Cryptowall (och liknande), hur skydda sig?

En av anledningarna till att Cryptolocker/Cryptowall/m.m lyckas så "bra" är att de gör något som en vanlig användare måste få göra.
Metoden som används för att kryptera filerna är helt vanliga Windows anrop.
Så har skaparen bara lyckats lura "the squishy bit" mellan stolsrygg och bildskärm att klicka på och köra "fraktsedeln" eller vad det nu må vara så sker kryptering med helt legitima verktyg.
Man kan försvåra dessa attacker genom att inte tillåta att filer körs från temp-kataloger eller nere i %AppData%, %LocalAppData%\Temp via Applocker eller Software Restriction Policies (SRP).
Tyvärr kan detta leda till att legitima program slutar fungera, kan dock lösas med Whitelists i Applocker och SRP.

Framför allt se till att ha riktig backup på dina filer.
Shadow Copies lokalt kan fungera, har dock sett varianter på Cryptolocker som sopar Shadow Copies som en del av krypteringsfasen.
Alla filer som den inloggade användaren har modify rättigheter till kan krypteras på lokala diskar eller uppmappade nätverkssökvägar.

@Hujedamig: Jag hade formaterat för att vara säker. Kom bara ihåg, filerna kommer inte att återställas, dem är låsta och troligtvis förlorade om du inte betalar. Du skulle kunna använda detta verktyg och se om det finns kända svagheter (longshot, men kan vara värt att prova). Har du extrem tur kan viruset ha en svaghet i sig och göra så du kan dekryptera filerna.

https://id-ransomware.malwarehunterteam.com/

Kan väl inte vara svårt att ställa in så att alla program måste godkännas varje gång innan de får köras? Om då något poppar upp av sig själv så väljer man bara "nej" och kör antivirus...?

Anledningen till att ett skadligt program körs är ofta pga en användare som laddar ner och faktiskt kör igång den skadliga koden. Till råga på allt så är det skadlig kod som det inte finns definitioner för. Om en användare skulle tvingas svara "Ja" varje gång en process skulle gå igång så skulle användaren snart svara "Ja" utan att bry sig, eller leta upp ett sätt att stänga av frågan. Så nja, möjligt att det är en lösning, men det är ingen bra lösning.

Jämför med hur ofta du läser HELA informationstexten om cookies när du besöker en ny sida. Troligen inte så ofta för att du har sett varningen så många gånger att du helt enkelt ignorerar den genom att trycka Ok. Samma sak blir det till slut med en fråga om du vill köra ett program - du svarar bara ja utan att faktiskt kontrollera vilken process det är. Sen kan man ju fråga sig hur en användare som infekterar sin dator med kryptovirus ska kunna avgöra om en process är grön eller inte.

@whisky: Absolut skulle det bli så om det var så för alla användare generellt, men jag menade att den som ville skulle kunna ställa in så att det krävdes ett godkännande. Då har man ju medvetet tagit det beslutet för att skydda sig och då lär man ju inte bara klicka bort det.

Det skrivs hur mycket som helst om detta och står till och från i tidningar. Har även diskuterats i forumet en tid.
Detta är ett fenomen som funnits i flera år och aldrig kommer försvinna. Skrämmande hur många privatpersoner och företag som betalar för att få tillbaka sina filer. Tror inte det hjälper att du krypterar filerna själv innan.
Vi har fått in det på jobbet 3 ggr. och har tvingas återläsa från backup från tidigare tidpunkt. Riktigt tidskrävande detta jobb

Att kryptera filerna själv före och/eller använda extension som inte finns i deras lista kanske hjälpte den här gången - men om metoden blir vanligt för att skydda sina filer så kommer nästa version av ransomware skryptera även dessa med sitt eget krypto.

Man måste skaffa undan backup-filerna till en dold backup som inte kan läsas med filhanterare lokalt eller över nätverksvolymer.

