Du må være registrert og logget inn for å kunne legge ut innlegg på freak.no
X
LOGG INN
... eller du kan registrere deg nå
Dette nettstedet er avhengig av annonseinntekter for å holde driften og videre utvikling igang. Vi liker ikke reklame heller, men alternativene er ikke mange. Vær snill å vurder å slå av annonseblokkering, eller å abonnere på en reklamefri utgave av nettstedet.
  33 10304
Hei!

En bekjent av meg har dessverre fått Crypt0l0cker viruset gjennom at hun åpnet en telenor mail som var falsk.

Alt av filer er låst, men programmer fungerer som normalt.

Er det noen som har noe erfaring med dette, og hvordan jeg eventuelt kan klare å få dekryptert filene hennes igjen?

Setter enormt stor pris på all hjelp! Er helt stuck...
Hvilken av de skal jeg bruke? For det virker ikke som om Crypt0l0cker er listet der. Og når jeg skriver inn litt av warningen som står så kommer det 0 resultater.
Sist endret av Master Yoda; 17. februar 2017 kl. 13:55.
Rannoh Decryptor
Hva om hun ikke har backup?
For jeg ser at Rannoh decryptor trenger både den krypterte filen og en original fil som ikke er kryptert..
Det finnes ingen decrypter til denne enda. Om det er vitkige filer så er det nok bare å finne frem lommeboka før ransom stiger.
Vel, hvis du ikke har fått det til hittil så har du kanskje allerede mistet de "mad leet skillz"-poengene som kunne imponere, og da blir det aktuelt å spørre seg hvor mye arbeid du skal gjøre gratis for å spare henne for penger.

Vet ikke hvor mye de krever, eller om det er en løsepenge-sak hvor du ikke får låst opp allikevel.
Anonym bruker
"Blind Dåhjort"
Generert avatar for denne anonyme brukeren
Gjennopprett maskinen til et tidligere stadie om det er mulig.
@Present Day Overalt som jeg har lest om dette så sier alle at man ikke skal betale, for du er ikke garantert at de faktisk gir deg dekrypteringsnøkkelen, og i tillegg så finansierer du videre arbeid for de.


Det er ikke satt opp noe automatisk backup på maskinen, så det å gjennopprette til et tidligere tidspunkt vil da bli tidenes morgen når hun startet å bruke PC'en. I tillegg har jeg lest at dette ikke vil låse opp filene..
Å betale er siste utvei, i og med dette oppmuntrer til mer crypto spredning, men om det er viktige filer har man ikke noe valg (sett at versjonen som er kjørt på din pc ikke er cracket).

Man er mer eller mindre garantert dekrypteringsnøkkelen da crypto er big business og hvis man ikke fikk nøkkelen hadde det heller ikke vært noen som betaler.
Sitat av Master Yoda Vis innlegg
Overalt som jeg har lest om dette så sier alle at man ikke skal betale, for du er ikke garantert at de faktisk gir deg dekrypteringsnøkkelen, og i tillegg så finansierer du videre arbeid for de.
Vis hele sitatet...
Det er mest en FUD og pathos-basert argumentasjon.

Host opp du, og så kan du eventuelt ta en vurdering på om du skal bruke av din tid på å gjøre maskinen faktisk sikker: https://hackernoon.com/the-2017-pent...y-cf734c510b8d

Eller om du bare skal betale, ta backup, og vente på neste angrep.

Ikke takk meg, takk microsoft.
Forøvrig går jeg bare og venter på at neste steg av ransomware skal bli rapportert der ute, "Pedoware".

Hvordan fungerer det, sier du?
Jo, maskinen din krypteres og kontaktene dine på facebook og mail gjennomgåes, og du blir presentert mellom valget av å få barnepornografi sendt til dem ifra din maskin og din epost og til politiet, eller betale.

Da betaler de fleste vil jeg tro.

Er ikke psykopat forresten, har bare god fantasi.
Sist endret av [Present Day]; 17. februar 2017 kl. 15:26.
Er ikke rart folk blir lurt av denne, den er faktisk veldig bra craftet. Vi har nå hatt 2-3 kunder siste uken som har trengt å restore backup.
Ts sjekk om shadow copy for filene er tilgjengelig, mest sannsynlig ikke men er lov å sjekke.

Present day: Ting blir ikke helt safe, er folk som sitter bak spakene.
Kom inn to kunder som fikk dette nå denne uka hos oss.

