Auteur Topic: Crypto-Malware (gelezen 8084 keer)

svenneke · « **Gepost op:** 01 mei 2015, 09:16:46 »

hey ik heb een virus denk ik
ik krijg een kladblok met de melding
All your documents, photos, databases and other important files have been encrypted

with strongest encryption RSA-2048 key, generated for this computer.

Private decryption key is stored on a secret Internet server and nobody can

decrypt your files until you pay and obtain the private key.

If you see the main encryptor red window, examine it and follow the instructions.

Otherwise, it seems that you or your antivirus deleted the encryptor program.

Now you have the last chance to decrypt your files.

Open https://qcuikaiye577q3p2.aenf387awmx28.com or https://qcuikaiye577q3p2.od9wjn4iene29.com ,

https://qcuikaiye577q3p2.s5.tor-gateways.de/ in your browser.

They are public gates to the secret server.

Copy and paste the following Bitcoin address in the input form on server. Avoid missprints.

18xJeikxcmxgo6uhwwYvopHqBg6HANXaN8

Follow the instructions on the server.

If you have problems with gates, use direct connection:

1. Download Tor Browser from https://torproject.org

2. In the Tor Browser open the https://qcuikaiye577q3p2.onion/

Note that this server is available via Tor Browser only.

Retry in 1 hour if site is not reachable.

Copy and paste the following Bitcoin address in the input form on server. Avoid missprints.

18xJeikxcmxgo6uhwwYvopHqBg6HANXaN8

Follow the instructions on the server.

kan iemand me helpen?
alvast bedankt

SoftAid · « **Reactie #1 Gepost op:** 01 mei 2015, 10:16:08 »

Hallo svenneke,

ik hoop dan voor jou dat je een goede back-up hebt, want anders ben je al je bestanden, foto's, muziek en dergelijke kwijt.

De suggestie dat je na het betalen van een som geld een sleutel zou krijgen waarmee je je bestanden terug kan ontgrendelen levert enkel een vraag voor nog maar geld te storten op.

Het gaat hier om een heel boosaardig virus van een professionele hackers-bende.

Het virus kan je verwijderen, daar zijn middelen voor, maar je bestanden ontgrendelen gaat niet.
Mocht het je lukken (we helpen je daar graag mee) om het virus volledig te verwijderen, dan zou je bepaalde (hoeveel?) bestanden kunnen terug zetten met "Vorige versies terug zetten", een functie in Windows Vista, 7 en 8 die, ALS er vorige versies van een bestand zijn, deze versies bijhoudt.
Ook de functie "Shadow copies" werkt op een gelijkaardige manier, maar ook hier moet je veel geluk hebben.

Het spijt me....

Zelf zou ik graag zo een PC willen onderzoeken daar ik een idee heb om mogelijk een deel van de bestanden terug te halen, maar dat moet ik proefondervindelijk kunnen doen.

Innige deelneming,

SoftAid

AAN ALLEN: Dit virus kan bestanden versleutelen op alle media, dus niet alleen op je interne HDD. Zelfs bestanden die "in de cloud" staan worden versleuteld. MAAK DAAROM zo snel mogelijk EEN BACK-UP (IMAGE) VAN AL JE PARTITIES, EN ZET DEZE OP EEN EXTERNE HDD. (Update deze back-ups regelmatig, zeker bij belangrijke bestanden.)
Koppel deze USB-HDD steeds los als je geen Image aan het maken bent. Vraag uitleg indien je niet weet hoe.

SoftAid · « **Reactie #2 Gepost op:** 05 mei 2015, 23:50:05 »

Al enkele leden van Oplossing.be hebben hun PC zien geïnfecteerd worden door "Crypto malware".

Ik wil met dit schrijven nogmaals jullie aandacht vestigen op de ernst en sterkte van deze malware.

Citaat van: SoftAid op 01 mei 2015, 10:16:08

Mocht het je lukken (we helpen je daar graag mee) om het virus volledig te verwijderen, dan zou je bepaalde (hoeveel?) bestanden kunnen terug zetten met "Vorige versies terug zetten", een functie in Windows Vista, 7 en 8 die, ALS er vorige versies van een bestand zijn, deze versies bijhoudt.
Ook de functie "Shadow copies" werkt op een gelijkaardige manier, maar ook hier moet je veel geluk hebben.

Zoals te verwachten was: Alpha Crypt (en Tesla Crypt) verwijderd nu ook de shadow kopie van de bestanden, dus zelfs dat kan je niet meer gebruiken om toch nog enkele bestanden te redden.
Alle bestanden op je PC, Externe HDD, USB-stick, netwerk- en cloud-opslag, worden onherroepelijk versleuteld INDIEN ze een van de vele door de malware herkende extenties hebben. Mogelijk ligt hierin een voorlopige oplossing als je niet in de mogelijkheid bent om je bestanden naar een veilige plek te dupliceren.

Je zou voor je voornaamste bestanden mogelijk kunnen kiezen om de extentie te wijzigen in een onbestaande extentie, bijvoorbeeld:
Sinterklaas.docx veranderen in Sinterklaas.docx.123 . Het bestand met de extentie .docx wordt door het virus versleuteld, het bestand met de extentie .123 niet. Toch blijft het bestand voor jou goed herkenbaar, en kan je het in Verkenner eenvoudig hernoemen en terug in zijn oude staat herstellen.
Doe dit laatste wel niet als je een infectie hebt opgelopen, want dan wordt het bestand alsnog versleuteld.
Dit lijkt zeer omslachtig en is het ook.

Je kan wel een hele map bestanden in een Zip-bestand persen, en dit zip-bestand een andere (bijvoorbeeld .123) extentie geven.
Malware zal evenwel mee evolueren met de Anti-malware, en ook deze tricks doorzien, na bepaalde tijd.

AAN ALLEN: Dit virus kan bestanden versleutelen op alle media, dus niet alleen op je interne HDD. Zelfs bestanden die "in de cloud" staan worden versleuteld. MAAK DAAROM zo snel mogelijk EEN BACK-UP (IMAGE) VAN AL JE PARTITIES, EN ZET DEZE OP EEN EXTERNE HDD. (Update deze back-ups regelmatig, zeker bij belangrijke bestanden.)
Koppel deze USB-HDD steeds los als je geen Image aan het maken bent. Vraag uitleg indien je niet weet hoe.

SoftAid

SoftAid · « **Reactie #3 Gepost op:** 06 mei 2015, 00:04:38 »

(Extenties van) bestanden die worden worden versleuteld door Tesla Crypt (+/- 1 maart 2015) en Alpha Crypt (+/- 1 mei 2015)

extenties die door TeslaCrypt worden aangevallen:

.7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .sc2save, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mcgame, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .001, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .DayZProfile, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, .unity3d, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbfv, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt

De extenties die door Alpha Crypt worden versleuteld:

.sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt

SoftAid

Help!

Menu

Hulp bij posten

Zoeken

Recente topics