Gå til innhold

Crypto-virus - ekstremt viktig med gode backup rutiner


Anbefalte innlegg

Jeg har en mistanke om at de som hevder at maskinen begynner å gjøre dette UTEN at de har klikket ok eller ja på noe som helst, lyver.

 

Du bør også bruke IE eller Edge, da det er den browseren disse noldusene bruker.

 

Angrepet har så vidt jeg forstått vært pdf-filer som har som vedlegg på mailer og som har fått klienten (outlook) til å laste ned cryptoviruset (virus er feil ord å bruke IMO). Brukere har nevnt at det bare var å klikke på linken, så gikk alt av seg selv.

 

Og det stemmer nok. Sier ikke at det finnes virus som greier å komme inn ubemerket, men i de fleste tilfeller har brukeren klikket ok på å kjøre en fil. De jeg har hjulpet som har fått dette viruset, har fortalt om både vedlegg i epost og link til en hjemmeside (type Posten osv) så har de fått opp en dialogboks, der de har trykket kjør. På toppen av det hele har dette vært pcer uten oppdatert beskyttelse, siden f.eks folk slår av pcene på natten, og ikke lar pcene få lastet ned og oppdatert seg.

 

Så handler det også om folk som har diverse gratisversjoner av f.eks Malwarebytes og lignende. Det som er 100% sikkert i de testene jeg har gjort, er at viruset IKKE har noen problemer å kjøre på pcer med gratisutgavene. Ja programmet finner viruset OM du skanner manuelt, men da er jo skaden allerede skjedd. Så du må ha betalingsversjoner med sanntidsskanning påslått.

Samme gjelder jo et hvert antivirusprogram. Er ikke sanntidsskanningen påslått - så har viruset fritt spillerom.

 

Og folk slår jo av UAC og SmartScreen siden funksjonene er irriterende (må innrømme at jeg ALLTID gjør det på mine egne pcer), men så har jeg aldri i hele mitt 39 årige liv hatt virus da. Men kompenserer med minst ett Malware program og et Antivirus program.

Selvsagt med sanntidsskanninger på begge deler.

 

 

 

 

Om du har en maskin som kan fungere som e-postserver og en annen som mottaker, så kan vel dette testes om det lar seg gjøre å lage en lokal epost-tjeneste over et lite, lukket nettverk (to maskiner og en krysskabel). Spørs om det er verdt bryet.

 

 

Kunne jo virket selvsagt, men nå er jeg ikke ute etter å bevise at viruset kan komme inn på den eller den måten. Til syvende å sist så laster viruset ned en fil som må kjøres. Innstillingene på pcen din avgjør hvor lett denne files kan kjøres. (de fleste virusene har f.eks flash filer som kan startes). Mine tester går som sagt mer på hva som faktisk skjer, og hvordan man best kan beskytte seg.

Endret av myhken
Lenke til kommentar
Videoannonse
Annonse
Gjest Slettet-t8fn5F

Kan du sjekke om cryptovirusene tar å forandrer på filene som File History lager i Windows 10?
Og om du da kan få frem filene igjen med ShadowCopyViewer?

Lenke til kommentar
Gjest Slettet-t8fn5F

Kom til å lure på; siden disse sakene krever at en eller annen trykker "ok" et sted, vil de også kunne lage ball på en Linux-maskin med omtrent samme forutsetninger som på en Windows-maskin?

Selvfølgelig kan ikke en Linux maskin kjøre exe-filer annet enn i wine.

Lenke til kommentar

Det er kanskje en selvfølge for folk som kan mye om de programmessige forskjellene mellom operativsystemene, for oss andre er det ikke nødvendigvis så åpenbart. Men takk for svar.

 

TS: Kunne du testet hvorvidt gratis antivirusprogrammer stopper denne typen angrep? Selv har jeg Avast, og de skryter (naturligvis) av at de har beste beskyttelsen mot slikt, men hva vil det egentlig si?

Lenke til kommentar

Kan du sjekke om cryptovirusene tar å forandrer på filene som File History lager i Windows 10?

