Råd gällande viruset Cryptolocker som spridits över nätverket?

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Jan 2003

Råd gällande viruset Cryptolocker som spridits över nätverket?

Har ett nätverk på jobbet som ser ut som följande.

Dator 1 (bortkopplad från nätet)
Dator 2 (inkopplad och igång)
Dator 3 (inkopplad och igång)
NAS (nu avstängd)

Har nu haft oturen att D1 (dator 1) har blivit smittat med viruset Cryptolocker (eller ja, Det är listat som ett ”ransomware”, vilket betyder att den kommer kräva någon form av lösensumma), som enligt mig är bland det värsta du kan råka ut för.
Så fort jag insåg vad som höll på att hända när jag kom fram till den drabbade datorn stängde jag av strömmen och drog ut nätverkskabeln på D1.
Har sedan dess trott att det bara är den som blivit smittad, och att resterande kopplade enheter i nätverket klarat sig.
Tills jag idag inser att även D2 och vår NAS fått vissa (inte alls många) filer krypterade.
Vi pratar ett fåtal. Och som tur är, helt obetydelsefulla filer.

Nu undrar jag.
Eftersom D1 inte kommer kopplas in på nätverket mer, förrän vi blåst om den, finns det risk att de smittade enheterna fortsätter att kryptera filer?
Har kört antivirusprogram på D1 och tagit bort själva trojanen, och undrar nu om det är just den på D1 som krypterade filer på de andra enheterna.
Har inte märkt av att fler filer krypterats på vare sig NAS eller D2.
Utan det verkar som att det tog stopp så fort man slog av strömmen.

Är det någon som har en susning om hur Cryptolocker fungerar, och om det installeras någonting som fortsätter även om (i detta fallet) D1 tas ur bruk innan krypteringen avslutats?

Vid omstart har D1 fått fram ett meddelande om att samtliga filer krypterats och att betalning skall ske i Bitcoins till en specifik Bitcoinadress.
På D2 har detta inte hänt. Och inga antivirusprogram hittar några konstigheter.
Det är alltså bara ett fåtal filer som fått ändrade filnamn samt ett par dokument med texten "HUR DU AVKRYPTERAR DINA FILER!".

Hur gör jag med NASen? Har kört F-securescanning på hela, och inga virus hittas, dock så är jag ju orolig att detta fortsätter om jag nu startar upp den dvs.

D3 har inte visat några tecken på smitta samt så har jag inte hittat några krypterade filer.

Tack på förhand.

Trädvy Permalänk
Medlem
Plats
Göteborg
Registrerad
Aug 2008

Hade exakt samma issue som du på jobbet. Vår dator "1" var den enda som behövde blåsas. Fanns krypterade filer på vissa delar av nätverket där användaren hade rättigheter. Smittan låg enbart på dator 1. Om du hade haft ett aktivt virus någon annanstans så hade krypterandet fortfarande hållit på.

I7 7700K | MSI Z270 SLI PLUS | MSI 1080TI ARMOR | 32GB DDR4 CRUCIAL | KRAKEN X42 | M.2 SAMSUNG 950 PRO 256 GB | 2X SAMSUNG 850 EVO 500GB |EVGA SUPERNOVA 750 G2|NZXT H440| ASUS ROG SWIFT PG348Q
INTEL NUC I7 SKULL CANYON | M.2 SAMSUNG 960 EVO 500 GB|32GB KINGSTON HYPER X | SAMSUNG 28" U28E590D 4K |
HTPC NODE 304 | CELERON G550 2,6 GHZ | Gigabyte GA-Z77N-WIFI | 16 GB DDR3 | XFX HD6870 | CORSAIR H70 / COOLER MASTER M2 650W SILENT PSU |
BÄRBAR 1| LENOVO Y700 | I7 6700HQ | GTX 960 | 256GB M.2 | 16GB DDR4
BÄRBAR 2 | SONY VAIO FIT15E CI3 1.8 6GB/500 GT740M 15.5 |

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Jan 2003
Skrivet av Cr0wl3y:

Hade exakt samma issue som du på jobbet. Vår dator "1" var den enda som behövde blåsas. Fanns krypterade filer på vissa delar av nätverket där användaren hade rättigheter. Smittan låg enbart på dator 1. Om du hade haft ett aktivt virus någon annanstans så hade krypterandet fortfarande hållit på.

