Tag: Bestanden herstellen

Software-clinic: Hoe haal ik verwijderde foto’s op mijn telefoon terug?

Hallo Fabrizio,

Gisteren heb ik mijn telefoon op mijn computer aangesloten om foto’s over te zetten, maar opeens waren ze bijna allemaal gewist. Ik heb niets gedaan, alleen gekeken, maar ze waren plots nergens meer te vinden; niet in de prullenbak van mijn computer en niet op mijn telefoon. Mij werd aangeraden op Google te kijken, maar ik zag niets. De telefoon is een LG zonder SD-kaart om dingen op te slaan. Ik las ook iets over Android opnieuw installeren, maar ik ben bang dat ik het daarmee nog erger maak. Ik móet die foto’s terugkrijgen, een aantal foto’s zijn zeer belangrijk voor me.

Maria

Hallo Maria:

Het is mogelijk om de meeste, zo niet alle foto’s te herstellen. Wanneer het besturingssysteem (of het nou Windows of Android is) bestanden verwijdert, verdwijnen ze niet meteen, maar wordt de harde schijfruimte gemarkeerd als ‘beschikbaar’. Heb je dus nog geen nieuwe bestanden op je apparaat gezet, dan is de kans groot dat al je foto’s nog ergens bestaan; je hoeft alleen de gegevens te vinden om de JPG-bestanden (afbeeldingen) te herstellen. Daarvoor heb je speciale programma’s nodig.

Mobiele foto’s herstellen met Recuva

Draait je telefoon Android 4.0 of lager (daar kom je zo achter), dan is de snelste manier om je foto’s te herstellen door je telefoon aan te sluiten op je pc of laptop, of de SD-kaart in een card reader te stoppen. Vervolgens gebruik je een gratis file recovery-programma. Mijn keuze voor Windows is Recuva. Wanneer je de telefoon aansluit op je computer zie je deze verschijnen als een externe harde schijf in de Windows Verkenner (of Finder, als je een Mac hebt).

Zo verschijnt je telefoon op een Windows-pc: als externe harde schijf

Open vervolgens Recuva en volg de wizard om de foto’s terug te halen. De mobiele telefoon moet verschijnen als harde schijf. Selecteer foto’s en bevestig om te scannen.

Volg deze stappen in Recuva om je foto’s te herstellen

Wanneer het scannen is voltooid, zie je de foto’s die Recuva kon vinden op de kaart of het interne geheugen. Als je de tijd hebt (of waneer de eerste scan niet tot de gewenste resultaten leidt) en verder wilt gaan kun je kiezen voor een grondige tweede scan. Die is een stuk langzamer, maar ook effectiever.

Deze verwijderde foto’s wist Recuva te vinden op mijn HTC Sensation

Wat als de telefoon niet verschijnt als harde schijf?

In veel recente Android-telefoons, zoals de Nexus 4 of Samsung Galaxy S3, verschijnt het apparaat op je pc niet als harde schijf, maar zie je een ander soort pictogram daarvoor in de plaats in de Verkenner. Dat komt omdat er in plaats van USB Mass Storage (de klassieke methode) gebruik wordt gemaakt van MTP (Media Transfer Protocol). Als dat het geval is, heb je niets aan Recuva, omdat het programma enkel harde schijven herkent.

Verschijnt je telefoon niet als harde schijf, dan heb je niets aan Recuva

De enige manier om een telefoon te dwingen verbinding te maken als harde schijf is om je Android-telefoon te rooten. Wat zoveel wil zeggen als het ontgrendelen van beheerdersrechten, waardoor je volledige controle over je telefoon krijgt. Rooten is echter niet zonder gevaar en je garantie kan ermee vervallen. Ook zijn er winkels die het voor je doen. Wil je echt aan een root beginnen, zorg dan altijd dat je een back-up van de gegevens op je mobiele telefoon maakt, zodat je niets kwijtraakt als er iets misgaat.

Met een geroote telefoon is het mogelijk om recovery apps als DiskDigger te gebruiken

Heb je gekozen om je telefoon te rooten, dan herstel je bestanden rechtstreeks vanaf je Android met het programmaatje DiskDigger, of door je telefoon te dwingen verbinding te maken met je pc als USB Mass Storage (bijvoorbeeld met behulp van SG USB Mass Storage Enabler) en vervolgens Recuva te gebruiken.

