Pagina 1 van 1

'Transport' virus - iemand oplossing?

Geplaatst: 06 nov 2016, 14:03
door axs
Ik heb hier een laptop binnengekregen waarop alle bestanden gelocked zijn door het zogezegde 'transportvirus'


Iemand een oplossing?

Tientallen Limburgse gedupeerden dachten pakje te ontvangen, maar kregen krachtig computervirus
http://s.hln.be/2941292

Er staan nog heel wat foto's in de prullenbak (dubbels) - dus zou al goed zijn als we deze kunnen recupereren.

Re: 'Transport' virus - iemand oplossing?

Geplaatst: 06 nov 2016, 14:05
door lacer
Een datarecovery programma erop loslaten zou dat een oplossing zijn ?

Re: 'Transport' virus - iemand oplossing?

Geplaatst: 06 nov 2016, 14:06
door Splitter
das wildfire toch?

probeer dit: https://www.nomoreransom.org/crypto-sheriff.php normaal is er voor wildfire een oplossing

Re: 'Transport' virus - iemand oplossing?

Geplaatst: 06 nov 2016, 14:07
door Pollepaplepel
Betalen is momenteel de enige oplossing als je de bestanden terug wilt en er geen backup bestaat.

Het is natuurlijk afpersing en je steunt zo de maffia, maar ze hebben wel een goede 'klantenservice'.
Ze willen namelijk niet dat iemand die betaald misnoegd zou zijn over de oplossing, want dan valt hun businessmodel in duigen.

Re: 'Transport' virus - iemand oplossing?

Geplaatst: 06 nov 2016, 14:38
door Goztow
Zeker nooit betalen...

Een backup is natuurlijk de enige echte oplossing.

Re: 'Transport' virus - iemand oplossing?

Geplaatst: 06 nov 2016, 15:08
door petzl
en toch zijn er veel mensen welke betalen, omdat anders hun firma ten ondergaat ... en vaak is dat in zo een geval de beste oplossing.

Re: 'Transport' virus - iemand oplossing?

Geplaatst: 06 nov 2016, 19:40
door KRL100
Goztow schreef:Zeker nooit betalen...

Een backup is natuurlijk de enige echte oplossing.

Backup is voorzienigheid... Een oplossing moet achteraf komen. Als er geen backup is kan dit nooit een oplossing zijn...

Ook al belangrijk bij backup en dit virus: je backup mag niet live synchen met je productie-omgeving.

Hier: pc mirrort zowat in real time naar nas, die doet een incremental backup naar een andere schijf, en om de 24u een incremental naar een online server. Ben je bvb bij brand max 24u werk kwijt, bij een virus, zo snel mogelijk afkoppelen!

Re: 'Transport' virus - iemand oplossing?

Geplaatst: 06 nov 2016, 21:17
door Doktor Avalanche
Ik ken anders een bedrijf dat ook betaald heeft, was uiteindelijk peanuts voor een bedrijf, was iets van 1.5 bitcoins.
Daar was het idd ook zo dat de backups ook geïnfecteerd waren. Trouwens daar waren ze zo slim geweest om 3x de mail te openen zodat de files 3x na elkaar geëncrypteerd was, dus ook 3x betalen. Het grootste probleem was eigenlijk nog om snel aan bitcoins te geraken...
Ze kregen nadien ook nog tips van diegene waar ze aan betaald hadden, wat ze konden doen om het niet meer te laten voorvallen :-)

Re: 'Transport' virus - iemand oplossing?

Geplaatst: 07 nov 2016, 08:53
door Dafke
Voor het bedrijf peanuts, maar voor de makers een super bron van fincanciering dewelke ze toestaat betere en krachtigere virussen te ontwikkelen, die nog moeilijker te unlocken zijn.

Re: 'Transport' virus - iemand oplossing?

Geplaatst: 07 nov 2016, 08:58
door ubremoved_539
Doktor Avalanche schreef:Trouwens daar waren ze zo slim geweest om 3x de mail te openen zodat de files 3x na elkaar geëncrypteerd was, dus ook 3x betalen.
Volgens mij gaat het enkel bestanden met specifiekes extensies encrypten... dus zeker geen reeds geencrypteerde bestanden ?

Re: 'Transport' virus - iemand oplossing?

Geplaatst: 07 nov 2016, 09:20
door Yarisken
Ik heb mij een tijd geleden is ingelezen in die cryptolocker toestanden. Met 1500 - 2000 euro kan je starten. Meestal zijn dat gewoon gasten die snel wat willen bijverdienen en totaal geen hackers. Die kopen gewoon de software.

Re: 'Transport' virus - iemand oplossing?

Geplaatst: 07 nov 2016, 09:52
door woutervh
Goztow schreef:Zeker nooit betalen...

Een backup is natuurlijk de enige echte oplossing.
Op zich kan ik me vinden in het "nooit betalen"-argument.
Maar je zal maar eens het Jan-modaal gezin zijn dat opeens alle huwelijks-, baby- en vakantiefoto's kwijtspeelt omdat je "uit principe" niet wil betalen om ze te unlocken...

En ja, backups nemen kan dit voorkomen. Maar opnieuw, Jan Modaal is al blij dat hij zijn foto's van de camera op de computer krijgt...

Re: 'Transport' virus - iemand oplossing?

Geplaatst: 07 nov 2016, 10:55
door Dafke
Yarisken schreef:Ik heb mij een tijd geleden is ingelezen in die cryptolocker toestanden. Met 1500 - 2000 euro kan je starten. Meestal zijn dat gewoon gasten die snel wat willen bijverdienen en totaal geen hackers. Die kopen gewoon de software.
Maar hoe krijgen die dan dat geld effectief in handen? Dat kan toch onmogelijk volledig anoniem zijn?

Re: 'Transport' virus - iemand oplossing?

Geplaatst: 07 nov 2016, 11:08
door cloink
Helaas, bitcoin is volledig anoniem.

(tenzij je de aandacht trekt van de FBI ofzo, ik vermoed dat zij voldoende voelsprieten hebben om het e.e.a. te achterhalen...)

Re: 'Transport' virus - iemand oplossing?

Geplaatst: 07 nov 2016, 11:26
door Dafke
Kan je mij even dan de chain hier neerpennen:

* slachtoffer moet bitcoins storten/transfereren naar één of andere "gebruiker/account/...?"
* "gebruiker/account/...?" moet wat doen om van Bitcoins naar reëel geld te gaan?
* reëel geld moet toch ergens op een rekening komen = traceerbaar?

Re: 'Transport' virus - iemand oplossing?

Geplaatst: 07 nov 2016, 13:37
door cloink
Uiteraard, eens het geld van digitaal naar fysiek gaat, is er (meestal) sprake van een identificatie. Alleen, succes om dat te gaan regelen in Rusland e.d.

http://bitcoinsimplified.org/learn-more/anonymity/

Re: 'Transport' virus - iemand oplossing?

Geplaatst: 07 nov 2016, 13:40
door springfield
Dafke schreef:Kan je mij even dan de chain hier neerpennen:

* slachtoffer moet bitcoins storten/transfereren naar één of andere "gebruiker/account/...?"
* "gebruiker/account/...?" moet wat doen om van Bitcoins naar reëel geld te gaan?
* reëel geld moet toch ergens op een rekening komen = traceerbaar?
Waarom moet het perse naar reëel geld gaan? Tegenwoordig kan je veel betalen met bitcoin, zelfs bankkaarten om ermee te betalen.
Je kan ook bitcoins verkopen voor cash aan anderen, via sites zoals localbitcoins.

En bitcoin is niet perse anoniem.

Re: 'Transport' virus - iemand oplossing?

Geplaatst: 07 nov 2016, 13:43
door Dafke
Zoals Cloink hierboven al liet zien, is het idd niet anoniem.

Dus snap ik ook niet dat ze die sjarels niet makkelijk kunnen vatten?

En waarom moet het naar reëel geld gaan? Je bent vet met xxxk €'s op je bitcoin rekening, terwijl je IRL nog geen eten kan kopen.

Re: 'Transport' virus - iemand oplossing?

Geplaatst: 07 nov 2016, 13:51
door Yarisken
Dafke schreef:
Yarisken schreef:Ik heb mij een tijd geleden is ingelezen in die cryptolocker toestanden. Met 1500 - 2000 euro kan je starten. Meestal zijn dat gewoon gasten die snel wat willen bijverdienen en totaal geen hackers. Die kopen gewoon de software.
Maar hoe krijgen die dan dat geld effectief in handen? Dat kan toch onmogelijk volledig anoniem zijn?
Hoe ze dat in handen krijgen of gebruiken weet ik niet , ben zelf geen hacker :-).
Op zich zijn deze mensen geen prioriteit voor FBT / NSA etc... . Die luizen wat euro's af, da's kleine criminaliteit.
De meeste stoppen ook snel.