Är det riktigt viktiga filer/foton etc. så kanske man skall överväga att bränna ett exemplar på DVD+/-R, BR-R dessutom...

Seventhknight är väl inte direkt känt men verkar klara av dessa ransomware, dock måste det vara installerat innan man fått det.

Nej inga faktiska tester på detta. har även läst den tråden och ja allt jag kunde hitta om det, men jag skaffade det just för att jag var nyfiken, använde en laptop som testmaskin där jag använde mig utav Cryptolocker mf. alla ransomware jag testade blockerades innan dem ens hade en chans att starta vilket i mina ögon kan vara en lockande del för att skaffa just det här.

vore intressant om man kunde stänga av kryptering av filer helt och hållet i windows... jag vet inte om det används i något annat syfte för att skydda datorn men jag känner inte något vidare stort behov av att personligen kryptera mina filer.

Fast det sättet som CryptoGuard i HitmanPro.Alert! fungerar på verkar ju fungera hyfsat för de flesta Ransomwares? (Dock så kommer det ibland vissa ransomware som den inte skyddar mot men det brukar fixas inom en inte allt för lång tid)

Som jag förstår det så kollar CryptoGuard efter kryptering av filer och när den märker av kryptering av många filer så stoppar det programmet som gjort dessa och återställer alla filer. Sanningen i hur det faktiskt går till är nog lite mer komplicerad än så antar jag. Förövrigt så skyddar HitmanPro.Alert! mot hollow process vilket, som jag förstår det, är något som används av flera Ransomware familjer. Utöver det så finns det också skydd mot olika exploit-tekniker.

Har dock inte sett så många tester men det jag sett verkar positivt. Har använt det lite över ett år nu (gratis licens för beta testning genom Wilders forum) men inte behövt skyddet än, känns dock bra att ha det i bakgrunden utifall att. Kommer nog personligen aldrig falla för ransomware attack genom social engingering, det skulle vara om det levererades genom ett exploit.

Edit: Såg inte tiden som gått mellan inlägg *shrugs*

Virusmakare och antivirusprogram etc. har haft sin katt och råtta-lek sedan mitten av 80-talet typ och det finns alltid ett glapp mellan ny virus och motåtgärd mot viruset med användarens data som pris. Det kommer varken bli bättre eller sämre än hur det fungerar idag.

mao. man kan inte alltid lita på att AV-program av olika slag alltid märker och skyddar ett angrepp - är det zero-day grejor så skyddar väldigt lite av det.

---

Jag tycker personligen att HD-tillverkare som nu ändå gör mediaservrar, små NAS, Wlan-HD vid sidan av sina externa HD etc. borde göra en närmast idiotsäker lagringsprodukt med med bra klient byggd för att kunna tåla en Ransomware-angrepp, och då speciellt fallet att koppla in sin backupmedia med sina bakupfiler/direktory speglingar till en dator som man inte (ännu) vet om att den har en ransomware härjandes och också försöker kryptera backupdiskens innehåll så fort den kopplas in.

Det kan vara att den gör 'dolda' backup via en klientprogramvara där filerna som kopieras som dyker upp i filsystemet på disken som endast read-only, worm-beteenden - (worm -> write once, read many), snapshot på filsystemet (eller emulerad dito).

En sådan enkel sak som att kunna sätta en skrivskydd på sin externa disk, etc, etc.

---

dvs. en genomtänkt strategi på extern-HD eller vad man nu skall kalla den, vars uppgift är att skydda sin brukares data liggande på disken även om inkopplade datorn försöker senare med något skadligt.

- vill man ta bort/ändra en fil så skall det vara krångligt, kräva passord, bara kunna göras genom en klientprogram etc. när man vill rensa och återta plats.

Mycket av detta skulle redan kunna göras med HD-tillverkarnas redan existerande media-disk produkter som är mer eller mindre en liten NAS. Det är bara att någon måste sätta ihop hela paketet så att en icke datorvan person skall lätt få igång detta och få det hela att fungera.