Det jag misstänker alltså.
Dock så är jag rätt orolig att någonting inom ett par månader dyker upp och pga slarv nu, förstör senare.
Dvs att det återigen ploppar upp, då utan att man aktivt klickat på en länk.

Är det bara jag som är överdrivet paranoid, eller låter det vettigt att försöka blåsa om allt lite i taget?
Dvs först D1, sedan D2, osv osv.. Vet dock inte hur det kommer bli med NASen.

Trädvy Permalänk
Medlem
Plats
Göteborg
Registrerad
Aug 2008

@Yorgo_:
paranoid Du behöver inte blåsa om något annat, däremot kan ni ju såklart råka ut för det igen då det är svårt att kontrollera de vanliga användarna och banka in vett i huvudet på dem.... Om ni råkar ut för det igen så är det inte för att det ligger kvar något i systemet utan för att någon klantar sig på exakt samma sätt som denna gången.

I7 7700K | MSI Z270 SLI PLUS | MSI 1080TI ARMOR | 32GB DDR4 CRUCIAL | KRAKEN X42 | M.2 SAMSUNG 950 PRO 256 GB | 2X SAMSUNG 850 EVO 500GB |EVGA SUPERNOVA 750 G2|NZXT H440| ASUS ROG SWIFT PG348Q
INTEL NUC I7 SKULL CANYON | M.2 SAMSUNG 960 EVO 500 GB|32GB KINGSTON HYPER X | SAMSUNG 28" U28E590D 4K |
HTPC NODE 304 | CELERON G550 2,6 GHZ | Gigabyte GA-Z77N-WIFI | 16 GB DDR3 | XFX HD6870 | CORSAIR H70 / COOLER MASTER M2 650W SILENT PSU |
BÄRBAR 1| LENOVO Y700 | I7 6700HQ | GTX 960 | 256GB M.2 | 16GB DDR4
BÄRBAR 2 | SONY VAIO FIT15E CI3 1.8 6GB/500 GT740M 15.5 |

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Jan 2003
Skrivet av Cr0wl3y:

@Yorgo_:
paranoid Du behöver inte blåsa om något annat, däremot kan ni ju såklart råka ut för det igen då det är svårt att kontrollera de vanliga användarna och banka in vett i huvudet på dem.... Om ni råkar ut för det igen så är det inte för att det ligger kvar något i systemet utan för att någon klantar sig på exakt samma sätt som denna gången.

Som jag då misstänkt. Puh..
Skönt att veta.
Trojanen är borta och det blir då att rensa upp lite på NASen samt D2 och försöka lösa detta på bästa sätt.

Det var ett rätt snyggt mail som såg ut att komma från Postnord.
Har tidigare sett bra med stavfel etc, medan det denna gång såg riktigt proffsigt ut.

"Vi har försökt leverera ett paket till er" bla bla, 4.4kg, Klicka här för att spåra.
Och pang. Inom loppet av 1 minut var hela c:\ samt halva d:\ krypterat.

Noterbart är att vi inte hade något "riktigt" antivirusprogram på den datorn, utan det kirrade jag idag.
Tack för svar så länge. Sova nu.

Trädvy Permalänk
Medlem
Registrerad
Aug 2016
Skrivet av Yorgo_:

Ransomvirus...

...som enligt mig är bland det värsta du kan råka ut för.

Kan inte annat än hålla med - det är värre än vilken hårddiskras, stöld, brand etc. som helst eftersom du vet att filerna finns där men utom räckhåll om du inte betalar priset. - Jag sätter den här risken som allra högst för fatal skada på företag och hela backupfilosofin har ändrats radikalt pga. detta på företaget jag jobbar på... Det var 2 på ca 8 anställda som gick på postnordviruset förra året vid den här tiden - AV-programmen fångade upp detta som tur var - den här gången - och blev en ögonöppnare och detta kan hända igen av mer sofistikerade program som tar sig in på annat sätt - som tex. via flashplayer mfl. program med zero-day hål och då behövs det ingen användaraktivitet mer än lite slösurfning för att få in skiten på datorn...

---

Hittills har dessa varit ganska snälla och inte försöker sprida sig inom företagsnäten och 'bara' nöjer sig med att kryptera alla filer den ser från den angripna klientdatorn - men det är inget man skall förutsätta att nästa ransoware-angrepp är så 'snäll' och uppfostrad...

