Cryptowall (och liknande), hur skydda sig?

Permalänk
Medlem

Cryptowall (och liknande), hur skydda sig?

Tja!

Morsan åkte på Cryptowall häromdagen, hela datorn krypterad (eller, ja, alla intressanta filer iallafall), inte mycket att göra än att blåsa maskinen, för att betala var det aldrig frågan om!

Ovan fick mig att fundera på vilka skydd det egentligen finns mot dessa krypterings- och utpressningsprogram? Skulle man t.ex. kunna skydda sig genom att själv kryptera datorn innan den blir krypterad av "bovarna"? Finns det kanske något sätt att ta bort krypteringsmöjligheten i en Windows-dator (Mac:ar kan tydligen oxå drabbas f.ö.)?

Märkligt att det är så tyst om detta problem på forumet förresten...

P.s. jag pratar om de nya krypteringsvarianterna här, inte de som det räckte med en systemåterställning för att få ordning på problemet (något år sen nu)...

Permalänk
Medlem

Social engineering kan man inte skydda sig mot mer än att ha sunt förnuft och låta bli att klicka.

Visa signatur

Primär maskin: iPad Pro 12,9tum 2022 med Magic Keyboard.
Sekundär maskin: Ryzen 9 5900x, Radeon 7900 XTX, 32GB RAM, monitor: OLED42C24LA
2st NUC 9 Pro Kit - NUC9VXQNX Ubuntu server för diverse.
PSN ID:iller Xbox live:illerG Wii U:illerG Switch:iller

Permalänk
Medlem

Det bästa tipset är väl fortfarande: Backup. Sen såklart spärra ut så mycket som möjligt redan i mailfiltret på väg in i datorn. Övervakning som larmar är väl också bra.

Permalänk
Medlem

Intressant det där som som du nämner om att själv redan ha en kryptering, någon som vet?

Visa signatur

In vino veritas

Permalänk
Arvid Nordqvist-mannen

Dessa typer av warez krypter ju filer. Filer, oavsett om de är krypterat eller inte. Det vet den säkert inte ens.

Eller var jag inte med?

Permalänk
Medlem
Skrivet av stimy09:

Det bästa tipset är väl fortfarande: Backup. Sen såklart spärra ut så mycket som möjligt redan i mailfiltret på väg in i datorn. Övervakning som larmar är väl också bra.

Personligen har jag kört backuper genom min server (2011 SBS Essentials), detta är dock inte särskilt säkert när nu krypteringsbovarna även riktar in sig på de backuperna (åtminstone om man får in problemet på servern också)...

Skrivet av who84:

Intressant det där som som du nämner om att själv redan ha en kryptering, någon som vet?

Ja, jag hade oxå gärna sett någon insatt svara på detta, misstänker dock att det inte hjälper alls.

Skrivet av tcntad:

Dessa typer av warez krypter ju filer. Filer, oavsett om de är krypterat eller inte. Det vet den säkert inte ens.

Eller var jag inte med?

Vet inte ens vad du försöker säga...

Permalänk
Medlem
Skrivet av cbtcp:

Personligen har jag kört backuper genom min server (2011 SBS Essentials), detta är dock inte särskilt säkert när nu krypteringsbovarna även riktar in sig på de backuperna (åtminstone om man får in problemet på servern också)...

Nä precis. Jag kör Jottacloud för en del filer och den verkar ok åtminstonde om man återställer inom rimlig tid.

Permalänk
Medlem
Skrivet av stimy09:

Nä precis. Jag kör Jottacloud för en del filer och den verkar ok åtminstonde om man återställer inom rimlig tid.

Funderade på just Jottacloud eller möjligen Crashplan, kompletterar just för tillfället serverbackuperna med backuper på extern hårddisk på min "viktiga" dator, får ju dock inte backuperna ur huset då, så det kan knappt kallas backup (fast det löser i alla fall "krypteringsbovsproblemet").

Permalänk
Medlem
Skrivet av cbtcp:

Personligen har jag kört backuper genom min server (2011 SBS Essentials), detta är dock inte särskilt säkert när nu krypteringsbovarna även riktar in sig på de backuperna (åtminstone om man får in problemet på servern också)...

Bara kopia på ett ställe dvs? Inte vad man kan kalla backup
Fixa en till som är offline eller på annat nät så den inte kan skrida sig genom ditt hemmanät.

Visa signatur

i9 11900k ||32GB 4000MHz CL15||ASUS ROG STRIX Z590-E||Noctua NH-D15s
Intel Arc a750 ||Samsung 980 pro|| EVGA Supernova G3 850W
Asus xonar essence STX|| Lian-Li O11 Dynamic XL
Asus VG27AQ 165Hz IPS, Sennheiser HD650, Logitech g502 Hero, fUnc f30r, Vortex TAB90M, Audio-Technicha ATR2500x-USB
Server: x10SL7-F, Xeon E3 1230v3, 32GB Samsung ECC ram, 6x3TB WD RED, FD Node 804.

