Toon posts:

Ransomware Magniber nieuwe variant

Pagina: 1
Acties:

Vraag


  • Hkayak
  • Registratie: Juli 2009
  • Laatst online: 25-01 22:13
Mijn vraag
Een laptop heeft ransomware te pakken, waardoor veel (niet alle) bestanden zijn versleuteld met .thahcvp extensie. Dit blijkt de ransomware van de Magniber familie te zijn en helaas is er nog geen decrypter voor.

Relevante software en hardware die ik gebruik
Er is geen aparte anti-virusscanner, maar met hitmanpro en spyhunter is het al schoongemaakt. Dus de virus is niet meer actief.

Wat ik al gevonden of geprobeerd heb
Ik heb achterhaald hoe het is begonnen en heb zelfs de virus te pakken. Het is een msi bestand en ik ben informatie aan het verzamelen hoe ik eventueel dit bestand kan uitpakken of verder kan uitkleden om eventueel een sleutel te pakken. Ik las in een andere draad dat de sleutel vaak in het geheugen zit en dus wel gevonden kan worden. Er is géén back-up en de herstelbestanden zijn allemaal verdwenen met recuva heb ik ook niets kunnen terugvinden helaas. Dit is op 10 januari gebeurd, dus de laptop is al meerdere keren herstart, waardoor ik de kans erg klein acht dat er iets te vinden is in het RAM geheugen (helemaal niet eigenlijk).

Op de bekende websites zoals no more ransom komt deze extensie helaas niet voor, waardoor er geen decrypter bestaat. Ik heb wel geprobeerd om de bestanden te uploaden, dus hopelijk zal er ooit een decrypter komen.


Mijn vraag aan jullie is of iemand mij verder kan helpen hiermee?

[Voor 11% gewijzigd door Hkayak op 12-01-2023 20:18]

Alle reacties


  • crashoverride
  • Registratie: Oktober 2001
  • Laatst online: 15:27

crashoverride

Security-Override

Ja het is zuur, maar Magniber heeft zoals je schreef geen decryption tools op dit moment voor nieuwere varianten vanwege een change in de manier van encrypten.

En er hoort meer bij dan alleen maar de msi uitpakken...
Device & network isolation / sandboxes / etc.

Ga hier niet zo maar mee spelen, neem je verlies, schone installatie en volgende keer offline backups maken.

Hardware choice: "Important stuff like the colour of the front panel, how many lights there are, if it's got a cool name like INTERCEPTOR or something similar. That sort of thing..."
"Life's not fair," I reply. "But the root password helps."


  • Hkayak
  • Registratie: Juli 2009
  • Laatst online: 25-01 22:13
Erg bedankt voor je antwoord. Ik wil eigenlijk de versleutelde bestanden toch even bewaren voor het geval er ooit een mogelijkheid is, maar voor nu doe ik wel die vriend dit meegeven.

  • kodak
  • Registratie: Augustus 2001
  • Laatst online: 14:01

kodak

FP ProMod
Als de bestanden die nog bruikbaar zijn belangrijk genoeg zijn dan hoop ik dat je die ook op een backup zet. Het herkennen van virussen met tools is namelijk niet zomaar effectiever dan het systeem opnieuw installeren. Het komt vaak genoeg voor dat een systeem niet alleen om ransomware is besmet en er ook andere malware geïnstalleerd is die niet makkelijk te detecteren is door af en en toe te scannen. En die malware download dan met gemak weer ransomware of andere problemen.

  • oak3
  • Registratie: Juli 2010
  • Laatst online: 25-01 16:41
Verlies nemen en overnieuw beginnen. Zou ook niet zelf proberen om te gaan reverse engineeren. Er zijn hele slimme mensen bezig met het ontwikkelen van decryptors en als het niet jouw specialisme is, zou ik me er niet aan wagen.
Hkayak schreef op zondag 15 januari 2023 @ 18:33:
... Ik wil eigenlijk de versleutelde bestanden toch even bewaren voor het geval er ooit een mogelijkheid is, .....
Ik zou die data zeker archiveren. Wie weet komt er ooit nog iets beschikbaar en heb je jouw oude data terug.


Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee