Ransomeware krypterar mina diskar just nu!

@mrqaffe: Som @Exxovion skriver ovan så finns det enklare sätt att komma runt det. Om man sen har väldigt speciella konfigurationer och annat så kan det så klart påverka vad som helst men det är knappast aktuellt i normalfallet och dessutom knappast relevant i denna tråd

Det där känner jag till men har aldrig bekymrat mig nämnvärt. Kom ihåg att det var lätt att lösa, endast stött på det 1 gång.

Skickades från m.sweclockers.com

Nu var det ett tag sen jag var in i bios men väljer man inte usb stickan som boot disk? Kanske skiljer beroende på bios (vid installation, sen efter första steget är klart så byter man till disken man installerade på)

Skickades från m.sweclockers.com

Plugga ur alla andra diskar än Windows. Kolla autostart, både mappar och register. Kolla om där körs någon misstänkt process. Försök städa bort manuellt, eftersom det är din filserver är det bra om du kan hitta spåren för då vet du att det inte är någon annan dator som krypterar. Det bästa är att installera om Windows för då är du säker på att allt är borta. Vidta försiktighet när du pluggar tillbaka diskarna ifall den börjar kryptera igen.

Beroende på hur många datorer och vilka behörigheter i nätverket de har så kan det vara de som krypterar och inte själva servern själv. Har du 3389 öppet för rdp utifrån mot servern kan en hacker tagit sig in den vägen

Har du någon aning vilken ransomware du har råkat ut för ?? sådan kan sprida sig blixtsnabbt från några angripna på morronen till att vara världsomfattande på bara 24 timmar...

tex wannacry spreds otroligt fort och behövde inte någon interaktivitet av någon användare för att bli smittad, men man hittade masterbrytaren i tid i det här fallet för att stoppa det hela ändå väldigt tidigt i processen - och det blev ändå över 200000 datorer drabbade...

edit:

Läste på lite - det verkar vara en ransomware-virus som snurrade runt april 2017 - frågan är om det är gammal binär du råkade kicka igång eller om det är en ny vassare variant som kan bli ett reellt problem för många inom kort tid framöver.

En möjlig misstänkt väg är via RDP (aka. MS remote desktop) och veka passord på denna.

---

Är det zero-day virus så hjälper inga AV-program - de är noga testade att gå under radarn på sådana innan kampanjen börjar.

Det bästa försäkringen är att ha en bra backup - offline mesta delen av tiden och kommuniceras genom serverfunktion (tex backupdisk av en NAS) som inte är av typen nätverksvolymer (SMB/SAMBA), som diskenheter ( iSCSI räknas som fysisk disk i det här fallet och drabbas) eller är inmappade på datorns filsystem. - detta för att ev. kvarvarande ransomware inte skall komma åt och förstöra de existerande backupperna då det är prio 1 i deras värld.

Eller att man har en NAS med gömd daglig backup/snapshot med version/historia uppemot månad eller två bakåt i tiden. Alternativt överför data via SSH, Rsync-server, borgbackup-server till lagringsytor som inte är synliga över nätverket - på samma sätt med backupklienter till olika molntjänster. Och kom ihåg molntjänst är 'last resort', att ta tillbaka kanske flera TB med data tar lång tid, därför bör man också ha en snurrdiskbaserad backup lokalt.

Det skadar nog inte att stå på huvudet heller när man installerar Windows men samtidigt lär det inte hjälpa heller

I grund och botten handlar det väl om att ha koll på vad man gör. Dessutom är det nog så att få "svenssons" känner sig bekväma med att öppna upp sina datorer och fysiskt koppla in och ur diskenheter, så att ha det som en generell rekommendation tycker jag är fel. Sen kan det så klat finnas situationer där det är att rekommendera, precis som det ibland kan vara bra att koppla ur dGPUn, andra processorn osv.

Skit bakom spakarna. Du väljer disken du ska installera till, inte Windows så skyll inte på Windows p.g.a. dina egna misstag.

Jäkla surt, hoppas du får ordning på det!

Resten av livet får du se till att ha backup på allt viktigt på diskar som INTE är inkopplade.

Jag har 4st diskar i källaren som jag motionerar någon gång per år.

Absolut så säger jag så, folk är snabba på att peka fel på [insert-valfri-sak] när de gör fel istället för att erkänna sina egna misstag. Jag är alltid kritisk tills motsatsen verkligen är bevisad då det är så många som gör just det jag nämnde ovanför.

Ontopic:
Filerna behöver inte vara körda, det kommer dekrypteringsprogram hela tiden men det beror på hur länge du själv vill vänta och om du har reservdiskar att använda? Filerna i sig som krypterats är inte farliga, däremot den trojan/mask som hittat sig in i din dator.
Karspersky släpper nya verktyg till och från:
https://noransom.kaspersky.com/

Om jag var du skulle jag ta och koppla ur alla diskar förutom Windows, även koppla ur datorn ur nätverket ->
Fixa genom en annan dator / enhet några olika antivirus / malware / spyware program med USB sticka ->
Köra programmen och söka efter den som krypterar allt -> vänta en stund och göra sökningar i systemet efter alla filer med *.NM4 ->
Dyker det inte upp nya, om du vågar, koppla in dina andra diskar och hoppas på att du har en systemåterställning, köra en före allt börja hända ->
Fungerar det, kopiera alla viktiga filer till en disk ->
koppla ur diskarna för att vara på den säkra sidan att inte det finns något kvar som skapar oreda ->
installera om Windows.

Fråga dig själv sen om du installerat något piratprogram nyligen? Använder du original Windows? Öppnat någon mail med någon konstig fil? Eller har du remote desktop igång?
Om något av ovanstående är ja så kan ditt problem komma därifrån.

Edit: Observera att den ransomware du fått heter NMoreira, när du Googlar det så var försiktig med vad du laddar ner, lita endast på kända sidor då likaväl finns risken att du laddar ner något nytt skräp i paniken.

Förresten, om de kommit in genom remote desktop så är det troligen kört med systemåterställning då de brukar radera dessa, men då har de även troligen krypterat allt "för hand", inte en mask som är i farten utan ett vanligt program.

Den risken är inte så stor då att stänga och rensa återställningen samt stänga av och radera alla shadow-copy/snapshot är bland det första som görs - också att skriva över all ledig diskutrymme med slump och alla filer som tas bort skrivs över först med slump innan de tasbort och ersätts med sin krypterade version - syftet är ju att offret inte med några som helst metoder skall kunna rädda sig och hämta ut data med diskräddningsprogram eller på annan sätt gräva fram data.

Finns minsta risk att infektionen är kvar så använder man inte windows alls utan tex. en ubuntu startad på en USB-sticka eller hellre på optomedia (kan inte smittas när det väl är bränt) och man tar undan sina kvarvarande viktiga filer.

Som sagt - man behöver inte vara speciellt aktiv med surfning etc. för att ändå bli drabbat, har hacket gått via RDP eller liknande så kanske problemet är för korta och enkla passord och att man inte spärrat användningen av lanmanager och NTLMv1, spärra/lås alla (default) passord och konton som ingen ändå håller reda på etc.

Men det är klart - har man städat runt i filer, ziparkiv mm. som är runt 1 år gammalt så kan man råkat på att aktivera något gammat i virusväg - eller så har man fått in en ny, vassare version

det är sådana tillfällen man behöver köpa en bunt USB-diskar till (och kopiering görs endast i linux - inte i potentiellt angripna windows - aldrig att jobba på orginal utan att samtidigt säkrat sig minst 1 kopia på annan media)