Re: 'Transport' virus - iemand oplossing?

Geplaatst: 07 nov 2016, 13:53
door bruma
KRL100 schreef:
Goztow schreef:Zeker nooit betalen...

Een backup is natuurlijk de enige echte oplossing.

Backup is voorzienigheid... Een oplossing moet achteraf komen. Als er geen backup is kan dit nooit een oplossing zijn...

Ook al belangrijk bij backup en dit virus: je backup mag niet live synchen met je productie-omgeving.

Hier: pc mirrort zowat in real time naar nas, die doet een incremental backup naar een andere schijf, en om de 24u een incremental naar een online server. Ben je bvb bij brand max 24u werk kwijt, bij een virus, zo snel mogelijk afkoppelen!
Veel van die vervelende situaties treden niet ogenblikkelijk op maar na bv een reboot.
Kan je dan eens duiden hoe jij je livesync en incremental backup kan vrijwaren van de boosdoeners?

Re: 'Transport' virus - iemand oplossing?

Geplaatst: 07 nov 2016, 14:55
door ubremoved_539
bruma schreef:Veel van die vervelende situaties treden niet ogenblikkelijk op maar na bv een reboot.
De Cryptoware die ik reeds gezien heb aarzelde geen seconde om z'n werk te doen :-(
bruma schreef:Kan je dan eens duiden hoe jij je livesync en incremental backup kan vrijwaren van de boosdoeners?
Zoals hij aangaf is hij maximaal de aanpassingen van de laatste 24u kwijt.

Ik heb trouwens Crashplan draaien met versioning... zo is de schade beperkt tot een absoluut minimum.

Re: 'Transport' virus - iemand oplossing?

Geplaatst: 07 nov 2016, 15:17
door Dafke
Vraagje ivm het volgende:

- Vaste pc waar ik mappings heb naar mijn NAS in SHR RAID 1, zoals mijn documenten, foto's etc..
* mijn documenten staan dus niet meer lokaal op mijn disken intern, maar op mijn NAS waar ik direct op werk en save etc..
- deze mapjes worden gebackupped (of beter gesynched) naar mijn GOOGLE DOCS account.

Voorlopig is dit voor mij voldoende, overal kan ik aan mijn belangrijkste data en heb ik ze gebackupped.

MAAR.. wat als er nu zo een cryptolocker of wathever langs komt, zal mijn data op de NAS en Google cloud dan ook infected zijn?
Hoe kan ik dit voorkomen? Of wat is een betere werkwijze? Maar belangrijkste is dat ik overal bij mijn data kan.

Ik denk dat dit ook de TS kan helpen om zijn klant naar de toekomst met "te voorkomen info en tips" te voorzien.

Re: 'Transport' virus - iemand oplossing?

Geplaatst: 07 nov 2016, 15:25
door tb0ne
Wat je hebt is al iets maar als je synchroniseert dan heb je geen backup, je cloud kopie zal dus overschreven worden.
Je hebt enkel een kans als je de infectie opmerkt voor de eerstvolgende synchronisatie. Die cryptolockers gaan maar wat graag ook bestanden op netwerk shares proberen aanvallen want dat vergroot de impact alleen maar.
Ik weet niet wat voor NAS je hebt maar de meeste hebben een soort versioning ingebouwd zitten of kunnen die bijkomend installeren, je hebt dan wel extra opslagcapaciteit nodig afhankelijk van hoeveel en hoe lang je versies wenst bij te houden maar dat mag het probleem niet vormen denk ik.
Dat is net je veiligheidsperiode...

Re: 'Transport' virus - iemand oplossing?

Geplaatst: 07 nov 2016, 15:32
door Dafke
Er zit iets mis in mijn "veiligheid" of manier van werken. Dat begrijp ik maar al te goed.

Maar hoe het dan goed aanpakken?

Het feit dat ik rechtstreeks op de NAS werk, is enkel en alleen maar om lokale schijfruimte te besparen (en die lokale HDD's en fouten uit te sluiten).
Die sync naar Google Drive is om makkelijk overal mijn docs te kunnen consulteren.