Vi endte med å finne mesteparten av filene med ShadowExplorer.
Anonym bruker
"God Titan"
Generert avatar for denne anonyme brukeren
Klarte infisere min far med dette viruset. Kjempeflaut da jeg studerer nettverkssikkerhet. Er en link til "fakturaen" i eposten som fører til en zip fil som inneholder en .js fil. Brukeren blir infisert etter å kjørt denne. Ble full formatering og en verdifull lærepenge...Anbefaler Malwarebytes Anti-Ransomware, gratis og åpen beta.
Hvordan får jeg restoret dokumentene med ShadowExplorer? Jeg ser at alt ligger der.
Hei. Hva er beste måten å unngå dette på? Vi er en mellomstor bedrift der flere får Mail. Finnes det noen måte å prøve å unngå dette på best mulig måte?
Sitat av Fexigo Vis innlegg
Hei. Hva er beste måten å unngå dette på? Vi er en mellomstor bedrift der flere får Mail. Finnes det noen måte å prøve å unngå dette på best mulig måte?
Vis hele sitatet...
1. Sørg for at dere har en god spamfiltrering.
2. Sørg for at alle ansatte har et minimum av kunnskap om farene ved spamog hvordan man kan unngå å bli lurt. Her finnes det sikkert flere som holder kurs.
3. Ta jevnlig backup.
4. Ikke la vanlige brukere ha administratorrettigheter med mindre de har behov for det.
Sitat av steili Vis innlegg
1. Sørg for at dere har en god spamfiltrering.
2. Sørg for at alle ansatte har et minimum av kunnskap om farene ved spamog hvordan man kan unngå å bli lurt. Her finnes det sikkert flere som holder kurs.
3. Ta jevnlig backup.
4. Ikke la vanlige brukere ha administratorrettigheter med mindre de har behov for det.
Vis hele sitatet...
Hei. Check på de fleste punktene. Irriterer meg at de Telenor e-posten med phishing kommer igjennom, men må ta en ny titt. Hørt at hvis man nekter exe til å starte fra appdata så vil dette løse mye.
Sitat av Anonym bruker Vis innlegg
Klarte infisere min far med dette viruset. Kjempeflaut da jeg studerer nettverkssikkerhet. Er en link til "fakturaen" i eposten som fører til en zip fil som inneholder en .js fil. Brukeren blir infisert etter å kjørt denne. Ble full formatering og en verdifull lærepenge...Anbefaler Malwarebytes Anti-Ransomware, gratis og åpen beta.
Vis hele sitatet...
Jeg er også av den oppfatning at man må kjøre et script/åpne vedlegg for å bli infisert med dette. Men er det mulig å bli infisert av dette viruset uten å ha åpna vedlegget? Altså man har sett at e-post virker mistenkelig, latt være å kjøpe zip.-filen fordi dette også er mistenkelig.

Har nemlig opplevd at folk har mottatt en slik e-post, bevisst ikke åpna vedlegget, og noen minutter etterpå opplevd å ha blitt cryptolocket. Skal sies at det da har vært tilfelle med gammel OS (XP/win7) og utdatert/ikke helt oppdatert virusprogramvare, og respondert på eposten med kommentar om at eventuell faktura må sendes som pdf. Kommer cryptolocker i tilfelle inn på andre måter som f.eks. via dårlig virusbeskyttelse/tilfeldige nettsider, i tillegg til åpning av script i e-post?
Noe som i allefal kan forebygge at disse drittprogrammene kjører er å nekte programmer å kjøre i fra enten
AppData (Cusers\[brukernavn]\appdata) eller LocalAppdata.
Vedlegg i fra eposter lagres også her midlertidig, nermere bestemt i appdata\temp.
Dersom programmer ikke kan kjøre herfra vil det intil en viss grad forhindre at f.eks diverse utgaver av CryptoLocker kan kjøres siden den lastes ned hit før den startes.

En ulempe er at noen få programmer (Spotify blant annet) blir installert her av en aller annen merkelig grunn -ikke overaskende egentlig, da det ser ut som de prøver febrilsk å gjøre spotify så håpløs som overhode mulig... Det vil da slutte å fungere, med mindre det hvitlistes.
Sitat av Boble Vis innlegg
Jeg er også av den oppfatning at man må kjøre et script/åpne vedlegg for å bli infisert med dette. Men er det mulig å bli infisert av dette viruset uten å ha åpna vedlegget? Altså man har sett at e-post virker mistenkelig, latt være å kjøpe zip.-filen fordi dette også er mistenkelig.

