Computer Forum voor al uw vragen en problemen.

Register een gratis account om van alle functies op het forum gebruik te kunnen maken.

Problemen met uw computer, of heeft u advies nodig? PC Web Plus helpt u graag verder.

Welkom op PC Web Plus, op dit computerforum kunt u terecht voor gratis hulp bij computerproblemen en allerhande vragen over software, hardware en computerbeveiliging.

Als gast kunt u alleen het forum bekijken en meelezen met de verschillende discussies. U kunt echter geen reacties of commentaar geven op bestaande discussies, of nieuwe onderwerpen op het forum starten met uw vraag of probleem.

Klik op de onderstaande link om geheel gratis een gebruikersaccount op ons forum te registreren. Vanaf dat moment kunt u deelnemen aan de diverse discussies op het forum.

Klik hier om een gratis account te registreren! - of lees onze Welkomstgids door voor meer informatie over het gebruik van het forum.

Forumregels
Lees dit a.u.b. eerst!!!

In dit forum gedeelte worden diverse infecties en 'malware' varianten (individueel) besproken en toegelicht met achtergrond informatie.
Deze informatie & beknopte 'verwijder' instructies zijn geheel onafhankelijk van welke situatie dan ook, indien uw computer met één van deze 'malware' varianten is geïnfecteerd kunt u natuurlijk gebruik maken van de beschreven 'removal (verwijder) instructies', maar dit geeft geen garantie dat uw computer dan ook geheel 'malware' vrij is.

U kunt dan ook het beste een nieuw 'onderwerp (topic)' starten in dit forum gedeelte waarin u uw problemen voorlegt.
Door middel van de door uw geplaatste 'logfiles' zal er een analyse plaatsvinden, en aan de hand hiervan zal uw probleem ook 'individueel' behandeld worden door één van de 'leden' van het (security team)

Plaats aan de hand van dit stappenplan (klik) de verkregen logjes op het forum.

Via deze link >klik< kunt u een account aanmaken op het forum.
 
Gebruikersavatar
Maxstar
Administrator
Administrator
Onderwerp Auteur
Berichten: 41274
Lid geworden op: za 27 sep, 2008 10:18:07
Kennisniveau: (3) Expert
OS: Windows 10
AV: Emsisoft Internet Security
Contacteer:

Locky-virus (Locky-ransomware) informatie

za 19 mar, 2016 09:31:27

Het Locky-virus zoals deze in de volksmond vooral bekend is valt onder de categorie ransomware. Dergelijke kwaadaardige software vergrendeld de computer en tevens zullen de bestanden op de computer versleuteld worden. Door deze encryptie zijn deze onbruikbaar geworden, voor het ontsleutelen dien je de cybercriminelen te betalen. In het geval van de Locky-ransomware gaat dit om een halve of hele Bitcoin per bestand. Zo'n halve of hele Bitcoin staat gelijk aan 200 tot 400 euro. Echter zijn er ook varianten die tot 10 Bitcoins vragen voor het ontsleutelen van de vergrendelde bestanden.

Hoe raak je besmet met het Locky-virus (Locky-ransomware)
Momenteel wordt het Locky-virus het meeste via de e-mail verspreid. Maar ook via gecompromitteerde websites of advertentienetwerken is het mogelijk om geïnfecteerd te raken met deze ransomware. Zoals gezegd wordt het Locky-virus in de meeste gevallen via e-mail verspreid. Bij zo'n e-mailbericht gaat het op een openstaande rekening, in de bijlage tref je dan meestal Word-document of een Javascript-bestand (.js) aan wat verpakt is in een ZIP-bestand.
Zolang je het ZIP-bestand en de bestanden in een dergelijke (gecomprimeerde) map niet opent is er nog niets aan de hand. De malware is immers nog niet actief, de besmetting van het Locky-virus vindt pas plaats als je het Word-document of het Javascript-bestand (.js) zal openen. Bij het openen van een Word-document zal er gevraagd worden om macro's in te schakelen, zodra je hiermee akkoord gaat zal het Locky-virus geactiveerd worden.

