Ransomware - Bitlock, hjälp snälla

Den enda chansen skulle jag säga är om krypteringsnyckeln som använts knäckts om samma ransomware använts sedan tidigare. Isf bör du kunna hitta den om du googlar på det. Är den inte knäckt så är det nog ganska kört för datan.

Du ska nog säkerställa att det mailet verkligen kommer från OneDrive innan du gör något.

Har du tidigare använt BitLocker på datorn, dvs Microsofts egna "program" för diskkryptering?

https://www.pcworld.com/article/2308725/a-beginners-guide-to-...

Har din dator nyligen installerat några uppdateringar, antingen i Windows eller BIOS (datorns egen programvara för att styra diskar, skärmar osv)?

Det som ibland kan hända är att Windows-uppdateringar och/eller BIOS uppdateringar ställer till det med BitLocker så att filerna då inte kan användas till dess man matat in sin egen bitlocker nyckel igen, som man då förhoppningsvis sparat på något bra ställe. Om det är vad som hänt just i detta fall vet jag så klart inte, men isf är det inte en "attack" utan att tekniskt problem.

Hjälpte en bekant med detta för några år sedan. Minns för dåligt. Men det finns en sajt där man kan få råd. Dom har en del nycklar att låsa upp med. Men då ska man ha tur om det fungerar. Lite kan man rädda om man återskapar raderade filer. För kryptoprogrammet krypterar filen och raderar originalet. Det finns diverse program för att återskapa raderade filer. Förhoppningsvis finns någon som kan detta bättre än jag som kan hjälpa Dej.

Jag gillar Veeam Backup Agent, som går att få gratis. För off-site-backup har Backblaze bra rykte för några tior i månaden.
Onedrive är inte backup - fel på dina lokala filer riskerar att replikeras till molntjänsten av din dator.

net use U: \\Solveig\Stig /user:Solveig ???????
xcopy C:\Users\Stig\Documents U:\Dokument /D /S /Y

net use U: /D /Y

Såhär kopierar jag mina kataloger (tog bara med en rad) till min frus dator. Jag hoppas att inte viruset kommer på Solveigs lösenord. Sedan motsvarande åt andra hållet. Jag har ju också backup till USB disk. Men får man krypteringsvirus så hjälper inte det.
Fördelen med xcopy är att jag slipper hålla på och radera gamla backupper. Man har ju inte obegränsat med diskutrymme. Nu skriver jag över filer med nytt datum och kopierar nya filer. Nackdelen är att gamla raderade filer blir kvar i backuppen. Men man kan ju alltid börja om på nytt.

Har faktiskt kikat lite på 'urbackup' - den är helt klar byggd för 'lazy admin' för att ha koll på lite större antal windows-datorer i en företagsmiljö eller en familj med många burkar.

- Kan köras i windows (dock suboptimalt med NTFS som filsystem) i en serverfunktion men klart fokuserad att man kör server/NAS (amd64-propp) med Linux och på filsystem som BTRFS eller ZFS och använda deras funktioner med snapshot, subvolymer och reflink (och deduplikation) gör att fil med samma innehåll bara lagras en gång på disken även om det finns i multipla upplagor på olika maskiner, samt generationshantering av filer _och_ diskimage av Klientdatorerna. Finns också funktion med start på USB-sticka kunna göra 'bare metal' återställning från senaste diskimagebackup till datorn som fått sin lagring havererad/skadad och kanske lagringen utbytt.

I win-klientdatorerna installeras det en liten klientprogram - pekar på vilken disk i burken (oftast C:) den skall göra backup och sedan kan användaren glömma bort det hela. Serverburken upptäcker burkar med nyinstallerade klienter som ännu inte är kopplade mot någon (annan) backupserver, kopplar till dem och låser upp dem med egna nycklar, gör en diskimage och en full filkopia på alla filer på disken (går att styra hur och vilka direktorys skall kopieras) det första det den gör, därefter kör det ett antal inkrementella uppdateringar (både diskimage och filer) i önskad tidintervall sedan, och då och då fulla backup av både diskimage och filer[1]

Servern kan hanteras via webgränsnitt både av administratören och brukare och brukaren kan ges full kontroll på sina egna backupper, hämta tillbaka enskilda filer, hela fil-set eller rubbet från en viss dag, även radera backupsessioner om så. Observera att backupperna kan inte nås via SMB/nätverksanslutning i windows (om man inte öppnat väg för det på annat sätt - som via SAMBA i Linux) vilket gör att det får en viss tålighet mot cryptovirus - och är backupservern också av linux-typ och inte windows, så har man ytterligare höjd barriär mot cryptovirusangrepp då de allra flesta cryptovirus fokuserar på att angripa just windows-datorer, även dito windows-servrar och har därmed samma svagheter som klientburkarna och kan få sina filer i backuppen krypterade...

[1] diskförbrukningsmässigt är det ingen skillnad mellan full och inkrementell backup om det ligger på filsystem som BTRFS och ZFS då lika data refereras till en och samma sektorer på filsystemet, medans på NTFS och ext4 så tar fulla backup upp ny plats på lagringen var gång de görs, även om 'urbackup' gör var den kan med hårda länkar mm. för att minska diskplatsförbrukningen.

---

Det kostar inte att prova men som vanlig får man börja i liten skala och se hur det fungerar innan man rullar ut det till att omfatta allt fler datorer i familjen/firman.

Dock skall sägas att detta är en server-baserad lösning - dvs. behövs en dator som alltid är igång och har mycket diskutrymme tillgodo då att göra generationsbackup av en familjs kanske 4-5 datorer med minst 250 GB SSD-diskstorlek var, tar en del diskplats, speciellt när man har både en diskimage och en filimage-version på var och en av dem.

Kostnad då - open source och basic-versionen gratis - då många av dessa företag som gör den här typen av program så är basic-versionen 'free' och med öppen källkod men inte alltid så bekväm att hantera (läs CLI-kommandon), medans vill man ha anpassning och/eller snygga GUI så får man betala för det.

---

Annan klientbaserad backupprogram som deduplicerar och där flera datorer kan köra mot samma repository (som kan vara en molntjänst av en rad olika kända aktörer), där grundfunktionerna är gratis och open source men bekvämlighet kostar är duplicacy, där man får på årsbasis betala en liten slant för dess webbaserade grafiska gränssnitt (som faktiskt är riktigt trevlig, en månads prövotid att prova ut själv och se om man gillar det) men där programmen som gör grundjobbet är open source och multiplattform- dvs. alltid tillgänglig för att hämta data från en redan gjord backup.

Borgbackup nämns ofta men är inte fullt windows-anpassad och heller inte anpassad för flera datorer mot samma repository.

En annan klientbaserad deduplicerande backupprogram man kan titta på, dock inte med GUI utan körs i windows i powershell är 'Restic' och man kan köra många datorer mot samma repository på en disk/filserver och därmed undviker att lagra multipla kopior av filer med samma innehåll från flera maskiner - den är betydligt snabbare än borg-backup då den arbetar multitrådat på CPU men komprimerar ej filer (man förlorar mindre än man tror på det i jämförelse med komprimerande 'borg-backup'. I början kan skillnaden i storlek på repositoriet vara ganska stor för en mindre uppsättning filer - men ju större repositoriet blir och ju mer filer som lagras och dedupliceras, ju mindre skillnad är storleken mellan restic som inte komprimerar och borg-backup som komprimerar då det är dedupliceringen som ger den största platsbesparingen i långa loppet)

Restic kan prata mot S3-baserade molntjänster som AWS Amazon, Blackblaze B2 men också mot egen S3-server som Minio, Ceph mfl. ja förutom att lägga i mapp på vanlig filsystem.

Duplicati är också deduplicerande GUI-orienterad backupprogram - men jag tycker inte att den är riktigt så stabil att jag helhjärtat kan rekommendera denna - har förvisso legat i 'canary'-versionen mest hela tiden men tycker att repositoriet skiter sig lite för ofta och man måste börja från början igen för att kännas tryggt, dock har den väldigt bred support för många olika molntjänster.

