Ransomware detecteren/verwijderen

jorisx · 31 maa 2016, 12:33

Ik vrees dat mijn PC (draait nog op Vista) besmet is met Petya Ransomware: hij wou geen browser meer openen (zowel IE als Firefox) onder verschillende gebruikersprofielen.
PC laten scannen met AVG Antivirus en AntiMalwareBytes, maar konden niet veel vinden.
Kreeg het probleem niet direct opgelost en heb PC laten herstarten.
Gezien de PC niet meer van de rapste is, duurt het wel even eer hij is opgestart en ben dan ook niet blijven zitten. Na een tijdje zag ik dat hij een checkdisk aan het uitvoeren was.
Een paar dagen voorheen nog een waarschuwing gelezen dat, bij Petya Ransomware, bij het uitvoeren van een zogezegde checkdisk de bestanden worden geëncrypteerd. Heb dan maar de PC direct afgesloten door lang op de power-knop te drukken.

In mijn PC zit nog een 2de harddisk die ik gebruik om naar te back-uppen. Heb deze losgekoppeld, alsook netwerkkabel. Toen ik PC opnieuw opstarte vroeg hij me om een checkdisk uit te voeren, maar heb geannuleerd en PC startte verder normaal op.

De harde schijf verkeerd in goede toestand. Staat een tooltje op mijn pc die de smart-gegevens uitleest en hij geeft daar nog aan dat de gezondheid van de schijf 85% bedraagt.

Raar dat AntiMalwareBytes en AVG niets gevonden hebben op mijn systeem...

Welke tool zou de trojan (die hoogstwaarschijnlijk gebruikt is om Petya binnen te halen) en Petya zelf kunnen detecteren?
Kan ik nog 100% van deze trojan en ransomware af geraken?
Of is de enige mogelijkheid om een clean install uit te voeren?

dannyict · 31 maa 2016, 16:31

misschien dit eens lezen http://www.bleepingcomputer.com/news/se ... e-instead/

Patje · 31 maa 2016, 19:09

Bitdefender heeft een gratis tooltje gemaakt enkele dagen geleden, BDantiramsonware

https://labs.bitdefender.com/2016/03/co ... -released/

Je kan ook altijd gebruik maken van Emsisoft Emergency kit of Hitmanpro om eens te scannen.

jorisx · 01 apr 2016, 00:26

@dannyict: staat niet echt in hoe te verwijderen. Enkel wat het resultaat van de ransomware is.

@Patje: BDantiransomware prevents your files from being encrypted from the following ransomware families: CTB-locker, Locky, TeslaCrypt. Heb geen idee of Petya tot die families behoort... De Tool draait op de PC en geeft enkel aan dat de beveiliging actief is. Ik kan hem blijkbaar niet mijn PC laten scannen.
Emsisoft Emergency kit werkt niet op Vista, minimaal win 7 nodig

Heb ondertussen de online virusscan van Bitdefender laten lopen en deze vindt geen bedreigingen... (was wel vrij snel klaar met scannen)
HitmanPro 3.7 is momenteel aan het scannen: voorlopig enkel wat tracking cookies gevonden. Daarnaast detecteert hij installatiebestand van Sandboxie als Malware...

nog iemand tips?

Op het eerste zicht lijkt PC wel nog te werken: Heb een aantal programma's gestart en die starten naar behoren op. Lukraak een aantal mappen geopend in mijn documenten/afbeeldingen en dat ziet er ook nog normaal uit...

devastator · 01 apr 2016, 07:24

Persoonlijk zou ik mijn belangrijke bestanden van die PC halen en een volledige herinstallatie doen. Met deze dingen kan je niet zeker genoeg zijn

MClaeys · 01 apr 2016, 08:18

Aan het eind vandeze blogis te zien dat Kasperky het kan detecteren als Trojan-Ransom.Win32.Petr . Ik zou zeggen download de Kaspersky Live CD(hang je pc aan de netwerkkabel, wifi detecteert hij niet altijd en dan kan hij de laatste updates binnenhalen voor de scan).

