Overgebleven opties:

Een backup terughalen. Als je die niet hebt is dit direct een les om die in het vervolg wel te maken

Recuva of andere recovery software over je hardeschijf heenhalen, veel crypto-ransomware verwijderen namelijk je bestanden en plaatsen een nieuw versleuteld bestand. Grote kans dat je een deel van je verloren data met recuva terug kan krijgen

Zou het ipadres niet gespoofed kunnen zijn? Hacken van een adres lijkt me zo'n lastige klus, zeker voor een pc bij een bank.
en de bedreiger die bij een bank binnenstapt om daar een hotmail of wat dan ook van een ander te openen om te gaan bedreigen... Dan kun je beter.. ach...

"Ongeveer 4 weken geleden is er op mijn laptop een zgn. "ransomvirus" binnengehaald."

Weet je ook om welk ransomvirus het gaat ? Op basis van de informatie die je verschaft is er weinig zinnigs op te zeggen.

Verkeerde topic?

Misschien een variant van Criptroni / CBT locker, herken je iets uit de plaatjes in http://www.pcrisk.com/removal-guides/8120-your-personal-files-are-encrypted-virus?

Qihoo 360 Total security installeren en laten scannen, normaal zal die wel alles eraf krijgen.

zo belangrijk zal het wel niet zijn, aangezien meneer (neem ik aan) niet eens meer gereageerd heeft.

Wat dacht je van een goed antivirus totaal pakket, neem eens een betaald pakket, vaak kun je deze op meerdere PC's installeren, heb je maar eentje dan deel je deze met familie of vrienden, ben je relatief goedkoop uit!
En een andere optie is om een image te maken, dan zet je alles terug naar een moment dat hij nog niet was geïnfecteerd.

een beetje virus bezeikt een virus scanner.

"Wat dacht je van een goed antivirus totaal pakket, neem eens een betaald pakket, vaak kun je deze op meerdere PC's installeren, heb je maar eentje dan deel je deze met familie of vrienden, ben je relatief goedkoop uit!"

Aan dat advies zal je veel hebben indien je al bent geinfecteerd, en indien je bestanden niet meer toegankelijk zijn. Heb je de vraag wel gelezen ?

Ik heb besmettingen gezien op machines met een volledig up to date windows, plugins en anti virus, en toch werd die besmet. Beetje makkelijk om te roepen dat het iemands eigen schuld is.

Maar, een backup kan geen kwaad...

Dank iedereen voor zijn/haar antwoord.
Het bevreemd mij dat de toon hier door een aantal van jullie, mij agressief en belerend overkomt, jammer !!!!
Aangezien ik zelf een leek ben op het gebied van pc gebeuren en veel daar om heen, wist ik niet dat ik ook gelijk al mijn gegevens over het besturingssysteem etc. moest neerschrijven. Maar goed heb ik weer van geleerd, het gaat wel om de toon die de muziek maakt (Picasa3)
Het feit dat ik niet direct reageer, wil niet zeggen dat dit probleem niet belangrijk voor mij is (Anoniem van 13-10-22.06))
Ik heb besturingssysteem windows 7 home edition, met betaalde AVG virus programma en Antimalwarebytes.. (ter informatie voor degene die denkt dat ik wellicht illegaal download)
Het virus heb ik vrijwel direct, na het infecteren kunnen verwijderen. Blijft alleen nog over het terughalen van de versleutelde bestanden over.

Ik heb een aantal backups gemaakt op een externe harde schijf, echter het toeval wil, dat toen ik foto´s aan het bewerken was via de externe schijf het virus heeft toegeslagen. Dus ook mijn externe schijf heeft het ransomvirus opgelopen en alles versleuteld.. Daarbij zijn de backups niet meer te gebruiken.

Dank je. Deze herken ik inderdaad. Zoals geschreven, het virus is dan wel verwijderd, echter de versleutelde bestanden heb ik nog niet terug.

Bestaan er andere dan "betaalde pakketten" dan ?

Inderdaad, erg belangrijk om te doen, moet het nog wel doen dan en dit is helaas niet het geval.

Ik heb in dit probleem ook aan de hand gehad met een besmette laptop van mijn buurman.

Ik heb toen alles weer kunnen hertellen omdat er nog wel vorige versies aanwezig waren die gemaakt waren door windows backup - herstelpunten. Hier was het virus gelukkig nog niet actief. Deze optie staat standaard aan als je Windows niet hebt aangepast na de installatie.

Ik weet niet of u op uw computer windows herstel heeft aan staan?

