Cryptolocker – virus der krypterer dine filer

Cryptolocker – virus der krypterer dine filer

Her kan du læse om Cryptolocker – en af de nyeste og mest skadelige vira der kan inficere din computer. I den seneste tid er denne virus blevet spredt til virksomheder forklædt som en mail fra Post Nord. 

Cryptolocker er en virus som krypterer filer og mapper på din computer samt på forskellige netværksdrev. Når filerne er krypteret kan du kun få dem dekrypteret hvis du kender det password der skal til. Og det password vil bagmændende kun udlevere hvis du betaler dem flere tusinde kroner.

Man kan på den måde sige at denne virus kidnapper filerne på din computer og forlanger en løsesum for at du kan få dem tilbage igen.

Den krypterer ikke alle typer  af filer, men kun filer med en bestemt filendelse, såsom:

.sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt

Dvs. med andre ord alle dine dokumenter og alle dine billeder. Efter at filerne er blevet krypteret, vil der ofte på computeren ligge en instruktion til hvad man skal gøre for at få filerne igen og hvor meget man skal betale. Ofte ledes man hen på en Tor hjemmeside (forbindelsen kan ikke spores), hvor man får flere informationer.

Man får altså ofte et krav om penge og en tidsfrist som man skal overholde, for at filerne bliver dekrypteret (ofte 96 timer). Nogle gange får man at vide at hvis man vil have filerne efter tidsfristen, stiger løsesummen. Der foregår altså en form for afpresning.

Hvis du får Cryptolocker virussen er der to ting du skal gøre:

  1. Fjern virussen med antivirus
  2. Forsøg at gendanne filerne, evt. med backup

Du skal aldrig betale løsepengene.

Mail fra Post Nord

I den seneste tid har der været en del angreb med en Cryptolocker virus på danske virusser. Angrebet er sket gennem en række mails der har været sendt til virksomhedens ansatte. Disse mails var forklædt som mails fra Post Nord (Post Danmark), hvilket har fået mange til at tro at de var ægte.

I mailen stod der angiveligt en besked om at en pakke var blevet leveret forgæves og at man skulle klikke sig ind på Post Nords hjemmeside for at se hvor pakken findes. Hjemmesiden lignede fuldstændig en hjemmeside fra Post Nord. Når man kom herind skulle man udfylde en formular, hvorefter man angiveligt ville få informationerne. I stedet blev en fil downloadet til computeren og så var computeren inficeret.

Filen var en Cryptolocker virus der straks krypterede filer på computeren og servere på netværket. Herudover var der instrukser til hvordan man kunne få sine filer igen, hvis man betale en løsesum.

Betalingen skal ske med bitcoins eller en anden betalingsmulighed der ikke så let kan spores.

Skal jeg betale?

Du skal aldrig betale til bagmændende for disse cryptolocker virus. Det kan man godt føle sig fristet til, men der findes mange falske cryptolocker virus, hvor de bare stikker af med pengene eller kræver flere penge. Så du får ikke dine filer alligevel.

I 2013 var der et angreb med en cryptolocker virus og her mener man at omkring 1,3% af de inficerede valgte at betale løsesummen. Man mener at bagmændende tjente omkring 3 millioner dollars på dette angreb. Dette førte også til at der siden har været mange flere angreb og skabt mange kloner af cryptolocker.

I den resterende gruppe var der en del der alligevel kunne dekryptere filerne eller genskabe dem med en backup, mens andre havde mistet deres filer.

Hvordan kan jeg se om jeg har Cryptolocker?

En af kendetegnene er jo især at der kommer denne besked med krav om løsepenge frem. Hos nogle varianter er din skrivebordsbaggrund lavet om og der ligger en fil på skrivebordet der hedder DECRYTP_INSTRUCTIONS.txt med instruktioner på skrivebordet.

Hvis du ikke har en Windows computer, men i stedet en Mac, burde Cryptolocker ikke være tilfældet. Ganske vist kan det lade sig gøre at udvikle en cryptolocker til Mac, men umiddelbart har de været heldige at være forskånet indtil videre.

Kan Cryptolocker fjernes?

Cryptolocker er en virus der er meget svær at detektere, og derfor svært for antivirus programmer at fange. Men selv når det lykkedes, er det jo ikke nok blot at fjerne virussen. Alle ens filer er jo stadig krypterede og dem kan antivirus programmet jo ikke dekryptere.

Programmet Malwarebytes Anti-Malware Free skulle umiddelbart være i stand til at fjerne selve virussen. Så dette program kan du prøve at installere og dermed fjerne den. Når programmet er installeret kører du en scanning og når den så finder Cryptolocker, fjerner du denne.

