Gå til innhold

Crypto-virus - ekstremt viktig med gode backup rutiner


Anbefalte innlegg

cryptolocker-300x200.jpg

 

Jeg har endelig fått testet ut crypto-virus på noen test pcer jeg har. Og det er skremmende å se hvor effektive de er.

 

Du kan lese mitt originale innlegg her...

 

Det positive i min test er at faktisk Windows Defender samt SmartScreen er ganske effektive mot slike virus. Men det går likevel an å overstyre.

Gratis versjonen av Malwarebytes hjelper IKKE mot slike virus, men betalingsversjonen med sanntidsskanning er meget effektiv. Du trenger faktisk ikke noe annet virusprogram på pcen, om du har betalingsversjonen av Malewarebytes.

 

Når det kommer til sikkerhetskopier og løsninger, så oppdaget jeg følgende:

 

Lokalt på pcen finner viruset alle dokumenter, bilder, musikk, filmer, .zip/.rar filer (og trolig mer) der den krypterer alt og så sletter originalene.

 

Har du koblet til NAS som nettverkstasjon i Windows, krypterer den og sletter alle filer på den delte mappen.

Samme gjelder om du har en server tilkoblet med nettverkstasjon.

 

Har du en ekstern harddisk koblet til, blir alle filer kryptert og slettet der også.

 

Har du online backup tjenester som Jottacloud.com og tilsvarende, vil alle filer bli slettet fortløpende etter viruset har gjort jobben sin. Avhengig av hvor store datamengder du har lagret og hvor rask internett linjen din er, så kan den rekke å slette alt, mye før du rekker å stoppe tjenesten.

 

Fordelen med Jottacloud er at de har søppelkasse funksjonen sin. Til og med om viruset rekker å slette filene på Jottacloud, vil de havne i søppelkassen, og der har du muligheten til å legge dem tilbake og laste dem ned igjen til pcen din, selvsagt etter at du har fjernet viruset fra pcen.

 

 

Her ser du hvordan viruset virker, og hvordan Jottacloud er redningen.

 

Online backuptjenester som ikke har søppelkasse funksjonen vil ikke redde filene dine i denne sammenheng.

 

Jeg har ingen dedikert NAS boks, så jeg får ikke gitt noen tips på hvordan man kan sette opp en slik boks, så det tas kopier som ev. ikke blir berørt av viruset. Om noen kan komme med slike tips skal jeg oppdatere tråden (og blogg innlegget).

 

Andre tips om hvordan man kan sikre filene sine tas også i mot med takk.

 

 

crypto003.jpg

 

Her er en annen versjon:

crypto010.jpg

Endret av myhken
Lenke til kommentar
Videoannonse
Annonse

Ta backup på CD/DVD/BluRay er vel noe av det tryggeste da det ikke går å tulle til de når de er ferdig brent og lagt i skuffen. Gjør man det regelmessig så er bare de filene som er lagret på PC'en etter siste backup som kan bli kryptert.

 

Eventuellt å ha en rotasjon av f.eks. eksterne HDD'er så viruset bare krypterer den ene som er koblet til som siste backup ligger på. For eksempel noe ala dette; Lagre 1 på HDD 1, 1+2 på HDD 2, 1+2+3 på HDD 3 for så å lagre 1+2+3+4 på HDD 1, 1+2+3+4+5 på HDD 2, 1+2+3+4+5+6 på HDD 3, osv. Hvis det ga mening.

Lenke til kommentar

Ta backup på CD/DVD/BluRay er vel noe av det tryggeste da det ikke går å tulle til de når de er ferdig brent og lagt i skuffen. Gjør man det regelmessig så er bare de filene som er lagret på PC'en etter siste backup som kan bli kryptert.

 

Ja bruk av CD/DVD/BluRay er jo en mulighet, men det er jo bare så synd at dette er en døende teknologi. De fleste nyere pcer kommer jo uten CD/DVD spiller/brenner. Og det krever jo en del jobb fra brukeren sin side.

 

Ang rotasjon av eksterne disker, så vil det absolutt beste bare være å koble ut disken etter man har tatt backup, og aldri la den stå tilkoblet. Greit med flere disker, men om man er lat og bare lar en stå tilkoblet til hele tiden, kan fort backupen på den(de) andre disken(e) blir utdaterte. Og da er man jo like langt (eller noe har man da jo kopi av, så er bedre enn ingen ting)

Lenke til kommentar

Problemet med å bruke en og en disk på samme måte som CD/DVD er at de koster mye og det vil være økonomisk umulig for mange.

 

Hvis man tar backup og kobler ut frem til neste backup så vil viruset kunne ta disken når den kobles til og alt er forgjeves alikevel.

 

Det burde kanskje gå an for maskinvareprodusenter å lage et USB-HDD alternativ til CD/DVD som koster lite og er ment for kopier-aldrikobletiligjen.