Dit is als volgt te controleren:
Configuratie scherm->Systeembeveiliging->Beveiligings instellingen

Als daar de harde schijf waarop u de bestanden wilt terughalen aanstaat, heeft u misschien geluk.

Een vorige versie van een bestand terugzetten
Klik met de rechtermuisknop op het bestand dat u wilt terugzetten (op het netwerk) en klik op Eigenschappen. Het dialoogvenster Eigenschappen wordt weergegeven.
Klik op het tabblad Vorige versies op de bestandsversie die u wilt terugzetten en klik op Terugzetten. Er wordt een waarschuwingsbericht weergegeven omtrent het terugzetten van een vorige versie. Klik op Ja om de procedure te voltooien.

Ik hoop dat het bij u ook het geval is en u de bestanden kan terug halen.

Suc6

Ja het maken van 1 backup op 1 extern medium is helaas niet afdoende om dit probleem te voorkomen. Je hebt daarvoor
meerdere externe media nodig die niet tegelijk in de buurt van de computer zijn, en een systeem om meerdere backup
generaties te maken (dus niet iedere keer alles overschrijven met de nieuwste status)

Nu is het te laat. Je hebt in feite 2 keuzes:
1. betalen en hopen dat je de spullen terug krijgt (je acties tot nu toe maken het helaas minder waarschijnlijk dat dat
nog gaat lukken)

2. je er bij neer leggen dat alles weg is

Voor degene die denkt dat ik het niet lees: http://www.pcworld.com/article/2084002/how-to-rescue-your-pc-from-ransomware.html
Daar kun je goede tips vinden door middel van een opstartbare CD waarmee je dan jou systeem kan reinigen.
En dan nog een tip die ik hier nog niet heb gelezen, mocht jij je systeem weer opnieuw moeten installeren maak dan 2 account aan, eentje om acties uit te voeren als beheerder voor als je programma's moet installeren en een ander account waarmee jij voortaan gaat werken, dat scheelt zo wie zo de helft aan besmettingen, en geloof het of niet maar met een goed antivirus pakket had dit voorkomen kunnen worden en daar gaat het ook om.
En partities maken is ook een goed advies, plaats je kostbare data nooit op de partitie met het besturingssysteem!
Zelf laat ik foto's en documenten automatisch uploaden naar onedrive, heb je gelijk het overal beschikbaar en een backup.

Als Windows inderdaad nog vorige versies van bestanden heeft bewaard (iets dat ransomware vaak probeert te voorkomen) kan het programma Shadow Explorer (http://www.shadowexplorer.com/) je helpen deze terug te krijgen.

Anders zit er niets anders op dan betalen (hoewel sommige ransomware slecht geschreven is en ontsleutelen mogelijk maakt; dit is echter niet te zeggen zonder te weten welke ransomware het betreft).

Toch een vreemd verhaal. TS geeft een duidelijke extensie die alle files nu hebben, maar even googelen laat zien dat die extensie maar 1x genoemd wordt en dat is juist dit topic.
Je
zou toch verwachten dat er meer over geschreven is als het een van de bekendere ransomware malware varianten betreft.

@Briolet Misschien gebruikt de malware elke keer een willekeurige bestandsextensie om te voorkomen dat deze wordt herkend door antivirusproducten.

Als betalen mogelijk is, dan is toch ook het achterhalen van de maker(s) van die ransomware mogelijk?

Helaas is het (nog) niet mogelijk om CBT lockers te ontsleutelen. Helaas! Zie ook http://www.2-viruses.com/cbt-locker-ransomware-or-how-to-decrypt-encrypted-files

Hartelijk dank iedereen voor zijn/haar meldingen !!!

Inderdaad ook ik vind het erg vreemd dat deze extensie nergens te vinden is !!

In https://www.security.nl/posting/405078/Ransom+virus#posting405466 bevestig je (mapleleaf1) dat de ransomware lijkt op Criptroni/CBT.

Eerdere versies daarvan gebruikten BTC- of CTB2 als bestandsextensie (zie http://www.remove-pcvirus.com/nl/ctb-locker-verwijderen/; meer info: http://www.bleepingcomputer.com/virus-removal/ctb-locker-ransomware-information en http://malware.dontneedcoffee.com/2014/07/ctb-locker.html).

Ik vermoed dat het hier om een nieuwere versie gaat die voor elke besmette PC een random karakterreeks genereert en dat als bestandsextensie gebruikt; dat maakt herkenning voor virusscanners lastiger.

In http://www.pcrisk.com/removal-guides/8120-your-personal-files-are-encrypted-virus staat niets over 7 karakters lange bestandsextensies, maar wel: Het getal 7 valt op. Vond je toevallig ook dergelijke html files op jouw PC?

