ransomware of niet

defenderII · 12 feb 2017, 19:15

beste,

ik heb een pc van een collega waar veel van de bestanden niet meer te openen zijn, de naam van de documenten (vooral foto's) is veranderd; maar wat mij meer verontrust is dat ook de extenties zijn veranderd. In zijn geval van (vooral .jpg) naar .aa59; tevens staat er in elke file waar dit is gebeurd een soort readme file met extiente .hta. Deze worden door "eset online scanner" allemaal als virus aangeduid.
mijn vragen:
1. is dit ransomware?
2. is hier iets aan te doen? (de extientie terug naar .jpg zetten werkt niet) virus scanner lost het probleem ook niet op
3. herstelpunt lijkt ook niet te werken

met dank

StarWing · 12 feb 2017, 19:21

Hopelijk ben ik mis, maar dit riekt naar een cryptolocker:
4 opties:
-betalen voor decryption key
-backup terugzetten en pc herinstalleren
-take your loss :/
-hopen dat een of ander antivirusbakker een tool beschikbaar heeft.

Staat er nergens een .txt file bij met instructies (op de desktop ?)

defenderII · 12 feb 2017, 19:25

niet gezien, maar moet daar morgen eens op letten
ik ga voor de take your loss oplossing en volledige herinstallatie

miss_x · 12 feb 2017, 19:26

weet je soms de naam van het virus ?

mss eens dit lezen : https://malwaretips.com/blogs/remove-re ... abc-virus/

defenderII · 12 feb 2017, 19:30

neen; ik heb een site gevonden "noransomware" of zoiets; daar moet je 2 document naar toe sturen en als je geluk hebt krijg je daar de naam en een code om dit te unlocken. Je krijgt dan ook de naam van de ransomware. had daar vandaag geen tijd voor.

ubremoved_539 · 13 feb 2017, 09:08

defenderII schreef:tevens staat er in elke file waar dit is gebeurd een soort readme file met extiente .hta.

Is vermoedelijk de uitleg van de Cryptolocker... open hem anders eens met Notepad om te kijken of het leesbaar is.

defenderII · 13 feb 2017, 18:17

systeemherstel uitgevoerd; start nu zelfs niet meer op damnit

13 feb 2017, 18:49

http://userbase.be/forum/viewtopic.php?f=8&t=48716

Ik heb helaas geen oplossing gevonden.
Schijf vervangen, originele laten bijhouden id hoop dat ik ooit oplossing vind.

CCatalyst · 13 feb 2017, 19:13

Waarschijnlijk Cerber. Ransomware uit Rusland. Circuleert sinds een jaar.

Meer info op: https://www.bleepingcomputer.com/news/s ... ks-to-you/
Support topic: https://www.bleepingcomputer.com/forums ... tmltxtvbs/

Geen oplossing behalve Bitcoin ophoesten. Die .hta file zal de betaalinstructies bevatten.

defenderII · 19 feb 2017, 18:26

ik ben er in geslaagd de pc terug volledig in orde te hebben. Nu heb ik nog volgende vraag:
Ik heb de data van de pc naar een Linux pc gehaald. Hier heb ik al de geinfecteerde bestanden naar een veilige locatie gebracht voor als er een oplossing zou komen. Mag ik de NIET geinfecteerde bestanden terug zetten op de pc (via USB die ik dan eerst nog eens scan op virussen) met win 10?
met dank

ubremoved_539 · 19 feb 2017, 20:11

BIj ransomware zijn er geen "besmette" bestanden... enkel geencrypteerde bestanden (dus die mag je ook gewoon terug naar de PC zetten).

De ransomware op zich (het virus) moet je natuurlijk niet terug copieren (je zal vermoedelijk ook geen idee hebben waar die ergens staat).

defenderII · 19 feb 2017, 20:56

neen idd; ik heb de besmette pc wel eerst gescand op virussen en er zijn er toen een heel deel verwijderd; ik vermoed/hoop dat de file er bij zat.
Ik zal wel verder zien als ik ze gekopieerd heb.