Alla deduplicerande backupprogram (Duplicacy, Borg-backup, Restic, Duplicati) sparar i generationer, kan radera vilken backupgeneration i vilken ordnings som helst, är källkrypterande (filerna som lämnar backupprogrammen är redan krypterade, är inte beroende av någon molnlagrings-klients eventuella av NSA bakdörrad kryptering), har integritetskoll och förutom borg-backup, förstår många av dagens molntjänst olika protokoll.

En modernare köpeNAS är idag baserad på linux och BTRFS som filsystem och där kan man konfigurera så att utdelade volymer görs snapshot på med lämplig intervall (oftast dagligen) till en dold upplaga eller att upplagan är synlig men skrivskyddad.

Mot en sådan nätverksutdelning kan man köra xcopy och ändå får generationsbackupper då NAS:en sköter om det hela med snapshotande.

Den typen av skyddad lagring går inte att få till genom att lagra på en enkel (extern) disk direkt inkopplad till windows-dator, då så fort windows kan läsa och skriva på disken så kan den också förstöra backupfilerna mha. cryptovirus/malware även om backupprogrammet som sådant är generationshanterande. cryptovirus/malware simmar som fisken i vattnet på windows och har full kontroll på OS:t och allt du kan göra på dina filer i windows, kan också viruset/malware göra och mer därtill.

Utan det hela måste gå igenom en aktiv filserver/Nas med sin egna bakgrundssnapshotande så att kopiorna som görs är ej åtkomliga i avseende att kunna skrivas över från klientsidan.

En minimal SMB-server/NAS kan byggas med en Rasperry PI4, en extern USB-hårddisk och inkoppling till LAN. Man får sätta upp SAMBA i tex. raspian för utdelning av nätverksvolymer över LAN (och det finns många beskrivningar hur man gör detta) och snapper som demon som gör de automatiska snapshoten och det måste vara BTRFS på den externa disken då hela grejen med snapshot hänger på att filsystemet filerna lagras på är att den kan göra snapshot native, och idag är det i stort sett bara Btrfs, ZFS och XFS som stöder sådant (MS ReFS gör det också men man måste ha server och enterprise-versioner av windows för att ens kunna formatera upp diskarna...)

rsync och dess olika förpackning som skrivs ovan gör väldigt bra jobb att spegla direktorys - men det är ingen generationsbackup - den delen måste hanteras för sig och tex. om rsync lägger sin filträd på en subvolym i btrfs i en linux-server så gör man en snapshot med 'btrfs su snap /sökväg/orginal/subvolym /sökväg/backup/subvolym_datum' och några sekunder senare så är det klart utan att det tar extra plats på disken och 'subvolym_datum' är nu en helt oberoende kopia som man kan göra vad man vill med, kör man med flaggan '-r' så blir subvolymen readonly och inget alls kan göras med den med normala filoperationer utom att just läsa filerna - med det måste göras på en lagring med BTRFS som filsystem.

@Leon_Azzaro:

Om det är din kontorsdator så tänker jag att du har en IT-support inom företaget att kontakta.
OM det är så, så är det viktigt att du gör det ASAP så dom får reda på OM du råkat ut för ett ransomware.
Det kan ju vara så att du t.ex. kör en VPN klient och har lyckats kryptera delade filer, isåfall så måste man börja nysta i detta.

Så, om det är en PC som är uppkopplad mot ett företag, kontakta din IT-support.

@Det Otroliga Åbäket: Har man en disk direkt ansluten till datorn spelar det ingen roll vilken typ av backup man har. Allt blir krypterat. Backuppen med. Därför tar jag även backup till min fru:s dator. När backuppen är klar kopplar den ner automatiskt. För att nå min frus dator fordras lösenord. Det Du skriver om har jag för mej kallas "inkrementell backup". Det tyckte jag var så krångligt så jag har inte provat det. Kanhända det bara var skit bakom spakarna på min dator?

