Userbase

Bingo... was eigenlijk niets speciaals aan het doen op de PC (is wel een oude XP in een VM) tot ik plots dit kreeg;

En ze zijn zo slim om het achter een tor-only onion site te zetten, en te laten betalen met bitcoins.

Blijkbaar heeft Kaspersky een decryption tool maar hiervoor moet je het origineel hebben van de file.

Nu heb ik er wel enkele maar nu komt de tool zeuren dat de filesize niet overeen komt ?

Blijkbaar zijn de encrypted files dus allemaal iets groter.

Welk AV stond er op de machine ?

Patje schreef:Welk AV stond er op de machine ?

Zoals ik al schreef was het een outdated PC met Windows XP zonder iets van anti-virus.

Is eerder een "speel/test" omgeving voor nogal specifieke dingen... ga er dus niet flauw over doen dat de security veel beter kon.

Dan is het idd normaal.

r2504 schreef:

Patje schreef:Welk AV stond er op de machine ?

Zoals ik al schreef was het een outdated PC met Windows XP zonder iets van anti-virus.

Is eerder een "speel/test" omgeving voor nogal specifieke dingen... ga er dus niet flauw over doen dat de security veel beter kon.

Ik heb ook een XP vm, waar ik nog een oude corel draw op draai. Geen zin om de laatste versie te leren, en de oude ken ik vanbuiten en maak er affiches van A5 tot 2M rollup banner formaat mee.

Nu gebruik ik die vm ook om af en toe eens bepaalde utils te testen.

Dus alvorens ik iets nieuws download, maak ik snapshot, test het ding, doet het raar, dan doe ik revert to snapshot en klaar ......... met de vm surf ik niet omdat mijn risico met XP erg groot is.

Nu zou je voor de gein ook eens zo'n fake support dienst kunnen bellen, hun ip traceren en de video sharen ... je hebt nu de ideale omgeving ....

Zie

Patje schreef:Dan is het idd normaal.

Het risico is inderdaad groot... maar was toch even verbaast zo zonder op iets te klikken.

Ben eigenlijk wel nieuwsgierig hoe het binnen gekomen is... Java, Flash, IE, ... ?

ub4b schreef:Ik heb ook een XP vm

Idem hier.
Ik gebruik die image niet, maar maak altijd een kopie om mee te werken. Als die dan in de soep draait, heb ik de originele image nog.

Gelukkig kon het ding niet aan m'n andere servers aan... maar ga het toch ook eens in een aparte VLAN duwen.

r2504 schreef:

Patje schreef:Dan is het idd normaal.

Het risico is inderdaad groot... maar was toch even verbaast zo zonder op iets te klikken.

Ben eigenlijk wel nieuwsgierig hoe het binnen gekomen is... Java, Flash, IE, ... ?

Ik heb in een lang verleden ook eens prijs gehad. Ik surfte met de laatste firefox naar een site die normaal geen malware bevat, maar de images van de users hun avatar kwamen van een andere host. Toen ik op die andere host naar meer images zocht, had ik prijs, plots zo'n fake politie scherm dat ik kinderporno had staan ...... het ging om onnozele dingen zoals een vrouw die eens goed met haar boobies shaked. Geen illegale dingen dus.

En dan een ander geval waar ik plots een virus had door naar een psychologie site te surfen, windows security essentials had het virus pas gevonden nadat het reeds draaide. Dus linux opgestart, alle data van de hdd weggehaald en restore image from backup .....

Om die reden draai ik tegenwoordig enkel nog firefox met noscript, sindsdien ben ik van al dat soort onzin verlost. De grootste attack vector is javascript en alle dynamische dingen die in je browser lopen, langs die wegen komt malware mee binnen.

Ik heb recent mijn pc met meerdere scanners gechecked en ze konden niks vinden.

Ik heb alle ad-brol in mijn hosts file staan, dan kan ik alvast niet via die weg allerhande rommel importeren .
Noscript heb ik ook een tijdje gebruikt, maar zorgde soms voor gekke resultaten op sommige websites

Is er in Belgie trouwens nog een instantie waar je je kan melden als slachtoffer (al zal het louter voor de statistiekjes zijn) ?

Aangifte doen bij de smurfen.
De meeste crypto lockers zie ik hier via de mail binnenkomen. Heb ze eigenlijk nog nooit gezien via gehackte sites.

Mijn broer zijn bedrijf in Duitsland doet aan "Daten Shutz" en krijgt er enorm veel mee te maken. Volgens de Duitse overheid is ransomware de grootste bedreiging geworden in de digitale wereld. De meeste aanvallen gebeuren vanuit Oekraïne en Rusland. Veel kan er voorlopig niet aan gedaan worden dan heel regelmatig op een onafhankelijk systeem back-ups te maken. Windows is zoals gewoonlijk het grootste slachtoffer.
De enige ransomware tot nu toe gekend voor Apple is via bittorrent. Voor linux en andere unices is voorlopig geen geval bekend, behalve dan de servers waar magento op draait en dan nog is de verspreiding beperkt tot de database.

Een infectie kan zelfs al optreden door het bezoek van een website gehost op een geïnfecteerde server. Zonder zelfs scripts of flash te gebruiken.

iceke schreef:Aangifte doen bij de smurfen.

Ik zal eens zien dat het elektronisch kan... tijd wil ik er nu ook niet veel aan verprutsen.

iceke schreef:De meeste crypto lockers zie ik hier via de mail binnenkomen.

Inderdaad... zo hoor ik het in vriendenkring ook... vaak "Pdf's" in mails.

petrol242 schreef:Een infectie kan zelfs al optreden door het bezoek van een website gehost op een geïnfecteerde server. Zonder zelfs scripts of flash te gebruiken.

De tijd dat je echt op iets moest klikken en het enkel voor domme gebruikers was is inderdaad voorgoed voorbij.

Ondanks dat sommige beweren dat de meest recente versie van de tool m'n files zou moeten kunnen decrypteren lukt het mij nog steeds niet (blijf melding krijgen dat de geencrypteerde en normale file een andere filesize hebben).

Beetje off-topic, maar waarom werkt die cryptolocker met asymetrische crypto ? Dat is toch pakken trager dan symmetrische algoritmes en hier totaal nutteloos.

Omdat je met symmetrische *mogelijks* de key zou kunnen terugvinden op het geinfecteerde systeem

R2504: snapshot terugzetten lijkt me het makkelijkst. Maar idd wel interessant om ns te zien.

Misschien dat dit kan helpen?
http://tweakers.net/nieuws/111463/crimi ... -vrij.html

Teslacrypt is een andere variant... die van mij is vermoedelijk een zeer recente versie van CryptXXX (want de Kasperky tool van amper een week geleden werkt zelfs niet meer).

Ik hou de .vmdk wel apart... al staat er niet meteen iets op wat ik niet opnieuw kan downloaden.

Beetje oud misschien maar gisteren gelukkig iemand kunnen helpen met volgende tool:
https://esupport.trendmicro.com/en-us/h ... 14221.aspx
Proberen waard?

Nog een extra tool... Beveiligingsbedrijf stelt decryptietool voor Cerber-ransomware beschikbaar
https://tweakers.net/nieuws/114699/beve ... kbaar.html