---

Hur är det med backupper och regelbunden backup (av klientdatorer)?

Finns inget sådant så är det dags att titta över det _NU_ och då handlar det om att göra 'dold' backup via service/demon som att gå via ssh, rsync, via borg-backup om man kan installera det i NAS - dvs. att de backuppade filerna läggs dolt på sådant sätt att dessa inte är åtkomliga över nätverket av någon alls mer än via sina backupprogram (då i restore-läget).

Alla backupprogram som skriver direkt på filsystem för att lägga sina backupfiler är bara att skrota - allt som användaren kan komma åt via filhanterare och Explorer på hårddiskar (externa liksom interna), nätverksvolymer och även molntjänster som presenterar sig som mapp eller filsystem på klientdatorn - kommer också ransomwiruset åt (och lite till) och kan kryptera.

NAS kommer bli den viktiga navet för backuphanteringen och i princip 'alla' köpe-NAS stöder lägst 'ssh' och 'rsync' som kan accessas utifrån från klienter. NAS måste också sättas upp för en dold backup av sina publicerade filer över nätverksvolymer och denna måste också göras på generationsbasis och tillräckligt många generationer för att klara av en långhelg/semesterperiod där man kan gå tillbaka dag för dag typ minst en månad bakåt. NAS måste också ha regelbunden backup till annan NAS, molntjänst eller lägst extern HD. Modernare, lite större köpeNAS med BTRFS eller ZFS som filsystem så kan det lösas med dagliga snaphot (som ställs för Read-only läge) på de publicerade nätvolymerna medans de enklare och billigare NAS med ext4 som filsystem så får man leka med rsync, hårda länkar (på liknande sätt som apples time-machine och använder hårda länkar), skriptar och cron för att lösa detta.

Backupklienter då ?

När det gäller backupklienter för windows som kan "posta" sina backupfiler via 'ssh' eller annan krypterande transport och service-tjänst och den vägen komma utom synhåll för virusangrepp så dräller det verkligen inte av dessa (har inte inventerat den kommersiella sidan men det dräller troligen inte av dessa där heller och som kan gå via server och krypterad länk och de som kan är ihopsatt som helhetslösning och krav på större servrar samt licenser. Större företag klarar kostnaderna för sådant men inte få-mansföretag...)

Backupprogram som följer med externa hårddiskar som WD och Seagate etc. i snygga grafiska paket kan man slänga direkt då de jobbar direkt på diskens filsystem och därmed fullt åtkomlig för en ransomwarevirus.

Påfallande många som fått ransoware-virus på sina datorer har också krypterat upp sina backupper ohjälpligt (de som har) för att den är inkopplad samtidigt när de jobbar eller kopplas in när de upptäcker att det är strul att öppna sina filer och innan de förstår att de har fått virus i burken.

---

Själv använder jag "Duplicati" för windows, som har duplicity som förebild inom linux-världen, har infrastruktur nog för att hantera detta med SSH och SSL för att dumpa sina filer via SSH-konto på tex. NAS samt har versions/generationsbackup, vilket gör att om angreppet startar sen fredag eftermiddag och inte upptäcks förrän på måndagen morron så är inte alla backupper sönderskrivna med sin motsvarande nyaste krypterade kopia, vilket det annars blir om man bara gör en daglig spegelfilstsystem-kopia på nasen av sina klientdatorer.

Kort sagt ransomware-hotet gör att man måste tänka ut helt nya lösningar för att säkra sina data och bygga för att tåla ett angrepp utan för mycket förluster (typ förlust av någon dags arbete som mest) - för det handlar inte om ett 'om' utan 'när' man får in ett sådant angrepp i företagsdatorer - se till att vara rustade för detta, skäll inte de som gör misstagen och får in skiten på företagsnäten, då sådant kan hända även den bäste i en stressad situation - för det hela _är_ utformat för att folk _skall_ fastna på kroken!!

Trädvy Permalänk
Medlem
Registrerad
Dec 2016

Mina föräldrar har råkat ut för detta på sin laptop. Räcker det med en systemåterställning (alternativet "återställ den här datorn" i Windows 10) eller måste jag formatera ?

Mvh Anders

Trädvy Permalänk
Inaktiv
Registrerad
Mar 2010
Skrivet av Yorgo_:

Dock så är jag rätt orolig att någonting inom ett par månader dyker upp och pga slarv nu, förstör senare.
Dvs att det återigen ploppar upp, då utan att man aktivt klickat på en länk.

