PAS OP!! Ransomware via Spotnet

[hacasanova]

Ik vond het als mijn plicht om het mede te delen, weet alleen niet meer alle details.

Vorige week vrijdag heb ik via spotnet een <knip> pakketje gedowned en geinstalleerd, waarna een ransomware malware ALLE persoonlijke bestanden op mijn laptop versleutelde. Ik zat met mijn handen in het haar, maar gelukkig had ik nog een backup staan in een verborgen map op mijn Google Drive en een externe harde schijf.

Na het verwijderen van de malware heb ik wat research gedaan. Het gaat om een critroni ransomware, die bestanden met een .CTB2 versleuteling ontoegankelijk maakt. Instructies om het te ontsleutelen staan in een .txt file in de Mijn Documenten map. Daarin staat een link die verwijst naar een site in het TOR-netwerk. Als je 300 dollar in bitcoins naar ze overmaakt, dan krijg je de code om het te ontsleutelen, zeggen ze.

Ik heb verschillende bedrijven gebeld en gevraagd om hulp, waaronder FOX-IT, Mcafee en zelfs Google. Ze kenden het wel maar hadden geen tool om de versleuteling eraf te halen.

Ik raad sowieso iedereen aan om altijd een backup te hebben van zijn/haar persoonlijke bestanden en op te passen voor deze soort ransomware!

De bestandsnaam van de spot was iets van <knip>....... Helaas weet ik de poster niet meer.

Hier nog een linkje met meer info over de CTB-locker: http://www.bleepingcomputer.com/virus-r ... nformation

Hopelijk heb ik zo wat mensen kunnen behoeden!

geen titels

- dmzx

[Mofo27]

Thnx voor de waarschuwing...

[mesa57]

Helaas mag je op dit forum geen spot titles plaatsen. Dus je waarschuwing heeft niet zoveel zin hier.
Ik neem aan dat je wel de spot aangemeld hebt bij de moderators en tevens een waarschuwing in de reacties hebt achtergelaten ?

[Ypsos]

hacasanova,

Dank je voor het bericht, gelukkig had je een backup op Google Drive (verborgen map)
idd mag je hier geen spot titels plaatsen, maar attenderen op "ransomware" kan geen kwaad.

@andere
Lees altijd de reacties bij de betreffende spot(applicaties), is er nog geen reactie wacht dan even rustig af (meestal is "Harper" er vroeg bij)

Voor de mensen die getroffen zijn door een soort gelijk ransomware en geen backup hebben, verwijder de versleutelde bestanden niet, ondanks dat ze niet meer leesbaar zijn.

Vroeg of laat komt er een oplossing om alsnog de gegijzelde bestanden terug te krijgen.

Oplossing CryptoLocker-ransomware:

Hoewel afgelopen juni een Cryptolocker-bende werd opgepakt en hun botnet werd neergehaald, hebben nog heel veel slachtoffers geen toegang tot hun met cryptolocker versleutelde bestanden. Voor hen is er nu een gratis oplossing om alsnog hun gegijzelde bestanden terug te krijgen.

Het Amerikaanse databeveiligingsbedrijf FireEye biedt in samenwerking met het Nederlandse Fox-IT een gratis service aan om de slachtoffers van de CryptoLocker-ransomware weer toegang te geven tot hun 'gegijzelde' bestanden.

Tijdens de grote operatie van de FBI waarbij de botnet werd uitgeschakeld, werden bij toeval de privésleutels onderschept door Fox-IT en FireEye. De beide bedrijven hielde een deel van de infrastructuur in de gaten. Toen de FBI GameOver Zeus uit de lucht haalde waren nog 155.000 computers met CryptoLocker besmet.

Via de website decryptcryptolocker.com kunnen slachtoffers van CryptoLocker weer eenvoudig toegang krijgen tot hun bestanden.

Zij hoeven alleen hun e-mailadres in te vullen en een door cryptolocker versleuteld bestand te uploaden.
Aan de hand van het geuploade bestand wordt vervolgens de privésleutel teruggestuurd waarmee gebruikers de overige bestanden kunnen ontsleutelen. Elke computer vereist een andere sleutel.