Dus dat zijn mijn 2 uitgangspunten geweest. Hoe kan het beter, met dezelfde makkelijke automatische manier van werken?

Re: 'Transport' virus - iemand oplossing?

Geplaatst: 07 nov 2016, 15:38
door tb0ne
Vervang sync naar google drive door backup met versioning naar google drive.
Welke NAS heb je?

Edit:
Ik heb geen praktijkervaring met google drive maar het zou kunnen dat er al automatisch versioning toegepast wordt:
https://support.google.com/drive/answer ... n%E2%80%9D
http://blog.hubspot.com/marketing/google-drive-tips
Google Drive will maintain a version history of all your files for up to 30 days or 100 revisions.
Kan je eventueel eens nakijken?
Als dit klopt zit je goed...

Re: 'Transport' virus - iemand oplossing?

Geplaatst: 07 nov 2016, 15:45
door Dafke
Ik heb een DS415+ en gebruik Cloud Sync van Synology voor de Sync naar mijn Google Drive.

Versioning is dat niet, maar meer een history van de sync die je hebt op je Google Drive. Dus die file is geuploaded, die is gewijzigd, maar de vorige voor de wijziging is er niet meer.

Re: 'Transport' virus - iemand oplossing?

Geplaatst: 07 nov 2016, 15:46
door Tomby
Dafke schreef:Maar hoe het dan goed aanpakken?
Het feit dat ik rechtstreeks op de NAS werk, is enkel en alleen maar om lokale schijfruimte te besparen (en die lokale HDD's en fouten uit te sluiten).
Die sync naar Google Drive is om makkelijk overal mijn docs te kunnen consulteren.
Dus dat zijn mijn 2 uitgangspunten geweest. Hoe kan het beter, met dezelfde makkelijke automatische manier van werken?
Sowieso moet je backups nemen, maar vooral er voor zorgen dat de backup-files niet writeable zijn vanop je PC. Dat klinkt contradictorisch, maar het wil in feite zeggen dat je backup files enkel writeable zijn voor een remote proces. Dat kan dus ergens in de cloud zijn (bvb Crashplan cloud, of dus ook Google Drive met versioning), of lokaal een afzonderlijk machine (bvb server of je NAS zelf) die een backup proces draait en die de enige is met write access tot je backup files.

Heb hier thuis ook nog maar recent mijn setup aangepast na wat discussies hier rond virussen en cryptolockers. Ik had toen vanop mijn PC namelijk RW access tot elke Share op mijn NAS, inclusief mijn Backup shares. Een cryptolocker kon op dat moment dus ook mijn lokale backup aantasten (heb echter ook nog Crashplan cloud). Dit nu aangepast dat de Backup share enkel writeable is door een restricted account op mijn backup server (W10 Pro) waaronder de lokale Crashplan service draait.

Re: 'Transport' virus - iemand oplossing?

Geplaatst: 07 nov 2016, 15:53
door MClaeys
Dafke schreef:Zoals Cloink hierboven al liet zien, is het idd niet anoniem.
Dus snap ik ook niet dat ze die sjarels niet makkelijk kunnen vatten?
Stromannen die het geld eerst op hun rekening krijgen? En de wallets bij bitcoins zijn wel anoniem dacht ik, als je er een hele hoop transacties mee doet naar andere wallets valt dat niet meer te traceren dacht ik. Vergelijkbaar met ik die een briefje van 100 uit mijn portefeuille haal en aan u geef, niemand dat dat weet gezien er geen bank aan te pas komt.

Re: 'Transport' virus - iemand oplossing?

Geplaatst: 07 nov 2016, 16:08
door tb0ne
Dafke schreef: Versioning is dat niet, maar meer een history van de sync die je hebt op je Google Drive. Dus die file is geuploaded, die is gewijzigd, maar de vorige voor de wijziging is er niet meer.
Check even mijn edit.
Al vraag ik mij wel af hoe vlot het restoren en masse zal gaan.
Je synology heeft in alle geval allerhande opties aan boord om je probleem op te lossen, lees je even in zou ik zeggen...
https://www.synology.com/en-uk/solution/ransomware :-)

Re: 'Transport' virus - iemand oplossing?