Har nemlig opplevd at folk har mottatt en slik e-post, bevisst ikke åpna vedlegget, og noen minutter etterpå opplevd å ha blitt cryptolocket. Skal sies at det da har vært tilfelle med gammel OS (XP/win7) og utdatert/ikke helt oppdatert virusprogramvare, og respondert på eposten med kommentar om at eventuell faktura må sendes som pdf. Kommer cryptolocker i tilfelle inn på andre måter som f.eks. via dårlig virusbeskyttelse/tilfeldige nettsider, i tillegg til åpning av script i e-post?
Vis hele sitatet...
Du sier jo det selv, i noen tilfeller kan skript i epostklienter infisere deg enten direkte eller udirekte.
Har du god virusbeskyttelse, så kan de stoppe cryptolocker før det kjøres.
Ja, internett sider kan infisere deg. For eksempel med sårbarheter i flash/java/innebygde pdf lesere/javascript.
Uvaksinert 👍
Sitat av Zherxyl Vis innlegg
Har du god virusbeskyttelse, så kan de stoppe cryptolocker før det kjøres.
Vis hele sitatet...
Hvilken ville stoppet dette som i dag sendes på mail som en link fra en dropboxmappe? Har sett at hverken Norman, Norton (AVG), Viper eller Bitdefender stopper det, går rett igjennom og lar kunden starte det. Har selv satt opp hos en del kunder at hvis det kommer en mail som inneholder en link til dropbox så legges det automatisk på en advarsel i emnefeltet inntil man kan få tak i noe annet som kan stoppe det.
På jobben kjøres KUN programmer som er lagret i mappen CApplications. Om du prøver å kjøre en fil fra Downloads, skrivebord eller AppData blir det blokkert. Jeg ser for meg at det forhindrer en god del feilklikk på kjørbare filer...
Sitat av daffe Vis innlegg
Hvilken ville stoppet dette som i dag sendes på mail som en link fra en dropboxmappe? Har sett at hverken Norman, Norton (AVG), Viper eller Bitdefender stopper det, går rett igjennom og lar kunden starte det. Har selv satt opp hos en del kunder at hvis det kommer en mail som inneholder en link til dropbox så legges det automatisk på en advarsel i emnefeltet inntil man kan få tak i noe annet som kan stoppe det.
Vis hele sitatet...
Jeg ser for meg at de som først sender ut cryptolocker, ikke sender ut en "ren" versjon av det. Altså de bruker FUD crypters eller hva det enn måtte være slik at antivirusene ikke kjenner igjen programmet.
Så sant sett er jo det ikke mye vits i antivirus, da er det heller bedre som andre har nevnt her å blokkere programmer å kjøre fra mapper der en vet cryptolocker kjøres fra.
Noen som har kjennskap til det som startet å sende ut igår? Doc filer med bestillingsliste?

Hva er dette?
Jeg tenker det sikreste er å gå helt bort fra å basere seg på vedlegg i eposter, får du en faktura fra Telenor så logger du inn på Telenor.no (ikke via link i eposten). Får du ordrebekreftelser o.l fra bedrifter som ikke har eget kundeområde på nettsidene sine bør disse sendes i digipost.
Uvaksinert 👍
Sitat av Storebrand Vis innlegg
Noen som har kjennskap til det som startet å sende ut igår? Doc filer med bestillingsliste?

Hva er dette?
Vis hele sitatet...
link eller info ??

Sitat av Cybergasm Vis innlegg
Jeg tenker det sikreste er å gå helt bort fra å basere seg på vedlegg i eposter, får du en faktura fra Telenor så logger du inn på Telenor.no (ikke via link i eposten). Får du ordrebekreftelser o.l fra bedrifter som ikke har eget kundeområde på nettsidene sine bør disse sendes i digipost.
Vis hele sitatet...
Joa, men problemet nå er at det ikke er vedlegg, det er kun en link til en dropbox konto og antiviusleverandørene har så langt syntes at dropbox linker er ok. Hadde det vært ett vedlegg hadde det jo vært mulig å stoppe alt. Men når det kommer en mail som er skrevet helt perfekt på norsk og ditt navn står i emne felte og det er sendt fra en norsk bedrift (gir seg ut som) og det står hilsen f.eks Randi Olsen. Innholdet kan være som se vedlagt fakturakopi og link til en dropbox konto. Mange går på den rett og slett fordi det ikke ringer noen bjeller.

