Gehackt: Bart is 10 jaar aan privé foto’s kwijt

Het zal je maar gebeuren… Je komt thuis na een fantastisch concert en alle bestanden op je computer zijn ‘gegijzeld’. Het overkwam Motion Graphic Designer Bart eind vorig jaar. Dit is zijn verhaal.

Auteur: Martijn
Datum: 17/02/2017
Leestijd: 4 Minuten

Geen idee hoe het gebeurd is. Ik heb best wel wat verstand van computers, maar het is me een raadsel hoe deze ransomware op mijn computer is gekomen. Op mijn computer draaien twee betaalde virusscanners, geen F-Secure overigens, en die hebben de infectie niet kunnen voorkomen.

Hoe ik erachter kwam dat mijn computer besmet was? Samen met mijn vriendin ging ik in november naar een concert. Die avond is de ransomware op de een of andere manier op mijn computer gekomen. De volgende ochtend zette ik mijn computer aan en zag ik mijn nieuwe wallpaper:

afbeelding1

Daarnaast stonden er zowel op mijn bureaublad als in de root van mijn harde schijven elf tekstbestanden. Allemaal met dezelfde tekst:

All the important files on your computer were encrypted.

To decrypt the files you should send the following code:

F0485E0DF8E4AD546CAF|0

to e-mail address Novikov.Vavila@gmail.com .

Then you will receive all necessary instructions.

All the attempts of decryption by yourself will result only in irrevocable loss of your data.

If you still want to try to decrypt them by yourself please make a backup at first because

the decryption will become impossible in case of any changes inside the files.

If you did not receive the answer from the aforecited email for more than 48 hours (and only in this case!),

use the feedback form. You can do it by two ways:

1) Download Tor Browser from here:

https://www.torproject.org/download/download-easy.html.en

Install it and type the following address into the address bar:

http://cryptsen7fo43rr6.onion/

Press Enter and then the page with feedback form will be loaded.

2) Go to the one of the following addresses in any browser:

http://cryptsen7fo43rr6.onion.to/

http://cryptsen7fo43rr6.onion.cab/

De schade was niet te overzien

De ransomware zelf was zo verwijderd, nu eens kijken wat de schade precies is.

Het is bijna niet te bevatten wat het bestandje aangericht heeft. Alle bestanden zijn er nog, maar zowel mijn zakelijke als mijn privé bestanden zijn versleuteld met een lange, random bestandsnaam en de extensie .DA_VINCI_CODE.

Zo ziet één van mijn privé-mappen er nu uit:

afbeelding2

Er is nog hoop

Voordat ik er überhaupt over na zou denken om te betalen, ging ik eerst zelf online op zoek naar een oplossing. Al snel kwam ik er op de website van ID Ransomware achter dat ik het slachtoffer ben geworden van Troldesh ransomware en dat er misschien nog hoop was:

Troldesh

This ransomware may be decryptable under certain circumstances.

Please refer to the appropriate guide for more information.

Identified by

●      ransomnote_filename: README7.txt

●      ransomnote_email: Novikov.Vavila@gmail.com

●      sample_extension: .da_vinci_code

Click here for more information about Troldesh

Maar helaas, ik heb een aantal van de aanbevolen decrypters geprobeerd en niets werkte. Regelmatig krijgen decrypters een update, hopelijk komt de update die ik nodig heb binnenkort.

Betalen is geen optie

Mijn bestanden zijn sinds november gegijzeld. De makkelijkste oplossing is betalen. Als ik de gijzelnemers betaal, dan beloven ze de bestanden te decrypten.

Ik kon mijn nieuwsgierigheid niet bedwingen en heb contact gezocht met de bende die achter deze situatie zit. Van hen kreeg ik te horen dat ik voor €250,- mijn bestanden terug kreeg. Na even onderhandelen zat ik op €180,-.

Even daarna besloot de bende over te stappen naar Bitcoins, waardoor de prijs steeg. Inmiddels zit het losgeld rond de €230,-.

En heel eerlijk… €230,- is geen geld voor het terugkrijgen van mijn bestanden, maar ik vertik het om te betalen. Waarom?

●      Uit principe. Ik wil deze gasten niet belonen voor hun gedrag.

●      Er is geen enkele garantie dat ik mijn bestanden terug krijg.

●      Ik wil deze praktijken niet aanmoedigen door ervoor te betalen.

Daarnaast had ik verwacht dat ik meer zou balen van het kwijtraken van mijn privébestanden. Onder de versleutelde bestanden zitten privé foto’s van de afgelopen tien jaar. Maar deze herinneringen zitten ook in mijn hoofd, ik vind het jammer dat de foto’s weg zijn, maar ik heb er inmiddels vrede mee.

Had ik dit kunnen voorkomen?

Geen idee, ik weet nog steeds niet hoe het heeft kunnen gebeuren. Achteraf heb ik wel één cruciale fout gemaakt, die me had kunnen redden.

Ik had een back-up moeten maken.

Met een goede back-up was het probleem zo opgelost. Na een schone installatie van Windows had ik zo al mijn bestanden terug kunnen zetten en was er niets aan de hand. Uiteraard heb ik de gecodeerde bestanden bewaard op nieuwe externe harde schijven, in tweevoud en zal ik geduldig wachten op een decryptor.

Ontzettend veel geleerd van deze situatie

Je kunt je voorstellen dat ik gelijk heb geïnvesteerd in harde schijven voor een goede back-up. Hier heb ik geen moment mee gewacht, vanaf nu maak ik regelmatig een kopie van mijn bestanden. Dit overkomt me niet nog een keer.

Daarnaast heb ik ontzettend veel geleerd over heel het ransomware wereldje. Er gebeurt veel op dit gebied en het wordt ook steeds makkelijker om dit soort aanvallen uit te voeren.

Ik hoop dat ik mensen help door mijn verhaal te delen, het kan iedereen overkomen. Het is lastig tegen te gaan, maar je kunt je er wel tegen wapenen.


Post Comment

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit / Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit / Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit / Bijwerken )

Google+ photo

Je reageert onder je Google+ account. Log uit / Bijwerken )

Verbinden met %s