 

Edit; Kanskje regne ut pris pr. GB før jeg påstår at det er for dyrt. Orker ikke nå :p

Endret av 4 3
Lenke til kommentar

Problemet med å bruke en og en disk på samme måte som CD/DVD er at de koster mye og det vil være økonomisk umulig for mange.

 

Poenget er at man ikke trenger å bruke disken som en CD/DVD, altså en ny kopi per disk. Men man må lage seg en rutine at på f.eks hver søndag, så kobler man på den eksterne disken og tar backup av ukens nye oppdateringer. Og/eller når man f.eks har tømt digital kameraet sitt over på pcen. Så kjører man en kopi, kobler ut disken, og kobler den ikke til før neste backup.

Lenke til kommentar

Men da har viruset mulighet til å ta disken når den blir koblet til og da er jo alt forgjeves. Eller fungerer ikke viruset mens man kopierer eller noe slik? Er det ikke mulighet for at viruset tar disken i den lille tidsperioden den er koblet til?

Lenke til kommentar

Men da har viruset mulighet til å ta disken når den blir koblet til og da er jo alt forgjeves. Eller fungerer ikke viruset mens man kopierer eller noe slik? Er det ikke mulighet for at viruset tar disken i den lille tidsperioden den er koblet til?

 

For å si det slik, vet ikke om du så videoen min, men når du først får viruset så tar det jo max noen minutter før alt er kryptert, og du får opp en side som sier at filene dine er kryptert. Det sier seg selv at du IKKE kobler på en ekstern harddisk da.

Da må du være 100% sikker på at viruset er fjernet før du kobler til noe. Enten ved å kjøre virusprogram gjentatte ganger til du vet at det er borte, eller som jeg personlig ville ha gjort, gjort en clean install med Windows på nytt, så jeg kan være 100% sikker.

 

Så kobler man til disken og kopierer tilbake backupen.

Lenke til kommentar

Så viruset har ikke noen "dvaleperiode" som mange andre har? Det er jo mulig å få viruset til å vente med krypteringen frem til det merker at en ekstern HDD er tilkoblet, noe som er strategisk lurt da eksterne HDD'er ofte brukes til backup.

 

Men det er fortsatt en sjanse for at den tar den eksterne hvis man klarer å få viruset omtrent samma sekund som man setter igang backup?

 

Edit; Enig med clean install, noe annet er å utfordre skjebnen.

Endret av 4 3
Lenke til kommentar

Poenget er at man ikke trenger å bruke disken som en CD/DVD, altså en ny kopi per disk. Men man må lage seg en rutine at på f.eks hver søndag, så kobler man på den eksterne disken og tar backup av ukens nye oppdateringer.

Da vil det jo være mye bedre å ikke ha Jotta/Amazon/Google Drive /<sett in din skylagring her> kjørende 24/7. Kjører man den på intervaller oppnår du samme sikkerhet.

 

Samme med nettverksmount. Det er ikke sikkert man trenger å montere opp med skriverettigheter alltid. Det holder med les 24/7 montert, også montere skriv når man trenger det.

Lenke til kommentar

Da vil det jo være mye bedre å ikke ha Jotta/Amazon/Google Drive /<sett in din skylagring her> kjørende 24/7. Kjører man den på intervaller oppnår du samme sikkerhet.

 

Samme med nettverksmount. Det er ikke sikkert man trenger å montere opp med skriverettigheter alltid. Det holder med les 24/7 montert, også montere skriv når man trenger det.

 

 

Du har helt rett der, men om du tenker på det, så er jo hele poenget med backup at det er noe som går automatisk, slik at man slipper å glemme å ta backup. Særlig gjelder det for folk som ikke har så peil på data, eldre osv.

Om de faktisk må koble til noe for å ta backup, så går det fort i glemmeboken, og da er det jo lite poeng å ha backup.

 

Men som sagt i alle fall Jottacloud har jo søplekasse funksjonen, så der har du 30 dager i alle fall på deg til å få filene tilbake etter et slikt angrep. Og som sagt merker du jo nokså fort at du har fått slike virus, så det går neppe så lang tid før du vil prøve å få tilbake filene på pcen.

 

Andre tjenester som ikke tilbyr en slik søplekasse funksjon er ubrukelige når et virus som dette slår til, om du har løsningen tilkoblet.

Jeg testet f.eks med Owncloud, og der ble alt slettet.

Lenke til kommentar

Skal sette opp en NAS som bare har tilgang via FTP, og kjøre automatisk backup fra PC'ene med Cobian. Da håper jeg å være trygg.

 

FTP mode er trygt ja, men det er viktig å sette opp backup programmet til å ikke slette mer enn så og så mange % f.eks eller lignende.

Kjenner ikke til Cobian, men jeg bruker Syncovery og det programmet har egen ransomware beskyttelse:

 

032017sync1.jpg

 

Syncovery og sikkert andre slike programmer, lar deg også sette opp nettverksdisker uten å ha koblet dem opp med stasjonsbokstav, det lar deg derfor kjøre full backup til en hver tid, men hindrer ev. crypto-virus til å gå inn på den delte mappen og slette filer.