Twee tips om toekomstige problemen te voorkomen

Om soortgelijke problemen in de toekomst te voorkomen zijn er twee dingen die je kunt doen. De eerste is de app Dumpster installeren, die foto’s en andere bestanden beschermt tegen per ongeluk verwijderen. Dumpster fungeert als prullenbak, waar verwijderde bestanden worden opgeslagen en je ze dus achteraf eenvoudig weer uit vandaan vist. Houd wel in je achterhoofd dat deze ‘verwijderde’ bestanden gewoon ruimte innemen op je telefoon.

Dumpster is een prullenbak voor Android, die je helpt foto’s, video’s en documenten te herstellen

Nog een tip is om automatische back-ups van foto’s en video’s in te schakelen via Google+. Bij het synchroniseren van bestanden op je account, worden afbeeldingen en filmpjes zo opgeslagen op de cloud van Google, waar ze blijven staan als online back-up.

Back-up opties vind je bij [Google Instellingen> Google+> Automatische Backup]

Hetzelfde is mogelijk met Flickr, de Yahoo! foto-app of Dropbox. Wel moet je telefoon verbinding met mobiel internet of Wi-Fi hebben om je fotocollectie te synchroniseren. Eenmaal daags verbinden voor een automatische back-up is in principe voldoende.

Met vriendelijke groet,

F.

Heb je een vraag over Windows, Android of computerbeveiliging? Fabrizio helpt je een handje. E-mail je vraag naar  vraaghetfabri@softonic.com of contacteer ons op  Twitter met de hashtag #vraaghetfabri.

Het CryptoLocker-virus: bestanden herstellen en een aanval voorkomen

Cryptolocker is een van de gevaarlijkste virussen van de afgelopen jaren. Infecteert Cryptolocker eenmaal je pc, dan ‘kidnapt’ het virus je bestanden en vraagt geld voor het deze teruggeeft. En als je niet betaalt…

Cryptolocker is een hijacker virus, dat Windows XP, Vista, 7 en 8 infecteert. Het vermomt zichzelf als bijlage bij een e-mail, in de vorm van een ZIP of PDF, of verstuurt zichzelf automatisch naar je pc als deze eerder al is geïnfecteerd met een ‘botnet’ trojan-type. Die zet de deur wijd open voor bediening op afstand en externe infecties.

Cryptolocker kidnapt en versleutelt je bestanden

Wanneer geactiveerd, begint Cryptolocker Office-documenten, PDF-bestanden en foto’s te versleutelen. Versleutelde bestanden kunnen vervolgens alleen ontsleuteld worden door de makers van het Cryptolocker-virus.

Bestanden die zijn versleuteld door Cryptolocker worden onleesbaar

Daar houdt het niet op. Wanneer het slachtoffer niet binnen vijf dagen een bepaald geldbedrag overmaakt, wordt de sleutel van de bestanden voor altijd geblokkeerd. Dat betekent dat de bestanden na die tijd dus nooit meer te openen zijn.

Betalen om je bestanden te redden

Besluit het slachtoffer het bedrag van maximaal 300 euro te betalen, dan ontgrendelt Cryptolocker meestal (maar niet altijd) de versleutelde bestanden weer. Betaling kan via MoneyPak, Ukash en Bitcoin, de populaire nieuwe virtuele munteenheid.

De betaalmethodes maken het haast onmogelijk de makers van het virus te achterhalen

Elke poging om het betalingsmechanisme te misleiden verkort de beschikbare tijd die je hebt om de betaling te maken. Om slachtoffers te ‘helpen’ hebben de virusmakers zelfs een ‘support’-website toegevoegd aan het bijgevoegde wallpaper. Op dit webadres vind je het decryptieprogramma dat je na betaling nodig hebt om je bestanden terug te krijgen.

De ‘support’-pagina van Cryptolocker

Het systeem is bijna perfect bedacht door de cybercriminelen: betaal je niet, dan krijg je je bestanden nooit meer terug. De gebruikte encryptie is te sterk om zomaar te ontcijferen, zelfs voor geavanceerde programma’s.

Heeft een slachtoffer dus geen back-up van zijn bestanden, dan zit er niets anders op dan het gevraagde losgeld op te hoesten. Toch?

