Zepto ransomware

letoir · 24 aug 2016, 15:16

Mijn pc is aangevallen door een zepto virus, ik heb de virus er wel uit gekregen, maar al mijn bestanden zijn gencrypteerd.
Het probleem is dat al mijn backups aangepast zijn en zelfs mijn Onedrive waar alles nog eens gebackup stond ook al geinfecteerd werd.
Heeft er iemand hier ervaring mee en wat ik kan doen.

Heb al eens geprobeerd met de shadow explorer, maar dat lukt niet.

CCatalyst · 24 aug 2016, 15:22

http://www.bleepingcomputer.com/virus-r ... ation-help

matthiasdb · 24 aug 2016, 16:36

try your luck at https://www.nomoreransom.org/
Hopelijk hebben ze de decription keys voor uw locker...

letoir · 24 aug 2016, 17:07

CCatalyst schreef:http://www.bleepingcomputer.com/virus-r ... ation-help

with that said, ik ben alles kwijt :'(

brubbel · 24 aug 2016, 17:18

Dat is het verschil tussen een kopie en een incrementele backup, op een pijnlijke manier duidelijk gemaakt helaas.

Tomby · 24 aug 2016, 17:25

brubbel schreef:Dat is het verschil tussen een kopie en een incrementele backup, op een pijnlijke manier duidelijk gemaakt helaas.

Heeft niets met kopie vs incrementele backups te maken, maar wel of je backup filesystem bereikbaar of gemount is op je geinfecteerde PC. Op mijn PC kan ik via CIFS ook aan mijn Crashplan folder op mijn fileserver. Aangezien Windows mijn paswoord van mijn server gewoon onthouden heeft (ok, ik heb het aangeduid dat het mag onthouden worden), denk ik toch dat in mijn geval ik het ook zou vlaggen hebben.
Ik heb natuurlijk ook wel nog de Cloud backup van Crashplan dus die zou onaangeroerd blijven, maar het stemt toch tot nadenken van hoe je je backup sets ook moeten afschermen op je netwerk.

brubbel · 24 aug 2016, 17:30

Ik heb het backup proces zo ingesteld dat er enkel via rsync in 1 richting kan worden gewerkt, andere commando's worden zelfs niet toegelaten. De (r)snapshots zijn read-only via nfs beschikbaar. Een 2de backup server voor administratieve doeleinden (i.e. echt zelfgeschreven files) runt op Amazon AWS. 1 SSD disk die backups ontvangt, een 2de gewone disk die om de 12 uur een incrementele backup neemt van de SSD. Beiden disks met Blowfish geencrypteerd. Als 'ze' dan nog mijn file pikken, hebben 'ze' ze eerlijk verdiend.

letoir · 24 aug 2016, 17:32

Tomby schreef:
brubbel schreef:Dat is het verschil tussen een kopie en een incrementele backup, op een pijnlijke manier duidelijk gemaakt helaas.
Ik heb natuurlijk ook wel nog de Cloud backup van Crashplan dus die zou onaangeroerd blijven, maar het stemt toch tot nadenken van hoe je je backup sets ook moeten afschermen op je netwerk.

Daar heb je gelijk mee. Ik had gwn een hardeschijf gekoppeld aan de pc zodat ie backups blijft maken, en nog voor de veiligheid alles op de cloud/onedrive gezet.
Maar helaas heeft hij ook alle files op de cloud aangetast.
Denk dat ik vanaf nu toch alles op een stick zet zodat het afgeschermd is van het network/internet.

Ik heb het backup proces zo ingesteld dat er enkel via rsync in 1 richting kan worden gewerkt, andere commando's worden zelfs niet toegelaten. De (r)snapshots zijn read-only via nfs beschikbaar.

Maar als hij dan een backup maakt van je geinfecteerde data, dan heb je het toch ook vlaggen ?

Tomby · 24 aug 2016, 17:35

letoir schreef:Maar als hij dan een backup maakt van je geinfecteerde data, dan heb je het toch ook vlaggen ?

Een goeie backup behoudt natuurlijk ook nog de oude versies van de files, anders is backup sowieso waardeloos. Dus ja, je geinfecteerde/geëncrypteerde files zullen ook gebackupt worden, maar de vorige cleane versies ga je gewoon nog kunnen recoveren.

kamiel · 24 aug 2016, 17:37

Voor vele kleine bedrijven is het simpelste volgens mij gewoon elke week een backup maken op een externe usb schijf. En die na de back up loskoppelen en weg steken. Zo doe ik het toch. Gegevens van een week of 14 dagen kwijt spelen is niet plezant maar voor ons als klein bedrijf geen ramp...

brubbel · 24 aug 2016, 17:45

letoir schreef:Maar als hij dan een backup maakt van je geinfecteerde data, dan heb je het toch ook vlaggen ?

Je kan bij de incrementele backup teruggaan in de tijd.
- de laatste 2 backups
- de laatste 7 dagen per dag
- de laatste 4 weken per week
- de laatste 12 maanden per maand
- de laatste 3 jaar

Het systeem verbruikt iets van 20% overhead op een volledige backup. Natuurlijk ga je direct merken dat er iets fout loopt, want een dagelijkse backup duurt meestal iets van 20 seconden. Ten hoogste de allerlaatste backups zullen aangetast zijn, afhankelijk hoe rap je het doorhebt.
Voor grote files die totaal niet belangrijk zijn is er altijd de ./nobackup/ folder.
De echt belangrijke gaan naar ./administration/ en dan weet ik dat ze ook naar AWS gaan.
Om het half jaar en als ik zin heb een backup van de backup op 2 wisselende laptop schijven waarvan er 1 ergens off-site ligt.
Gemiddelde dagelijkse tijd ~20 seconden want als het werkt = afblijven.

PS flashback

http://userbase.be/forum/viewtopic.php? ... er#p530100

24 aug 2016, 20:48

Je hebt nuttige backups die als mirror ingesteld zijn. Handig op voorwaarde dat je af en toe ook nog ns een volledige backup trekt met een timestamp.

In een bedrijfsomgeving, bv een daily backup in mirror stijl.
Dan een monthly op een andere locatie.
En tenslotte een yearly op meerdere locaties.

Also: NOOIT je backups permanent accessible houden.
Indien mogelijk, laat je backup toestel de connectie leggen bij het nemen van de backup, niet je main system.

Tenslotte: minstens 2 backups, waarvan 1 offsite.