Computerbeveiliging - Hoe je bad guys buiten de deur houdt

.vvv Encryption virus. Help?

16-03-2016, 09:14 door Interesting, 18 reacties
Goedemorgen,

ik ben zojuist gebeld door een collega die een groot probleem heeft. Zijn bedrijf is getroffen door een encryptie virus. Bijna al ze bestanden zijn geëncrypt en hebben de extensie .vvv gekregen. Meer als dit weet ik helaas ook nog niet. Ik heb op dit moment de vraag uit staan bij hem of hij ergens bestanden zoals dit is tegengekomen: Recovery_File_*****.txt, restore_files_*****.txt, recover_file_*****.txt, HOWTO_RESTORE_FILES_*****.txt, howto_recover_file_*****.txt, _how_recover_*****.txt (where * are random characters)

Als ik daar de inhoud van weet kom ik iets meer te weten over het virus en zal ik ook hier plaatsen. Maar ik dacht misschien in de tussentijd heeft hier iemand al een oplossing?
Reacties (18)
16-03-2016, 09:21 door Anoniem
Enige optie met dit soort gevallen is een IT specialist bellen. Wij kennen je netwerk en infrastructuur niet, en iets over het hoofd zien is snel gebeurt. Eerst moet de bron gevonden worden en ontsmet, en daarna kan je met de rest beginnen.

Sterkte en succes daar ieder geval!
16-03-2016, 09:22 door Anoniem
Er is op het moment hier geen oplossing voor, behalve als het een verouderde encryptie virus(ransomware) is.
De enige manier om de bestanden terug te krijgen, is het betalen van het gevraagde bedrag.

Is het een verouderde ransomware, dan kan het zijn dat er een oplossing hiervoor is.
16-03-2016, 09:59 door Interesting
Bedankt voor de reacties!

Ik weet dat jullie ook te weinig weten van zijn infrastructuur en netwerk, maar toch zat dat hele kleine sprankeltje hoop ergens dat er zo de oplossing zou komen. I know..... niet realistisch maar kon het altijd proberen toch?

Ik heb ondertussen deze website gevonden https://www.pcrisk.com/removal-guides/8724-teslacrypt-virus

Omdat het .vvv bestanden zijn ga ik er vanuit dat het een oude versie van encryptie en met een tool te decrypten is volgens de website. Test moet uitwijzen of het ook werkt.

Helaas weet ik ook te weinig van zijn infrastructuur en netwerk af om hem goed te helpen. Ik heb hem en zijn IT-er op weg geholpen met wat informatie en een tool die ze kunnen proberen. Anders word het denk toch de ransom betalen voor hem....
16-03-2016, 10:20 door Vandy - Bijgewerkt: 16-03-2016, 10:20
Door Anoniem 16-3-2016 09:22: Er is op het moment hier geen oplossing voor, behalve als het een verouderde encryptie virus(ransomware) is.
De enige manier om de bestanden terug te krijgen, is het betalen van het gevraagde bedrag.
Backup terugzetten? En aangezien het om een bedrijf gaat, zal er vast een backup van gisteren zijn.
16-03-2016, 10:30 door Anoniem
Eerst zorgen dat het virus niet meer actief is voordat je backup aankoppeld! Anders wordt deze ook gecrypt.
16-03-2016, 10:56 door Anoniem
Door Vandy:
Door Anoniem 16-3-2016 09:22: Er is op het moment hier geen oplossing voor, behalve als het een verouderde encryptie virus(ransomware) is.
De enige manier om de bestanden terug te krijgen, is het betalen van het gevraagde bedrag.
Backup terugzetten? En aangezien het om een bedrijf gaat, zal er vast een backup van gisteren zijn.

Klopt, was dit helaas vergeten te vermelden.
16-03-2016, 14:11 door Interesting
Die optie was natuurlijk al voorbij gekomen. Maar.... Is helaas ook geëncrypt......
16-03-2016, 14:39 door Rolfieo
Door Interesting: Die optie was natuurlijk al voorbij gekomen. Maar.... Is helaas ook geëncrypt......
Daarom moet je ook meerdere backups hebben, en dan offline bewaren.