Är det bara jag som är överdrivet paranoid, eller låter det vettigt att försöka blåsa om allt lite i taget?
Dvs först D1, sedan D2, osv osv.. Vet dock inte hur det kommer bli med NASen.

Om du fått filer infekterade inte bara på din D1 så är det självklart troligt att du även fått själva viruset - ett virus har ALLTID som primär sysselsättning att sprida sig. Så om du har EXE filer eller andra typer av filer som viruset kan lägga sig i så har de gjort det. På en NAS kanske det är mindre troligt om du bara har JPEG filer men har en installationsfil på den andra datorn eller din NAS så är det troligt att viruset ligger där och väntar på att någon ska klicka på Photoshop.exe eller vad det nu kan vara.

Trädvy Permalänk
Medlem
Registrerad
Mar 2016

Kopia av råd givet i en annan tråd

@Yorgo_: Det här är en direkt kopia av ett inlägg som jag gjorde i en annan tråd här på forumet där en person var i en liknande situation med ransomware som krypterar diskar och nätverksutdelade hårddiskar.

Det finns en bra sida som heter bleepingcomputer.com, vars fokus är bekämpning av virus och liknande. De har utförliga guider i forumen och som artiklar om hur man tar bort och förebygger ransomware, virus och annan dynga. Jag har använt den sidan för att få hjälp och mer info om att avlägsna andra typer av skadlig programvara än just ransomware, men principen är i stora drag den samma.

Steg 1: Identifiera vilket ransomware som härjar på datorn.
En person på bleepingcomputer forumet har skapat en enkel sida för att hjälpa en identifiera ransomware. Kan vara värt att pröva
Identify what ransomware encrypted your files
Ett fejkat postnord mejl var infektions rutten, kanske finns det några artiklar eller inlägg på svenska nyhetssidor eller forum där folk har identifierat vilken typ av ransomeware det är?

Steg 2: Ta reda på om någon har tagit fram en metod för att avkryptera filerna
Här är en lista över diverse hjälp trådar, nyhetsartiklar och guider som finns på bleepingcomputer forumet.
List of ransomware support topics, FAQs and news articles
Det finns fler trådar på det forumet om ransomware, ifall du inte hittar den i listan.

Steg 3: Avkryptera filerna
När du hittat en metod som ska fungera så är det dags att pröva den.
Lyckas den inte så leta vidare, alternativt spara de krypterade filerna på ett usb-minne/extern hårddisk och vänta tills en lösning dyker upp.

Steg 4: Ominstallera datorn som var utsatt för ransomware.
Allt ska bort. Formatera alla anslutna hårddiskar, USB minnen och minneskort. Installera operativsystemet.

Steg 4b: Om datorn ingick i ett företagsnätverk
Se då till att se över vad den användaren/datorn hade åtkomst till. Ransomware har en tendens att kryptera anslutna nätverkshårddiskar och liknande. Det kan eventuellt försöka sprida sig vidare den vägen också, ta reda på om just detta ransomware har det beteendet.

Steg 5: Automatiska säkerhetsuppdateringar.
Se till att automatisk uppdatering är igång för Flash player, Java plugin, operativsystemet, Adobe reader (eller andra PDF läsare) och alla webbläsare som finns installerad. Detta är det första steget i att förebygga framtida problem för annars gör du det bara lättare för den skadliga programvaran att infektera ditt system.

Steg 6: Sätt upp backup
Nu går det enkelt att få gratis utrymme på diverse molnlagringstjänster. Onedrive, google drive, box, dropbox m.fl. Det rör sig om några gig, men det är oftast tillräckligt om det är mest dokument som man är rädd om. Dock så måste du välja en som erbjuder versionshantering, dvs. tillåter dig att återställa en fil till en äldre version så du kan återställa en krypterad eller raderad fil.
Sen finns det en hel drös med backuptjänster med lagring i molnet, de kostar inte mycket nu för tiden och ger dig större lagringsutrymme jämfört med molnlagringstjänsterna.