Og om du da kan få frem filene igjen med ShadowCopyViewer?

 

Ser ut som noen, kanskje alle, faktisk sletter Shadow kopiene også:

 

crypto27.jpg

Lenke til kommentar
Gjest Slettet-t8fn5F

 

Ser ut som noen, kanskje alle, faktisk sletter Shadow kopiene også:

 

Du må sjekke om der ligger noen filer i shadow copy, før du lar virusene hamre løs.

 

Sjekkes via previous version eller det programmet.

Endret av myhken
fjernet unødvendig quote
Lenke til kommentar

Du må sjekke om der ligger noen filer i shadow copy, før du lar virusene hamre løs.

 

Sjekkes via previous version eller det programmet.

 

 

Nei lå jo ikke noe der fra før av, men Shadow tjenesten er aktiv og kjører. Husk dette er kun et test oppsett, så har jo ikke gjort endringer på filene der. Har heller ingen gjenoppretningspunkter osv. Men programmet du nevnte sier jo selv at slike ransomware virus faktisk sletter shadow kopiene også.

 

 

TS: Kunne du testet hvorvidt gratis antivirusprogrammer stopper denne typen angrep? Selv har jeg Avast, og de skryter (naturligvis) av at de har beste beskyttelsen mot slikt, men hva vil det egentlig si?

 

Testet med Avast nå, og på de versjonene jeg kjapt testet på, så finner og beskytter Avast mot at viruset faktisk kan bli kjørt.

Testet også på et virus som hadde utbrudd i dag, og Avast stoppet det også. Så la til Avast på listen min på blogg innlegget som anbefalt programvare.

 

crypto28.jpg

Endret av myhken
Lenke til kommentar

Jeg har en mistanke om at de som hevder at maskinen begynner å gjøre dette UTEN at de har klikket ok eller ja på noe som helst, lyver.

 

snip

 

Angrepet har så vidt jeg forstått vært pdf-filer som har som vedlegg på mailer og som har fått klienten (outlook) til å laste ned cryptoviruset (virus er feil ord å bruke IMO). Brukere har nevnt at det bare var å klikke på linken, så gikk alt av seg selv.

 

Forstår jeg dine poster rett, når du mener du har virusene og tester hva de gjør, mens det jeg lurer på er hvordan brukerne får disse virusene???

 

 

Nå har jeg kjørt et par tester på Windows 7, og faktisk så lyver ikke de som sier at de ikke har trykket OK på noe, om de bruker Windows 7. For her får jeg ingen meldinger i det hele tatt når jeg prøver å kjøre .exe filen med viruset. Har brukerkontroll påslått på nest høyeste nivå, altså standard innstillinger.

 

Så har du et utdatert virusprogram og/eller kjører gratisversjonen av f.eks Malwarebytes, så er det ingen ting som stopper viruset.

 

Windows 10 er i alle fall mye sikrere siden den har SmartScreen aktivert også som standard, noe Windows 7 ikke har.

 

Edit:

La meg korrigere å si at Windows 10 som er oppdatert med minimum Windows Defender er sikrere. Jeg testet på .iso filen til den opprinnelige Windows 10, den som kom ut for over ett år siden. Kjørte ingen oppdateringer på den, men både SmartScreen, brukerkontroll og Defender var påslått.

Kjørte så de vanlige virusfilene, og fikk faktisk ingen advarsler da jeg kjørte .exe filene, ikke brukerkontroll, ikke SmartScreen og ikke Defender.

Så det viser hvor viktig det er med oppdaterte systemer.

Endret av myhken
Lenke til kommentar
  • 2 uker senere...

Jeg spurte et annet sted, men det passer kanskje bedre her:

 

På min NAS er det som ligger under shared/public som jeg klarer å finne uten å logge meg på. Vil da alle andre filer jeg laster opp på NAS'et være beskyttet mot crypto siden de ikke synes?

 

Jeg finner forsåvidt home og homes men klikker jeg på de trenger man bruker/pass og da antar jeg at de er skjermet(?)