Hier een zelfde soort geval (nieuwe windows laptop van mijn moeder). Hier is de bestandsextensie 7 karakters isfvmem. Nergens op internet iets over te vinden, dus dat versterkt inderdaad het idee dat er elke keer een nieuw soort naam aan gegeven wordt. Het is inmiddels wel duidelijk een CTB Locker, die door haar eigen betaalde anti-virussoftware niet werd herkend. Nu wel een Trojan Horse downloader herkend door Kaspersky, en enkele malware files.

Ik ben inmiddels al uren voor mijn moeder aan het zoeken op internet, maar verder dan een aantal trucjes om bestanden te herstellen, 'je had een backup moeten maken' of de ransom betalen kom ik niet. Mijn moeder had haar backup op dropbox, die automatisch met de computer synchroniseert. Alle bestanden op dropbox werden hierdoor ook automatisch versleuteld.

Wat is jullie idee over betalen? Mijn moeder wil wel betalen, maar is bang dat ze dan via TOR nog meer virussen binnen haalt.

Gelukkig kun je met dropbox een vorige versie van een bestand herstellen. Zie ook https://www.dropbox.com/nl_NL/help/11. Andere bestanden kunnen mogelijk via ShadowExplorer http://www.shadowexplorer.com nog terug gehaald worden maar meestal wordt door de ransomware geprobeerd de shaduw kopieën te verwijderen. Zie ook opmerking van '20-10-2014, 11:44 door 0101'.

Via Tor haal je geen virussen binnen.
Een besmette website kan je overal aantreffen en over een dubbele besmetting, namelijk een besmetting op de betaalpagina van ransomeware is nog niets geschreven (wat niet zegt dat het niet zou kunnen maar dat is vooralsnog niet Tor specifiek).


Ben je nog van de 'partij'?
Geldt de mogelijke overeenkomst die door "27-10-2014, 01:08 door Erik van Straten" werd aangedragen ook voor jou?

Heb je een andere oplossing gevonden?

Misschien handig om te weten: Dropbox kan als ik mij niet vergis ook oude bestandsversies herstellen. Heb dit zelf al een aantal keer gedaan via hun website beheerpaneel voor eenvoudige doc bestanden. Of dit voor lange duur kan en voor grote bestanden weet ik echter niet.

In mijn reactie in https://www.security.nl/posting/406538/%22Betalen+van+ransomware+helpt+bij+terugkrijgen+bestanden%22#posting406953 vind je een URL naar een online onderzoekje dat ik heb uitgevoerd naar het nut van betalen bij de Synolocker ransomware (die teisterde eerder dit jaar Synology NASjes - als deze vanaf internet toegankelijk waren en niet up-to-date waren qua patches en/of het beheeraccount een zwak wachtwoord gebruikte).

In de praktijk lijkt betalen in de meeste gevallen soelaas te bieden. Bereid alles goed voor, let goed op dat er geen typfouten gemaakt worden in de gevraagde informatie. Want garantie heb je natuurlijk niet.

Helaas kun je dat niet uitsluiten, zie https://www.security.nl/posting/406569/Tor-node+ontdekt+die+malware+aan+downloads+toevoegt en https://www.security.nl/posting/408592/Trojaans+paard+via+Tor-netwerk+en+torrents+verspreid.

Echter, daarmee is het gebruik van Tor niet onveiliger dan van een public WiFi hotspot. Zorg dat de betreffende PC up-to-date is qua patches (ook browser en plugins/addons), en gebruik de Tor-sessie uitsluitend voor de "transactie".

Nee, ja, ja, nee.., helaas kan je heel erg veel zaken niet voor de volle 100% uitsluiten.
Je trekt dingen bewust uit haar verband door half te quoten.

De hele opmerking nogmaals

Reden voor je "Helaas kun je dat niet uitsluiten" ergo 'met Tor loop je kans op virussen' suggestie?
Gebrek aan technische kennis zou het niet moeten kunnen zijn. Mits je dan ook even meer moeite had genomen de aangehaalde bronnen uit betreffende artikelen door te lezen. Kwestie van selectieve interesse?

Het ging in dat nieuws dus om 1 geval van een Russische exitnode die alleen in het geval van het downloaden van 'plain' (!) .exe files daar extra code aan toe wist toe te voegen.
in 2006 is soortgelijk misbruik geconstateerd met een Chinese exitnode (dat gaat hard niet?).