...det blev mer text än jag förväntade mig

Edit: Det verkar som länkarna försvann när jag kopierade inlägget. Det var en miss av mig.
Här är i alla fall en länk till den samlingstråd som finns på bleepingcomputer forumet om krypterande ransomware: https://www.bleepingcomputer.com/forums/t/608773/list-of-ransomware-support-topics-faqs-and-news-articles/

Länkar saknades
Trädvy Permalänk
Medlem
Registrerad
Dec 2008

Om man har port 3389 öppen mot internet kan de ta sig in den vägen. Typ knäcker dåliga lösenord. Hade en kund som först fick den krypterad med postnord och sedan en andra gång kom vi fram till att det måste vart så servern blev krypterad.

Trädvy Permalänk
Medlem
Registrerad
Aug 2016
Skrivet av Hujedamig:

Mina föräldrar har råkat ut för detta på sin laptop. Räcker det med en systemåterställning (alternativet "återställ den här datorn" i Windows 10) eller måste jag formatera ?

Mvh Anders

Ransomware-virus gör att du har ingen återställningspunkt att backa till - det har den noga tagit bort innan den börja kryptera, liksom shadow-copy etc. som annars snurrar omärkligt i bakgrunden i senare windows. ...allt för att folk inte skall kunna rädda sig tillbaka till äldre versioner, kopplar du in din eventuella återställningsdisk med med image från en tidigare systembackup så kommer den också bli smittad/krypterad såvida den inte är bränd på DVD eller Bluray... (optisk lagring är faktiskt fortfarande ransomware-säker!!)

Alla dokumentfiler, foton etc. är idagsläget krypterat och vid en återställning/formatering så förloras dessa för alltid!

Har man sådan viktiga dokument så bör man kopiera dessa till en extern disk och stuva undan den till den dagen man kanske har spräckt en sådan ransomware-liga och kommit åt databasen med alla kryptonyckar och gjort dessa publikt tillgängliga (man har gjort så i minst ett fall med sprängd liga) och folk kan börja rädda tillbaka sina filer igen - men det kan ta åratal innan detta händer - om det alls händer!!

Ett lite mer radikalt förslag som alternativ till ovanstående är att du tar ut den gamla HD:n och lägger undan denna (om det är en snurrdisk så kan den ligga länge, i flera år utan att tappa data) och så stoppar du in en ny hårddisk, SSHD eller SSD och gör en komplett ny installation från en nedtankad ISO-fil från microsoft - (är det en modern windows typ win 10 så håller microsoft reda på att dina föräldrars dator har en giltig licens). 2.5"-hårddiskar och SSD i 250 GB-området är inte speciellt dyra idag så det borde inte vara ett hinder att få en fungerande laptop igen den vägen!.

Då i det läget har du en dator helt utan virus och det första att ladda ned efter detta är att ladda ned en respekterad Antivirusprogram från de stora inom det gebitet innan du laddar ned något annat alls eller kopplar in någon annan extern disk.

Trädvy Permalänk
Inaktiv
Registrerad
Mar 2010
Skrivet av jocke92:

Om man har port 3389 öppen mot internet kan de ta sig in den vägen. Typ knäcker dåliga lösenord. Hade en kund som först fick den krypterad med postnord och sedan en andra gång kom vi fram till att det måste vart så servern blev krypterad.

Om jag lämnar min ytterdörr öppen så är det nog rätt troligt att tjuvar tar sig in den vägen..

Trädvy Permalänk
Medlem
Registrerad
Dec 2008
Skrivet av studiox_swe:

Om jag lämnar min ytterdörr öppen så är det nog rätt troligt att tjuvar tar sig in den vägen..

Ja och i detta fallet till ingen nytta, kunden jobbade aldrig mot servern utanför kontoret. Äger varken laptop eller hemdator. Någon tidigare inblandad tekniker som tyckte det var bra kanske? Behövde inte ersätta lösningen med någon VPN

Trädvy Permalänk
Medlem
Registrerad
Jan 2012

Locky (eller Odin) krypterar väldigt många olika filtyper. Därefter raderar den originalet. Med ett program som återställer raderade filer kan man rädda mycket. Recuva är ett sådant program. Viruset måste givetvis dödas men detta har ju andra skrivit om.

Trädvy Permalänk
Medlem
Plats
Kebabens huvudstad
Registrerad
Feb 2005

Se alltid till att ha en uppdaterad nackup. Offline såklart!

