VIRUS : Gorentos@bitmessage.ch ( bestands extensie gehackt )

[plientje]

Hallo Iedereen,

Sinds vandaag is mijn DS1512+ gehackt door het Gorentos@bitmessage.ch virus.
Al mijn bestanden Video - Music en Photo zijn niet meer bruikbaar,

http://www.myantispyware.com/2019/06/12/gorentosbitmessage-ch-ransomware-virus-restore-decrypt-encrypted-files-files/



Heeft iemand hier ervaring mee of een oplossing, vindt wel op internet informatie voor windows
https://nl.howtouninstall.guide/bijstand-voor-het-verwijderen-gorentosbitmessage-ch-virus-van-windows-xp

[Birdy]

In links wordt idd oplossingen aangeboden voor het decrypten oner Windows.
Misschien kunnen deze oplossingen ook werken via een share op Windows naar je NAS?

Het verwijderen van het Virus wordt een ander verhaal, denk (alleen) herinstalleren van DSM.

Of.....herinstalleren van DSM en je backup restoren, als je die hebt tenminste.

[Briolet]

Kijk ook hoe het erop gekomen is. Volgens mij is het een PC die besmet is en heeft hij de shares die zonder account toegankelijk zijn omdat ze via dnla gepubliceerd worden, ook meegenomen.
Dat maakt het ook waarschijnlijker dat dat een programma voor windows ook je PC kan reinigen. En dat je die ook eerst moet aanpakken om de bron te verwijderen.

Als de PC besmet was, is er op de nas geen groot probleem omdat daar dan geen besmetting op staat. Je kunt dan simpel de besmette shares wissen en de backup terug zetten.

[plientje]

Hallo,

Inderdaad kwam ik er gisteren achter dat er een virus op mijn pc stond, die waarschijnlijk een ingang heeft gevonden via de share van mijn pc naar de nas.

Mijn NAS is 15 T vol met 1080P mkv films muziek en Photo's en heb hier geen back up van, te groot om te back-uppen

In de NAS de bestanden bekeken, helaas hebben ze allemaal een toevoeging, vreemd is het dat er op de pc geen bestanden zijn geblokkeerd

Hier een voorbeeld van een muziek en filmbestand op de NAS : Jan Smit - Vrienden.mp3.madex   of   New Kids.mkv.madex

is er geen mogelijkheid om deze virus van de NAS te verwijderen, de virusscanner ziet niets

[Pippin]

Hier lezen:
https://www.pcrisk.com/removal-guides/15444-madek-ransomware

Lijkt een decrypter voor te zijn.

[Briolet]

…In de NAS de bestanden bekeken, helaas hebben ze allemaal een toevoeging, vreemd is het dat er op de pc geen bestanden zijn geblokkeerd

Ransomeware wil zo laat mogelijk ontdekt worden. Misschien is deze zo geschreven dat hij eerst de externe schijven doet in de hoop zo minder op te vallen. Of omdat externe schijven regelmatig de backups zijn en hij die eerst wil aanpakken. Je hebt het proces dan gestopt voordat hij aan de pc kon beginnen.

…heb hier geen back up van, te groot om te back-uppen

Geen bestand is te groot om te backuppen. Als het nu op een HDD staat, bestaat er ook een andere HDD die groot genoeg is om te backuppen. Als je het geld uittrekt voor een nas, moet je daarnaast nog een tweede nas hebben voor backup. Die tweede mag een heel goedkope zijn die alleen goed is in opslag. b.v. een behuizing die niets meer doet dan schijven tot één volume samen te voegen.

[plientje]

Ik kwam er achter toen ik een film wilde kijken en deze een ander extensie had ...mkv.madek
Zag dat er al een flink aantal mappen omgezet waren naar madek., heb toen gelijk de NAS uit gezet.
De share van mijn pc naar de nas ook verbroken.

Heb het virus op mijn pc gevonden, deze moet ik zien te verwijderen en hoop dat het virus niet op mijn nas staat en ik de nog niet geinfecteerde mappen kan redden.

Denk zelf dat het virus via de Share de Nas heeft benaderd.

MMD > Decryptor geprobeerd , gooit alleen deze bestanden weg maar zet ze niet om naar de juiste extensie

[Briolet]

…Lijkt een decrypter voor te zijn.

Maar wel een met een heel kleine kans op succes.

…Malware researcher Michael Gillespie has developed a decryption tool that might restore your data if it was encrypted using an "offline key". As we've already mentioned, each victim gets a unique decryption key and all of them are stored in remote servers controlled by cyber criminals. These are categorized as "online keys". However, there are cases when the infected machine has no Internet connection or the server is timing out/not responding. If that is the case, Madek will use an "offline encryption key", which is hard-coded. Now it is worth mentioning that cyber criminals change offline keys every now and again. This is being done to prevent multiple encryptions with the same key. Meanwhile, Michael Gillespie continually gathers offline keys and updates the decrypter. However, the chances of successful decryption are still very low

Dus alleen als er bij de start van de infectie geen internetconnectie is, gebruikt hij een vaste sleutel. Is de internetverbinding er wel, dan wordt een unieke sleutel gegenereerd en extern bewaard. Ontsleutellen zal dan niet lukken.

Een heel enkele keer wordt zo'n server met sleutels gevonden. Maar dat kan lang duren, als het al gebeurd.Ga er dus maar vanuit dat gecodeerde bestanden niet meer te redden zijn.

[plientje]

In het tekstveld wat ze mee hebben gestuurd van Gorentos@bitmessage.ch staat onder uw unieke sleutel.
Meestal staan daar XXXXX.

Zou ik iets kunnen met deze sleutel.