Rondom het downloaden van software kan je allerlei maatregelen nemen om te controleren of de software code onaangetast (niet besmet) is.
Buiten de discussie nog of je via Tor software wil downloaden. Op deze site al gevoerd inclusief tips.
Maar het gaat hier niet om het downloaden van software (en ook niet om drive-by downloads).

Tor is niet a priori onveilig.
Kom maar op met je besmettingscijfers en vergelijkingen.
Ben je niet een beetje in de war met het gebruik van p2p download software?

Algemeen aangeraden security advies, staat los van Tortechniek maar is natuurlijk ook voor Tor gebruikers aan te raden..

Want? Met het gebruiken van Tor voor andere standaard browsing doeleinden roep je wat over je af ..? (Virussen toevallig? Bewijs het maar, graag).

'Just asking'
Wat weet je eigenlijk van de Torbrowser? Gebruik je hem ook zelf? Volg je het inhoudelijk op de voet als gebruiker of op een afstand als bevooroordeelde meninghebbende?
Mag allemaal hoor, geef dan s.v.p. explicieter een scheiding aan tussen wat kennis is, een algemene indruk en wat een mening.

Ik schreef: "daarmee is het gebruik van Tor niet onveiliger dan van een public WiFi hotspot".
Die heb ik niet, net zo min als dat ik die heb van public WiFi hotspots. Ik werk niet bij een antivirusbedrijf o.i.d. en heb niet de mogelijkheden om voldoende van dit soort gegevens te verzamelen om daarover, met enige statistische betekenis, iets zinvols te kunnen zeggen.

Wat ik wel weet is dat, bij herhaling, Tor toch minder anonimiserend bleek dan bedoeld, en zo nu en dan sprake is van kwaadaardige exit-nodes. Eerder in 2014 was hier ook al sprake van, zie http://arstechnica.com/security/2014/01/scientists-detect-spoiled-onions-trying-to-sabotage-tor-privacy-network/, en ook dat was geen nieuws (zie bijv. https://lists.torproject.org/pipermail/tor-talk/2013-July/028728.html).

Zelf heb ik Tor nog nooit gebruikt, maar ik denk dat ik wel begrijp hoe het werkt en wat het doel is. Dat laatste, het doel, is het verhullen van de identiteit (IP-adres) van de client voor de server (niet het bieden van enige garanties t.a.v. de uitgewisselde informatie - integendeel, die garanties nemen af). Verder baseer ik mij op mijn kennis van IP protocollen.

Servers accepteren uitsluitend TCP verbindingen van clients met een geldig (in elk geval routeerbaar) IP-adres. Tor werkt doordat de exit-node, met haar IP-adres, namens de geanonymiseerde client, communcieert met de server. Dat terwijl het pad tussen de client en de exit-node, "onzichtbaar" (in elk geval onbekend) is, voor de server.

Daarmee "ziet" die exit-node al het verkeer "voorbij komen" dat de server uitwisselt met de -geanonymiseerde- client (ook prima vergelijkbaar met bijv. een NAT modem/router thuis). Bij onversleutelde verbindingen (http, ftp, DNS, plain SMTP etc.) heeft die exit-node vrij spel om af te luisteren, gegevens (deels) te wijzigen of te blokkeren. Dat geldt ook voor unauthenticated versleutelde verbindingen, zoals SMTPS (STARTTLS) of andere vormen van opportunistic encryption.

Ook kan die exit-node, door allerlei "fingerprinting" technieken, relatief veel over de client te weten komen (vooral indien de gebruiker van de client niet technisch onderlegd is en geen passende maatregelen heeft getroffen). Fingerprinting kan overigens ook plaatsvinden door naar patronen van bezochte websites te kijken (veel mensen vertonen behoorlijk reproduceerbaar gedrag tijdens het surfen). Onder andere op basis van fingerprinting kan de tor exit-node ervoor kiezen om verkeer van specifieke clients anders te behandelen, bijvoorbeeld deze via een extra (afluister-) node te leiden, en/of uitgewisseld verkeer op te slaan voor later onderzoek (en eventuele decryptiepogingen van versleutelde verbindingen).

Uitsluitend indien sprake is van betrouwbaar geauthenticeerde servers en vervolgens degelijk versleutelde verbindingen (niet gevoelig voor down-grade attacks e.d.) tussen client en server, kan de Tor exit-node bij die specifieke verbindingen niet meer meekijken en/of de daarmee uitgewisselde informatie wijzigen. De exit-node kan ze overigens nog wel (deels) blokkeren en/of vertragen (door alle pagina's van een website op te halen kan de MitM in veel gevallen, aan de hand van de grootte, vaststellen welke pagina's de client ook opent). Als je via Tor bijv. Tweakers.net benadert en daarop inlogt, kan de beheerder van de exit-node jouw identiteit kapen en namens jou bijdragen posten (of bestaande bijdragen van jou wijzigen).