Som jag skrev i mitt första inlägg rekommenderar jag alltid både on- och off-site backup. Du vill ha en backup nära till hands för när katten promenerat över ditt tangentbord, men du vill också ha en backup någon helt annanstans för när huset brinner ner eller NotPetyas kusin krypterar allt på din maskin. Med Backblaze betalar du mindre för att ha kvar en månads kopior av familjebilderna efter en katastrof än du betalar för Netflix.

Inkrementella eller differentiella backuper är inte krångliga alls med något av alla användarvänliga backupprogram som finns där ute - en del gratis, andra till en fast eller återkommande kostnad. Veeams programvara kräver att du registrerar dig hos dem, men gör backuper i Windows nästan lika enkla som på Mac - antingen till lokal USB-disk (vilket, som du skrev kommer med sina egna risker) eller till ett Windows- eller Unix-share på ditt nätverk. Unix-share kan, som någon annan skrivit här i tråden, göras mycket enkelt även utan egen Unixkompetens med hjälp av ett kommersiellt NAS från exempelvis Synology eller QNap, men är naturligtvis en extra kostnad som inte alla skulle vilja ta.

Backblaze skickar ut backuperna från ditt hus till deras servrar, men först efter att ha krypterat dem med en nyckel som bara du har - så tappa den inte. Återställning kan göras antingen över nätverk (för mindre mängder) eller genom att du får dig tillsänt en hårddisk med din data och instruktioner för återställning. Det fina med dem är att de tar ett fast pris per dator oavsett hur mycket data du har lokalt på den datorn.

Liten teknisk nitpick:
Det är sant att BTRFS och ZFS har den tekniska möjligheten att göra så, men i verkligheten är det en funktion du behöver slå på, och använder du NAS:et/servern till annat än backuplagring behöver du vara medveten om att deduplicering käkar en del resurser om den ska kunna funka bra.
Vad jag vet har cp-kommandot på Linux och FreeBSD ännu inte stöd för kloning av filer i ZFS trots att filsystemet tillåter det, utan där är filsystemskloner begränsade till ramarna för snapshots. Notera också att av självklara skäl kan copy-on-write cloning enbart användas inom en och samma lagringspool, så det är i sig självt oanvändbart för backup till annan disk/maskin. Däremot kan du som sagt göra CoW snapshots (som per definition är inkrementella) och skicka dem till andra lagringspooler eller datorer med hjälp av zfs send och zfs receive.

Urbackup gör en filmässig deduplicering redan när den scannar filerna hos klientdatorerna och med BTRFS som filsystem och med --reflink kan korskopiera filer mellan olika datorers fil-set så att tex. systemfiler som är lika i flertal datorer - ändå bara blir i en enda exemplar när det gäller upptagen diskutrymme.

I ZFS är detta mycket krångligare då man inte kan kopiera filer mellan olika datasets för olika klientdatorer med sin kedja av snapshot och kloner utan att samtidigt kopiera hela datamängden för filen ifråga - för att den datamängden skall 'försvinna igen' så måste man ha zfs deduplikation aktiv och det är många som i det längsta undviker att slå på av resursförbrukning i RAM och av minskad prestanda som skäl.

Nu gör urbackup många trix med olika framgång för olika filsystem för att just ha så minimal mängd med kopior av samma data på sin lagring som möjligt och jag har inte analyserat exakt hur den gör för de olika filsystemen - men för BTRFS vet jag att subvolymer som skapas med snapshot och kopiering med --reflink är en stor del i det hela. BTRFS har idag ingen aktiv deduplicering inbyggd i filsystemet (ännu) men det finns program som samtidig kan arbeta med deduplicering och samtidigt använda filsystemet - både på filnivå och blocknivå

Deduplicering blocknivå innebär att filer som finns i en backupset - som också finns som sektorer på en diskimage från samma eller annan dator så kommer flertal identiska datablock att bli till en enda gemensam datablock som både diskimagen och filen refererar till när data skall hämtas.