Lenke til kommentar

Jeg spurte et annet sted, men det passer kanskje bedre her:

 

På min NAS er det som ligger under shared/public som jeg klarer å finne uten å logge meg på. Vil da alle andre filer jeg laster opp på NAS'et være beskyttet mot crypto siden de ikke synes?

 

Jeg finner forsåvidt home og homes men klikker jeg på de trenger man bruker/pass og da antar jeg at de er skjermet(?)

 

Så lenge den mappen ikke er koblet til med stasjonsbokstav, så slipper den unna ev. krypto-virus. Kun det som er koblet til med stasjonsbokstav som blir angrepet.

Men sier seg jo at disse virusene kan bli utviklet mer, så hvordan dette blir i fremtiden vites jo ikke.

 

 

Jeg leser her at det ikke er mulig å dekryptere disse filene enda, men hva gjør firmaer som Dr. Web og harddisk.no som hevder at de kan gjenopprette filene dine? Kanskje de samarbeider med cryptogutta ;)

 

Disse firmaene skryter nok på seg noe de ikke kan levere. Eller, som nevnt i denne tråden så er det jo jo sykt mange krypto-virus der ute, og i mine tester av bare noen få, så fant jeg ut at noen er så simple at de ikke sletter filene sikkert, og da kan man jo med recovery programmer få tilbake det meste. (f.eks fant jeg tilbake 100% av bildene mine i en test).

Mens andre, som Ceber viruset, sletter filene sikkert også, og da er det helt umulig å få tilbake noe som helst.

 

Det er ikke rapportert om noen i hele verden som har greid å knekke krypteringen, til og med på de simpleste krypto-virusene, så Dr.Web og harddisk.no greier det garantert ikke. Dette problemet koster samfunnet milliarder av kroner i året (i hele verden) så det sitter nok en god del firmaer og folk med MYE penger bak seg og prøver å dekryptere disse virusene.

Men om noen finner en måte å dekryptere de på, endres vel bare krypteringen på fremtiden krypto-virus og så er man like langt igjen.

 

Lenke til kommentar

 

Jeg spurte et annet sted, men det passer kanskje bedre her:

 

På min NAS er det som ligger under shared/public som jeg klarer å finne uten å logge meg på. Vil da alle andre filer jeg laster opp på NAS'et være beskyttet mot crypto siden de ikke synes?

 

Jeg finner forsåvidt home og homes men klikker jeg på de trenger man bruker/pass og da antar jeg at de er skjermet(?)

 

Så lenge den mappen ikke er koblet til med stasjonsbokstav, så slipper den unna ev. krypto-virus. Kun det som er koblet til med stasjonsbokstav som blir angrepet.

Men sier seg jo at disse virusene kan bli utviklet mer, så hvordan dette blir i fremtiden vites jo ikke.

 

 

Jeg leser her at det ikke er mulig å dekryptere disse filene enda, men hva gjør firmaer som Dr. Web og harddisk.no som hevder at de kan gjenopprette filene dine? Kanskje de samarbeider med cryptogutta ;)

 

Disse firmaene skryter nok på seg noe de ikke kan levere. Eller, som nevnt i denne tråden så er det jo jo sykt mange krypto-virus der ute, og i mine tester av bare noen få, så fant jeg ut at noen er så simple at de ikke sletter filene sikkert, og da kan man jo med recovery programmer få tilbake det meste. (f.eks fant jeg tilbake 100% av bildene mine i en test).

Mens andre, som Ceber viruset, sletter filene sikkert også, og da er det helt umulig å få tilbake noe som helst.

 

Det er ikke rapportert om noen i hele verden som har greid å knekke krypteringen, til og med på de simpleste krypto-virusene, så Dr.Web og harddisk.no greier det garantert ikke. Dette problemet koster samfunnet milliarder av kroner i året (i hele verden) så det sitter nok en god del firmaer og folk med MYE penger bak seg og prøver å dekryptere disse virusene.

Men om noen finner en måte å dekryptere de på, endres vel bare krypteringen på fremtiden krypto-virus og så er man like langt igjen.