Permalänk
Medlem
Skrivet av BergEr:

Inte vad man kan kalla backup

Var det inte precis det jag skrev?

Permalänk
Medlem

Det finns en del man kan göra för att förhindra att cryptolocker/wall/etc. kan låsa ner dina filer.
Cryptoprevent fungerar igenom att ställa in i registret så att filer inte får exekveras i vissa mappar, typ %temp% och %appdata%
Cryptoprevent

Det som oftast händer vid en infektion är att användaren "råkar" exekvera ett javascript (antingen som är bifogat på något sätt i ett mail, eller via en dålig sida)
Postnord-mailen fungerar så att antingen så är det en pdf bifogad (innehållandes ett javascript) eller en zip-fil (innehållandes javascript), detta körs när filen öppnas och då laddas själva cryptowall ner och körs. När filen laddas ner, så läggs den oftast i antingen %temp% eller %appdata%
(%temp% och %appdata% är systemlänkar, dessa pekar på olika kataloger på din dator.)
Därifrån så körs filen som vilket program som helst och börjar kryptera filerna.

Det man ska tänka på är att detta KAN skapa andra problem. T.ex. Firefox och Google Chrome använder samma kataloger för att ladda ner deras uppdateringar och kör dem även därifrån. Så om du har låst katalogerna, så kan det blir lite krångligare att uppdatera dessa program (finns säkert fler).

Jag har kört detta på min mammas dator i ett par åt nu och än så länge så har hon sluppit problem med detta.

När det gäller Backup och kryptowall, så ska backuperna inte skrivas till en plats som din dator når hela tiden. T.ex. ett mappat share på din NAS. Ska du vara säker på att backupen är skyddad, så bör du göra en manuell backup. T.ex. att ha en usb-disk som du bara kopplar in när du ska ta backupen, resten av tiden så ligger den, ej inkopplad, långt från datorn.

Visa signatur

Main> Amd Fx-8120 , 16gb ram, Geforce gtx 960 2gb, 2x Asus PB287Q
FW-01> Intel Atom CPU D2500 2x1.86GHz 4gb ram
Raspberry PI 2 för labb
Raspberry Pi 2 B en som Fil-server och en för Kodi
Qnap TS-451 Backup station

Permalänk
Medlem

Använder HitmanPro.Alert och jag har alla mina dokument och så på externa diskar som jag med HIPS i Comodo Firewall endast tillåter vissa program att modifiera samt att jag använder Macrium Reflect för att ta backup på systemdisken till externa, endast Macrium programmet tillåts ändra dessa backup filer (konfigurerat med HIPS i Comodo Firewall)

Permalänk
Medlem

En sak man kan göra är att göra browsern och mejl i en virtuell maskin. Sen har man bara en gemensam delad diskarea mellan VM och den "riktiga" OS installationen. Åker man då på nåt skit så är det bara att återställa VM installationen.

Visa signatur

"I have a hammer! I can put things together! I can knock things apart! I can alter my environment at will and make an incredible din all the while! Ah, it’s great to be male!"

Permalänk
Medlem

Sophos säger sig skydda mot cryptolocker och deras säkerhetsprogram är gratis för hemanvändare: https://home.sophos.com/reg

Visa signatur

Lian-li PC-011 Dynamic Corsair RM750x ROG STRIX X570-E GAMING 5950X NZXT Kraken Z73 32GB Corsair Dominator 3200MHz Gigabyte 6800XT Master Corsair MP600 1TB + Toshiba NVMe 512GB Vertex Pok3r MX Brown Acer Predator XB323UGX Logitech G502+ & Powerplay ...lagrar gör jag på Synology 920 32TB.

Permalänk
Medlem

Nummer 1 är att ha backup på det viktigaste. Sedan finns det skydd som gör det svårare för cryptolockers. Eller snarare så att man förhindrar program att köras från temp-kataloger och andra ställen. Sedan finns applocker som hindrar icke godkända program från att köras. Nackdelen med de lösningarna är att man begränsar möjligheten att installera nya program hårt.

Jag skulle tagit bort administratörsrättigheterna för användaren och haft ett annat konto som administratör.Då krypteras minst saker och förhoppningsvis behöver man bara skapa om användarkontot

Permalänk
Medlem
Skrivet av jocke92:

Jag skulle tagit bort administratörsrättigheterna för användaren och haft ett annat konto som administratör.Då krypteras minst saker och förhoppningsvis behöver man bara skapa om användarkontot

Men då har man väl sina foton och andra egna filer liggande åtkomliga från standardanvändaren och då kommer ju cryptolocker etc. åt att kryptera dem så jag förstår inte hur du tänker.