Afbeelding

Welke bestanden worden er allemaal versleuteld door het Locky-virus (Locky-ransomware)
Het Locky-virus richt zich op een hele waslijst aan bestanden die versleuteld zullen worden, denk hierbij aan: afbeeldingen, video's, Office-bestanden, maar ook bronbestanden. Ook snapshot-bestanden, waarmee je je Windows-systeem naar de staat van een bepaald moment kunt herstellen, ontkomen niet aan Locky. Daarnaast zoekt het Locky-virus ook naar bestanden op gedeelde netwerkschijven en zal op deze manier ook bestanden op andere systemen versleutelen. In de onderstaande code-box een opsomming van bestandsextensies waarop het Locky-virus zich richt.
.mid, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .tar.bz2, .tbk, .bak, .tar, .tgz, .rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .raw, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .bat, .class, .jar, .java, .asp, .brd, .sch, .dch, .dip, .vbs, .asm, .pas, .cpp, .php, .ldf, .mdf, .ibd, .MYI, .MYD, .frm, .odb, .dbf, .mdb, .sql, .SQLITEDB, .SQLITE3, .asc, .lay6, .lay, .ms11, .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .pot, .pps, .sti, .sxi, .otp, .odp, .wks, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .dotm, .dotx, .docm, .docx, .DOT, .max, .xml, .txt, .CSV, .uot, .RTF, .pdf, .XLS, .PPT, .stw, .sxw, .ott, .odt, .DOC, .pem, .csr, .crt, .key, wallet.dat


Hoe herstel ik bestanden die versleuteld zijn door het Locky-virus (Locky-ransomware)
Momenteel is een terugplaatsen van een back-up de enige mogelijkheid om versleutelde bestanden van het Locky-virus te herstellen. Heb je geen recente back-up dan kan je alle versleutelde bestanden eigenlijk als verloren beschouwen, tenzij je de cybercriminelen hiervoor gaat betalen. De kans dat je na betaling software krijgt om de bestanden te ontsleutelen is nihil. Ons advies is dan ook om niet te betalen, in de meeste gevallen ben je namelijk gewoon je geld kwijt en zullen de bestanden gewoon door het locky-virus versleuteld blijven.

De enige mogelijkheid die er nog is om bestanden (eventueel) te kunnen herstellen, is het gebruik maken van recovery-software. In het tweede bericht van dit artikel leest u daar meer over.

Hoe voorkom ik een besmetting met het Locky-virus (Locky-ransomware)
  • Open nooit verdachte e-mailberichten, en open nooit de bijbehorende bijlagen zoals Word en andere Office-documenten.
  • Ook voor PDF-bestanden en andere verkapte bestanden geldt dat je deze nooit zomaar moet openen.
  • Standaard zijn macro's uitgeschakeld, dit is namelijk niet voor niets. Activeer dan ook nooit Macro's in Office tenzij je voor 100% zeker weet dat deze veilig zijn.
  • Zorg verder dat het besturingssyteem en alle overige software up-to-date is.
  • Verder dient het systeem natuurlijk optimaal beveiligd te zijn, mocht ja daar vragen over hebben start in dit subforum dan uw vraag zodat wij u daar verder bij kunnen helpen.
Onderstaand nog twee voorbeelden van e-mailberichten die het zogenaamde Locky-virus (Locky-ransomware) bevatten. Heeft u een dergelijke e-mail ontvangen verwijder deze dan direct en open nooit de bijlage of andere bestanden die zijn bijgevoegd. Ter controle kan jet daarna geen kwaad om het systeem even extra te controleren middels een uitgebreide malwarescan.

De onderstaande afbeeldingen zijn verkleind, klik op de thumbnail voor een vergroting.

Image Image
Met vriendelijke groet,

Maxstar


Member of UNITE Unified Network of Instructors and Trained Eliminators (Unite Against Malware)

 
Gebruikersavatar
Maxstar
Administrator
Administrator
Onderwerp Auteur
Berichten: 41274
Lid geworden op: za 27 sep, 2008 10:18:07
Kennisniveau: (3) Expert
OS: Windows 10
AV: Emsisoft Internet Security
Contacteer:

Re: Locky-virus (Locky-ransomware) informatie

za 19 mar, 2016 09:31:42

Bestanden herstellen via een schaduwkopie

Wat is een schaduwkopie?
Wanneer u systeemherstel heeft ingeschakeld op de computer worden automatisch schaduwkopieën gemaakt. Schaduwkopieën maken het mogelijk om bijvoorbeeld oude bestanden te herstellen via de optie "Vorige versies herstellen" wanneer u met de rechtermuisknop op een document. Deze methode is echter niet helemaal waterdicht, zo kan het voorkomen dat sommige bestanden niet de laatst aangepaste versie zijn. Daarenboven probeert de infectie alle schaduwkopieën te verwijderen waardoor uw bestanden mogelijks niet hersteld kunnen worden. Gelukkig slaagt de infectie hier niet altijd in en blijft dit een methode die zeker het proberen waard is!

