Arrow Blammo Virus Malware hoe te verwijderen? Vrijdagmiddag werden we gebeld door een klant met de mededeling dat sommige bestanden niet meer te openen waren en of ik met spoed kon komen. Het eerste verzoek dat ik aan de klant gedaan heb is om alle netwerkstekkers uit de computers te trekken en deze niet uit te zetten. Toen ik aan kwam, heb ik als eerste gekeken op de server naar de gedeelde mappen. Hier bleken diverse mappen aangetast te zijn. Dit was te zien aan dat alle bestanden een extentie .[Blammo@cock.li].arrow hadden. Voorts bleken een laptop en een desktop besmet te zijn. Foute boel dus!

Ik heb de laptop en desktop meegenomen naar de zaak om vrijdagavond uit te zoeken wat er nou precies gebeurt is. Na het avondeten heb ik eerst een back-up van donderdagavond teruggezet op de server en hierna ben ik op internet op zoek gegaan naar de combinatie Arrow en Malware. Al snel kom je dan uit bij allerlei lieden die SpyHunter of ReImage software aanbieden tegen betaling. Wat ook opvalt is dat deze malware voor het eerst sinds begin 2018 gesignaleerd is. Een vrij jonge variant dus. Ondanks het feit dat diverse sites claimen dat het mogelijk is om de gecrypte bestanden te herstellen, is dit op dit moment niet mogelijk omdat de encryptie sleutel nog niet beschikbaaar is.

Terug naar de laptop en desktop: Ik heb beide machines in veilige mode gestart en vervolgens met ESET NOD32 Antivirus een volledige scan laten uitvoeren. In beide gevallen trof ESET NOD32 het bestand blammo@cock.li.exe aan in de submap \Desktop\System Admin\ en NOD32 gaf aan dat het een variant van Win32/Filecoder.Crysis.P trojaans paard was en dat deze opgeschoond was door deze te verwijderen. Verder werd geen besmetting meer gevonden. Helaas ben ik er nog niet achter gekomen hoe het kon dat zowel de laptop als de desktop bijna tegelijkertijd zijn gestart met het infecteren. Beide machines hebben een andere gebruikersnaam en de desktop stond wel aan maar er zat niemand achter.

Ondanks het feit dat de bestanden op de server snel hersteld waren, omdat hier goeie back-ups van gemaakt werden, was dit bij de laptop en desktop niet zo. De desktop heb ik geformatteerd en ik heb zowel Windows 7 als Office er opnieuw opgezet omdat dit de snelste methode was. De laptop was niet volledig besmet en hier heb ik alles wat te redden viel er af gehaald. Samen met de klant beslissen we nog wat we vervolgens gaan doen.

In een eerdere nieuwsbericht gaf ik het belang van regelmatige back-ups al aan en hoe je dit moet doen. Ook deze klant ga ik natuurlijk helpen met het maken van periodieke back-ups.

Categorieën: IT Nieuws