Geplaatst: 07 nov 2016, 16:14
door woutervh
Tomby schreef:
Dafke schreef:Maar hoe het dan goed aanpakken?
Het feit dat ik rechtstreeks op de NAS werk, is enkel en alleen maar om lokale schijfruimte te besparen (en die lokale HDD's en fouten uit te sluiten).
Die sync naar Google Drive is om makkelijk overal mijn docs te kunnen consulteren.
Dus dat zijn mijn 2 uitgangspunten geweest. Hoe kan het beter, met dezelfde makkelijke automatische manier van werken?
Sowieso moet je backups nemen, maar vooral er voor zorgen dat de backup-files niet writeable zijn vanop je PC. Dat klinkt contradictorisch, maar het wil in feite zeggen dat je backup files enkel writeable zijn voor een remote proces. Dat kan dus ergens in de cloud zijn (bvb Crashplan cloud, of dus ook Google Drive met versioning), of lokaal een afzonderlijk machine (bvb server of je NAS zelf) die een backup proces draait en die de enige is met write access tot je backup files.

Heb hier thuis ook nog maar recent mijn setup aangepast na wat discussies hier rond virussen en cryptolockers. Ik had toen vanop mijn PC namelijk RW access tot elke Share op mijn NAS, inclusief mijn Backup shares. Een cryptolocker kon op dat moment dus ook mijn lokale backup aantasten (heb echter ook nog Crashplan cloud). Dit nu aangepast dat de Backup share enkel writeable is door een restricted account op mijn backup server (W10 Pro) waaronder de lokale Crashplan service draait.
Om die reden koppel ik mijn NAS niet aan drive-letters. Maar zou dit ook echt helpen? Of gaat een cryptolocker ook gewoon via netwerkomgeving naar een NAS?

Re: 'Transport' virus - iemand oplossing?

Geplaatst: 07 nov 2016, 16:30
door ubremoved_539
Dafke schreef:foto's etc..
Die staan bij mij zo ie zo al op een read-only share... als ik eens nieuwe foto's heb log ik even in met een andere user en copieer ik deze.

Steeds alle rechten hebben is heus niet noodzakeljk en beperkt vaak de risico's.

Re: 'Transport' virus - iemand oplossing?

Geplaatst: 07 nov 2016, 16:45
door Tomby
woutervh schreef:Om die reden koppel ik mijn NAS niet aan drive-letters. Maar zou dit ook echt helpen? Of gaat een cryptolocker ook gewoon via netwerkomgeving naar een NAS?
Bij mij waren die ook niet default gemount, maar ik ga er inderdaad wel van uit dat zo een cryptolocker ook effen de netwerkomgeving afgaat op zoek naar Shares.

r2504 schreef:zo ie zo
Het me toch al verschillende keren moeten inhouden, maar nu gaat het toch niet meer zulle :D : https://onzetaal.nl/taaladvies/sowieso .

Re: 'Transport' virus - iemand oplossing?

Geplaatst: 07 nov 2016, 20:30
door Dafke
tb0ne schreef:Vervang sync naar google drive door backup met versioning naar google drive.
Welke NAS heb je?

Edit:
Ik heb geen praktijkervaring met google drive maar het zou kunnen dat er al automatisch versioning toegepast wordt:
https://support.google.com/drive/answer ... n%E2%80%9D
http://blog.hubspot.com/marketing/google-drive-tips
Google Drive will maintain a version history of all your files for up to 30 days or 100 revisions.
Kan je eventueel eens nakijken?
Als dit klopt zit je goed...
Yep, klopt! Heb het gevonden!
Dus mijn belangrijkste data is secure :)

Nu nog iets vinden om mijn foto's gebackupped te krijgen met versie's............... maar.. dat gaat VEEL TE VEEL data in beslag nemen vrees ik :(

Re: 'Transport' virus - iemand oplossing?

Geplaatst: 07 nov 2016, 20:47
door heist_175
heb je een NAS?
backup naar Amazon Drive in full-sync -> stel in dat uw NAS elke dag/uur backupt
backup naar Stack IP 1 keer per week of maand -> in te stellen op uw NAS

Re: 'Transport' virus - iemand oplossing?

Geplaatst: 08 nov 2016, 15:39
door Dafke
heist_175 schreef:heb je een NAS?
backup naar Amazon Drive in full-sync -> stel in dat uw NAS elke dag/uur backupt
backup naar Stack IP 1 keer per week of maand -> in te stellen op uw NAS
Eum, alles staat toch al hierboven?