Vær opmærksom på at hvis du fjerner virussen, er der risiko for at dine filer går tabt, fordi så er det ikke sikkert det er muligt at kunne betale løsesummen for at få filerne tilbage. Men som vi allerede har gennemgået, så vil jeg heller ikke anbefale dette. Så jeg vil anbefale at fjerne virussen.

Et andet antivirusprogram der skulle virke er også Hitman Pro eller Malicious Software Removal Tool. Det kan du evt. også prøve at scanne med.

Hvad skal jeg gøre efter virussen er fjernet?

Efter du har fjernet virussen, skal du arbejde for at gendanne filerne. Her er det mest optimale jo en backup, så hvis du tager backup, kan du nu gendanne din backup.

Men hvad hvis du ikke har en backup? Ja, så har du risiko for at du aldrig får dine filer at se igen. Men her er et par ideer til en form for indirekte backup som du kan tjekke:

  • Tjek om du evt. overfører dine filer til skyen, f.eks. Dropbox, Onedrive eller Google Drive. Så vil du kunne tjekke om der ligger en dekrypteret version her.
  • Prøv programmet Recuva der kan gendanne slettede filer. Når Cryptolocker krypterer filer tager den nemlig først en kopi, krypterer den og sletter den oprindelige. Måske kan du med Recuva gendanne de slettede, dekrypterede filer.
  • Hvis du har Microsoft Office 2016 er du rimelig sikker på at du her også gemmer på Onedrive. Her vil du selvfølgelig kunne tjekke om filerne befinder sig her, men hvis de også er krypterede kan du prøve at højreklikke på filerne og vælge “History”. Så får du historiske versioner af filen som evt. kan være den rigtige.
  • Prøv at anvende ShadowExplorer der nogle gange kan finde Shadow kopier af filerne. Dem prøver virussen ganske vist også at fjerne nogle gange, men alligevel kan det nogle gange lykkes.
  • Prøv at se om filerne kan gendannes med Windows’ systemgendannelse.

Hvordan beskytter jeg mig mod Cryptolocker?

Som det ser ud nu, så er eneste måde du kan beskytte dig mod kryptolocker være at tage backup. Fordi med en backup, kan du altid genskabe de filer den inficerer.

Hvis du har en backup, kan du blot fjerne virussen og så herefter genskabe filerne fra backuppen.

Herudover gælder det om altid at bruge sin sunde fornuft. Tænkt over følgende gode råd:

  • Lad være med at tro at der forgæves er leveret en pakke til dig, hvis ikke du har bestilt en pakke.
  • Tjek mailadressen som er afsender og tjek om den stemmer med afsenderens hjemmeside. Hvis f.eks. mailen kommer fra jens@post-nord.net stemmer det jo ikke overens med at Post Nords hjemmeside er postnord.dk. Bagmændende laver ofte falske domæner. Det skal dog også siges at det sagtens kan være en virus selvom den kommer fra postnord.dk. Men tjek om mailadressen er forkert – vær især skeptisk overfor domæner fra .ru (Rusland) – her kommer der mange angreb fra.
  • Når du læser en mail, bør du ALDRIG indlæse billederne fra nogen du ikke kender. Der kan gemme sig virusser i billeder.
  • Vær skeptisk hvis der er en masse stavefejl i mailen eller den er på et andet sprog.
  • Tjek filendelserne på filer der er vedhæftet. Hvis filendelserne er .exe eller .zip skal du være ekstra skeptiske.

Er Dropbox, Google Drive, Onedrive eller iCloud sikker backup?

Mange bruger en cloud tjeneste, som f.eks. Dropbox, Google Drive, Onedrive eller iCloud til at tage backup af ens filer. Disse virker typisk ved at de synkroniserer en bestemt mappe på computeren, som så kopieres op på cloud tjenesten.

Hvis du bliver ramt af en Cryptolocker virus og denne krypterer dine filer i den mappe, vil de også blive krypteret med op på den cloud tjeneste.

Derfor er cloud tjenester der kun synkroniserer ikke tilstrækkelig backup mod en Cryptolocker virus. Kun hvis du har adgang til versionsstyring, så du kan spole tiden tilbage for en fil på cloud tjenesten, er det okay.

Ellers skal du have en form for backup, der f.eks. danner et image af filerne der skal gemmes, og løbende tager en backup og gemmer i et vist interval. Så vil du altid kunne finde en backup fra før du blev ramt af virussen. Det kan du læse mere om hvordan du gør her.

Hvis du har været inficerede med cryptolocker er jeg meget interesseret i at høre om dine erfaringer og hvad du har gjort. Har du nogle spørgsmål er du også velkommen til at skrive en kommentar.

Andreas Andersen

Forfatter og grundlægger af IT-blogger.dk, der har blogget om IT-emner siden 2012

11 thoughts on “Cryptolocker – virus der krypterer dine filer

  1. Der er pt ingen kendte muligheder for at dekryptere filer/maskiner, som er angrebet med de seneste udgaver af cryptolocker. Men filer som blev ramt af den tidl. version i 2013 er det i en del tilfælde muligt at dekryptere. Det skyldes, at forskellige statslige enheder under “Operation Tovar” fik tag i nogle af de servere, der styrede botnettene som virussen gjorde de inficerede maskiner til en del af og som var et led i dekrypteringen efter betaling.
    Læs mere her: https://www.fireeye.com/blog/executive-perspective/2014/08/your-locker-of-information-for-cryptolocker-decryption.html
    Det hjælper jo ikke virksomheder og privatpersoner, der skal bruge deres data nu – men i mange tilfælde, så er det jo også folks billedarkiver mv. der ryger – og de vil med fordel kunne gemme de krypterede filer på et eksterne drev og afvente at venligsindede hackere en dag kan levere et gratis dekrypteringsværktøj.

    1. Hej Michael! Tak for tippet 🙂 Du har helt ret i, at hvis man ikke har en backup, kan det være en ide alligevel at gemme de krypterede filer i håb om at det en dag bliver muligt at dekryptere dem – f.eks. efter en aktion mod nogle af bagmændende.

  2. Vil bare nævne, at det KAN lade sige at dekryptere filer krypteret af crypt0l0cker, hvis man er heldig som vi var. Det lykkedes mig, at dekryptere ca. 250.000 filer for en kunde, ved hjælp fra en (Russisk..!) leverandør af antivirus software.

    I håb om at det kan hjælpe andre, har jeg beskrevet processen på http://www.secondlevel.dk/support/knowledgebase/tips-tricks/postnord-mail-crypt0l0cker-virus-ransomware-sadan-kan-du-maske-dekryptere-dine-filer.html

  3. Hej Andreas,
    Tak for din fine beskrivelse af virusen Cryptolocker. den passer præcis på det jeg har oplevet. Jeg er sluppet nådigt, der er krypteret ca. 1200 filer; men heldigvis ikke nogen der betyder noget idet jeg ved stikprøve kontrol har fundet at mine data er intakte.
    Jeg har kørt en fuld skanning med Windows Essentials, men efter genstart melder programmet: Potentialy unprotectet, fuld skanning needed!
    Jeg har så downloadet Anti-Malware Free og kørt en skanning som fandt forskellige mulige trusler, men Essentials kommer stadig med samme melding. Kan det mon skyldes at jeg ikke har slettet de krypterede filer?
    De mails som indeholdt virusen er slettet.
    Har du en kommentar?

    Hardu en kommentar?

    1. Hej Claus! Det lyder da ikke så godt at du er ramt af Cryptolockeren – det er ikke særlig sjovt 🙁 Men godt hvis du har sluppet billigt. Jeg ville prøve at slette de krypterede filer. De kan ikke dekrypteres alligevel, hvis man ikke har koden. Og måske kan Essentials detektere noget ved dem.

  4. Jeg vil anbefale at starte msconfig.exe op og se om virussen har sat sig selv til at starte op når PCen bootes. Jeg har oplevet PCer der var angrebet, hvor virussen havde deaktiveret de fleste programmer der normalt starter op og så havde den lagt et program i windows mappen, der så blev startet op ved næste genstart. Og det fandt hverken Malwarebytes eller antivirusprogrammet!

  5. Hej Andreas. Jeg har desværre og fået PostNorden virus på min pc, men den har min edb mand fjernet, så alt er ok på pc’en. MEN min tlf. Sony Experia z1 er også inficeret på Dropbox og OneDrive, billederne har endelsen: crypted. Har fjernet og genindstalleret begge programmer uden held, har også brugt antivirusprogrammet: “Malwarebytes Anti-Malware Free” uden held.
    Har du et godt råd.
    På forhånd tak

    1. Hej Erik!
      Du har ret at det er lykkedes i nogle tilfælde at kunne dekrypetere filerne, fordi nogle databaser med koderne er blevet konfiskeret. Her kan man jo være heldig at det er en af de varianter man har. Jeg hører dog en del tilfælde hvor det ikke er tilfældet desværre 🙁 Derfor er den eneste sikre beskyttelse backup. Men tak for linket og tippet, du har helt ret i at det kan være en god ide at tjekke om dekrypteringskoden kan skaffes uden at skulle betale bagmændende.
      Mvh. Andreas

  6. Hej.
    Jeg har det problem at min pc er helt ny og jeg har ikke nogle backup og når jeg prøver at nulstille den kommer den frem med en fejl, så det kan jeg ikke. Hvad gør jeg ? Mvh Kim

Skriv et svar

%d bloggers like this: