Files_encrypted-read_me.html

[AVD]

Files_encrypted-read_me.html

 
Ineens zie ik dat mijn mappen met foto's een FILES_ENCRYPTED-READ_ME.HTML bestand hebben.
De foto's hebben een normale grote, maar ik krijg ze niet meer geopend.

Foutmelding dat het bestand beschadigd of te groot is.

Spyhunter en malwarebytes op mijn pc losgelaten maar die vinden geen virus of Trojan.

En het zijn toevallig ook alleen mijn netwerkschijven waarvan alle files niet meer geopend kunnen worden.

Ingelogd op de Synology disk en gekeken of ik Encryptie zie aanstaan, maar bij alle shares staat Encryptie in het grijs en kan ik hem niet aanklikken.

Wat hier aan de hand is, dat is mij een groot raadsel.

Zie ook bijlage van Diskstation

[Birdy]

Zou het hier mee te maken hebben ?

[AVD]

Hoi Birdy,

Zal het je uitleggen. Ik heb wel een Imac, maar ik draai daar een dualbooth op. Voor foto's en video gebruik ik de osx van apple, maar ik heb er windows naast gezet en daar werk ik bijna altijd mee.

Ik vind het wel toevallig dat het alleen mijn netwerkschijven zijn en ook raar dat hij in elk mapje zo'n Files_encrypted-read_me.html gooit.

Als je hier op internet zoekt kom je inderdaad telkens dat virus tegen. Maar Malwarebytes, Spyhunter en NOD32 vinden niets.

Ook benieuwd of ik de bestanden nog ooit goed krijg of ze voor altijd verloren zijn, dan heb ik een groot probleem.

[Pippin]

maar ik heb er windows naast gezet en daar werk ik bijna altijd mee.

Dan kan het Locky zijn of de opvolger.
Die eerste herken je aan *.locky files.

[Pippin]

Oh ja,

Ik zou direct alle netwerkverbindingen verbreken naar de NAS, vanuit elke machine.
Dan via DSM kijken.

[Birdy]

Inderdaad, ik bedoelde Locky maar, verwees naar de verkeerde Topic, kijk hier.

[Briolet]

En wat als je dat "Files_encrypted-read_me.html" bestand met een tekstverwerker opent? staat er dan nadere info in. Of met de browser openen, maar dan zou ik eerst JavaScript in de browser uitzetten, want je weet niet wat voor code die html file verder wil uitvoeren. Liefst ook eerst de internetverbinding in de router verbreken.

[AVD]

Ik kan me herinneren dat ik een paar dagen geleden een file kreeg van DHL met een bijlage.
Toevallig zat ik op een pakket te wachten en ik opende de mail.
Daar zat een .doc file (word) als bijlage in. D
Toen ik die wilde openen gebeurde er niets. Ik kreeg wel meteen een gevoel dat er misschien iets goed fout was.

Of dit waar is weet ik niet, want zover ik weet kan je bij het openen van een exe file wel besmet raken, maar een .doc file lijkt me sterk.
Ook raar dat 2 malware programma's en de virusscanner van NOD32 niets vinden

[Pippin]

Kijk dan ook even hier:
http://tweakers.net/nieuws/108467/ransomware-locky-maakt-slachtoffers-in-duitsland-en-nederland.html

[AVD]

Beste mensen, we got him !!!

Het is een virus:

win32/Filecoder.cryptoWall.CR Trojaans paard

Ik kwam erachter door op die Files_encrypted-read_me.html te klikken met de rechtermuis en kiezen voor scannen.
Raar is dat meteen NOD32 de melding van het virus gaf.

Nu kan het virus misschien wel verwijderd worden, maar nu ook kijken of ik dan mijn bestanden ook weer kan openen.

Nu deze site aan het raadplegen:

http://www.blogines.com/easy-methods-to-remove-win32filecoder-cryptowall-cr-win32filecoder-cr-from-infected-windows/

[Briolet]

ik weet kan je bij het openen van een exe file wel besmet raken, maar een .doc file lijkt me sterk.

Bij mijn weten worden de extensies in windows standaard verborgen. Dus een file "readMe.doc" kan in werkelijkheid ook "readme.doc.exe" zijn. Verder was er laatst ook iets met een doc file, die de boel via macro's besmette. In de mail werd zelfs aangegeven dat je de macro's moest aanzetten als de file niet 'leesbaar' was.

[Birdy]

Ja, dat is dus Locky.

[AVD]

Trojan volgens mij verwijderd, maar bestanden kan ik niet meer openen.

Wat een stelletje.......

[Stephan296]

Het is lullig voor je.
Maar als je een mail krijgt van een pakketje van DHL PostNL FedEx en andere bedrijven.
Kijk dan eerst naar de afzender (email adres) en niet zo maar klakkeloos bestanden openen.

Heb je een backup van je bestanden?

[m4v3r1ck]

WOW das mooi kl*** voor je @AVD !!!

Ik ontving ook een soortgelijke mail, omdat ik het niet vertrouwde heb ik het ****@kdz-express.website adres gecontroleerd. Deze bleek geheel anders dan die van KDZ zelf [http://www.kdz.com/nl/]. Wel vreemd dat ze geen gebruik maken van een httpS url!



Toch ook KDZ maar even een mailtje gestuurd om te checken. Het bleek inderdaad om een criminele mailing te gaan! Elke keer als ik zo'n email ontvang check ik dat altijd even met het bedrijf zelf! Kost wat tijd en moeite, maar voorkomt een hoop gedonder.

On 09 Mar 2016, at 10:00, KDZ Express <nl.ops@kdz.com> wrote:

Geachte heer/mevrouw,,
 
Dank u voor uw bericht.
 
Dit betreft een phising email. Dit bericht is niet afkomstig van KDZ Express maar afkomstig van internet fraudeurs welke de naam KDZ Express misbruiken.
 
Wij adviseren u  deze mail direct te verwijderen.
 
Het spijt ons dat u hiermee lastig gevallen wordt en danken u voor uw begrip.
 
 
Best regards / Met vriendelijke groet,

Natascha Nolta
 
<image001.jpg>

Excellence in Worldwide Express

KDZ Express BV
TEL:          +31-(0)85-4875000
WEB:        www.kdz.com
MAIL:        nl.ops@kdz.com
 

Ik hoop voor je dat je een goede backup hebt gemaakt van je foto's en andere belangrijke bestanden! Succes...

Cheers