Gerelateerde, niet geauthenticeerde verbindingen, waaronder CRL en OCSP aanvragen (die zelf trouwens plain-text zijn) kan de exit-node naar hartelust manipuleren. De Tor-exit node kan ook SSLStrip aanvallen uitvoeren. Indien sprake is van "mixed-content" verbindingen (https met bijv. plaatjes via http) kan de tor-exit-node die plaatjes naar believen wijzigen. Voor elk gebruikt protocol waarvan exploits in client software bekend zijn, kan de exit-node dergelijke exploits op de client afvuren (inclusief Heartbleed als de client een oudere OpenSSL client gebruikt).

Conclusie: op een Tor exit-node zijn MitM-aanvallen relatief simpel uit te voeren, inclusief aanvallen zoals beschreven in http://thehackernews.com/2014/11/onionduke-apt-malware-served-through_17.html (zoals je in dat artikel -terloops- kunt lezen, kan ook malware in bijv. PDF's worden geïnjecteerd, maar denk ook aan macro's in Office bestanden - indien niet via veilige https uitgewisseld). Deze aanvallen zijn ook mogelijk via (onbetrouwbare) WiFi hotspots.

P.S. de auteur in genoemd "thehackernews" artikel eindigt met een vreemde opmerking:Ik hoop dat Tor-gebruikers beseffen dat het zinloos is (qua anonimiteit) om de communicatie tussen jouw PC en een publieke VPN server via Tor te laten verlopen. Zo'n publieke VPN server heeft overigens dezelfde MitM mogelijkheden als Tor exit-nodes, WiFi hotspots en feitelijk elk netwerkdevice (met uitzondering van devices waarover je "tunnelt") tussen jouw PC en de servers die je bezoekt. Enige (beperkte) anonimiteit komt met een prijs.

Moet toch wel iets toevoegen. Met name over het feit dat mensen de suggestie maken te betalen en tegemoet te komen aan de criminelen (dit NOOIT doen!).
Aangifte doen is in elk geval een optie, zou je ook doen bij fysieke afpersing, dus waarom niet digitaal?

Voorkomen is beter dan genezen.
Backup is veelal de enige optie tot goed herstel zoals eerder al is gezegd.
Om toekomstige besmettingen te voorkomen is het wellicht handig te overwegen je volumes te encrypteren, vanaf een win7pro versie kan je dat met een bitlocker versie van Windows zelf (met TPM module). Maar er zijn ook andere betaalde oplossingen van bedrijven in de IT Security. (Google/Bing is your best friend).

Encrypt je drives/volumes zelf, veel ransomware kan daar niet mee om.

Volgens mij sla je de plank totaal mis. Waarom zou een encrypted volume niet besmet kunnen worden of nog een keer encrypt kunnen worden ? Allemaal mogelijk

Helaas is in een aantal gevallen de enige manier om je bestanden terug te krijgen (dus dan is het een tikkeltje te laat om een preek over voorkomen af te steken) door te betalen. Aangifte doen is geen oplossing, het zou op globaal niveau iets kunnen betekenen voor het probleem van dit soort malware, maar het is geen oplossing voor het probleem. Het probleem is dat de bestanden versleuteld zijn, dat los je niet op door preventie of aangifte. Dat los je op door het of zelf (te laten) ontsleutelen of in te geven aan de eisen.

In aanvulling op wat Mysteriop hierboven schreef (wat ik volledig beaam): Dat heeft nauwelijks tot geen zin. FDE (Full Disk Encryption) heeft sowieso geen zin, want als jij (en dus ook de malware) actief bent, merk je niets van die versleuteling.

Waar je geluk mee zou kunnen hebben is het gebruik van encrypted containers met een specifieke bestandsextensie, in de hoop dat de ransomware dat specifiek type bestanden met rust laat. Maar als dat betrouwbaar zou werken, zou je ook de filename extensies van je huidige bestanden kunnen wijzigen in de hoop de ransomware om de tuin te leiden. Daar zou ik NIET op gokken.