Eigenlijk een beetje standaard Backup Technologie. Een goede backup inregelen is altijd van belang. Maar dit is ook weer iets met kalf en put......
Misschien tijd voor een andere ICTer? Want een goede backup is toch echt heel basic. Offsite NAS icm met rsnapshot scriptje werkt al perfect. En zo zijn er nog diverse andere mogelijkheden die niet veel geld kosten...
Hoe is het bedrijf nu bijvoorbeeld beveiligd tegen brand? Wat is er dan te restoren aan data?
16-03-2016, 15:16 door Interesting
Ik ken het principe van "goede" backups en hoe het te regelen / uit te denken. Helaas weet ik ook niet hoe ze backups verder zijn geregeld en ben ik als buitenstaander gebeld of ik nog wat weet.
Misschien moet ik toch maar eens langsgaan voor een kort advies gesprek. Helaas is het wel mosterd na de maaltijd.
16-03-2016, 15:49 door Anoniem
how about "vorige versies" of een restore?
16-03-2016, 15:59 door Interesting
Ik heb al mijn tips en ideeën doorgegeven aan hem. Ook oudere backups / vorige versies. Ik heb nog niks terug gehoord.
16-03-2016, 16:25 door Anoniem
Helaas niks aan te doen op dit moment. Hopelijk heeft je collega een offsite back-up geregeld anders is de enige manier om zijn bestanden terug te halen de ransom betalen.
16-03-2016, 18:20 door Anoniem
zie hier:
https://github.com/Googulator/TeslaCrack

Succes
16-03-2016, 20:16 door Anoniem
Door Rolfieo:een goede backup is toch echt heel basic. Offsite NAS icm met rsnapshot scriptje werkt al perfect.
Dat is nou net een voorbeeld van hoe het niet moet.
Handig ja. Maar niet veilig.

Goede voorbeelden zijn dumps op tape met een aantal generaties, backup naar een losse USB disk die afgekoppeld
en van de site gehaald wordt, etc.
17-03-2016, 11:25 door Interesting
Door Anoniem: zie hier:
https://github.com/Googulator/TeslaCrack

Succes
Bedankt! Ook deze tip doorgestuurd.

Tool op deze website: https://www.pcrisk.com/removal-guides/8724-teslacrypt-virus
Was niet gelukt kreeg ik door.
17-03-2016, 13:17 door Rolfieo
Door Anoniem:
Door Rolfieo:een goede backup is toch echt heel basic. Offsite NAS icm met rsnapshot scriptje werkt al perfect.
Dat is nou net een voorbeeld van hoe het niet moet.
Handig ja. Maar niet veilig.

Goede voorbeelden zijn dumps op tape met een aantal generaties, backup naar een losse USB disk die afgekoppeld
en van de site gehaald wordt, etc.
Perfect nee. Maar het werkt wel.Tape werkt inderdaad nog mooier, maar zie je eigenlijk nergens meer terug.
USB harddisk backup,werkt ook goed. Maar ook niet ideaal.

Offsite NAS icm met snapshot is een redelijk goede methode. Perfect nee, maar je heb versies, offsite, en pull vanuit de NAS. Voor een MKB een goede, al kan het nog stukke beter.
17-03-2016, 15:41 door Anoniem
*zucht*
Hoe vaak moet het nog gezegd worden? Maak een "goede" back-up. Zelf maak ik 1x per 2 maanden een complete back-up (image) van mijn C-schijf. Tussendoor maak ik wekelijks een back-up van mijn data bestanden. Als ik ooit word getroffen door een encryption virus kan ik dus altijd mijn hele systeem terug zetten, inclusief mijn data bestanden.

Windows bevat zelf de mogelijkheid om je hele systeem te back-uppen. Voor de data back-up gebruik ik een los programaatje, waarvan er diversen gratis te downloaden zijn.

Ohwja: Een "goede" backup is pas "goed" als je minimaal 2 back-ups bewaart op een niet aangesloten externe schijf.

Zo moeilijk is dat toch niet?
17-03-2016, 17:19 door Anoniem
Er zijn tools beschikbaar, die (verouderde) encryptietechnieken kunnen kraken. Je moet een versleutelt bestand hebben, en exact het zelfde bestand onversleutelt, die het programma vergelijkt en vervolgens komt er een sleuten uitrollen. Ik wens je veel geluk!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.