Sedan kan man diskutera det är värt all pina med CPU-kraft och hög IO mot diskarna under kanske dygn som krävs för att gå igenom allt detta första gången (uppdateringarna är lättare då transaktionerna är tydliga i btrfs och programmet behöver bara jobba med dom som är ändrade) och fungerar fil-dedupliceringen hyfsat med användarprogram som tex. urbackup, så skulle jag nog säga - nej det är inte värt pinan med dygn med blockvis deduplicering om det ändå bara genererar några tiotal, kanske enstaka 100-tal med GB i frigjort diskutrymme på en lagring på säg 8 TB storlek - det ger mindre än man tror om fil-dedupliceringen sedan innan fungerar.

'bees' är tex en block-deduplicerare för BTRFS och man kan själv bestämma hur mycket RAM-minne i 128 MB steg man kan ge programmet medans den arbetar - ju mindre, ju större sammanhängande block hanteras som minsta storlek och vill man hålla det på 4kB-granulitet så går det förstås åt mer RAM-minne, men man kommer väldigt långt även med bara 1 GB RAM på multi-TB lagring

Nej det är inte en färdigt lättillgänglig filsystem på samma sätt som en filträdsspegling mellan två datorer då jämförelse, deduplikation på sektorvis nivå och packning helt enkelt inte är i format som passar traditionella filsystem. Både borg och restic har både tanke och filosofi som återfinns i dom stora molntjänsternas objektdatabaser (som S3, B2 etc) med chunk och bukets och där databasen inte bryr sig om innehållet eller dess interna struktur - sådant får klienten som hanterar, läser och lägger upp bitarna hålla reda på så att säga.

Både borg och Restic kan monteras under en map i linux och man kan knata runt i virtuella filträden för att plocka ut en enskild fil, dvs. man behöver inte packa upp rubbet i en session för att nypa en viss önskad fil.

Dock, detta går inte fort och skall man ned i en viss mapp/filträd så kan det vara en del tänkande av borg/restic innan de har hittat alla småbitar här och där för att skapa ett filträd och man får vara beredd att det stoppar upp då och då när man skall ned i djupare nivåer i filträdet då borg/restic bit för bit måste bygga 'banan' i filträdet allt eftersom man öppnar nya mappar. Man har valt den lösningen att bygga efter behov då att bygga filträdet komplett redan från början för sessionen skulle upplevas ta alldeles för lång tid.

Slutligen - program som borgbackup och restic finns som öppen källkod och är därmed rimligt framtidsäkert och om man ändå har dessa dubier så skall man ställa frågan om varför man inte har samma funderingar på NTFS, FAT16, FAT32, VFAT och ExFAT och varför Microsoft inte tillhandahåller källkoden öppet för dessa, utan har under många år reverse engieerat fram en fungerande version av dessa i opensource-världen... (pkzip - som senare bara blev 'zip' - gjorde framgångsmässigt att etablera sig på slutet av 1980-talet, genom att uppackningsprogrammet för arkivet fanns att hämta som källkod (och vissa fall följde med programpaketen) för att överleva och hålla arkiven uppackningsbara även om hela datormiljön ändras till något helt annorlunda eller att företaget bakom pkzip skulle konka och försvinna, så skulle användaren oavsett ändå kunna rädda sina data ur arkiven i all tid framöver.

Är extension '[bitlocker@foxmail.com].wiki' på filerna så är det 'Dharma'-cryptovirus och ger sig på alla diskar som är installerad på datorn - framgår dock inte om de också ger sig på nätverksvolymer om de är satta med driver-bokstäver (y: x: etc.) - kan givetvis finnas modernare varianter av denna med andra extension men normal 'äkta' MS-bitlocker är volymbaserad (dvs. krypterar hela partitioner/diskar) och är inte filbaserad - dvs. du skall aldrig se 'bitlocker' som namn i någon filextension etc.

Viruset, förutom traditionella smittvägar via email och besök på gråzons-web, angriper också genom windows RDP (TCP-port 3389) med brute-force om denna är öppen utåt från burken (dvs. att du har RDP påslagen) och man har för vekt passord på någon eller flera av kontona. Det gör att smittade datorer i en LAN inom ett företag försöker hacka sig in på andra ej ännu smittade datorer och det blir som vår corona-epidemi.