Wat te doen bij een Cryptolocker-infectie

Krijg je het Cryptolocker-scherm te zien, verbreek dan direct de internetverbinding, zodat het virus niet nog meer bestanden kan versleutelen en de communicatie met de criminelen wordt verbroken. Een verbroken verbinding voorkomt ook dat je back-ups op Dropbox of Google Drive worden overgeschreven door versleutelde versies van de bestanden.

Schakel je netwerkapparaten direct uit!

Vervolgens is het tijd om je af te vragen wat je wilt doen: losgeld betalen, of het virus verwijderen en een poging wagen tot het terugkrijgen van je bestanden. Besluit je te betalen, dan leg je het lot van je bestanden in criminele handen, zonder garantie dat zij hun belofte nakomen. Op internet zijn geluiden te horen van slachtoffers die inderdaad binnen een paar uur hun bestanden konden ontsleutelen na betaling, maar ook van de andere zijde van de medaille. Wij raden je ten zeerste af te betalen.

De Cryptolocker decryptie–tool werkt alleen nadat je losgeld betaalt

Wat je keuze ook is, het beste om te doen is een lijst opstellen van geïnfecteerde en versleutelde bestanden. Hiervoor gebruik je ListCrilock, wat een TXT-bestand maakt met alle beschadigde bestanden. Een ander programma dat praktisch hetzelfde doet is CryptoLocker Scan Tool.

CryptoFinder zoekt naar geïnfecteerde bestanden en vertelt je of ze kunnen worden hersteld

Handmatig kun je hetzelfde doen door het Windows-register te openen (Start > Uitvoeren > ‘regedit’) en te navigeren naar HKEY_CURRENT_USER\Software. Daar vind je een map met een submap, met daarin de titels van de door Cryptolocker aangetaste bestanden. Sommige van deze bestanden zijn misschien (nog) niet versleuteld en zijn dus nog te redden. Voor de overige bestanden moet je hopen dat je ergens nog een back-up hebt.

Cryptolocker van je pc verwijderen

Cryptolocker verwijderen is vrij eenvoudig, vooral omdat de makers ervan uitgaan dat het slachtoffer het virus niet dúrft te verwijderen. Gelukkig zijn er meerdere manieren om je bestanden terug te krijgen, maar de eerste stap is het virus van je pc verwijderen.

In ons geval gebruikten we Norton Power Eraser om Cryptolocker te verwijderen, een krachtig anti-trojan-programma dat Symantec gratis beschikbaar stelt op hun website. Power Eraser vond na een scan al gauw enkele verdachte objecten.

Na een herstart van de computer is het Cryptolocker-virus volledig verdwenen en blijft alleen de bureaubladachtergrond over. Die is volledig onschuldig en kun je dus zonder problemen terugveranderen naar je oude wallpaper.

Gratis programma’s die hetzelfde doen zijn MalwarebytesRogueKiller en ComboFix. Traditionele antivirusprogramma’s hebben moeite met het identificeren van Cryptolocker als infectie, vooral met de snelheid waarmee nieuwe versies van hetzelfde virus op de kop steken.

Door Cryptolocker geïnfecteerde bestanden herstellen

Cryptolocker valt alleen documenten aan die op je lokale harde schijf en netwerkschijven staan. Heb je bijvoorbeeld een schijf die op het moment van de aanval niet is aangesloten of een internetserver, dan blijven die bestanden buiten schot.

Extensies die worden aangevallen door Cryptolocker: .odt, .ods, .odp, .odm, .odc, .odb, .doc, .docx, .docm, .wps, .xls, .xlsx, .xlsm, .xlsb, .xlk, .ppt, .pptx, .pptm, .mdb, .accdb, .pst, .dwg, .dxf, .dxg, .wpd, .rtf, .wb2, .mdf, .dbf, .psd, .pdd, .pdf, .eps, .ai, .indd, .cdr, .jpg, .jpe, .jpg, .dng, .3fr, .arw, .srf, .sr2, .bay, .crw, .cr2, .dcr, .kdc, .erf, .mef, .mrw, .nef, .nrw, .orf, .raf, .raw, .rwl, .rw2, .r3d, .ptx, .pef, .srw, .x3f, .der, .cer, .crt, .pem, .pfx, .p12, .p7b, .p7c.

Heb je eenmaal je pc gedesinfecteerd, dan is het slim om een van de meest interessante ‘geheimen’ van Windows in te zetten: de shadow copy. Oftewel een recente versie van het bestand terugroepen. Windows maakt deze kopieën telkens wanneer een bestand wordt aangepast. Om dit te activeren klik je met rechts op een versleuteld bestand en open je de eigenschappen.