Skal ikke se bort fra at det snart kommer som digipost som avsender med beskjed om at man har fått en faktura fra telenor med en link til å logge seg på for å se den. Denne linken går da til en dropbox eller onedrive konto som inneholder cryptolocker. Skjønner at folk lar seg lure, skjønner det veldig godt.
Sist endret av daffe; 25. februar 2017 kl. 15:20. Grunn: Automatisk sammenslåing med etterfølgende innlegg.
Sitat av Storebrand Vis innlegg
Noen som har kjennskap til det som startet å sende ut igår? Doc filer med bestillingsliste?

Hva er dette?
Vis hele sitatet...
Det er crypto dette også, når du åpner dokumentet blir du bedt om å slå av beskyttet visning/slå på makroer.
Etter du gjør dette blir det lastet ned en fil til appdata på windows profilen din. Blir denne kjørt starter crypteringen (roaming.eXe).
Noe som er litt rart er at på pc-en jeg testet dette på ble ikke exe filen kjørt av seg selv, du måtte kjøre den med ledetekst med admin for at den gjorde noe som helst.

Det er det samme Cryp0l0cker viruset som ellers i er tråden.
Sitat av pensl Vis innlegg
Det er crypto dette også, når du åpner dokumentet blir du bedt om å slå av beskyttet visning/slå på makroer.
Etter du gjør dette blir det lastet ned en fil til appdata på windows profilen din. Blir denne kjørt starter crypteringen (roaming.eXe).
Noe som er litt rart er at på pc-en jeg testet dette på ble ikke exe filen kjørt av seg selv, du måtte kjøre den med ledetekst med admin for at den gjorde noe som helst.

Det er det samme Cryp0l0cker viruset som ellers i er tråden.
Vis hele sitatet...
Okey, Har nå måtte sperre alle .doc filer i spamfilteret. Er helt helvette om dagen dette greiene her.
Sitat av daffe Vis innlegg
Skal ikke se bort fra at det snart kommer som digipost som avsender med beskjed om at man har fått en faktura fra telenor med en link til å logge seg på for å se den. Denne linken går da til en dropbox eller onedrive konto som inneholder cryptolocker. Skjønner at folk lar seg lure, skjønner det veldig godt.
Vis hele sitatet...
Men det er det jeg mener, både vedlegg og linker i eposter må man slutte å bruke om ikke det er avtalt at det skal komme en epost med ett spesifikt vedlegg.

Får du en epost fra Telenor med en faktura som vedlegg eller som direktelink så må man lære folk til å besøke nettsiden til bedriften (uten å bruke link fra eposten).

Ting vil ta litt mer tid, men det tar også tid å sikre seg mot fysiske innbrudd så dette er bare noe man må ta tak i.
Sitat av Cybergasm Vis innlegg
Men det er det jeg mener, både vedlegg og linker i eposter må man slutte å bruke om ikke det er avtalt at det skal komme en epost med ett spesifikt vedlegg.

Får du en epost fra Telenor med en faktura som vedlegg eller som direktelink så må man lære folk til å besøke nettsiden til bedriften (uten å bruke link fra eposten).

Ting vil ta litt mer tid, men det tar også tid å sikre seg mot fysiske innbrudd så dette er bare noe man må ta tak i.
Vis hele sitatet...
Stripping av hyperlinker i e-post hadde hjulpet fælt. Enn så lenge er vel eneste måten å kjøre all e-post som ren tekst etter hva jeg har forstått.
▼ ... over en uke senere ... ▼
Pensjonert Skaper
Sitat av Master Yoda Vis innlegg
For jeg ser at Rannoh decryptor trenger både den krypterte filen og en original fil som ikke er kryptert..
Vis hele sitatet...
Sitter og jobber med en harddisk som er infisert av CryptoLocker nå. Har væt på nettsiden deres og benyttet meg av et "tilbud" der om å dekryptere en enkelt fil. Noen som vet om den dekrypterte filen da kan brukes som om det skulle være originalfilen? Har heller ingen backup av filene og derfor ingen originalfil.

Ser også at programmene på https://noransom.kaspersky.com/ utelukkende (tilsynelatende iallfall) er for Windows. Noen som vet om noen alternativer til Linux/Ubuntu? Tviler selv, men kan jo være. Vil helst slippe å starte opp Windowsen og koble den på nettet mitt for å forsøke å ordne dette.