de cipher command? Zover ik weet kan je daarmee alle traces van verwijderde bestanden verwijderen, niet meer via recovery terug te halen.

Ergens ironisch dat een tool voor veiligheid, juist tegen veiligheid wordt gebruikt :P

Nog 1 keertje.. het is SinergyX, niet SynergyX
Im as excited to be here as a 42 gnome warlock who rolled on a green pair of cloth boots but was given a epic staff of uber awsome noob pwning by accident.

woensdag 8 juni 2022 12:27

Acties:
  • 0 Henk 'm!
  • Timoo.vanEsch
  • Registratie: December 2013
  • Laatst online: 05-11-2023

Timoo.vanEsch

Topicstarter
Verwijderd schreef op woensdag 8 juni 2022 @ 11:57:
[...]

Mijn theorie die ik niet kan waarmaken omdat dit puur op basis van de gegeven informatie is:

- Er is een virus binnen gehaald of de computer heeft/had een service open staan waardoor er naar de computer verbonden is.
- De aanvaller heeft de data ongemerkt geupload, op wat voor manier dan ook. Iets als Dropbox kun je rustig op de achtergrond laten draaien.
- Met bijv. powershell kun je in bulk data aanpassen/verwijderen. Als je geen logging aan hebt staan, is het zeer aannemelijk dat je daar dus niks over terug kunt vinden. Ik kijk er niet van op.
- Het kan ook zijn dat er wel degelijk bewijs te vinden is, maar dat je deze simpelweg nog niet hebt gevonden. In bedrijven worden daar vaak forensisch specialisten voor ingehuurd.
- Ik zou het verlies nemen en als les leren dat een goede back-up handig is voor dit soort vervelende situaties. Je kennis is zeer waarschijnlijk geen gericht doel, maar gewoon een ongelukkig slachtoffer. Veel tijd stoppen in het proberen erachter komen wat er exact gebeurd is, lijkt mij zonde.

Misschien dat er wat andere technieken gebruikt zijn, maar ik denk dat het in de grote lijnen zo gegaan is.
Oh, feit.
En het is niet dat de data erg belangrijk was, behalve de facturatie. Maar omdat het om een vakman gaat, is dit zo'n "PC omdat het moet"-dingetje.

Dus format & restart. Komt wel goed.
En ik ga je aanbod in elk geval doorgeven.
Maar ik ga vanavond toch eens dieper duiken.

woensdag 8 juni 2022 13:06

Acties:
  • 0 Henk 'm!
  • Timoo.vanEsch
  • Registratie: December 2013
  • Laatst online: 05-11-2023

Timoo.vanEsch

Topicstarter
SinergyX schreef op woensdag 8 juni 2022 @ 12:26:
[...]

Powertools heeft toch gewoon de cipher command? Zover ik weet kan je daarmee alle traces van verwijderde bestanden verwijderen, niet meer via recovery terug te halen.

Ergens ironisch dat een tool voor veiligheid, juist tegen veiligheid wordt gebruikt :P
OK. Wow. En nee, dat wist ik niet.
Houd ik mij nooit mee bezig; scripting is niet mijn vakgebied.
Op basis van de ru-RU verwijderde "virtual folders" is het inderdaad via powershell gegaan.

woensdag 8 juni 2022 17:15

Acties:
  • +1 Henk 'm!
  • Twam
  • Registratie: Januari 2014
  • Laatst online: 12-10 13:15

Twam

Ben ik heel cynisch als ik denk dat er helemaal niks geüpload is? Gewoon wissen, berichtje of je wil betalen en dan nooit meer wat laten horen als het geld eenmaal binnen is?

