CTB-LOCKER

[DEWAELE]

Niettegenstaande degelijke antivirusbescherming werd de computer besmet met CTB-Locker. Antiprogramma detecteerde het virus, bestand werd in quarantaine geplaatst en verwijderd. Toch werden na een heropstart een aantal bestanden ontoegankelijk. (word, excel, database, forobestanden).
Er wordt losgeld gevraagd om opnieuw te deblokkeren. Herplaatsen van deze bestanden via de backup slaagt niet (virus heeft alle schijven verbonden met de computer evenals de cloud besmet).
Iemand een idee hoe ik decryption toch nog kan uitvoeren of zijn deze bestanden verloren. Archief van boekhoudingsbestanden en databases beschouw ik al als verloren tenzij..... .
Losgeld kunnen ze wat mij betreft wel vergeten.

[Patje]

Veel oplossingen te vinden maar of ze helpen weet ik niet, nog niet meegemaakt :

http://zondervirus.nl/ctb-locker-virus/
http://nl.pcthreat.com/parasitebyid-45551nl.html

Welk AV staat er op de pc ?
Je kan ook van sommige AV fabricanten een aparte scanner afhalen bvb panda cleaner (op een disc of usb stick) , etc die de malware zou kunnen verwijderen.
http://pandacloudcleaner.pandasecurity.com/facebook/

[ITnetadmin]

Laatst ook gehad, op een lokale pc of twee/drie.
Direct de fileserver afgekoppeld (want hij bleek een voorkeur te hebben voor network shares), en de pc gereformat.
Intussen de modify rights op de fileserver tijdelijk geblokkeerd, zodat de server toch terug online kon en er wat gewerkt kon worden.
De user accounts moesten gelukkig niet gewist worden, want geen roaming profiles.
De files beschouwden we als lost, en de backups zijn teruggezet.

Het gaat hem om encryptie he, zonder die keys ben je bijna machteloos. En ik durf ervoor wedden dat ze assymetric encryption gebruiken, zodat je de key nooit kan extracten of achterhalen.

[ Post made via mobile device ]

[tb0ne]

De enige bescherming zijn degelijke backups, mogelijks kan je aantal bestanden gratis herstellen (kies de belangrijkste).
http://www.bleepingcomputer.com/virus-r ... nformation

[dannyict]

Je kan eventueel proberen om via Shadowexplorer uw bestanden terug te zetten

[DEWAELE]

Alvast bedankt voor de info.

Gelukkig de belangrijkste bestanden kunnen recupereren via andere (niet besmette) computers.
Rest is als verloren beschouwd. Voorlopig ergens "veilig" opgeslagen, je weet maar nooit dat er een oplossing komt.

Ondertussen verspreider achterhaald (Intrum Justitia Nederland BV Handelend onder de naam Intrum Justitia Postbos 84096 2508 AB Den Haag H.R. Den Haag 27134582 BTW nr. NL008488666B01 Lid van NVI ) en ook hun e-mail en het bestand dat het onheil aanrichtte. Bestand voor onderzoek overgemaakt aan Windows Defender & McAfee.
Ik heb ook tegenover deze firma klacht met burgerlijke partijstelling neergelegd bij de Procureur en diensten van gerechtelijke politie (cybercriminaliteit) - niet dat ik daar veel van verwacht, maar iemand moet reageren.

[didi79]

Intrum Justitia heeft er niets mee te maken. Die mails worden gewoon in hun naam verstuurd. Ze zijn dus zelf slachtoffer...

Hier ook al enkele infecties op het werk gehad van mensen die het niet konden laten de OpenstaandeFacturen.zip te openen. Betreft hier trouwens regelmatig nieuwe varianten van het virus, vandaar dat antivirus meestal machteloos is...
Alleen lokaal bewaarde bestanden worden beschouwd als verloren (sowieso tegen company policy), bestanden op netwerk uit backup hersteld.

[Heronic]

Intrum heeft er vast niks mee te maken al heb ik er wel wat plezier in dat ze de juridische knokploeg van oa telenet er uitgekozen hebben.

[klksoo]

Iemand een idee hoe ik decryption toch nog kan uitvoeren of zijn deze bestanden verloren...

alsjeblieft, niet betalen het losgeld!
het herstel beschikbaar is http://nabzsoftware.com/types-of-threats/ctb-locker

[seagull]

Paar maanden geleden zelfde probleem gehad met malware via Intrum Justitia mail.
Alles kon met VeeAm Backup Essentials zonder probleem teruggezet worden.

[ubremoved_539]

evenals de cloud besmet

Heb je geen versies in de cloud... bij Crashplan kan je namelijk meerdere versies hebben van een bestand (en kan je dus de onbesmetter versie terughalen).