PDA

Volledige versie bekijken : foto extenties na cyber aanval dringend hulp gevraagd!



bommasien
23 april 2016, 09:50
Gisteren kreeg ik via mail een vieze virus binnen; De mail kwam zogezegd van een Nl incassoburau. De virus bleek de beruchte CTB locker. Ik ben er in geslaagd (denk ik) deze uit te schakelen. Maar al mijn foto's zowel in Lr als in dropbox hun extentie is veranderd, er kwam de toevoeging stmzuaf bij de bestandsnaam. Dit er gewoon aflaten helpt niet, de foto's openen nietmeer. Weet er iemand hoe ik dit kan herstellen?
Veel dank bij voorbaat!

appelboom
23 april 2016, 09:56
aiaiaiaiai nooit op zulke linkjes drukken...
heb je als je dat eraf gelaten hebt terug .jpg getypt?

Spanik
23 april 2016, 10:03
CBT locker encrypteert je files, het is meer dan gewoon de extensie die veranderd is.

Ofwel heb je een backup en je vervangt ze gewoon
Ofwel zoek je naar een decrypt tool (en maak je een backup tegen de volgende keer)

bouk
23 april 2016, 10:04
zelfde vorig jaar gehad.
Specialist erbij en kon een deel redden maar mij meeste foto's niet meer te zien.
Wel tegen betaling van de virusverspreider.
grt,bouk.

brunov
23 april 2016, 10:26
Maar al mijn foto's zowel in Lr als in dropbox hun extentie is veranderd, er kwam de toevoeging stmzuaf bij de bestandsnaam.

Eerst en vooral de computer afzetten en scannen met een degelijke virusscanner, liefst opstarten van usb of cd, dus buiten Windows om. Het virus heeft toegeslagen, dus de virusscanner (als die er al is) heeft niet gewerkt. Heb je een backup van de foto's? Deze virussen encrypteren alle documenten (doc, docx, xls,xlsx, jpg, tiff, avi,...) die ze op alle schijven met een letter vinden. Dus ook op netwerkschijven die gekoppeld zijn in Windows!

We hebben dit vorig jaar ook bij 2 gebruikers gehad op het werk. De toenmalige virusscanner (F-Secure) deed er bij onderzoek enkele dagen over om deze virussen te herkennen. We zijn toen overgestapt op Kaspersky omdat die telkens dezelfde dag deze virussen wel herkende. Op dat moment was er geen programma beschikbaar om de bestanden te herstellen. Gelukkig hadden alle bestanden dezelfde extentie van 7 tekens zodat alle besmette bestanden vrij snel opgelijst werden.
Hier vind je de iso die je op cd kan branden: http://rescuedisk.kaspersky-labs.com/rescuedisk/updatable/kav_rescue_10.iso

Ik werk al lang niet meer met Dropbox, maar heeft die geen functie om oudere versies te herstellen? Zorg er in ieder geval voor dat de pc zeker opgekuist is, anders begint het spel opnieuw...

Kan je me een voorbeeld van zo'n aangetast bestand bezorgen? Deze virussen veranderen hun codering zeer snel, maar misschien is er toch een herstel mogelijk.

bommasien
23 april 2016, 10:44
De bestanden hebben allen stmzuafachter de bestandsnaam gekregen. Ook ik heb het er met Kapersky af gekregen maar ik heb dus deze aangetaste fotobestanden.

Tonerider
23 april 2016, 20:19
en geen backup op een externe hdd?

Empe
24 april 2016, 08:04
Probeer eens het herstel van Windows, een vorige herstelpunt kiezen, geen garantie maar kan best werken.

on4bam
24 april 2016, 08:17
Probeer eens het herstel van Windows, een vorige herstelpunt kiezen, geen garantie maar kan best werken.

Bij een bitlocker heeft dat absoluut geen effect.
Je doet best NIETS meer met de HD in de huidige computer maar haalt ze er uit. Je kan dan, mits de juiste tools te gebruiken, proberen te unlocken op een andere PC waar je de HD extern kan aansluiten.

rumble101
24 april 2016, 08:20
Herstel/Restore Windows werkt niet. Enige oplossing is backup terugzetten, geen backup = bad luck :-(

bouk
24 april 2016, 08:29
...... Enige oplossing is backup terugzetten, geen backup = bad luck :-(

Inderdaad bad luck.
grt,bouk.

demuro
24 april 2016, 10:50
Heb verleden jaar hetzelfde gehad met Decrypt.Voor 500 dollar kreeg ik dan een code om te deblokkeren.
Gelukkig had ik van 98% van mijn doc. een backup.De rest verloren.
Geen 500$ betaald,want nog niet gegarandeerd dat je alles of iets terugkrijgt.
Werk nog met Win XP,gezien een aantal diascanners nog via een SCSI-poort werken,en geen recente drivers meer bestaan.
Antivirus had ook niets gededecteerd.Contact opgenomen met de helpdesk:
Bij installatie van je Windows,wordt de mogelijkheid geboden om indien nodig,je pc online te laten overnemen.Dit staat automatisch aangevinkt.Althans toch bij XP.Xp is verder wel lek als een vergiet,maar blijkbaar wordt hierlangs je pc binnengedrongen.Dus dit ding ZEKER afvinken.Of deze optie ook bij andere Windows-versie bestaat ??En of dit alles oplost??Maar het kost geen moeite,en wie gebruikt deze mogelijkheid?
Voor de rest:Back-up van je bestanden en externe HD niet vergeten af te koppelen,want anders wordt die ook aangevallen.
btw:XP wordt al geruime tijd niet meer ondersteund.Verleden week kreeg ik een bericht van Microsoft (klassiek vierkant bij afsluiten) dat de upgrades voor mijn PC beschikbaar waren ?????Heb het maar zo gelaten zonder upgrades..Iemand een verklaring.

on4bam
24 april 2016, 11:00
Geen ervaring mee maar dit (http://nabzsoftware.com/types-of-threats/ctb-locker) al geprobeerd?