 

 

Den skal ikke være koblet med stasjonsbokstav, så da høres det mer betryggende ut :)

 

Neste er å dobbelt-trippelsjekke at alt er safe før de andre i heimen får tilgang til å ta backup/annet :D

 

Jeg ser at kunder av nevnte firmaer sier at de har fått gjenopprettet data, men da er det sikkert de mer snille typene som de har fått gjenopprettet.

Lenke til kommentar

Hvis man lagrer et image av viktig data og endrer filtypen til f. eks. gfkjs4556, vil da viruset hoppe over denne filen på sin ferd?

 

Ja det vil den trolig. Disse virusene går etter kjente filer som har med dokumenter, bilder, musikk og filmer. Også .rar/.zip filer går med i dragsuget.

Lenke til kommentar

Fin og informativ tråd, Myhken. Du skriv at Malwarebytes taklar denne type virus. Fungerer det like bra på alt anna rusk på nettet? No har eg ikkje for vane å få virus, men dei som vil oss vondt jobbar jo heile tida for å få lurt oss.

 

Trur eg må forbetre backupsystemet mitt. Har i dag to eksterne diskar som har likt innhald, men i frykt for at ein harddisk tar kveld av seg sjølv så har eg begge tilkopla til ei kvar tid. Det er vel betre å rotere diskane ei veke eller ein månad av gangen.

Endret av Zeph
Lenke til kommentar
Gjest Slettet-t8fn5F

 

Hvis man lagrer et image av viktig data og endrer filtypen til f. eks. gfkjs4556, vil da viruset hoppe over denne filen på sin ferd?

 

Ja det vil den trolig. Disse virusene går etter kjente filer som har med dokumenter, bilder, musikk og filmer. Også .rar/.zip filer går med i dragsuget.

 

Kan du sjekke om den spiser vhd filer?

 

Man kan jo lage seg en egen harddisk ved å bruke en vhd fil.

Mounte denne diske ved behov og kopiere over brukerfiler, så når kopieringen er ferdig, unmounter man den vhd-filen.

Lenke til kommentar

Fin og informativ tråd, Myhken. Du skriv at Malwarebytes taklar denne type virus. Fungerer det like bra på alt anna rusk på nettet? No har eg ikkje for vane å få virus, men dei som vil oss vondt jobbar jo heile tida for å få lurt oss.

 

Trur eg må forbetre backupsystemet mitt. Har i dag to eksterne diskar som har likt innhald, men i frykt for at ein harddisk tar kveld av seg sjølv så har eg begge tilkopla til ei kvar tid. Det er vel betre å rotere diskane ei veke eller ein månad av gangen.

 

Ser ut som om Malwarebyte har gått mer og mer over til å være et fullgodt antivirus program så lenge man kjører Premium utgaven da selvsagt. Har testet litt andre virus enn crypto-virus, og Malwarebytes stopper alt jeg har prøvd. Men kan jo ikke garantere at den stopper helt nye virus varianter, det får jeg ikke testet, for når jeg får tak i virusene så er de jo kjent.

 

Ja løsningen du nevner vil ikke beskytte deg mot denne type virus. Både original filene + begge de eksterne diskene ville bli rammet. Disse virusene er smarte, og viser ingen tegn på at de har kommet inn på pcen din, før etter de har gjort jobben sin. Når alt er kryptert og slettet, da får du beskjed om at du har fått viruset.

 

 

Kan du sjekke om den spiser vhd filer?

 

Man kan jo lage seg en egen harddisk ved å bruke en vhd fil.

Mounte denne diske ved behov og kopiere over brukerfiler, så når kopieringen er ferdig, unmounter man den vhd-filen.

 

 

Testet nå med Cerber viruset, som er nokså skummelt (sletter bl.a alle filer sikkert etter kryptering) og det rører ikke .vhd filer.

Er jo ganske naturlig, siden .vhd filer ikke akkurat regnes som dokumenter/bilder/musikk eller film :D

 

Så backup løsningen du nevner vil fungere fint.

 

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
×
×
  • Opprett ny...