Wat je welk kunt doen is een map (of hele partitie) op je drive maken met bestanden die nooit meer hoeven te wijzigen, zoals foto's, muziek, films, ingediende belastingaangiftes e.d.. En die map (of partitie), voor het account dat je dagelijks gebruikt, uitsluitend NTFS leesrechten te geven. Je zult dan een speciaal account moeten maken om daar bestanden aan toe te voegen (of wijzigen/verwijderen). Als je dat account niet gebruikt om te internetten, en verder zo goed mogelijk gescheiden houdt van je "dagelijkse" account, en niet met admin rechten werkt, is ransomware grotendeels kansloos. Die ransomware kan dan alleen jouw "archieven" versleutelen als de ransomware privilege escalation trucs aan boord heeft, en jouw systeem niet upto-date is qua patches (of sprake is van een 0-day, maar die kans is weer heel klein).

Install- en backup accounts zijn bij voorkeur niet die waarmee je dagelijks werkt mag ik hopen. Met een beetje common sense is veel te voorkomen en dit is ook een mooi voorbeeld.

Over criminelen een voedingsbodem blijven geven om dit soort malware te blijven spuien ga ik niet akkoord.
Zolang het loont gaan we dit blijven houden, ergo; het gaat dan enkel maar toenemen.
Een aangifte doen heeft misschien dan wel voor het slachtoffer minder zin, maar als de omvang van een maatschappelijk probleem niet visueel wordt dan gaat er ook niets veranderen, en in de strafmaat al evenmin.
Als we op straat dit niet tolereren waarom dan wel op onze virtuele omgeving?

Om misverstanden te voorkomen: uitsluitend door, voor dagelijks gebruik, een account met beperkte rechten te gebruiken, voorkom je niet dat ransomware jouw bestanden kaapt!

Met het eerste deel van die regel ben ik het eens. M.b.t. dat tweede deel: dat houdt wel een keer op. En die balans kon wel eens eerder bereikt zijn dan jij denkt.

Eerder was ik ook zo principieel, maar ik ben van gedachten veranderd.

Het vlees is zwak. Als de aanpak "reageer niet op spam" zou werken, zou er geen spam meer bestaan. Overigens zijn niet alle soorten gijzelingen "hetzelfde". De ergste problemen als gevolg van een ransomwarebesmetting zijn met betrekkelijk eenvoudige middelen te voorkomen, die feitelijk, grotendeels, sowieso al nodig waren (omdat ook andere problemen tot dataverlies kunnen leiden). Alleen al daarom kan men ransomware hooguit deels vergelijken met het gijzelen van bijv. soldaten en journalisten in oorlogsgebieden (waarbij andere dadermotieven ook horen te worden meegewogen).

In dit specifieke geval (ransomware) kunnen mensen weer toegang tot hun bestanden krijgen door losgeld te betalen (meerdere onderzoeken wijzen uit dat betalen, in veel gevallen, tot herstel van bestanden leidt). Jij vraagt nu van getroffenen zich persoonlijk op te offeren voor het "goede doel", het "collectief belang". Dat op zich vind ik al unfair jegens die slachtoffers. In aanvulling daarop moet je je realiseren dat dit een advies/verzoek is tegen beter weten in: er zullen altijd mensen zijn die wel betalen (zie bijv. https://www.security.nl/posting/369986/Politiebureau+betaalt+losgeld+na+ransomware-infectie). Dus vraag jij mensen, vanwege jouw idealen, zich voor niets op te offeren.

Maar stel we zijn allemaal van die idealisten, en het lukt om gijzelingen voor de eeuwigheid uit te bannen. Gaat dat er dan ook toe leiden dat alle criminelen het rechte pad zullen kiezen? Ik denk het niet. Ze verzinnen gewoon wat anders.

Ergo, gijzelingen (toekomstige) trachten te voorkomen door niet op eisen in te gaan is vooral symbolisch en ethisch verantwoord, maar uiteindelijk is het een kansloze poging tot symptoombestrijding.

Wat deels wel werkt, is criminelen opsporen, oppakken en straffen (met dit model doen we al "wat langer" ervaring op; iets beters hebben we -helaas- niet kunnen vinden). Bekend is ook dat de daarvan uitgaande dreiging nooit 100% van de potentiële criminelen op het rechte pad zal weten te houden. Anderzijds is ook bekend dat je een deel daarvan weer wel op het rechte pad kunt houden door ze voldoende kansen te bieden in het leven.

Persoonlijk denk ik dat vooral op dat laatste punt veel winst te behalen valt. Niet voor niets zijn cybercriminelen meestal intelligente, vaak goed opgeleide, doch kansloze mensen, in veel gevallen woonachtig in het "oostblok". Goed opgeleid + werkeloos + gevoel tweederangs wereldburger te zijn + hoge inkomsten + kleine pakkans = gerarandeerd kandidaten. In dat licht zie ik een behoorlijk grijs gebied tussen enerzijds het betalen van cybercriminelen, en anderzijds het steunen van Oekraïne en anti-IS strijders. Zo erg is die criminele cashflow naar het Oostblok wellicht ook weer niet?

Wat, specifiek bij de aanpak van ransomware, wel werkt, is mensen bewust maken van het feit dat ze backups moeten maken. Niet alleen vanwege ransomware, maar ook omdat een schijf kapot kan gaan, of bestanden corrupt kunnen raken door, bijvoorbeeld, slechts 1 "vastzittend" RAM bitje (van de 68719476736 in een gemiddelde computer). Een wijziging in dat backupproces is wel dat (minstens 1) backup offline opgeslagen moet worden - om te voorkomen dat ransomware ook de backup(s) vernietigt. Als genoeg mensen dat doen, zal de pakkans op een gegeven moment de winst (inkomsten - investeringen) van de criminelen overstijgen, en zoeken ze een andere inkomstenbron (hoogstwaarschijnlijk wel crimineel).

Misdaad loont; wat jij hooguit kunt bereiken is een verschuiving. Kortom, ik heb begrip voor jouw standpunt, maar deel het niet meer. De wereld is niet zwart/wit.

Als je al de moeite niet neemt om een Virusscanner te kopen en geen backups te maken!
maar wel van ons alle medewerking verwachten.

Ik zeg een goede les voor je! wordt je huidige instelling wel afgestraft.

Virusscanners en on-line backups gaan je niet helpen tegen ransomware.

@Erik,
Wat een onzin verkoop je, kan je het onderbouwen?
Ransomware wordt gewoon herkend en dus verwijderd voordat deze geinstalleerd is.
Verder zie niet hoe ransomware mijn online backups gaan encrypten.

Ik verkoop niks en ik doe mijn uiterste best om geen onzin te schrijven op security.nl, maar soms word ik wat moe van het steeds moeten herhalen en/of heb niet veel tijd, dan beperk ik mij tot kortere bijdragen.

Ransomware uit nepmail van PostNL, medio oktober: https://www.virustotal.com/en/file/92ab5cdf666127883d3edcec41b40137585eb86d554fa9c10d823c4bd18f9f9c/analysis/1413398046/. Zit jouw scanner erbij?

Als jouw backup op DropBox (of een andere automatische online sync) is gebaseerd, worden ook in de backuplocatie nog goede files door versleutelde exemplaren overschreven. Als je backupt op een online, lokaal, NASje, en daar een drive-letter aan geknoopt hebt, kan de ransomware ook op die NAS bestanden versleutelen.

Key hier is echt off-line backups, bij voorkeur meerdere exemplaren. Externe (USB) HDD's kosten niet veel (2TB onder 100 Euro). Zorg dat je er minstens 2 (beter: 3) van hebt en maak op 1 dagelijks backups. Wissel elke week.

Het probleem hiermee is dat de CTB locker een kopie maakt van het originele bestand, de kopie versleutelt en daarna het origineel verwijdert. Hier kan dropbox dus niks mee, omdat er geen eerdere versies van het bestand meer op dropbox staan (als het goed is)


Dit is inderdaad wat ik bedoel. Mijn moeder had een dure betaalde virusscanner helemaal up-to-date die de CTB locker niet herkende. Dan ga je er gewoon van uit dat je genoeg aan viruspreventie hebt gedaan, maar niet elke virusscanner herkent zo'n virus dus blijkbaar.


En zelfs dan moet je opletten. Mijn moeder had nog een extra back-up (los van de dropbox back-up) op een externe HD. Zodra zij deze HD aan de computer hing werden ook alle bestanden op de HD versleuteld. Hier kwam ze uiteraard pas achter toen het al te laat was, omdat haar betaalde virusscanner de CTB Locker niet had herkend... Ik vind het wel bizar dat de CTB Locker in juni/juli voor het eerst opdook, maar er nog steeds geen goede oplossingen voor lijken te zijn gevonden.

Het originele bestand zal voor het eerst gesynchroniseerd zijn met online dropbox folder. Later zal het bestand lokaal verwijderd worden door de ransomware en mogelijk wordt het bestand dan in online dropbox ook verwijderd. Als de versleutelde kopie lokaal geplaatst wordt zal deze ook weer gesynchroniseerd worden. Ik weet niet of dit een revisie is van hetzelfde bestand of dat dropbox het ziet als nieuw bestand. Volgens https://www.dropbox.com/help/296 bewaart dropbox een momentopname van elke wijziging in je Dropbox-map gedurende de afgelopen 30 dagen.... De originele bestanden zouden dus nog beschikbaar moeten zijn!