Ja, lite som apples time-machine i enkelhet, men nu också ransomware-säkert (time-machine är inte det!! - om man nu trodde det...)

På sätt och vis möjligt med vissa HIPS (Host intrusion prevention system) program som tex Comodo Firewall och SpyShelter Firewall men det är inte direkt enkelt för den som inte är insatt. I mitt tycke så är Comodo Firewall den enklare att sätta upp för detta ändamål men har själv slutat använda dem efter att Comodo försökte ta trademark på "Let's Encrypt" (dvs p.g.a princip) men det går också i SpyShelter även om det är lite bökigare.

Till exempel så använder jag SpyShelter Firewall och har lagt till min Macrium Reflect backupkatalog i "User defined protected files" under kategorin "Personal" och sedan så tillåter jag endast reflect.exe att modifiera filer i den mappen, så om jag försöker tex skapa en ny text fil i den mappen så tillåts jag inte göra det (samma sak om jag försöker modifiera filerna.) Har satt upp liknande för andra mappar, tex Steam, bilder, musik och filmer.

Upplever dock diverse begränsningar med SpyShelter som jag inte gjorde i Comodo. För det första så finns det bara två tillgängliga kategorier att lägga till filer i, "Personal" och "General" medan i Comodo så kan du skapa nya kategorier manuellt. Det andra är att jag inte hittat ett sätt att enkelt göra en "Block by default" regel, i Comodo så kan man sätta upp en "everything" regel där det blockas samt ändra pre-defines rulesets, det är inte något som jag har hittat i SpyShelter utan där måste du antigen ändra för alla program eller svara nej när ett program efterfrågar att ändra något i mappen.

Sedan är ju frågan om dessa program i sig går att kringgå, svaret är troligen ja, om man tittar på tex Matousec tester så ser man att det finns diverse problem, dock mindre än med traditionella AV-program, sedan kan man också anta att det finns flera knep utöver dem som testas.

Min personliga åsikt är att flera lager av säkerhet är att föredra, tex så använder jag själv som jag sagt SpyShelter Firewall med HIPS, HitmanPro.Alert! med CryptoGuard samt Zemana AntiMalware 2 som AV (utvärderar fortfarande, tyvärr så verkar det gå i motsatt riktning mot vad jag skulle vilja, de har tex tagit bort valet att låta användaren bestämma vad som ska hända när ett skadligt program hittats, nu är det antingen delete eller quarantine.) Använder också Macrium Reflect för system backups (snapshots) och funderar på att testa Shadow Defender igen. Många av mina lösningar kräver dock lite tålamod och insikt/kunskap, absolut inget jag skulle försöka få min mor att använda om jag inte vill bli uppringd flera gånger varje dag.

Kan väl kanske avsluta med att det såklart är komplexa problem utan en "magic bullet" lösning, det finns vissa lösningar som vardera har för och nackdelar. Som en (självutnämnd) poweruser så skulle jag personligen vilja se en auto-sandbox ("full"/"light" sandbox) av nya program med en typ av inbyggd HIPS. Comodo och SpyShelter i kombination kommer kanske nära (förutsatt att de inte har konflikter) men har som sagt övergivit Comodo av princip. Förövrigt skulle jag vilja att vissa av dessa funktioner fanns inbyggda i Windows redan, men det kommer aldrig att hända. Kan förövrigt hålla med om att bättre system som inte är svåra att förstå och använda skulle kunna hjälpa för många, själv är jag dock ute efter lösningar som ger MIG kontrollen.

Edit: Det där vart längre än vad jag hade planerat...

Det är tvärtom, det är människan som inte hinner med utvecklingen. Cryptovirus kan inte ta sig in i din dator självmant, den behöver hjälp av en enfaldig användare.

De har svarat på det: https://www.wilderssecurity.com/threads/in-the-wild-ransomwar...