Geadviseerd wordt om een bestand te uploaden dat geen gevoelige informatie bevat.
Bron >>> AfterDawn

@Dropbox (desktop) gebruikers:
Dropbox automatisch opstarten met Windows uitschakelen
Raakt je pc besmet met ransomware, dan worden de lokaal versleutelde bestanden niet gesynchroniseerd naar de online Dropbox map.

Let ook op met "shared drives" in je netwerk, alle stations met een drive letter (interne/externe-HD | USB-stick | etc.) zijn in principe kwetsbaar.

voorbeeld Synology: gebruik \\DISKSTATION\BACKUP i.p.v. Z:\BACKUP of gebruik Data Replicator

[asenegawa]

Inderdaad bedankt voor de waarschuwing.
Helaas komt dit geregeld voor en is er op voorhand helaas weinig tot niets tegen te doen.
Veel downloaders zijn nogal laks geworden en vergeten om bij elke download die ze binnenhalen
een goede virusscanner en malware scanner er overheen te gooien.
Veel problemen worden veroorzaakt door deze laksheid.
Het komt van internet, vaak van een onbekend persoon en soms van een onwetende bekende.
Dus, je weet nooit precies wat je binnengehaald hebt daarom... altijd scannen die hap.

Ik zou bijna zeggen -eigen schuld- ware het niet dat er legio malware is die zelfs de beste scanners niet oppikken.
Echter... jezelf aanleren om alles wat je binnentrekt te scannen voorkomt ongeveer 98 % van de ellende.
Soms ga je dan toch voor de bijl en daar is jammer genoeg niets tegen te doen.
Daarom... je suggestie om altijd een goede en recente back-up te hebben is een prima raad.
Net zo als de raad om de betrokken files niet weg te gooien.
Het duurt soms even, maar meestal komen er oplossingen voor dergelijke problemen.

Via deze site kun je een PDF downloaden die hopelijk de oplossing voor je problemen geeft:
http://www.polfed-fedpol.be/crim/crim_f ... are_nl.php

Of kijk anders hier eens, ze hebben een workshop voor dit soort problemen:
http://www.computeridee.nl/workshop/uka ... rwijderen/

Ik hoop dat je er wat aan hebt.

[hacasanova]

Thanks voor jullie berichten!

Gelukkig heb ik al mijn persoonlijke bestanden op een offline backup staan en heb ik mijn werk bestanden via de google drive trash map terug kunnen krijgen.

Mijn virusscanner heeft de ransomware niet kunnen traceren.

Vanaf wanneer heeft FOX-IT die service? Ik heb namelijk met ze gebeld die dag dat het gebeurde, maar ze konden mij vertellen dat ze nog niks hadden om het op te lossen.

[Ypsos]

hacasanova,

Vanaf 6 augustus 2014

06 aug 2014

In samenwerking met het Amerikaanse bedrijf FireEye heeft Fox-IT de DecryptCryptoLocker service ontwikkeld. Hiermee kunnen slachtoffers van de CryptoLocker malware hun bestanden weer herstellen.

CryptoLocker is zogenaamde ‘ransomware’ die computerbestanden versleutelt en daarmee ontoegankelijk maakt. Tot op heden konden slachtoffers van de CryptoLocker binnen 72 uur een bedrag aan de afpersers betalen om hun bestanden te laten herstellen. Met behulp van de DecryptCryptolocker service kunnen slachtoffers hun bestanden nu direct en kosteloos ontsleutelen.

Voor meer informatie over de DeCryptoLocker service kijkt u op onze Engelse site.

Bron

Mijn virusscanner heeft de ransomware niet kunnen traceren.

Meestal zit er wat "extra's" in de setup, gebruik 7-zip om het setup*.exe bestand uit te pakken.

Lees dit document >>> installers.pdf <<< maar eens door
(wordt alles uitgelegd wat betreft installers en virusscanners.)