Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Cryptolocker RSA-4096 deactiveren?

28-03-2016, 10:24 door Katja, 15 reacties
Laatst bijgewerkt: 28-03-2016, 10:34
Sinds januari zijn onze bestanden versleuteld door het cryptolocker virus. Inmiddels veel gelezen en e.e.a. Verwijderd, mbv malwarebytes, maar het blijft actief. Als het virus weg is wilde ik eigenlijk afwachten of het mogelijk is de versleuteling ongedaan te maken (al duurt het 2 jaar), we hebben stom genoeg geen Back-up.

Bij opstarten verschijnen 2 notities in kladblok en hij opent 2x via internet help recover instructions. Ik ben niet van plan te betalen, maar zo'n boodschap is het wel.

Nu graag advies wat ik kan doen om het virus te deactiveren.

In elke bestandsmap zit een notitie van kladblok met onderstaande tekst. Elk bestand heeft achter de oorspronkelijke indeling .micro staan, dus afbeelding1.jpg.micro

Dit is de tekst in kladblok:


__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!

NOT YOUR LANGUAGE? USE https://translate.google.com

What happened to your files ?
All of your files were protected by a strong encryption with RSA-4096.
More information about the encryption keys using RSA-4096 can be found here: http://en.wikipedia.org/wiki/RSA_(cryptosystem)

How did this happen ?
!!! Specially for your PC was generated personal RSA-4096 KEY, both public and private.
!!! ALL YOUR FILES were encrypted with the public key, which has been transferred to your computer via the Internet.
Decrypting of your files is only possible with the help of the private key and decrypt program, which is on our secret server.

What do I do ?
So, there are two ways you can choose: wait for a miracle and get your price doubled, or start obtaining BTC NOW, and restore your data easy way.
If You have really valuable data, you better not waste your time, because there is no other way to get your files, except make a payment.

For more specific instructions, please visit your personal home page, there are a few different addresses pointing to your page below:
1. http://p5vnwj4nfszlk.chamablunk.com/34526B277B112F7A
2. http://ms4ndslkjn4kfsd.getmoneyfastzz.com/34526B277B112F7A
3. http://kd78fnsmbh4nfsd.moplachela.com/34526B277B112F7A
If for some reasons the addresses are not available, follow these steps:
1. Download and install tor-browser: http://www.torproject.org/projects/torbrowser.html.en
2. After a successful installation, run the browser and wait for initialization.
3. Type in the address bar: wbozgklno6x2vfrk.onion/34526B277B112F7A
4. Follow the instructions on the site.

!!! IMPORTANT INFORMATION:
!!! Your personal pages:
http://p5vnwj4nfszlk.chamablunk.com/34526B277B112F7A
http://ms4ndslkjn4kfsd.getmoneyfastzz.com/34526B277B112F7A
http://kd78fnsmbh4nfsd.moplachela.com/34526B277B112F7A
!!! Your personal page in TOR Browser: wbozgklno6x2vfrk.onion/34526B277B112F7A
!!! Your personal identification ID: 34526B277B112F7A
--------------------------------------------------------------------------------------------------------

dit opent in de internetpagina:


__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!

NOT YOUR LANGUAGE? USE https://translate.google.com

What happened to your files ?
All of your files were protected by a strong encryption with RSA-4096.
More information about the encryption keys using RSA-4096 can be found here: http://en.wikipedia.org/wiki/RSA_(cryptosystem)

How did this happen ?
!!! Specially for your PC was generated personal RSA-4096 KEY, both public and private.
!!! ALL YOUR FILES were encrypted with the public key, which has been transferred to your computer via the Internet.
Decrypting of your files is only possible with the help of the private key and decrypt program, which is on our secret server.

What do I do ?
So, there are two ways you can choose: wait for a miracle and get your price doubled, or start obtaining BTC NOW, and restore your data easy way.
If You have really valuable data, you better not waste your time, because there is no other way to get your files, except make a payment.

For more specific instructions, please visit your personal home page, there are a few different addresses pointing to your page below:
1. http://p5vnwj4nfszlk.chamablunk.com/34526B277B112F7A
2. http://ms4ndslkjn4kfsd.getmoneyfastzz.com/34526B277B112F7A
3. http://kd78fnsmbh4nfsd.moplachela.com/34526B277B112F7A
If for some reasons the addresses are not available, follow these steps:
1. Download and install tor-browser: http://www.torproject.org/projects/torbrowser.html.en
2. After a successful installation, run the browser and wait for initialization.
3. Type in the address bar: wbozgklno6x2vfrk.onion/34526B277B112F7A
4. Follow the instructions on the site.

!!! IMPORTANT INFORMATION:
!!! Your personal pages:
http://p5vnwj4nfszlk.chamablunk.com/34526B277B112F7A
http://ms4ndslkjn4kfsd.getmoneyfastzz.com/34526B277B112F7A
http://kd78fnsmbh4nfsd.moplachela.com/34526B277B112F7A
!!! Your personal page in TOR Browser: wbozgklno6x2vfrk.onion/34526B277B112F7A
!!! Your personal identification ID: 34526B277B112F7A
--------------------------------------------------------------------------------------------------------
Reacties (15)
28-03-2016, 10:33 door Anoniem
Lijkt mij het beste om dan je versleutelde bestanden te backuppen.
En dan WIndows opnieuw installeren waarbij je wel alles wist.
Overigens is deze encryptie zo sterk dat 2 jaar of zelfs 20 jaar niet genoeg zal zijn.
28-03-2016, 12:00 door Anoniem
Zonder backup is de klant heel klein dat je je bestanden terug krijgt.
28-03-2016, 15:12 door Katja
Dank voor je reactie. Alles backuppen is nu vast de beste oplossing in afwachting van de decodeercode die soms gevonden schijnt te worden.

Ik hoopte dat ik het virus nog normaal kan verwijderen zodat m'n pc als Back-up kan dienen, we gaan toch voor een nieuwe. Kan dat ook? Hoe verwijder ik het virus en weet ik zeker dat het gedeactiveerd is?
28-03-2016, 16:26 door Anoniem
Ja, het is mogelijk om het virus te verwijderen, het internet staat vol met handleidingen.
Maar het is duidelijk dat jer er niet genoeg van af weet om het zelf te doen.
Dus haal er iemand bij of herinstalleer de pc.
28-03-2016, 17:43 door wizzkizz - Bijgewerkt: 28-03-2016, 17:48
Gezien de URL's waar je naar toe wordt gestuurd, heb je denk ik een versie van TeslaCrypt te pakken. Met een beetje mazzel heb je een versie kleiner dan 3. Voor versie 3 is afaik nog geen decryptie beschikbaar, voor eerdere versies wel.

http://www.zdnet.com/article/teslacrypt-vulnerability-exposes-ransomed-files-to-free-cracking/
The design flaw has allowed researchers the opportunity to develop software able to generate decryption keys for TeslaCrypt files with the extensions .ECC, .EZZ, .EXX, .XYZ, .ZZZ,.AAA, .ABC, .CCC, and .VVV.

The newest version of TeslaCrypt utilizes the .TTT, .XXX, and .MICRO extensions., which is yet to be cracked.

Wat ik zou doen:
- sowieso nu een backup maken van alle (versleutelde) bestanden die je wilt bewaren, op een extern medium (USB of HDD).
- kijken of je de bestanden kunt ontsleutelen met een van de in het bovenstaande artikel genoemde tools
- zo niet, bepalen of je de data waardevol genoeg vind om te betalen
- data ontsleutelen
- computer formatteren en windows opnieuw installeren
- backup plan maken (met versiebeheer) en uitvoeren, inclusief off-site backup (bijvoorbeeld versleuteld in de cloud)
- Volg de beveiligingstips die elders op dit forum worden gegeven.

[update 1]
Lees nu dat je schrijft dat de bestanden de extensie "micro" hebben gekregen. Das jammer, want je hebt een versie die afaik nog niet gekraakt is.

Lees wel op deze pagina http://nabzsoftware.com/types-of-threats/teslacrypt-3-0 dat het oorspronkelijke bestand "normaal" verwijderd zou worden en je dat mogelijk met software voor file recovery kunt terughalen.
Dat zou nog een optie kunnen zijn.
13-04-2016, 15:31 door Anoniem
[Verwijderd door moderator]
13-04-2016, 23:40 door Anoniem
Door Anoniem: Besmet met dit virus een paar dagen geleden. Proberen om deze handleiding te gebruiken: ***************
Kan ik vertrouw het?

Gezien de taal ('kan ik vertrouw het') lijkt me deze reactie met link eerder (via google vertaalde) spam voor de genoemde site dan een serieuze reactie.

Ik zou de neiging hebben het gehele antwoord van 15:31 niet te vertrouwen en de link beslist niet in mijn browser openen!
14-04-2016, 08:16 door Anoniem
Je kan best het virus verwijderen maar de encrypte bestanden hou je en zijn bijna onmogelijk om te decrypten zeker als elk bestand een andere handtekening heeft (diffie-hellman). Backup blijft altijd de beste oplossing voor ransomware. Zoals Wizzkizz al zei; je moet geluk hebben dat je een oude versie te pakken hebt maar gezien de meeste ransomware via ads verspreid worden zal dit helaas wel een actuele zijn.

Ongeacht van wat al die nieuwswebsites je vertellen niet te doen; gebruik anti-advertentie software! NoScript, Adblock (niet plus), Ghostery, etc. Zo kan je ook nooit per ongeluk op een advertentie klikken.
19-05-2016, 13:45 door Anoniem
Ter info:
https://www.security.nl/posting/471356/Makers+TeslaCrypt-ransomware+zetten+decryptiesleutel+online
22-08-2016, 21:02 door Anoniem
Ik reageer weliswaar anoniem maar die methode van whizzkizz ofzo die heeft voor mij wel gewerkt ,. was even goed kijken met die tesla software en Yafu software ,. natuurlijk was de key die ik kreeg niet bekend op zo`n website en heb ik het via die Yafu moeten proberen , het duurde een tijdje maar uiteindelijk heb ik alles weer terug !

Bedankt !
Grtz
Lowice
31-08-2016, 15:07 door jan w
er is een oplossing om je files terug te zetten :
ga naar http://support.eset.com/kb6051/
en volg de instructies. Ik heb het gedaan en heb al mijn foto's terug
31-08-2016, 15:52 door Anoniem
Zie https://www.nomoreransom.org/ voor handige informatie en decrypt tools.!
31-08-2016, 15:55 door Anoniem
Weet iemand wat de reden is om juist níet Adblock plús te gebruiken? (zoals op 14-04-2016, 08:16 door Anoniem vermeld)
01-09-2016, 21:47 door Anoniem
Wat je na een infectie kan doen is direct een forensisch / RAW imagebestand maken met b.v. acronis, ghost of clonezilla en vervolgens de schijf readonly mounten (Kali linux live cd) en scannen op verwijderde bestanden om de originele bestanden terug te halen. Het versleutelde bestand is namelijk een nieuw exemplaar van het orgineel, wat achteraf gewoon gedelete is en dus undelete kan worden. Eerste reactie op dit topic is daarom niet bepaald slim; Windows opnieuw installeren beschadigd de orginele bestanden.
10-09-2016, 13:36 door Anoniem
Hoi, mijn pc is deze week besmet met een randsomevirus. Na formatteren en windows opnieuw installeren, bleek dat het virus niet weg is. Het zit in mijn microsoft live account. Helaas vind ik nog nergens uitleg over hoe dit te verwijderen en microsoft hedft in heg weekend geen helpdesk. Heeft iemand hier al ervaring mee?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.