Tips ivm malware?

Ernie · 05 aug 2021, 17:19

Hi guys, mijn (oudere) buurman was net in paniek dat hij een melding (in het Nederlands) kreeg van ?windows? dat hij dringend een bepaald nummer moest bellen.
Daarop heeft hij zijn W10 pc (destkop) uit gezet en mij om hulp gevraagd.
Op dat toestel staat Malwarebytes en Bullguard AV (ik dacht betalend).
Malwarebytes vond een verdacht preferences bestand van chrome dat idd effectief op dat tijdstip werd gewijzigd.

Zelf heb ik al lang niets meer dergelijks mee gemaakt en vroeg me af wat momenteel de 'beste' manier is om dit aan te pakken.

Alvast bedankt voor jullie tips!
E.

JamesEarlGray · 05 aug 2021, 17:41

Meestal werken die cryptolockers door bestanden te versleutelen maar leesbaar te houden dmv een driver: het bestand is echt geëncrypteerd, maar die driver zorgt ervoor dat dat transparant is voor de eindgebruiker. Totdat die driver zichzelf uitschakelt vanaf dat er genoeg is geëncrypteerd. Dan staat er een bestand dat jou uitlegt wat je moet doen om je bestanden weer te ontsleutelen.

Je kan altijd booten met een live-USB stick met een linux distro erop, bv Ubuntu. Kijk eens of alle bestanden nog steeds leesbaar zijn zoals verwacht. Foto's, tekstbestanden, ini-files, xml-files, etc. Meestal targetten ze de user folders eerst, want daarin staan de meest kostbare bestanden.

Ernie · 05 aug 2021, 17:46

Ik weet niet exact wat het is, misschien dat de titel dan verkeerd is en hij kan ook niet meer zeggen dan wat ik al schreef.
Start zo een driver ook in safe mode?

Ik heb net in het windows logboek gekeken maar niets verdachts kunnen vinden.

Fallschirmjaeger · 05 aug 2021, 21:28

Kan het niet zijn dat hij iets in dit genre ontving ipv effectief ransomware?

https://www.pcrisk.com/removal-guides/1 ... op-up-scam

Ernie · 05 aug 2021, 23:42

Kan zijn, heb het naar hem doorgestuurd om te zien of hij het herkent.

Is dat de file indexer van W10 die ervoor zorgt dat alle user files een recente datum/tijdstip hebben van 'Accessed'?
Ik ben aan het zoeken hoe ik in Nautilus (Ubuntu 20.04) een lijst weergave krijg.
Heb geen menu (die ik in screenshots wel zie), enkel een paar iconen in de titelbalk voor simpele veranderingen.

DarkV · 06 aug 2021, 14:21

JamesEarlGray schreef:Meestal werken die cryptolockers door bestanden te versleutelen maar leesbaar te houden dmv een driver: het bestand is echt geëncrypteerd, maar die driver zorgt ervoor dat dat transparant is voor de eindgebruiker.

Dat is het eerste wat ik ervan hoor... en dat zou trouwens betekenen dat de key in de driver zit (en dat iets of wat onderzoeker deze eruit kan krijgen).

JamesEarlGray · 06 aug 2021, 14:25

DarkV schreef:en dat zou trouwens betekenen dat de key in de driver zit (en dat iets of wat onderzoeker deze eruit kan krijgen).

De lokale key wordt vernietigd vanaf dat de driver het signaal krijgt dat de encryptie voltooid is, niet ingewikkeld. Ik heb het ook maar gelezen, geen idee of dit een courante tactiek is. Wel effectief, want zolang encryptie niet voltooid is kan die rustig onder de radar gebeuren en veel tijd vergen, waardoor de uiteindelijk schade groter is.

DarkV · 06 aug 2021, 14:30

Het lijkt inderdaad een mooie techniek... maar één die volgens mij enorm snel zou opvallen bij de meeste anti-virus software.

Ik lees vooral dat het gewoon is doordat men slechts de eerste x KB's encrypteerd met een stream cipher en dat gaat razendsnel.

Ernie · 07 aug 2021, 10:09

Met een ubuntu live cd is de inhoud v/d user bestanden te zien.

Nog tips om dit probleem aan te pakken?