Beste W. Spu,

Bedankt voor deze toevoeging!! Wat ik telkens probeerde was 'previous versions' op dropbox terug te halen, wat natuurlijk niet lukte aangezien de CTB Locker het origineel had verwijderd en een kopie versleuteld had. Ik was helemaal vergeten dat je met een rechtermuisknop op de dropbox website deleted files kunt laten zien en kunt herstellen. Ik hoop dat mijn moeder hiermee in elk geval de dropbox bestanden terug kan zetten. Voor degenen met hetzelfde probleem, hieronder het stappenplan om verwijderde bestanden van dropbox terug te halen:

Je kunt op dropbox (online) verwijderde bestanden zien en herstellen:
- Ga naar www.dropbox.com en log in
- Ga naar de map waarin bestanden stonden die er nu niet meer in staan
- Klik met je rechtermuisknop ergens in het scherm (links of rechts van de rij met bestanden)
- Nu zie je 'show deleted files'
- Zodra je daarop geklikt hebt verschijnen in het grijs verwijderde bestanden in de lijst, onder het kopje modified aangegeven met 'deleted document'
- Als je op dat verwijderde bestand klikt met rechtermuisknop kun je klikken op 'restore' en dan zet dropbox het bestand terug.

Het enige probleem is nu nog de externe HD met versleutelde bestanden. Mijn moeder is bang dat wanneer ze met een file recovery programma zoals Recuva haar onversleutelde bestanden van de USB stick terughaalt, ze hiermee ook te CTB Locker of trojaans paard terughaalt.

Zijn er nog andere manieren om ervoor te zorgen dat de backup op de externe HD terug kan worden gehaald?

Alvast heel erg bedankt!

Lees de informatie op deze pagina http://www.bleepingcomputer.com/virus-removal/ctb-locker-ransomware-information eens. Als ik het zo snel even lees... De versleutelde bestanden bevatten niet de ransomware. Het virale bestand wordt in de tijdelijke folder geplaatst en via een geplande taak uitgevoerd. Bij iedere reboot wordt dit herhaald met een ander bestand en taak. Door het verwijderen van de uitvooerbare bestanden in de tijdelijke folder en het verwijderen van de geplande taken wordt de infectie verwijderd maar blijven de documenten wel versleuteld.

Als ik het goed begrijp is er dus geen gevaar om de usb stick te gebruiken maar ik zou zeker deze eerst scannen met een computer die opgestart is met een antivirus rescue disk.

Deze uitspraak is wel heel erg kort door de bocht. Sommige ransomware wordt gedetecteerd, sommige niet. Komt er vandaag een nieuwe ransomware variant uit, dan zullen daar op dit moment nog geen definities voor beschikbaar zijn. Misschien wel morgen of overmorgen, maar dan zijn de eerste slachtoffers in ieder geval al gemaakt.

Je kunt *nooit* met zekerheid zeggen dat alle varianten van een bepaald type malware ''gewoon herkend worden''. Indien je mazzel hebt, dan kan je met heuristics dergelijke malware detecteren, voordat er een specifieke signature voor is uitgebracht.

Iedere uitspraak in deze discussie waarin hard gesteld wordt dat virusscanners ransomware wel/niet detecteren is voorbarig, omdat je zo'n generieke uitspraak helemaal niet kunt doen. Het gaat om de vraag welke ransomware, welke scanner, en op welk moment aangezien definitie bestanden voortdurend worden bijgewerkt.

Als de bestanden op de harddisk je serieus wat waard zijn, maak dan eerst een sector-copy van de externe harddisk voordat je er tools als Recuva op loslaat.

Als je niet weet hoe dat moet kan ik wel wat adviezen geven. Afhankelijk van waar je (moeder) woont, hoe belangrijk de bestanden op die schijf - en hoe de kansen op herstel zijn, ben ik evt. ook wel bereid om een paar uur te komen helpen (naast -vereiste- koffie geen andere kosten) in de "kerstvakantie".

The removal part is the hardest, us AVG and a rootkit that will work.
Look at the infected files they have something like

xxxx.jpg.ffhhhggg

Just do this rename to original file
rename xxxx.jpg.ffhhhggg xxxx.jpg.
I still doesn't work but :


Choose properties , Version and Restore an older version it works again (Windows 7)

I you are lazy , click the folder which contains the infected files
and restore an old version of the folder.

You now have 2 copies ot files , the infected one an the original. Just delete
the infected files. Do the same thing witch docs.
This does'nt work for files in the root directory. I am woking on that one.

Regards Layek