Den officiella Cryptolocker(och övrig ransomware)-tråden[/Mod]

Jo! OM de har en riktigt bra beteendeanalys inbyggt.

Hjälp!

Företaget jag jobbar för har råkat ut för Cryptolocker viruset. Hela Dropbox och dess viktiga filer e fuckade, går inte att öppna (alla filer har nu fått nya namn typ: "viktigt-dokument.pdf.encrypted). Bland alla dessa nu skadade dokuemnt ligger inlagda .html filer som det står:


WTF. Vad är det här ens, kan någon smart och vänlig förklara hur jag går tillväga nu /kontaktar??

Har ni ingen backuplösning?

Allmän info om viruset - http://www.bleepingcomputer.com/viru...re-information och https://www.reddit.com/r/techsupport..._cryptolocker/.

Är det "the real deal" så är det enbart betalning som KANSKE, det händer men vanligtvis inte, kan ge er tillbaka allt men är det en fuskvariant så kan det här hjälpa. Kör först - http://www.bleepingcomputer.com/download/aswmbr/ - sedan Step #1 t.o.m #4 samt #7 - https://malwaretips.com/blogs/remove...edirect-virus/. Prova sist - http://www.adlice.com/software/roguekiller/. Alltihopa ifrån felsäk.läge !

Är det den seriösa varianten så kan ni riskera att förlora allt bara genom att försöka att ta bort det.

Situationen är verkligen en moment 22 d.o.

En backuplösning hade räddat situationen.

Säkraste är att återställa från en backup. För det har väl företaget du jobbar på? Synktjänster som ex Dropbox, OneDrive, Google Drive osv... är ingen backupgaranti. Det är en tjänst som synkar dina filer till dina enheter.

Men om det nu inte finns någon backup. Hur mycket är det värt att återskapa detta? Är det värt den kostnaden att betala för att få det tillbaka? Lättaste är att ni kontaktar ett företag som kan detta så kommer de hjälpa er. Även säkert att kunna betala tillbaka för att få filerna dekrypterade.

Gällande Dropbox så kan du återställa versioner av dina filer. Även kan du köpa tilläggstjänsten Utökad versionshistorik. Och även kan du kontakta supporten att återställa allt till ett tidigare datum.

Jag har aldrig stött på en jag inte lurar med enkla medel.

Fann för en tid sedan ett mail som utgav sig att vara från PostNord som innehöll en länk som skulle ta mig hit: http://pastebin.com/H0dhtZE3

Någon som vet om de mail som kommer från "PostNord" sprider CryptoWall 4.0 ?

Lite info - https://www.google.se/search?q=postn...ord+ransomware

Ja, tack jag har googlat jag med på detta.
fann bra info på https://www.cryptowalltracker.org/
men min fråga var om någon vet om det är version 4 av Cryptowall som PostNord-skräpet innehåller?

Fann även denna artikel:
http://www.nsec.se/blogg/spam/en-tit...at-ransomware/
bästa skyddet är inte det bästa AV:t på marknaden. Håll koll på dina backuper säger jag bara för detta ligger i dina användares händer

Jag har inte sett någon annan info när jag Googlat det än att det verkar vara version #2 och hade det varit 4:an så borde det skrivits om det. Just detta virus har ju funnits ett bra tag nu.

En del gratislösningar kanske stoppar 4:an medans en del betal definitivt gör det men billigast och på sätt och vis säkrast är backuplösningar. De är dessutom gratis.

Instämmer helt. Backup verkar vara det bästa.

Det intressanta i din länk är att användaren fick gå igenom flera steg för att smitta sig själv!

1: klicka på länken
2: Skriva in en captcha OCH klicka på länken!

Båda dessa är (nästan) helt naturliga,
(catcha används oftast för att hindra "robotar" från att t.ex. automatiskt registrera konton etc. på olika webbplatser etc. Så varför skall man visa att man inte är en "bot" när man skall hämta hem en fraktsedel??)

Men sedan kommer det mest märkvärdiga:

3: Användaren skall godkänna att fraktsedeln utför SYSTEMFÖRÄNDRINGAR

Ehh... hallå! här borde 99% av de som drabbats denna väg, tänka att: "Varför måste en fraktsedel ändra i systemet"??? Jag kan ju öppna dokument, PDF-filer, filmer och bilder utan att godkänna systemförändringar??? och sedan fortsätta tanken: Varför skall just denna fraktsedel kräva att min dators system ändras???

UAC-prompten dyker ju endast upp när program skall installeras (som i fallet med denna fil)

Redan här ser jag fördelarna med Winguiders installationer, för där loggar du som användare för det 1:a aldrig in med administrativa behörigheter (de har ett separat, dedikerat Admin-konto)

För det andra är UAC-prompten ändrad så att alla konton måste skriva in admin-kontots lösenord för att godkänna systemförändringarna!
(En användare som INTE känner till lösenordet kan därmed inte smitta ner datorn med detta ransomware, bara det är, i denna fråga, ett bättre skydd än alla virusskydd i hela världen tillsammans!)

För det 3:e så i.o.m. att man måste skriva in ett lösenord, så minskar detta risken att någon av ren vana klickar JA! och dessutom ger någon sekunds tid till eftertanke (som tanken att varför skall en fraktsedel kräva den behörighet man använder när man installerar nya programvaror!)

Så JA! Du har rätt!
Det ligger i användarens händer, men en god och stabil säkerhetsgrund (som WinGuiders-installationsmetod ger) kan begränsa den skada en slarvig användare kan ställa till med...

OBS! att detta är inte reklam, utan i praktiken en påminnelse om allt det jag tidigare påpekat i massor av andra trådar..

1: Skapa ett dedicerat ADMIN-konto (t.ex. PCAdmin) i windowsinstallationens slutskede!
2: Använda alltid vanliga användarkonton till vardags och låt UAC fråga om lösenord så man slipper vanan att klicka OK eller JA! innan man uppfattat var det är man OK:ar eller svarar ja på!

När jag tidigare påpekat detta så har många avfärdat detta!
"Det är ju Windows! Då måste jag vara admin!"

Detta tankesätt hör till tidiga PC-stenåldern, och i dag är du admin sålänge du kan ange rätt lösenord i UAC-prompten, trots att du loggat in som vanlig användare!

Tänk på det, alla ni som lidit skada av dessa ransomware... (som inte alls behöver drabba er via mail!) Drabbas ni som redan har en winguider-installerad dator, på annat sätt så exekveras smittan endast med den inloggade användarens behörigheter... och den saknar då behörighet att påverka någon annan användares privata filer! Så deras filer förblir okrypterade!

Men som sagt använd Windows 10´s "filhistorik" Då säkerhetskopieras era filer automatiskt varje gång ni ansluter er externa backuphårddisk! Då förlorar den drabbade färre filer, filmer osv.

Och framför allt! Antivirus ger inte ett optimalt skydd, inte Internet security paket heller!
Därför MÅSTE man använda de säkerhetsfunktioner som finns inbyggda i Windows, men som 8 av 10 privatpersoner omedvetet blockerar, just för att de saknar den kunskap som krävs!
Den kunskapen kan man få på nätet!