We bespreken in dit artikel 2 methodes om de bestanden te herstellen, probeer gerust beide methodes uit om te zien welke het beste voor u werkt.

Methode 1: Standaard Windows functies

Om individuele bestanden te herstellen kan u onder Eigenschappen op de Vorige Versies tab klikken. Hier verschijnen alle vorige versies die opgeslagen zijn in de schaduwkopie gesorteerd op datum.
Om een bestand te herstellen klikt u op Kopieer... en selecteert u de map waar u het bestand wilt opslaan. Indien u het originele bestand wilt overschrijven klikt u op Herstellen. Wenst u de inhoud van het bestand te bekijken alvorens u het herstelt, dan klikt u op Openen. Dezelfde methode kan gebruikt worden bij mappen.

Methode 2: Shadow Explorer

Download het programma Shadow Explorer naar het bureaublad.
Wanneer u het programma start krijgt u een lijst te zien met alle data en schijven waarop een shaduwkopie aanwezig is. Selecteer de schijf (blauwe pijl) en datum (rode pijl) waarvan u de bestanden wilt herstellen.
Om een volledige map te herstellen rechtsklikt u op de map en kiest u Export en geeft u een locatie op waarnaar de vorige versie hersteld moet worden.

Afbeelding



Bestanden herstellen met recovery software
Zoals eerder vermeld is het onder bepaalde omstandigheden mogelijk om met recovery software het origineel van de versleutelde bestanden terug te halen. Hierbij is het wel belangrijk dat u het systeem verder niet gebruikt, en de schrijfacties op het systeem tot het minimum beperkt. Voor het terughalen van bestanden is er diverse gratis software beschikbaar. R-Studio en PhotoRec zijn hier twee voorbeelden van. Maar uiteraard zijn er meerdere tools die u hiervoor kunt gebruiken, op de onderstaande links treft u meer informatie. Maak voor het herstellen van de bestanden bijvoorbeeld gebruik van een externe schijf of usb-stick die u enkel gebruikt voor het opslaan van herstelde bestanden. Zodra u alle bestanden of de meest belangrijke heeft hersteld kunt u overgaan tot het verwijderen van de ransomware en nadien alles herstelde bestanden terugplaatsen en natuurlijk grondig controleren met anti-malware software.


Controle na besmetting met het Locky-virus (Locky-ransomware)
Wanneer u met regelmaat back-ups heeft gemaakt is dit natuurlijk de meest makkelijke manier om versleutelde bestanden te herstellen. Als u beschikt over een complete (schone) systeemimage is het aanbevolen om hier gebruik van te maken. Hiermee zal de computer tevens direct weer malwarevrij zijn. Wanneer u enkel een back-up op bestandsniveau heeft dan dient de computer als eerste opgeschoond te worden, hiervoor kunt u de onderstaande stappen volgen.

Download de Afbeelding Farbar Recovery Scan Tool 32 of 64 bit van één van de onderstaande links
Hier staat een beschrijving hoe u kunt kijken of u een 32 of 64 bit versie van Windows heeft.

Farbar Recovery Scan Tool uitvoeren
  • Dubbelklik op FRST.exe om de tool te starten.
  • Windows Vista, 7 en 8 gebruikers dienen de tool als "administrator" uit te voeren door middel van de rechtermuisknop en kiezen voor Als Administrator uitvoeren.
  • Als het programma is geopend klik Yes (Ja) bij de disclaimer.
  • Druk vervolgens op de Scan knop, er zal nu eerst een back-up van het register worden gemaakt.
  • Wanneer de scan gereed is worden er twee logbestanden aangemaakt met de naam (FRST.txt) & (Addition.txt) op dezelfde plaats vanwaar de 'tool' is gestart.

Logbestanden plaatsen op het forum
Plaats de twee logbestanden van FRST in een nieuw onderwerp op het forum als bijlage.

Hoe u een bijlage kunt toevoegen aan het bericht leest u hier.

Aan de hand van deze logs kunnen wij uw computer verder controleren op aanwezigheid van malware en u op deze manier verder advies en hulp bieden.
Met vriendelijke groet,

Maxstar


Member of UNITE Unified Network of Instructors and Trained Eliminators (Unite Against Malware)

Wie is er online

Gebruikers op dit forum: Geen geregistreerde gebruikers en 3 gasten