Trädvy Permalänk
Medlem
Plats
Helsingborg
Registrerad
Maj 2003
Skrivet av jocke92:

Ja och i detta fallet till ingen nytta, kunden jobbade aldrig mot servern utanför kontoret. Äger varken laptop eller hemdator. Någon tidigare inblandad tekniker som tyckte det var bra kanske? Behövde inte ersätta lösningen med någon VPN

Så vitt jag vet finns det ingen ransomware som självständigt siktar in sig på att logga in via Remote Desktop (RDP protokollet) för att installera, och köra sig själv. Har man dålig lösenordssäkerhet, och användarnamnen går att gissa sig till, så kan någon via bruteforce ta sig in den vägen och köra igång ett ransomware manuellt, men det känns ganska långsökt att någon fullständigt random skulle ge sig på det projektet. Tidigare anstäld som tjurar på företaget, och hade kvar inloggningsuppgifter kanske?

SKA man nödvändigtvis ha RDP aktivt, bör man åtminstone ha bytt port, ha vettig lösenordspolicy, och inte använda allt för lättgissade användarnamn.
B!

Allting jag skriver är om inget annat uttrycks, min åsikt! Ingenting måste vara dagens sanning enligt din åsikt, och gör du antaganden baserade på mina åsikter hoppas jag att du övervägt mer än bara just min åsikt.

Trädvy Permalänk
Medlem
Registrerad
Dec 2016
Skrivet av xxargs:

Ransomware-virus gör att du har ingen återställningspunkt att backa till - det har den noga tagit bort innan den börja kryptera, liksom shadow-copy etc. som annars snurrar omärkligt i bakgrunden i senare windows. ...allt för att folk inte skall kunna rädda sig tillbaka till äldre versioner, kopplar du in din eventuella återställningsdisk med med image från en tidigare systembackup så kommer den också bli smittad/krypterad såvida den inte är bränd på DVD eller Bluray... (optisk lagring är faktiskt fortfarande ransomware-säker!!)

Alla dokumentfiler, foton etc. är idagsläget krypterat och vid en återställning/formatering så förloras dessa för alltid!

Har man sådan viktiga dokument så bör man kopiera dessa till en extern disk och stuva undan den till den dagen man kanske har spräckt en sådan ransomware-liga och kommit åt databasen med alla kryptonyckar och gjort dessa publikt tillgängliga (man har gjort så i minst ett fall med sprängd liga) och folk kan börja rädda tillbaka sina filer igen - men det kan ta åratal innan detta händer - om det alls händer!!

Ett lite mer radikalt förslag som alternativ till ovanstående är att du tar ut den gamla HD:n och lägger undan denna (om det är en snurrdisk så kan den ligga länge, i flera år utan att tappa data) och så stoppar du in en ny hårddisk, SSHD eller SSD och gör en komplett ny installation från en nedtankad ISO-fil från microsoft - (är det en modern windows typ win 10 så håller microsoft reda på att dina föräldrars dator har en giltig licens). 2.5"-hårddiskar och SSD i 250 GB-området är inte speciellt dyra idag så det borde inte vara ett hinder att få en fungerande laptop igen den vägen!.

Då i det läget har du en dator helt utan virus och det första att ladda ned efter detta är att ladda ned en respekterad Antivirusprogram från de stora inom det gebitet innan du laddar ned något annat alls eller kopplar in någon annan extern disk.

Tack!

Menade inte att jag skulle försöka få tillbaka filerna, dom är redan borta. Vill få en fungerande dator igen. Provade att formatera datorn först, men jag måste ha missat någon fil för efter ett tag (typ 30min) dök det upp ett meddelande om att mina filer var krypterade igen.

Nu har jag gjort en andra formatering av hårddisken. Inget meddelande ännu (3-4 timmar), håller på att söka igenom datorn med anti-virusprogram. Gratisversionen av Avast och även ESET Online Scanner.

Inget av programmen har hittat något "hot" ännu, men jag känner mig fortfarande lite tveksam. Ifall det kommer att krypteras filer ännu en gång framöver ...

Har du/ni några tips på program jag ska söka igenom datorn med för att se om "cryptolocker" fortfarande ligger kvar nånstans på datorn trotts formatering?

Med vänlig hälsning Anders

Trädvy Permalänk
Medlem
Plats
Câmara de Lobos, Madeira, Portugal
Registrerad
Nov 2005

@Hujedamig:
Naturligtvis finns det kvar då s.k. formatering inte skriver över annan data än filtabellen. För att vara helt säker bör du först tömma hela disken, med ett program som skriver över hela disken.