In het Vorige versies-tabblad zie je de verschillende versies die Windows heeft opgeslagen. Selecteer de meest recente backup voor de infectie en klik op het bestand te herstellen. Een snelle en handige manier om alle schaduwkopieën op je harde schijf te bekijken is het programma ShadowExplorer.

Shadow Explorer is heel eenvoudig te gebruiken. Kies de schijf, de datum van de kopieën (in het uitrolmenu) en blader vervolgens door je bestanden en mappen. Kopieën roep je terug met een rechtermuisklik en de optie Export.

Een andere optie is om een vorige backup van je hele systeem terug te zetten, mits die backup uiteraard niet verbonden was met je pc op het moment van de infectie. Bestanden van je Dropbox, Skydrive of Google Drive zijn ook een optie.

Wanneer je een backup van Dropbox of Google Drive plukt, controleer dan wel voor de zekerheid om het niet om een geïnfecteerde kopie gaat. Beide applicaties hebben overigens ook een versiegeschiedenis voor elk bestand. In Drive vind je die bijvoorbeeld via File > Revision history. Vanuit daar herstel je ook je online bestanden naar hun oorspronkelijke ongeïnfecteerde vorm.

Cryptolocker-infecties voorkomen

De makers van Cryptolocker ontwikkelden hun virus met twee veronderstellingen: iedereen opent alle ontvangen bijlagen bij e-mails en niemand maakt backups van hun documenten. Jouw taak is om hun ongelijk te bewijzen. Om dat te doen, moet je een strenger online beveiligingsbeleid gaan volgen.

Om te beginnen is het raadzaam om goed te letten op verdachte e-mails. Verwacht je geen mail? Open dan ook niet zomaar de bijlage die je bij dat plotse mailtje krijgt. Dat geldt voor zowel webmail als e-mailprogramma’s als Outlook: als je er niet om hebt gevraagd, klik er niet op. Deze regel voorkomt de meeste infecties én verdere verspreiding van het virus.

Gmail detecteert zelf ook virussen (bron: AskDaveTaylor)

Ben je bang om slachtoffer te worden van CryptoLocker, gebruik dan CryptoPrevent om infectie te voorkomen. Deze tool brengt een aanpassing in Windows aan, die het programma’s onmogelijk maakt zichzelf te openen vanuit de Application Data-map.

Open CryptoPrevent en vink het eerste, tweede en vierde vakje aan, zodat bestaande programma’s kunnen blijven draaien. De Undo-knop geeft je de mogelijkheid om deze blokkade tijdelijk ongedaan te maken, wanneer je bijvoorbeeld een nieuw programma wil installeren.

Als laatste preventie tegen CryptoLocker is het raadzaam om backups te maken van je belangrijkste bestanden. Volgens statistieken van het bedrijf BackBlaze maakt slechts 30% van alle computergebruikers wel eens backups en doet slechts 10% van iedereen dat dagelijks.

Het Shadow Copy-systeem van Windows activeer je via Configuratiescherm > Systeem en beveiliging > Bestandsgeschiedenis. Je bepaalt zelf hoeveel ruimte op je harde schijf je wilt inruimen voor deze kopieën.

Cryptolocker is gevaarlijk

Misschien herinner je je nog het Reveton-virus, dat voor paniek zorgde bij miljoenen computergebruikers. Het virus toonde een bericht dat van de politie afkomstig leek en slachtoffers dwong geld te betalen om niet vervolgd te worden voor grote misdaden. Het virus maakte vele slachtoffers, maar is niets vergeleken bij CryptoLocker.

CryptoLocker neemt namelijk werkelijk jouw eigen bestanden in gijzeling. Volgens een schatting had het virus eind 2013 al een kwart miljoen slachtoffers gemaakt. Omdat Bitcoin-transacties worden bijgehouden, ontdekten experts dat cybercriminelen vele miljoenen aan losgeld incasseren dankzij het virus.

De manier waarop CryptoLocker de pc infecteert is echter conventioneel en daarom prima te voorkomen met de nodige voorzorgsmaatregelen. De belangrijkste les echter is deze: houd backups bij! Jouw data is een schat, waar criminelen de vruchten van plukken. Maar jij bepaalt uiteindelijk hoeveel je bestanden waard zijn.

Hoe vaak maak jij backups van je bestanden?