Permalänk
Medlem
Skrivet av tcntad:

Dessa typer av warez krypter ju filer. Filer, oavsett om de är krypterat eller inte. Det vet den säkert inte ens.

Eller var jag inte med?

Jodå, du är helt rätt på det. Det enda som händer är att man får filer med dubbel kryptering. Att man har nyckeln till den ena gör varken till eller från, man sitter fortfarande i skiten.
B!

Visa signatur

Allting jag skriver är om inget annat uttrycks, min åsikt! Ingenting måste vara dagens sanning enligt din åsikt, och gör du antaganden baserade på mina åsikter hoppas jag att du övervägt mer än bara just min åsikt.

Permalänk
Medlem
Skrivet av CeciliaB:

Men då har man väl sina foton och andra egna filer liggande åtkomliga från standardanvändaren och då kommer ju cryptolocker etc. åt att kryptera dem så jag förstår inte hur du tänker.

Jo men de har man som jag också skrev backup på och kan bara kopiera in igen. Men för att slippa installera om windows, eller programvaror som slutat fungera

Permalänk
Arvid Nordqvist-mannen
Skrivet av -=Mr_B=-:

Jodå, du är helt rätt på det. Det enda som händer är att man får filer med dubbel kryptering. Att man har nyckeln till den ena gör varken till eller från, man sitter fortfarande i skiten.
B!

Precis, så menade jag:)

Permalänk
Medlem
Skrivet av jocke92:

Jo men de har man som jag också skrev backup på och kan bara kopiera in igen. Men för att slippa installera om windows, eller programvaror som slutat fungera

Det är inte program- eller Windows-filer som krypteras utan det är bara ens egna filer, .doc, .jpg osv. Windows måste fungera efteråt så att det går att se hur man betalar för att få dekrypteringsnyckeln.
https://nakedsecurity.sophos.com/2016/01/11/ransomware-evolut...

Permalänk
Medlem
Skrivet av who84:

Intressant det där som som du nämner om att själv redan ha en kryptering, någon som vet?

Om man använder t. ex. Truecrypt så kan det skydda under specifika omständigheter. Egen kryptering kan hjälpa om den inte är upplåst. Det måste nog också vara volymkryptering, inte av enskilda filer, beror på om den ransomware man drabbas av krypterar allt eller bara vissa filtyper. Om den är upplåst gör den ingen skillnad. Anledningen till att det kan hjälpa är att filerna är oåtkomliga, inte att de är just krypterade.

Jag gör så att jag har krav på login på en HDD som min router delar med nätverket. Min vanliga Windowsburk använder ett login som inte kan skriva till backup-delen. För att ta backup har jag en virtuell maskin med Debian som kommer åt filerna via Virtualbox mappdelning.

Bästa skyddet är backup (vilket man ändå bör ha om man tappar laptopen i sjön eller disken dör av någon anledning), den får inte vara skrivbar för någon dator som riskerar att bli infekterad. Man kan testa Malwarebytes anti ransomware när den slutar vara beta. Man kan ju också göra så att man har flera användarkonton där ens vanliga man surfar på har read-only (eller ingen) åtkomst till saker man inte vill bli av med.

EDIT: separerade tips från hur jag gör, förtydligande, tog bort irrelevant info.

Visa signatur

RAID is not a backup

Permalänk
Medlem
Skrivet av Jpau94:

Anledningen till att det kan hjälpa är att filerna är oåtkomliga, inte att de är just krypterade.

Precis som du är inne på här, lagring på frånkopplade media är alltid skyddad från ransomware, krypteringen tillför inget.
B!

Visa signatur

Allting jag skriver är om inget annat uttrycks, min åsikt! Ingenting måste vara dagens sanning enligt din åsikt, och gör du antaganden baserade på mina åsikter hoppas jag att du övervägt mer än bara just min åsikt.

Permalänk
Medlem

@cbtcp:

Ett normalt och uppdaterat AV och du klarar dig ifrån 99.7% (typ).
Om morsan nu är "trigger happy" och trycker på allt så skaffa köp ett saftigt AV till henne med som också detecterar PUP (potential unwanted program).

Visa signatur

CPU: 5600x
GPU: 3080
RAM: 32GB

Sluta gömma din identitet, skaffa en till istället

Permalänk
Medlem

Emsisoft och Avira +noscript. Det räcker.