Wel vreemd dat een search op "stmzuaf" niets oplevert.

Tonerider
24 april 2016, 11:04
Heb verleden jaar hetzelfde gehad met Decrypt.Voor 500 dollar kreeg ik dan een code om te deblokkeren.
Gelukkig had ik van 98% van mijn doc. een backup.De rest verloren.
Geen 500$ betaald,want nog niet gegarandeerd dat je alles of iets terugkrijgt.
Werk nog met Win XP,gezien een aantal diascanners nog via een SCSI-poort werken,en geen recente drivers meer bestaan.
Antivirus had ook niets gededecteerd.Contact opgenomen met de helpdesk:
Bij installatie van je Windows,wordt de mogelijkheid geboden om indien nodig,je pc online te laten overnemen.Dit staat automatisch aangevinkt.Althans toch bij XP.Xp is verder wel lek als een vergiet,maar blijkbaar wordt hierlangs je pc binnengedrongen.Dus dit ding ZEKER afvinken.Of deze optie ook bij andere Windows-versie bestaat ??En of dit alles oplost??Maar het kost geen moeite,en wie gebruikt deze mogelijkheid?
Voor de rest:Back-up van je bestanden en externe HD niet vergeten af te koppelen,want anders wordt die ook aangevallen.
btw:XP wordt al geruime tijd niet meer ondersteund.Verleden week kreeg ik een bericht van Microsoft (klassiek vierkant bij afsluiten) dat de upgrades voor mijn PC beschikbaar waren ?????Heb het maar zo gelaten zonder upgrades..Iemand een verklaring.
kan je xp niet virtueel draaien? Er bestaan programma's voor (sandboxie) en hierdoor is je systeem toch beter beschermd.

Sowieso zou ik die pc toch van het net afkoppelen.

Tonerider
24 april 2016, 11:07
Geen ervaring mee maar dit (http://nabzsoftware.com/types-of-threats/ctb-locker) al geprobeerd?

Wel vreemd dat een search op "stmzuaf" niets oplevert.

de extentie change is random en daarom uniek.

Empe
24 april 2016, 11:17
aha, dacht al dat reclame was om een STM lens te gebruiken voor goede AutoFocus ....

demuro
24 april 2016, 11:25
Mijn XP is sporadisch op het net aangesloten.Maar blijkbaar net voldoende.
Had echter niet juist gelezen.Bij mij was er geen verdachte mail.Gebeurd zonder enige actie.
Kreeg wel een mail met uitleg dat mijn PC "gepenetreerd" was en dat etc.......
Ik zal je deze mail die nog op een stick zit, met rode klever errond, onthouden,want wie weet wat er nog in verborgen zit.

brunov
24 april 2016, 15:22
Probeer eens het herstel van Windows, een vorige herstelpunt kiezen, geen garantie maar kan best werken.
Herstelpunten van Windows bevatten enkel programma's en instellingen. Gebruikersbestanden worden niet veranderd. Met veel geluk zou je terug kunnen gaan naar de toestand voor de besmetting, maar de besmette bestanden blijven gewoon staan.

Jinkx
25 april 2016, 09:57
Ik heb er zo al enige gezien en de enige oplossing die ik ken, als je geen backups hebt, is om je schijf binnen te sturen bij een gespecialiseerde data recovery firma. En zelfs zij geven geen garanties.

In wezen komt het er op ner: geen backups = geen bestanden meer. Herinstalleren, proper opnieuw beginnen en een goed backupsysteem voorzien.

on4bam
25 april 2016, 10:04
Lees er dit (http://userbase.be/forum/viewtopic.php?f=8&t=47226) eens op na.

demuro
25 april 2016, 13:37
Lees er dit (http://userbase.be/forum/viewtopic.php?f=8&t=47226) eens op na.

Blijkbaar hier een probleem met de HD,en paniek.Maar als je bestanden al een andere extensie gekregen hebben,en niet meer te openen zijn,wel paniek,maar niet door problemen van je HD.
En ok;bij mij draaide alles perfect,maar kon alleen mijn bestanden niet meer openen.Alles met die extensies eraf gegooid,en tot nu toe na 1 jaar geen verdere problemen.Blijkbaar viseren zij alleen JPEG,Word en andere documenten.

bommasien
25 april 2016, 14:30
Blijkbaar hier een probleem met de HD,en paniek.Maar als je bestanden al een andere extensie gekregen hebben,en niet meer te openen zijn,wel paniek,maar niet door problemen van je HD.
En ok;bij mij draaide alles perfect,maar kon alleen mijn bestanden niet meer openen.Alles met die extensies eraf gegooid,en tot nu toe na 1 jaar geen verdere problemen.Blijkbaar viseren zij alleen JPEG,Word en andere documenten.

Ik denk dat dit hier ook het geval is! De virus heb ik kunnen verwijderen, veel foto's uit LR terug kunnen halen, maar mijn documenten zal ik kunnen vergeten Geen 1 euro krijgen ze van mij los!De bandieten!!!!

Spanik
27 april 2016, 20:06
Er wordt wel degelijk gewerkt aan tools om die encryptie ongedaan te maken. Kwam vandaag dit tegen: http://www.theregister.co.uk/2016/04/27/cryptxxx_cracked/