tonym · 01 apr 2016, 11:05

Twee guides om Petya infectie te detecteren en verwijderen:

http://nabzsoftware.com/types-of-threat ... ransomware

http://www.virusresearch.org/petya-rans ... val-guide/

jorisx · 01 apr 2016, 20:55

de eerste link verwijst naar ParetoLogic PC Health Advisor als tool. Echter als ik deze google vind ik de pagina's die ik hiervan terugvind niet echt lovend.
De 2de link geeft aan om in eerste instantie het proces te sluiten, echter kan het proces een willekeurige hebben. De processen overlopen, maar niet direct iets abnormaals kunnen herkennen. Ook msconfig ziet er in orde uit.

Heb ondertussen Microsoft Safety Scanner laten lopen, maar deze heeft ook niet echt iets gevonden.

Ben nu aan het laten scannen door de Kaspersky Live CD...

GuntherDW · 02 apr 2016, 02:11

Hmm, als ik je uitleg lees moet ik toch wel de vraag stellen.

Ben je zeker dat je infected bent en niet overreageert? Als je geen browser meer kan openen is het niet direct door ransomware, alsook is de melding van de checkdisk die je ziet als je echt ermee infected was anders.
Je zou dan bijvoorbeeld nieteens meer aan je data kunnen als je zo forcefully reboot.

Een checkup doen van je PC OK, maar het feit dat geen enkele antimalware of -virus iets vindt laat me denken dat er iets anders aan de hand is

jorisx · 02 apr 2016, 02:28

via Kaspersky Live CD ook niets gevonden.

PC opnieuw opgestart, scherm van Vista was aan het laden en nadien wou hij terug checkdisk uitvoeren. (boodschap wel in het nederlands en ook de melding dat ik deze kon annuleren - blijkbaar probleem met consistentie)

Heb dan gekozen voor annuleren. In Windows bij Schijfbeheer gaf hij aan dat de schijf OK was. Wanneer ik echter de dirty bit nakeek, was deze blijkbaar wel geset.

Heb dan via schijfbeheer de opdracht tot checkdisk gegeven.

Begin te vermoeden dat er helemaal geen sprake was van virus/ransomware, maar dat ik iets te snel panikeerde bij het zien van de checkdisk (en met de waarschuwing van Petya in het achterhoofd)
Beter zo natuurlijk.

Patje · 02 apr 2016, 11:00

Als al het scannen met die tools niets opleveren dan zal je wel safe zitten en dus mogelijk te paranoide geweest

Maar met die BD antiransomware ben je wel beschermt tegen die die ransomware families (straks ook petya dan), dus het heeft wel een extra beveiling.

liber! · 02 apr 2016, 11:51

jorisx schreef: De harde schijf verkeerd in goede toestand. Staat een tooltje op mijn pc die de smart-gegevens uitleest en hij geeft daar nog aan dat de gezondheid van de schijf 85% bedraagt.

Het lijkt me eerder dat dit een probleem is. 85% healthy is een zeer slechte score voor een HD. Alles onder de 99% zou ik niet meer vertrouwen.

essere · 03 apr 2016, 07:26

Dit is http://cookieverwijderen.nl/ransomware/ ... ad_me-html een variant van Petya ransomware?

heist_175 · 11 apr 2016, 13:14

http://tweakers.net/nieuws/110187/onder ... n-pcs.html

Patje · 11 apr 2016, 17:19

Eind maart zijn enkele tests verschenen van Antivirus programma's tegen Petya Ransomware
voorlopig enkel Avira en kaspersky in deze test weten zich te verdedigen.

Avira :
Kaspersky :
F-secure :
AVG :
McAfee :
G-Data :

Voor wie er interesse in heeft de links naar de testen.