Visa signatur

Chassi: Corsair Obsidian 500 RGB SE / Systemdisk Samsung 980 PRO SSD: Samsung 850 PRO 250GB / SSD: Samsung 850 EVO 250GB / SSD: Crucial MX300 1TB / CPU: Ryzen 7 3800X @ 4,2 Ghz / Kylning: Noctua NH-D15S push/pull / GPU: MSI 3080Ti SUPRIM X / PSU: Corsair RM1200i / MB: ASUS X470-f Gaming / RAM: HyperX Fury 2x16GB 3600 mhz / OS: W10 / Mus: Logitech G903 / TB: Logitech G915 TKL Wireless / Ljud: Sound BlasterX Pro-Gaming AE-9, Blue Yeti , Sennheiser HD660S, Skärm: Acer Predator X34P @3440x1440 UltraWide

Permalänk
Medlem

Min far gick bet på en av de moderna varianterna som krypterade alla personliga filer. Men jag kör sosonlinebackup, vilket tar backup på oändligt antal revisioner på en molnserver.

Bara blåsa datorn och ta hem backupen.

Kostar runt 500kr om året, men då är det obegränsad mängd ifrån en klient. Kör samma program hemma, men tar då backup på landisken som hela familjen använder. Och då blir det väldigt prisvärt.

Visa signatur

Min: Asus x670e ProArt :AMD 7950x3D : Noctua NH-D15 : AMD 7900XT Merc 310: Kingston Fury 64GB: Define North:: Dell P3222QE +Dell U2412M 24"
Frugan: ASUS P6X58D :i7 930@3,5Ghz :Noctua NH-D14 : HD 6970:Corsair 6GB: Define R3: Dottern: ASUS P6X58D :i7 930@3,2Ghz :Noctua NH-D14 : 7970 DC2 :Corsair 4GB: Define R3: Sonen: ASUS P6X58D:i7 950@3,6Ghz :Noctua NH-D14 : HD 7970:Corsair 6GB: Antec P183 Advanced Midi

Permalänk
Medlem
Skrivet av CeciliaB:

Det är inte program- eller Windows-filer som krypteras utan det är bara ens egna filer, .doc, .jpg osv. Windows måste fungera efteråt så att det går att se hur man betalar för att få dekrypteringsnyckeln.
https://nakedsecurity.sophos.com/2016/01/11/ransomware-evolut...

Tänkte på att program och spel innehåller musikfiler, bilder, dokument eller ini-filer osv. Men läste här att den skippar både windows och programfiles, så då hjälper det inte så mycket.

Permalänk
Avstängd

Ganska dåligt att detta problem inte har jobbats på mer. Tekniken går verkligen inte framåt så mycket alls. Ja, jag är besviken.

Permalänk
Arvid Nordqvist-mannen
Skrivet av lolight:

Ganska dåligt att detta problem inte har jobbats på mer. Tekniken går verkligen inte framåt så mycket alls. Ja, jag är besviken.

Att knäcka kraftiga krypteringar?

Permalänk
Medlem
Skrivet av lolight:

Ganska dåligt att detta problem inte har jobbats på mer. Tekniken går verkligen inte framåt så mycket alls. Ja, jag är besviken.

Jag håller med. Antivirusprogrammen borde kunna fatta om man får in en ny mjukvara i datorn som den inte känner igen som börjar kryptera flera gigabyte data.

Permalänk
Medlem

Om ett Antivirus ens ska ha chansen att fånga allt, så skulle man behöva minst 4gb RAM (Bara till antivirusprogrammet) så att den kan ladda alla definitioner.
Är man en avancerad användare, så kan man ju i windows anamma *nix-tänket. Ha två användare, en admin och en "vanlig" användare. Sedan får man experimentera sig fram och låsa ner skrivrättigheterna för den vanliga användaren. När man behöver sync över bilder eller laddar ner dokument, så gör man det med den användare som har mer rättigheter.

Men det bästa är ju fortfarande att vara mer kritisk, t.ex. väntar du inte på paket så öppna inte bifogade filer från postnord. Skatteverket ber aldrig om personuppgifter eller påminner dig om fel i deklarationen per epost. Du har inte av avlägsen släkting, som har testamentera 450 miljoner till dig som nu finns i en Afrikansk Bank osv. osv.
Ska du ladda hem ett program från nätet, klicka inte på första bästa länk som google spottar fram, kolla url:n och se om den går till företaget som tillverkar programmet eller inte.

Visa signatur

Main> Amd Fx-8120 , 16gb ram, Geforce gtx 960 2gb, 2x Asus PB287Q
FW-01> Intel Atom CPU D2500 2x1.86GHz 4gb ram
Raspberry PI 2 för labb
Raspberry Pi 2 B en som Fil-server och en för Kodi
Qnap TS-451 Backup station