Fagerja

Trädvy Permalänk
Medlem
Plats
Helsingborg
Registrerad
Maj 2003
Skrivet av fagerja:

Naturligtvis finns det kvar då s.k. formatering inte skriver över annan data än filtabellen. För att vara helt säker bör du först tömma hela disken, med ett program som skriver över hela disken.

Ska vi hålla oss till cryptolocker, så körs det inte från disk av sig själv. Även om man bara snabbformaterat, så är cryptolocker "borta", och kommer inte ställa till med mer, om det inte ligger på någon annan disk, och någon sparkar igång det därifrån.
B!

Allting jag skriver är om inget annat uttrycks, min åsikt! Ingenting måste vara dagens sanning enligt din åsikt, och gör du antaganden baserade på mina åsikter hoppas jag att du övervägt mer än bara just min åsikt.

Trädvy Permalänk
Medlem
Registrerad
Dec 2016
Skrivet av fagerja:

@Hujedamig:
Naturligtvis finns det kvar då s.k. formatering inte skriver över annan data än filtabellen. För att vara helt säker bör du först tömma hela disken, med ett program som skriver över hela disken.

Hur gör jag detta?

Skrivet av -=Mr_B=-:

Ska vi hålla oss till cryptolocker, så körs det inte från disk av sig själv. Även om man bara snabbformaterat, så är cryptolocker "borta", och kommer inte ställa till med mer, om det inte ligger på någon annan disk, och någon sparkar igång det därifrån.
B!

Förstår, läst runt lite om vissa som säger att det kan vara andra ransomware som utger sig för att vara cryptolocker så jag kanske skulle vara på säkra sidan ändå.

Har även sökt igenom datorn med Malwarebytes, inte upptäckt några hot med det heller. Tror ni jag kan anse mig som säker nu eller bör jag göra några fler saker ? Vill verkligen inte att det ska hända igen.

Mvh Anders

Trädvy Permalänk
Medlem
Plats
Helsingborg
Registrerad
Maj 2003
Skrivet av Hujedamig:

Förstår, läst runt lite om vissa som säger att det kan vara andra ransomware som utger sig för att vara cryptolocker så jag kanske skulle vara på säkra sidan ändå.

Det spelar ingen roll. Filerna ligger för all del kvar, men inget läser dem, eftersom inget vet att de ligger där. Eftersom inget läser filerna, försöker inget heller köra dem, och även om viruset skulle ligga i varje fil på hela disken innan den formaterades, så är det inte ett problem med den här typen virus.

Det är egentligen bara bootsektor-virus som det är ett problem att de inte försvinner när man snabbformaterar. Detta eftersom bootsektorn innehåller information som läses, och körs vid boot.

Jag misstänker att så länge det inte finns aktivt på någon annan dator i nätverket, och du ger fan i att klicka på länkar i postnord-epost, så är det nog lugnt.
B!

Allting jag skriver är om inget annat uttrycks, min åsikt! Ingenting måste vara dagens sanning enligt din åsikt, och gör du antaganden baserade på mina åsikter hoppas jag att du övervägt mer än bara just min åsikt.

Trädvy Permalänk
Medlem
Registrerad
Dec 2008
Skrivet av -=Mr_B=-:

Så vitt jag vet finns det ingen ransomware som självständigt siktar in sig på att logga in via Remote Desktop (RDP protokollet) för att installera, och köra sig själv. Har man dålig lösenordssäkerhet, och användarnamnen går att gissa sig till, så kan någon via bruteforce ta sig in den vägen och köra igång ett ransomware manuellt, men det känns ganska långsökt att någon fullständigt random skulle ge sig på det projektet. Tidigare anstäld som tjurar på företaget, och hade kvar inloggningsuppgifter kanske?

SKA man nödvändigtvis ha RDP aktivt, bör man åtminstone ha bytt port, ha vettig lösenordspolicy, och inte använda allt för lättgissade användarnamn.
B!

Jag är rätt säker på att det var någon liknande nedan. Hittade inga spår någon annan stans. Hittade inga märkliga exe-filer på de vanliga platserna eller på autostart.
http://securityaffairs.co/wordpress/51840/cyber-crime/teamxra...
http://www.pcworld.com/article/3126256/security/ransomware-sp...

I detta fallet var det dels dåliga lösenord och defaultporten.