Op zich is dat idd slecht voor de naam van de branche, maar een virus/script dat volledige harde schijven naar Dropbox schrijft, soms honderden GB's? Het lijkt mij nodeloos omslachtig en ook wel iets waardoor bij Dropbox wat alarmbellen afgaan - je zou enorme hoeveelheden data genereren, zelfs als je via script account per doelwit aanmaakt lijkt het me onpraktisch. Met gemiddelde uploadsnelheid van mensen zonder glasvezel trek je ook wekenlang de upload volledig vol op die manier, helemaal op oudere koperlijn (zoals in grote delen van de wereld), best groot risico dat dat opvalt... Zou mij totaal niet verbazen als dit het digitale equivalent van een 'smash & grab' is, zo snel mogelijk zo veel mogelijk mensen laten betalen en dan zorgen dat je wegkomt.

woensdag 8 juni 2022 17:45

Acties:
  • 0 Henk 'm!
  • Meg
  • Registratie: September 2016
  • Niet online

Meg

418: “I’m a teapot”

Ik neem aan dat je bestanden versleuteld zijn; kun je eens kijken wat de extensie van de bestanden is nadat de versleuteling heeft plaats gevonden?

"If you lose your left arm your right arm will be left."
"The difference between stupidity and genius is that genius has its limits." - Albert Einstein
"I don't need oxygen, I only need O2."

woensdag 8 juni 2022 20:29

Acties:
  • 0 Henk 'm!
  • Timoo.vanEsch
  • Registratie: December 2013
  • Laatst online: 05-11-2023

Timoo.vanEsch

Topicstarter
Meg schreef op woensdag 8 juni 2022 @ 17:45:
Ik neem aan dat je bestanden versleuteld zijn; kun je eens kijken wat de extensie van de bestanden is nadat de versleuteling heeft plaats gevonden?
Er is geen versleuteling.
Alles is gewist, met een bericht dat bij betaling de bestanden worden vrijgegeven vanuit de cloud.
Maar zoals Twam al aangeeft; dat is bij nader inzien wellicht totale onzin.

woensdag 8 juni 2022 20:29

Acties:
  • 0 Henk 'm!
  • Timoo.vanEsch
  • Registratie: December 2013
  • Laatst online: 05-11-2023

Timoo.vanEsch

Topicstarter
Twam schreef op woensdag 8 juni 2022 @ 17:15:
Ben ik heel cynisch als ik denk dat er helemaal niks geüpload is? Gewoon wissen, berichtje of je wil betalen en dan nooit meer wat laten horen als het geld eenmaal binnen is?

Op zich is dat idd slecht voor de naam van de branche, maar een virus/script dat volledige harde schijven naar Dropbox schrijft, soms honderden GB's? Het lijkt mij nodeloos omslachtig en ook wel iets waardoor bij Dropbox wat alarmbellen afgaan - je zou enorme hoeveelheden data genereren, zelfs als je via script account per doelwit aanmaakt lijkt het me onpraktisch. Met gemiddelde uploadsnelheid van mensen zonder glasvezel trek je ook wekenlang de upload volledig vol op die manier, helemaal op oudere koperlijn (zoals in grote delen van de wereld), best groot risico dat dat opvalt... Zou mij totaal niet verbazen als dit het digitale equivalent van een 'smash & grab' is, zo snel mogelijk zo veel mogelijk mensen laten betalen en dan zorgen dat je wegkomt.
Heel goed punt. Thanx!

woensdag 8 juni 2022 20:31

Acties:
  • 0 Henk 'm!
  • Meg
  • Registratie: September 2016
  • Niet online

Meg

418: “I’m a teapot”

Verkeerd gelezen dan, maar zo iets is sowieso onzin dan. :-)

Zou natuurlijk wel even je computer op malware controleren en eventuele wachtwoorden veranderen.

"If you lose your left arm your right arm will be left."
"The difference between stupidity and genius is that genius has its limits." - Albert Einstein
"I don't need oxygen, I only need O2."

woensdag 8 juni 2022 20:32

Acties:
  • 0 Henk 'm!
  • Timoo.vanEsch
  • Registratie: December 2013
  • Laatst online: 05-11-2023

Timoo.vanEsch

Topicstarter
Meg schreef op woensdag 8 juni 2022 @ 20:31:
Verkeerd gelezen dan, maar zo iets is sowieso onzin dan. :-)

Zou natuurlijk wel even je computer op malware controleren en eventuele wachtwoorden veranderen.
Nee. Die gaat in format C:\ + BIOS reset.
Nieuwe installatie.
Alles is toch al weg.
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq