Cryptolocker – virus der krypterer dine filer

Del denne artikelShare on Facebook76Tweet about this on TwitterShare on Google+1

Her kan du læse om Cryptolocker – en af de nyeste og mest skadelige vira der kan inficere din computer. I den seneste tid er denne virus blevet spredt til virksomheder forklædt som en mail fra Post Nord. 

Cryptolocker er en virus som krypterer filer og mapper på din computer samt på forskellige netværksdrev. Når filerne er krypteret kan du kun få dem dekrypteret hvis du kender det password der skal til. Og det password vil bagmændende kun udlevere hvis du betaler dem flere tusinde kroner.

Man kan på den måde sige at denne virus kidnapper filerne på din computer og forlanger en løsesum for at du kan få dem tilbage igen.

Den krypterer ikke alle typer  af filer, men kun filer med en bestemt filendelse, såsom:

.sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt

Dvs. med andre ord alle dine dokumenter og alle dine billeder. Efter at filerne er blevet krypteret, vil der ofte på computeren ligge en instruktion til hvad man skal gøre for at få filerne igen og hvor meget man skal betale. Ofte ledes man hen på en Tor hjemmeside (forbindelsen kan ikke spores), hvor man får flere informationer.

Man får altså ofte et krav om penge og en tidsfrist som man skal overholde, for at filerne bliver dekrypteret (ofte 96 timer). Nogle gange får man at vide at hvis man vil have filerne efter tidsfristen, stiger løsesummen. Der foregår altså en form for afpresning.

Hvis du får Cryptolocker virussen er der to ting du skal gøre:

  1. Fjern virussen med antivirus
  2. Forsøg at gendanne filerne, evt. med backup

Du skal aldrig betale løsepengene.

Mail fra Post Nord

I den seneste tid har der været en del angreb med en Cryptolocker virus på danske virusser. Angrebet er sket gennem en række mails der har været sendt til virksomhedens ansatte. Disse mails var forklædt som mails fra Post Nord (Post Danmark), hvilket har fået mange til at tro at de var ægte.

I mailen stod der angiveligt en besked om at en pakke var blevet leveret forgæves og at man skulle klikke sig ind på Post Nords hjemmeside for at se hvor pakken findes. Hjemmesiden lignede fuldstændig en hjemmeside fra Post Nord. Når man kom herind skulle man udfylde en formular, hvorefter man angiveligt ville få informationerne. I stedet blev en fil downloadet til computeren og så var computeren inficeret.

Filen var en Cryptolocker virus der straks krypterede filer på computeren og servere på netværket. Herudover var der instrukser til hvordan man kunne få sine filer igen, hvis man betale en løsesum.

Betalingen skal ske med bitcoins eller en anden betalingsmulighed der ikke så let kan spores.

Skal jeg betale?

Du skal aldrig betale til bagmændende for disse cryptolocker virus. Det kan man godt føle sig fristet til, men der findes mange falske cryptolocker virus, hvor de bare stikker af med pengene eller kræver flere penge. Så du får ikke dine filer alligevel.

I 2013 var der et angreb med en cryptolocker virus og her mener man at omkring 1,3% af de inficerede valgte at betale løsesummen. Man mener at bagmændende tjente omkring 3 millioner dollars på dette angreb. Dette førte også til at der siden har været mange flere angreb og skabt mange kloner af cryptolocker.

I den resterende gruppe var der en del der alligevel kunne dekryptere filerne eller genskabe dem med en backup, mens andre havde mistet deres filer.

Hvordan kan jeg se om jeg har Cryptolocker?

En af kendetegnene er jo især at der kommer denne besked med krav om løsepenge frem. Hos nogle varianter er din skrivebordsbaggrund lavet om og der ligger en fil på skrivebordet der hedder DECRYTP_INSTRUCTIONS.txt med instruktioner på skrivebordet.

Hvis du ikke har en Windows computer, men i stedet en Mac, burde Cryptolocker ikke være tilfældet. Ganske vist kan det lade sig gøre at udvikle en cryptolocker til Mac, men umiddelbart har de været heldige at være forskånet indtil videre.

Kan Cryptolocker fjernes?

Cryptolocker er en virus der er meget svær at detektere, og derfor svært for antivirus programmer at fange. Men selv når det lykkedes, er det jo ikke nok blot at fjerne virussen. Alle ens filer er jo stadig krypterede og dem kan antivirus programmet jo ikke dekryptere.

Programmet Malwarebytes Anti-Malware Free skulle umiddelbart være i stand til at fjerne selve virussen. Så dette program kan du prøve at installere og dermed fjerne den. Når programmet er installeret kører du en scanning og når den så finder Cryptolocker, fjerner du denne.

Vær opmærksom på at hvis du fjerner virussen, er der risiko for at dine filer går tabt, fordi så er det ikke sikkert det er muligt at kunne betale løsesummen for at få filerne tilbage. Men som vi allerede har gennemgået, så vil jeg heller ikke anbefale dette. Så jeg vil anbefale at fjerne virussen.

Et andet antivirusprogram der skulle virke er også Hitman Pro eller Malicious Software Removal Tool. Det kan du evt. også prøve at scanne med.

Hvad skal jeg gøre efter virussen er fjernet?

Efter du har fjernet virussen, skal du arbejde for at gendanne filerne. Her er det mest optimale jo en backup, så hvis du tager backup, kan du nu gendanne din backup.

Men hvad hvis du ikke har en backup? Ja, så har du risiko for at du aldrig får dine filer at se igen. Men her er et par ideer til en form for indirekte backup som du kan tjekke:

  • Tjek om du evt. overfører dine filer til skyen, f.eks. Dropbox, Onedrive eller Google Drive. Så vil du kunne tjekke om der ligger en dekrypteret version her.
  • Prøv programmet Recuva der kan gendanne slettede filer. Når Cryptolocker krypterer filer tager den nemlig først en kopi, krypterer den og sletter den oprindelige. Måske kan du med Recuva gendanne de slettede, dekrypterede filer.
  • Hvis du har Microsoft Office 2016 er du rimelig sikker på at du her også gemmer på Onedrive. Her vil du selvfølgelig kunne tjekke om filerne befinder sig her, men hvis de også er krypterede kan du prøve at højreklikke på filerne og vælge “History”. Så får du historiske versioner af filen som evt. kan være den rigtige.
  • Prøv at anvende ShadowExplorer der nogle gange kan finde Shadow kopier af filerne. Dem prøver virussen ganske vist også at fjerne nogle gange, men alligevel kan det nogle gange lykkes.
  • Prøv at se om filerne kan gendannes med Windows’ systemgendannelse.

Hvordan beskytter jeg mig mod Cryptolocker?

Som det ser ud nu, så er eneste måde du kan beskytte dig mod kryptolocker være at tage backup. Fordi med en backup, kan du altid genskabe de filer den inficerer.

Hvis du har en backup, kan du blot fjerne virussen og så herefter genskabe filerne fra backuppen.

Herudover gælder det om altid at bruge sin sunde fornuft. Tænkt over følgende gode råd:

  • Lad være med at tro at der forgæves er leveret en pakke til dig, hvis ikke du har bestilt en pakke.
  • Tjek mailadressen som er afsender og tjek om den stemmer med afsenderens hjemmeside. Hvis f.eks. mailen kommer fra jens@post-nord.net stemmer det jo ikke overens med at Post Nords hjemmeside er postnord.dk. Bagmændende laver ofte falske domæner. Det skal dog også siges at det sagtens kan være en virus selvom den kommer fra postnord.dk. Men tjek om mailadressen er forkert – vær især skeptisk overfor domæner fra .ru (Rusland) – her kommer der mange angreb fra.
  • Når du læser en mail, bør du ALDRIG indlæse billederne fra nogen du ikke kender. Der kan gemme sig virusser i billeder.
  • Vær skeptisk hvis der er en masse stavefejl i mailen eller den er på et andet sprog.
  • Tjek filendelserne på filer der er vedhæftet. Hvis filendelserne er .exe eller .zip skal du være ekstra skeptiske.

Er Dropbox, Google Drive, Onedrive eller iCloud sikker backup?

Mange bruger en cloud tjeneste, som f.eks. Dropbox, Google Drive, Onedrive eller iCloud til at tage backup af ens filer. Disse virker typisk ved at de synkroniserer en bestemt mappe på computeren, som så kopieres op på cloud tjenesten.

Hvis du bliver ramt af en Cryptolocker virus og denne krypterer dine filer i den mappe, vil de også blive krypteret med op på den cloud tjeneste.

Derfor er cloud tjenester der kun synkroniserer ikke tilstrækkelig backup mod en Cryptolocker virus. Kun hvis du har adgang til versionsstyring, så du kan spole tiden tilbage for en fil på cloud tjenesten, er det okay.

Ellers skal du have en form for backup, der f.eks. danner et image af filerne der skal gemmes, og løbende tager en backup og gemmer i et vist interval. Så vil du altid kunne finde en backup fra før du blev ramt af virussen. Det kan du læse mere om hvordan du gør her.

Hvis du har været inficerede med cryptolocker er jeg meget interesseret i at høre om dine erfaringer og hvad du har gjort. Har du nogle spørgsmål er du også velkommen til at skrive en kommentar.

Rating: 4.7. From 3 votes.
Please wait...
Del denne artikelShare on Facebook76Tweet about this on TwitterShare on Google+1

11 Comments

  1. Michael 2. oktober 2015 Reply
  2. Henrik Holm Nielsen 25. oktober 2015 Reply
  3. Claus Skyldahl Sørensen 5. februar 2016 Reply
  4. Tommy Pedersen 11. februar 2016 Reply
  5. Preben Andersen 28. februar 2016 Reply
  6. Erik Pedersen 20. marts 2016 Reply
  7. Kim 14. marts 2017 Reply

Add a Comment

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *