Help!

PC-Problemen?
De vrijwilligers van Oplossing.be zoeken gratis met u mee!

Hulp bij posten

Recente topics

Auteur Topic: slc virus  (gelezen 4242 keer)

0 leden en 1 gast bekijken dit topic.

Offline Paul.rosseel

  • Nieuw lid
  • Berichten: 2
  • Geslacht: Man
  • Oplossing.be
slc virus
« Gepost op: 10 december 2016, 18:29:34 »
Ik werd geconfronteerd met een virus waardoor al mijn documenten zijn aangetast. Alle documenten kregen de extensie SCL ipv .doc en werden onleesbaar. Een nota verscheen op het scherm: to encrypted contact e-mail1 : enc8@dr.com of e-mail2: enc8@usa.com. Aanvullend verscheen de tekst: after 72 hours: the main server will double your price.
Kan iemand mij helpen met een werkwijze om enkele belangrijke documenten te recupereren zonder in te gaan op hun voorstellen.
Dank.

Offline SoftAid

  • Administrator
  • Ambassadeur
  • *****
  • Berichten: 20.129
  • Geslacht: Man
  • Nobody is perfect, not even me...
Re: slc virus
« Reactie #1 Gepost op: 10 december 2016, 19:18:14 »
Hallo Paul.rosseel,

Welkom op Oplossing.be.

Je bent inderdaad slachtoffer van Ransomware, malware die je computer hackt, en waarin beloofd wordt dat je je bestanden terug krijgt tegen betaling. Ga inderdaad nooit in op de voorstellen van deze hackers, het helpt toch niet. Na betaling vragen ze gewoon nogmaals het dubbele.

We gaan proberen je te helpen.

Laat de besmette PC zeker aanstaan. Start hem niet terug op vooraleer we dat aangeven. Terug opstarten zal de besmetting enkel verergeren.

Laat weten of je vanaf de besmette PC werkt, of vanaf een andere (niet-besmette PC). In het laatste geval, haal de Internetaansluiting van de besmette PC af.

Intussen zoeken we hier al op met welke methode deze malware kunnen bestrijden.

:) SoftAid :)             


Maximum grootte bijlagen vergroot naar 4 MB
Dubbelposten, het posten op verschillende forums van dezelfde vraag, dient op
voorhand gemeld te worden, met een link naar het topic op de andere site.
Overtreding van deze regel kan bestraft worden met verbanning !

Offline KAPE

  • Security Expert
  • Ambassadeur
  • *****
  • Berichten: 2.948
  • Geslacht: Man
  • Wie zoekt, die vindt !
Re: slc virus
« Reactie #2 Gepost op: 11 december 2016, 06:06:54 »
Hallo Paul.rosseel,

Download MBAM (Malwarebytes Anti-Malware) op een niet-besmette PC. Breng dit met een USB-stick over naar de besmette PC.

Dubbelklik op mbam-setup.exe om het programma te installeren.

Zorg ervoor dat er een vinkje geplaatst is voor Update Malwarebytes' Anti-Malware (hiervoor dien je uiteraard de internetaansluiting terug aan te hangen tot de update uitgevoerd is)en Start Malwarebytes' Anti-Malware, Klik daarna op "Voltooien".
Indien een update gevonden werd, zal die gedownload en geïnstalleerd worden.
Wanneer het programma volledig up to date is, selecteer dan in het tabblad Scanner : "Snelle Scan", daarna klik op Scan.
Het scannen kan een tijdje duren, dus wees geduldig.
Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien.
Zorg ervoor dat daar alles aangevinkt is, daarna klik op: Verwijder geselecteerde.
Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten. (Zie verder).

Indien er de rootkit (TDSS) aanwezig is, zal MBAM vragen te herstarten. Doe dit dan ook.
MBAM zal na de herstart opnieuw scannen en de rootkit verwijderen.

Het log wordt automatisch bewaard door MBAM en kan je terugvinden door op de "Logs" tab te klikken in het programma.

Indien MBAM moeilijkheden heeft met het verwijderen van bepaalde bestanden zal het enkele meldingen geven waar je OK moet klikken. Daarna zal het vragen om de computer opnieuw op te starten... dus sta toe dat MBAM de computer opnieuw opstart.

Plak de inhoud van het logje in je volgende bericht.


Kape

Offline Paul.rosseel

  • Nieuw lid
  • Berichten: 2
  • Geslacht: Man
  • Oplossing.be
Re: slc virus
« Reactie #3 Gepost op: 14 december 2016, 10:58:59 »
Beste,

Ik heb de procedure van Malwarebites uitgevoerd, helaas zonder resultaat. Er zijn 1500 bedreigingen gedetecteerd maar de bestanden behouden de extensie slc en zijn niet leesbaar in Office.  Ik probeer Adware cleaner te downloaden maar zie dat dit programma niet meer bestaat en opgenomen is in Malwarebitessoftware.  Kan er nog iemand een andere oplossing voorstellen.

Alvast dank !

Paul

Offline Louise Porkolt

  • Lid
  • *
  • Berichten: 10
  • Geslacht: Vrouw
  • Oplossing.be
Re: slc virus
« Reactie #4 Gepost op: 14 december 2016, 11:50:37 »
Hallo allemaal,

Helaas is er weinig aan te doen NA de feiten !

Wij hebben reeds 2 of 3 maal de ransomware gehad op pc's van gebruikers en alle bestanden (in het profiel, op de shared server-locaties waar die overal toegang op heeft) waren besmet.
Gelukkig hebben we een automatische backup die een snapshot maakt van alle servers elke 2 uur en 1 maal per week wordt deze op TAPE weggeschreven. Maximaal 2 uur werk kwijt en op een mum van tijd staan alle backups terug !

Natuurlijk is dit op kleine schaal ook mogelijk maar er moet een minimale investering gebeuren hiervoor en moet iedereen werken met bestanden op een centrale server.

Ook is het aan te raden om te werken met een USER-account. Meestal zijn alle thuisgebruikers of kleine zelfstandigen ADMIN op hun PC... dat vraagt gewoon om problemen !

Er zijn soms oude ransom-ware virussen die gekraakt geweest zijn en kunnen ontsleuteld worden maar met de hoeveelheid van die oplichters/versleutelingen is het bijna onbegonnen werk.
De extensie is ook altijd anders !

Hopelijk gaat het je goed met je data en betaal die oplichters NOOIT !

mvg, Louise.
In the world of information technology, we as IT professionals are presented problems of all kinds, in hopes that we, the superheroes of tech, might reach into that magical hat and pull yet another rabbit from the mystical depths of unknown origine.

Offline KAPE

  • Security Expert
  • Ambassadeur
  • *****
  • Berichten: 2.948
  • Geslacht: Man
  • Wie zoekt, die vindt !
Re: slc virus
« Reactie #5 Gepost op: 14 december 2016, 14:05:16 »
Kan je eens kijken of je in systeemherstel een hersteldatum hebt van vóór de gebeurtenissen met de ransomware. Indien ja, probeer die datum eens terug te zetten ... en bekijk dan eens of dit enig verschil maakt ?

Offline Louise Porkolt

  • Lid
  • *
  • Berichten: 10
  • Geslacht: Vrouw
  • Oplossing.be
Re: slc virus
« Reactie #6 Gepost op: 14 december 2016, 15:34:56 »
Dat zou mooi geprobeerd zijn Kape, maar windows Restorepoints werken enkel op windows bestanden, instellingen en registry inhoud !
Persoonlijke data (het enige waar die afpersers baat bij hebben om te incrypteren) wordt hiermee niet teruggezet !

groetjes, Louise.
In the world of information technology, we as IT professionals are presented problems of all kinds, in hopes that we, the superheroes of tech, might reach into that magical hat and pull yet another rabbit from the mystical depths of unknown origine.

Offline KAPE

  • Security Expert
  • Ambassadeur
  • *****
  • Berichten: 2.948
  • Geslacht: Man
  • Wie zoekt, die vindt !
Re: slc virus
« Reactie #7 Gepost op: 14 december 2016, 15:44:25 »
Dat is me bekend, Louise ... maar wilde toch eens weten wat de invloed ervan op de bestanden zou kunnen zijn. Bij ransomware zitten zoveel verschillende versies, dat een uitgebreidere analyse van het probleem nuttig kan zijn.

Offline Louise Porkolt

  • Lid
  • *
  • Berichten: 10
  • Geslacht: Vrouw
  • Oplossing.be
Re: slc virus
« Reactie #8 Gepost op: 14 december 2016, 15:51:14 »
Hey Kape,
Je kan proberen...

Bij dit soort aanvallen mogen bij ons de PC niet meer op het netwerk gehangen worden en moeten dus gewoon 'herbuild' worden!

groetjes, Louise.
In the world of information technology, we as IT professionals are presented problems of all kinds, in hopes that we, the superheroes of tech, might reach into that magical hat and pull yet another rabbit from the mystical depths of unknown origine.

Offline KAPE

  • Security Expert
  • Ambassadeur
  • *****
  • Berichten: 2.948
  • Geslacht: Man
  • Wie zoekt, die vindt !
Re: slc virus
« Reactie #9 Gepost op: 14 december 2016, 16:00:11 »
Er is momenteel nog geen enkele oplossing om deze Cryptomix-variant van de PC te verwijderen ... dit was enkel een poging om informatie te verzamelen.

Want wat TS Paul.Rosseel zeker niet mag doen is het gevraagde bedrag betalen. Niet alleen kan dit behoorlijk hoog zijn, maar via de betaling stelt hij zich mogelijk ook nog bloot aan meer inbraak in de PC. Bovendien is er geen enkele garantie dat door betaling van het gevraagde, ook een code wordt afgeleverd die de geëncrypteerde bestanden terug naar hun oorspronkelijke toestand kan brengen. In de meeste gevallen wordt de betaalde som netjes ontvangen en en gebeurt er verder niets.

Het enige wat momenteel doenbaar is - maar dat lost het probleem niet op - is de gewijzigde bestanden op een beschermde locatie (misschien best extern) opslaan ... en hopen dat antivirusbedrijven of malwarebestrijders binnen redelijke termijn een oplossing vinden. Maar ondertussen blijven deze bestanden natuurlijk onbruikbaar ... en niets zegt dat dit niet permanent het geval zal zijn  >:(

Offline Louise Porkolt

  • Lid
  • *
  • Berichten: 10
  • Geslacht: Vrouw
  • Oplossing.be
Re: slc virus
« Reactie #10 Gepost op: 14 december 2016, 16:20:49 »
Ik heb al van 1 iemand gehoord dat die de sleutel alsnog gekregen heeft na betaling van een kleine 600€. Maar de ene oplichter is de andere niet ! Die volgen toch geen "code" behalve die die ze zelf schrijven !  ;) 

De bestanden hebben meestal geen enkel virus in zich... hebben we al uitgezocht.
Cryptolocker is zo snel dat het alle docs, ppt, xls en andere veelgebruikte bestanden incrypteert en zichzelf onmiddellijk verwijdert ! Er bleek ook een limiet te zitten op het aantal bestanden die het blokkeert. Anders was het met Reverse-engineering iets te simpel voor de AV-bedrijven !

Tot zover is het vrij permanent.
In the world of information technology, we as IT professionals are presented problems of all kinds, in hopes that we, the superheroes of tech, might reach into that magical hat and pull yet another rabbit from the mystical depths of unknown origine.

 


www.combell.com