Ransomware.fotoos en documenten weg

[Webcanal]

Een kennis van mij heeft waarschijnlijk op een verkeerd ‘knopje’ geklikt of via de email binnengehaald. Nu is hij het slachtoffer van ransomware: CTB locker (Curve-Tor-Bitcoin Locker) Het virus had ik snel genoeg gevonden en verwijderd. Maar alle foto’s en documenten zijn encrypted/versleuteld. Deze hebben allemaal naast de gewone extensie een extra achtervoegsel gekregen.
Het systeem draait op Windows 7. De locatie van documenten, afbeeldingen, enz. had ik verplaatst naar de D: partitie.
Is er een mogelijkheid om de foto’s en documenten weer terug te krijgen?

Wat heb ik zelf gedaan:
Bestanden hernoemd naar originele extensie. Geen resultaat.
Shadow Explorer geprobeerd. Geen shadow copies gevonden.
GetDataBack recovery. Ook niets.

Is hier nog enige hoop?

Alvast bedankt,

Martin

 

[srpchulp]

Ik weet dat u daar op dit moment niet mee geholpen bent, maar dit is nu precies de reden waarom het verstandig is om elke week een volledige kopie/backup te maken van zowel het systeem als alle data.

Naar het schijnt kan deze rescue-cd mogelijk de data herstellen: https://www.f-secure.com/en/web/labs_global/rescue-cd

 

[Webcanal]

Dankjewel SRPCHULP. Dat zal ik eens doorlezen en checken.

Backup maken moet natuurlijk altijd. En in dit geval zelfs op Externe media. Deze mensen hebben niet echt een 'computergevoel'. Vnadaar dat ik de data al op D: had gezet. Meestal is dat afdoende.

 

[dnties]

Ik zie nergens dat f-secure (of diens rescue cd) data kan decrypten. Ik zou graag de bron daarvan willen zien.

Wel heb ik gehoord van het Fox-IT initiatief om, via een website, je een decryptie-sleutel met bijbehorende software te laten sturen. Kun je uitproberen met een paar bestanden om te zien of het echt wat kan.
Omdat ik het zelf niet heb uitgeprobeerd raad ik je aan om de decryptie(-software) te draaien op een sandbox systeem en (liefst) een e-mail adres dat je snel weer kunt opheffen te gebruiken op die site.
Zie deze link (de posting "Message 9 of 24" van BlackCat).
De site waar BlackCat het over heeft is (heb ik ook al eens eerder ergens voorbij zien komen): www.decryptcryptolocker.com

Tijs.

 

[Webcanal]

Bedankt Tijs!
Ziet er inderdaad uit alsof het zou werken. Dat ga ik zeker proberen en zal wat feedback plaatsen.

 

[srpchulp]

Interessant die decryptie mogelijkheid van Fox-IT.
Webcanal, ik ben benieuwd naar je ervaring hiermee.

 

[dnties]

Lijkt nog legitiem te zijn ook, want Fox-IT noemt hem zelf op zijn website: link
Fijn om die extra bevestiging te zien dat het (99,9% zeker) geen fake website/service betreft. Weinig zaken zijn zo frustrerend als dat je al in de puree zit hulp te krijgen en die hulp (uiteindelijk) van twijfelachtig allooi zou zijn.

Ik ben ook benieuwd of Webcanal er succes mee boekt.

Tijs.

 

[srpchulp]

is dit niet iets: http://support.kaspersky.com/viruses/disinfection/8547#block1
dit is de Rannohdecryptor speciaal voor het policy ransomvirus waar bestanden verminkt zijn

 

[dnties]

Cbt locker zou toch echt een Cryptolocker variant zijn, niet Rannooh..........

Tijs.

 

[Webcanal]

Vandaag aan de slag geweest met decryptcryptolocker. Maar zonder resultaat. De encrypted bestanden worden niet herkend als zodanig. Ik heb verschillende bestanden geprobeerd, foto en tekst, maar de melding bleef dat de file niet besmet was met CTB Locker.
Daarna heb ik links van Kaspersky geprobeerd. Rhannodecryptor en Rectordecryptor. Maar ook daar geen soelaas...

Suggesties blijven welkom. het gaat om deze variant:
Ransom:Win32/Critroni.A

 

[Webcanal]

Het is vreemd dat de bestanden niet worden herkend als geïnfecteerd.
Hier is een voorbeeld van zo'n bestand.

Het ziet er zo uit 001.JPG.qvxkwkc

:shocked:

 

[srpchulp]

en als je die nu gewoon renamed en dan dat toevoegsel na .JPG weglaat?

 

[Webcanal]

@srpchulp Dat was het eerste wat bij mij ook opkwam. En als eerste geprobeerd. Maar er blijft een onleesbaar bestand over. Ik wil je wel een bestand sturen, zodat je ermee kan spelen?

Bedankt voor het meedenken!