Lenke til kommentar

Er det noen her som har testet dette viruset på en brukerkonto uten admin-rettigheter?

 

Er viruset sofistikert nok til at det klarer å slette/kryptere dokumenter på en nettverksmappe som den innloggede brukeren ikke har rettigheter til å endre/slette?

Lenke til kommentar

Er det noen her som har testet dette viruset på en brukerkonto uten admin-rettigheter?

 

Er viruset sofistikert nok til at det klarer å slette/kryptere dokumenter på en nettverksmappe som den innloggede brukeren ikke har rettigheter til å endre/slette?

Jeg kan teste det på en slik konto senere i dag. Har tilgang til alle de nyeste crypto virusene som er ute nå.

 

Ang siste del, nei viruset greier ikke å kryptere/slette på en slik mappe da kryptering går som endring og sletting sier seg selv. I blogg innlegget mitt nevner jeg dette spesielt. Skulle kanskje gjort det her og ;)

 

Edit:

 

Nå har jeg testet med to brukere på samme pc. En Administrator og en normal bruker,

Når den normale brukeren får viruset, så krypteres bare filene til den ene brukeren. Men du får opp et vindu (se under) som ber deg om Admin passordet. Men så lenge du ikke skriver det inn, så blir kun brukeren berørt.

Likevel finner Administrator brukeren viruset på pcen når jeg skanner, men det var i alle fall ikke blitt aktivert i mitt tilfelle, så til og med viruset var synlig for Administrator brukeren, så berørte ikke det filene.

 

Selvsagt når Administrator brukeren fikk virus, så ble filene til både Admin og brukeren kryptert. Det fordi filene ligger jo under Users, og Admin har tilgang til alle brukere der.

 

crypto011.jpg

 

crypto012.jpg

 

crypto013.jpg

 

crypto014.jpg

 

Slik så det ut da jeg skannet fra Administrator brukeren, den finner viruset, men det er ikke aktivert på den brukeren. Hva som skal til før det blir aktivert er jo usikkert.

Endret av myhken
Lenke til kommentar

Lokalt på pcen finner viruset alle dokumenter, bilder, musikk, filmer, .zip/.rar filer (og trolig mer) der den krypterer alt og så sletter originalene.

Nå har jeg ikke sett et slikt virus i arbeid, men kjører disse cryptolockerne noe secure-erase på original-filen etter kryptering så de ikke kan gjenopprettes av diskrecovery?

Lenke til kommentar

Har et spørsmål til når du alt har testet og kjørt viruset - Kommer ikke UAC opp på skjermen når viruset prøver å starte, eller har viruset en mekanisme som omgår dette?

 

Eneste som kommer opp på Windows 10 er denne:

 

crypto016.jpg

 

Trykker man Ikke kjør, så er man jo reddet.

 

På Windows Server 2012 R2 som er den andre test pcen min, har jo ikke Windows SmartScreen aktivert som standard, vet ikke en gang om den finnes der. Der får jeg ingen andre advarsler enn denne:

 

crypto018.jpg

 

Så du får jo advarsler, men problemet er jo at noen av disse virusene er flinke til å skjule seg og gir inntrykk av at dette er noe du må installere, eller trykke ok på. Nå har jeg ikke testet flash utgavene av disse virusene enda, så usikker på hva som kommer opp av meldinger der.

Lenke til kommentar

 

Nå har jeg ikke sett et slikt virus i arbeid, men kjører disse cryptolockerne noe secure-erase på original-filen etter kryptering så de ikke kan gjenopprettes av diskrecovery?

 

 

Har du noe slikt program du vil jeg skal teste? Selvsagt noe gratis, eller noe med prøveversjon.

Lenke til kommentar

 

Har du noe slikt program du vil jeg skal teste? Selvsagt noe gratis, eller noe med prøveversjon.

 

Jeg pleier å anbefale Reccuva til de jeg kjenner, rett og slett fordi det er gratis og veldig enkelt å bruke. Den har en quick scan og deep scan funksjon, og den viser i hvor stor grad dataene er overskrevet av andre filer, og jeg tror den også sier hvilke filer som tok over plassen.

 

Og ja, den er gratis.

Lenke til kommentar

 

Jeg pleier å anbefale Reccuva til de jeg kjenner, rett og slett fordi det er gratis og veldig enkelt å bruke. Den har en quick scan og deep scan funksjon, og den viser i hvor stor grad dataene er overskrevet av andre filer, og jeg tror den også sier hvilke filer som tok over plassen.

 

Og ja, den er gratis.

 

 

Da er programmet installert og kjørt etter et "nytt" virusangrep. Normal scan fant ingen ting, Deep Scan fant og lot meg opprette 13 av 28 filer, kun to av dokumentene, resten var bilder. (edit: Faktisk fant den tilbake 11 av 11 bilder)

 

crypto019.jpg

 

crypto020.jpg

 

crypto021.jpg

Endret av myhken
Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...