hier plaats ik de oplossingen voor niet alledaagse problemen.

.locky ransomware

Door fvdberg op woensdag 17 februari 2016 19:40 - Reacties (30)
Categorie: Fixes, Views: 23.990

Mijn afgelopen dagen stonden in het teken van .locky een nieuwe cryptolocker

Wat weten we tot nu toe:

Virustype is een exploit van een 4e generatie ransonware van het cryptowall type. het gedraagt zich als Dridex

Virus is afkomstig uit de Neutrino exploit kit en deze specifieke variant wordt sinds 7-2-2016 op de marketplaces op TOR aangeboden maar is vermoedelijk al langer actief.

Het virus wordt sinds 15-2-2016 gespot en opgemerkt. De oorsprong lijkt in Duitsland te liggen

Op een Indiaas forum is deze trojan op 8-2-2016 gemeld: http://pantip.com/topic/34773071 dit is dus net nadat de kit op de marketplaces op TOR op dook.

De command and control was in ons geval een Russische webserver

Wordt verspreid via:

1. email bijlage in email met factuur (ATTN: Invoice J-98223146)
2. Macro bestand in word documenten

het virus wordt uitgevoerd op gebruikersniveau en heeft dus nooit meer rechten als de gebruiker in kwestie. in een AD omgeving is het wijs om direct gebruikers die je verdenkt gelijk te blokkeren. wanneer je constateert dat deze een .locky bestand aan maakt.

De encryptie key wordt door de Russische server aangeboden en is te onderscheppen door het netwerk verkeer van de geinfecteerde machine uit te sniffen en lijkt niet te veranderen.

Het virus maakt als eerst een .locky bestand aan in een map, kan dit niet dan gaat hij door zonder iets te doen. Damage control is dus preventief de extensie .locky blokkeren op je fileshares zodat deze niet aangemaakt kan worden.

Malwarebytes Anti Rootkit kan het virus prima verwijderen.

Impact

Op alle lokale , netwerk en UNC paden waar de gebruiker schrijfrechten op heeft worden de bestanden met de volgende extensies versleuteld:

.mid, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .tar.bz2, .tbk, .bak, .tar, .tgz, .rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .raw, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .bat, .class, .jar, .java, .asp, .brd, .sch, .dch, .dip, .vbs, .asm, .pas, .cpp, .php, .ldf, .mdf, .ibd, .MYI, .MYD, .frm, .odb, .dbf, .mdb, .sql, .SQLITEDB, .SQLITE3, .asc, .lay6, .lay, .ms11, .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .pot, .pps, .sti, .sxi, .otp, .odp, .wks, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .dotm, .dotx, .docm, .docx, .DOT, .max, .xml, .txt, .CSV, .uot, .RTF, .pdf, .XLS, .PPT, .stw, .sxw, .ott, .odt, .DOC, .pem, .csr, .crt, .key, wallet.dat

De volgende paden en extensies worden over geslagen:

tmp, winnt, Application Data, AppData, Program Files (x86), Program Files, temp, thumbs.db, $Recycle.Bin, System Volume Information, Boot, Windows

In de versleutelde mappen wordt een ransom note geplaatst met de naam _Locky_recover_instructions.txt

Locky vewijderd alle Shadow Volume Copies op de machine met de volgende opdracht: vssadmin.exe Delete Shadows /All /Quiet

Locky past de Windows wallpaper naar %UserpProfile%\Desktop\_Locky_recover_instructions.bmp, met daar op dezelfde instructies als in de ransom note

Locky gerelateerde bestanden:

%UserProfile%\Desktop\_Locky_recover_instructions.bmp
%UserProfile%\Desktop\_Locky_recover_instructions.txt
%Temp%[random].exe (in ons geval LadyBI.exe)

Locky gerelateerde register aanpassingen:

HKCU\Software\Locky
HKCU\Software\Locky\id
HKCU\Software\Locky\pubkey
HKCU\Software\Locky\paytext
HKCU\Software\Locky\completed 1
HKCU\Control Panel\Desktop\Wallpaper "%UserProfile%\Desktop\_Locky_recover_instructions.bmp"

Wij hadden recente backups van de geraakte bestanden, maar zelfs daarmee is het nog een Hell of a job om de schade te herstellen. decrypten is geen optie, dus backup, backup en nog eens backup!

Wij hebben op basis van de uitgedeelde rechten de groep met potentiele besmette accounts kunnen beperken tot een handje vol en hadden het relatief snel onder controle.

Zie ook dit topic op GoT: .LOCKY nieuwe crypto locker virus

Windows 10 - Prolific PL-2303 Serieel - USB Fix

Door fvdberg op vrijdag 12 februari 2016 10:00 - Reacties (13)
Categorie: Windows 10, Views: 9.584

Om bepaalde redenen pushed Microsoft een nieuwere Prolific driver waardoor een aantal typen Prolific serieel-usb chipsets het niet meer doen. deze starten niet.