Många ranomware designas idag för att angripa specifika företag, brancher eller viss typ av ekonomisystem/adminstration etc. och är inte lika brett slående som tidigare kampanjer - dvs man klara sig bättre som privatperson som surfar även på mer suspekta ställen än om man koppla in sin jobbdator med VPN till företaget för att jobba hemifrån - vilket är mer eller mindre påtvingat numera av många företag nu i Coronatider.

---

Det här är inte ett virus man vill ha om man också har sin backupdisk inkopplad samtidigt och får precis allt krypterat... samma sak med monterade iSCSI-volymer då dessa hanteras på precis samma sätt som fysiska diskar i windows.

Vad jag läst så är det ingen hopp alls att kunna rädda sina filer då den krypteras med publik nyckel och den privata nyckeln som krävs för att avkryptera har aldrig varit i din dator.

Nu vet jag inte vilket steg du var i angreppet när du märkte detta - men viruset och de flesta liknande ransomware-virus stänger av all shadow copy i slutet av sin kryptering och därmed gör det omöjligt att göra rollback - strax innan du får utpressningen.

Därför är det enormt viktigt att stänga av sin dator när man tycker att det inte beter sig normalt och inte starta igen utan att först göra diskimage först med program bootad från USB-sticka och sedan skanna med olika antivirusprogram, också bootad från USB-sticka - och en sak till - är det företagsdator eller att det är kopplad mot företag, se till att IT-avdelningen blir informerad om problemen illa kvickt då programvirus är precis som vår berömda Corona - att man måste agera snabbt och tidigt om det skall gå att hejda det - det handlar om från minuter till timmar innan det hela eskalerat sig utom kontroll

Finns en del verktyg online som man kan ladda upp en av de krypterade filerna till och sedan svarar dem om det är ett känt virus som man har lyckats hitta en de-krypteringsnyckel till. Tror det är det här verktyget som det syftas på. Annars är det att gå tillbaka till historiken i onedrive som du säger.

https://www.nomoreransom.org/crypto-sheriff.php?lang=en

Och TS behöver inte ens ha 'klickat' för att bli smittad om man tex. har porten för RDP öppen och har vekt och enkelt passord - att insinuera att man 'alltid' besökt suspekta websidor eller klicka på bilagor i email gäller långt ifrån alla som faktiskt råkat ut för det... ta tex wannacry som då använde nyligen och (för USA:s underrättelstjänster ofrivilligt) publicerade svagheter i win-OS för att ta sig in...

Nej, namnet 'bitlocker' används bara för att det är väletablerat och får hög uppmärksamhet i och med lätt förväxlas med Microsofts bitlocker och tror att det är något som MS har gjort till en början.

Och även om man betalar till utpressarna så finns det ingen som helst garanti att man får tillbaka någon upplåsningsnyckel - det finns allt för många fall där de som skapat ransomware helt struntat i att ge ut nycklar till de som betalar och aldrig har tänkt att göra det heller redan från början då de helt enkelt inte kan med den programuppsättningen de skapat och somliga fall faktiskt inte har krypterat filerna utan helt enkelt skrivit över dem med slump eller bara tagit bort den permanent.

Det finns hela spektret från klåpare med program som bara förstör och hoppas på att det trillar in bitconin på kontot ändå, till 'respektabla' (om man nu kan säga det om blodsugarna) ransomware-makare som uppfyller villkoren och levererar upplåsningsnyckeln när betalningen har gjorts, precis som allt annat...

Det som hade varit lite intressant i den här tråden är vad för ransomware TS råkat ut för - om det är gammalt skit som snurrat på sin 3 varv eller om det är helt ny variant.

Problematiken med numera måldesignade ransomware mot specifika företag eller programprodukter är att de inte blir publika i breda lagren lika fort och de stora antimalware-husen fångar inte upp problemen förrän när någon begär hjälp av dem och det i övrigt inte är någon större 'liv' om det hela - i och med mer begränsad 'kundkrets' så är det inte lika lockande att bränna en massa tid och pengar att analysera dessa och skapa motåtgärder för dessa och framförallt tar det mycket längre tid.