Dit heeft te maken met de chinese klonen die op de markt zijn.
maar ook de "echte"PL-2303X en PL-2303HXA, die zijn volgens prolific EOL.

Helaas zitten die in de meeste converters en is dit voor de meeste mensen niet duidelijk

Om ze toch bruikbaar te maken moet je voorkomen dat microsoft de driver automatisch update.

Dit doe je als volgt:

Plak het volgende in je notepad en sla het op als prolific_prevent_update.reg, die uitvoeren en windows doet er niets meer mee


code:
1
2
3
4
5
6
7
8
9
10
11
12
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DeviceInstall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DeviceInstall\Restrictions]
"DenyDeviceIDs"=dword:00000001
"DenyDeviceIDsRetroactive"=dword:00000000

 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DeviceInstall\Restrictions\DenyDeviceIDs]
"1"="USB\\VID_067B&PID_2303"
"2"="USB\\VID_067B&PID_2303&REV_0300"
"3"="USB\\VID_067B&PID_2304"


hierna kan je de juiste driverversie installeren die wel werkt: Dat is: 3.2.0.0

executable:
https://www.pyramidtimesy...iver_Prolific_3_2_0_0.exe

zip:
http://www.w9lrt.com/defa.../baofengprolificvista.zip

Ook is er iemand die een installer voor heeft gemaakt als je geen zin hebt om zelf even het registerbestandje te maken

zie http://www.ifamilysoftware.com/news37.html

Data recovery van Synology nadat de (NTFS) Volumes/LUNs zijn verwijderd

Door fvdberg op dinsdag 9 februari 2016 11:30 - Reacties (5)
Categorie: Fixes, Views: 2.595

Als er niet gescrubbed is dan is redding mogelijk! Samengevat zijn dit de te volgen stappen:

- Eerst de LVM structuur herstellen
- De harde schijven aan een PC aansluiten en een image maken van de verwijderde volumes
- Het image mounten in Windows en de data veilig stellen.

Volg onderstaande stappen:

1. Log in op de Synology command line interface via telnet of ssh

2. Herstel de LVM structuur met de volumes. Zoek daarvoor de het LVM configuratie bestand op in /etc/lvm/archive dat de juiste indeling weergeeft van de Volumes.
Kopieer het pv uuid en voer de volgende opdracht uit om de LVM indeling te herstellen:

pvcreate --uuid "uuid van het PV*" --restorefile /etc/lvm/archive/vg1_volgnummer.vg /dev/vg1 –ff

*uuid van het PV is te vinden in het LVM configuratie bestand

3. Zet de Synology uit (via de WebGUI)

4. Verwijder de schijven een voor een en nummer ze van 0 t/m ... Sluit de schijven in de juiste volgorde aan op een PC

5. Zorg ervoor dat de PC een verbinding kan maken met het internet. Start de PC van een Ubuntu Live DVD/USB stick

6. Sluit een externe harde schijf aan via USB. Afhankelijk van het type partitie/bestandsysteem kan Ubuntu hier gebruik van maken

7. Als Ubuntu is gestart de systeeminstellingen aanpassen: System settings -> Software & Updates -> Enable Community maintained en Software restricted

8.Start een terminal venster (zoek naar ‘term’ met de knop linksboven in beeld) en voer de volgende commando’s uit:

sudo –i
apt-get update
apt-get install mdadm (kies tijdens de installatie ‘No configuration’)
apt-get install testdisk
mdadm –Asf && vgchange –ay

als het goed is wordt nu de software RAID van de Synology herkend en wordt weergegeven dat er een aantal Logical Volumes zijn

9. Geef in het terminal venster het commando testdisk

Kies create new log
Selecteer het device met het volume waarvan je een image wilt maken, bijvoorbeeld /dev/mapper/vg1-iscsi_1
Kies proceed
Selecteer Intel en ga door
Selecteer Geometry en stel het aantal heads in op 255 en het aantal sectors per track op 63 en kies OK
Kies Advanced [File System Utils]
Selecteer List om de NTFS structuur/bestanden te browsen. Als dat zonder problemen gaat kies je q (van quit)
Selecteer Image Creation. Browse nu naar de externe harddisk (/media/ubuntu/heel lang nummer) en kies c (van create image)
Nu wordt het NTFS volume gemaakt. Geduld;

10. Als het image gemaakt is dan kun je dat dd bestand (Read-only) mounten in Windows m.b.v. PassMark OSFMount om te zien of de inhoud bruikbaar is. Daarna unmounten en kopiŽren naar een veilige plek en/of dupliceren naar een iSCSI target via HDDGuru’s HDD Raw Copy Tool* Robocopy

*HDDGuru’s HDD Raw Copy Tool lijkt te werken maar in de praktijk maakt het programma schijven die bijvoorbeeld allemaal serienummer 0 hebben. Ook kloppen de geometry eigenschappen niet. Partitioneer programma’s herkennen deze schijven niet en meerdere van deze schijven geven problemen met Disk Manager en iSCSI.

Om de inhoud van schijf Y: naar schijf Z: te kopiŽren kun je onderstaande tekst in een batch bestand zetten:

set source=Y:
set target=Z:
set opts=/copyall /mir /np /r:0 /w:0 /xj /dcopy:t /dst /mt
set optsxd=/xd $Recycle.bin Boot Recycler "System Volume Information"
set optsxf=/xf bootmgr hiberfil.sys pagefile.sys
robocopy "%source%" "%target%" %opts% %optsxd% %optsxf%

Encrypted website (Linux Ransomware)

Door fvdberg op dinsdag 9 februari 2016 10:26 - Reacties (8)
Categorie: Fixes, Views: 2.494

Help! Mijn website is niet meer bereikbaar.
Als ik naar de bestanden kijk staat overal .encrypted achter en in de root staat een bestandje met de naam README_FOR_DECRYPT.TXT met de volgende tekst er in:
Your personal files are encrypted! Encryption was produced using a unique public key RSA-2048 generated for this computer.

To decrypt files you need to obtain the private key.

The single copy of the private key, which will allow to decrypt the files, located on a secret server at the Internet. After that, nobody and never will be able to restore files...

To obtain the private key and php script for this computer, which will automatically decrypt files, you need to pay 0.5 bitcoin(s) (~210 USD).
Without this key, you will never be able to get your original files back.

______________________________________________

!!!!!!!!!!!!!!!!!!!!! PURSE FOR PAYMENT(ALSO AUTHORIZATION CODE): [#######] !!!!!!!!!!!!!!!!!!!!!
WEBSITE: [#######]

INSTRUCTION FOR DECRYPT:

After you made payment, you should go to website [#######]
Use purse for payment as ur authorization code ([#######]).
If you already did the payment, you will see decryption pack available for download,
inside decryption pack - key and script for decryption, so all what you need just upload and run that script ( for example: http://websitenaam/decrypt.php )

Also, at this website you can communicate with our supports and we can help you if you have any troubles,
but hope you understand we will not answer at any messages if you not able to pay.

!!!P.S. Our system is fully automatic, after payment you will receive you're decrypt pack IMMEDIATELY!!!

FAQ:
Q: How can I pay?
A: We are accept only bitcoins.

Q: Where to buy bitcoins?
A: We can't help you to buy bitcoins, but you can check link below: https://en.bitcoin.it/wik...oins_(the_newbie_version)

Q: I already bought bitcoins, where i should send it.
A: [#######]

Q: What gonna happen after payment?
A: Download button for decryption pack will be available after you made payment

Q: I pay, but still can't download decryption pack
A: You need to wait 3 confirmations for bitcoin transaction.

Q: How to use decryption pack?
A: Put all files from archive to your server and just run decrpyt.php (example: website.com/decrypt.php)

Q: Can I pay another currency?
A: No.
Moet ik nu betalen om mijn bestanden vrij te krijgen?

NEE

Hoe los je dit dan wel op?

1. Download encoder_3_decrypter.py bitdefender
2. Upload deze naar de root van je FTP.
voor directadmin is dat: /home/[gebruikersnaam]
3. Ga naar Putty
4. Log in met je gebruikersnaam en wachtwoord
5. Type:
code:
1
cd /home/[gebruikersnaam]


6. Type:
code:
1
find $directory -type f -name "*.encrypted" > encrypted.txt


7. Open deze file en plak de inhoud in veld B van excel
8. Plaats in veld A de volgende tekst voor elke regel:

code:
1
python encoder_3_decrypter.py


9. Kopieer de inhoud van het werkblad en plak deze in notepad++
10. Selecteer de ruimte tussen python encoder_3_decrypter.py en het pad naar het bestand en ga naar zoeken -> vervangen
11. Zet in het vervangen door 1 spatie en druk op alles vervangen
de regel ziet er nu zo uit:
code:
1
python encoder_3_decrypter.py /home/[gebruikersnaam]/domains/[domeinnaam]/public_html/components/com_contact/models/featured.php.encrypted


12. Sla dit op als decrypt.sh
13. Kopieer decrypt.sh naar de root van je ftp
14. Voer deze uit met
code:
1
./decrypt.sh


15. Verwijder nu alle .encrypted bestanden recursief met het volgende commando:

code:
1
find . -name "*.encrypted" -type f -delete


Nu hebben we nog 2 problemen
16. Verwijder bij elk bestand de laatste regel. deze is niet goed gedecrypt. dit doe je met het volgende commando:

code:
1
find . -name "*.*" -type f -exec sed -i "\$d" '{}' \;


17. Zet de rechten opnieuw of vraag je host om dit te doen

Voor directadmin:

code:
1
2
3
for i in `ls`; do { chown -R $i:$i $i; }; done;
/usr/local/directadmin/scripts/set_permissions.sh all
/etc/init.d/directadmin restart


Nu is je website weer bereikbaar en schoon!

Vergeet niet om al je inlog gegevens aan te passen!
Dus email, web, ftp. directadmin...

Doe je dit niet dan loop je de kans dat je nogmaals slachtoffer wordt.