Der er en ny type ransomware, der uforskammet nok har ramt computere i stor stil over de sidste par dage. Mens størstedelen af de inficerede brugere i øjeblikket er i Tyskland, ser det ud til at angrebsoverfladen udvider sig med uhæmmet hastighed. Det er på nuværende tidspunkt uklart, hvilket cyberkriminelt syndikat står bag disse sikkerhedsbrud, men trojanerens virkning afspejler tilsyneladende det værste i digital afpresning. Der sker det, at ofrets personlige filer bliver krypterede, og deres navne bliver til vrøvlede sætninger med 32 tal og bogstaver, efterfulgt af filendelsen .locky. Det ramte operativsystem identificerer disse filer som LOCKY files, der ikke kan åbnes uanset hvilken software, brugeren måtte ty til.
Dette angreb er også kendetegnet ved et antal særlige egenskaber, ud over den forfærdelig filforvrængning. Ransomwaren erstatter den ramte brugers skrivebordstapet med en advarselsmeddelelse, hvis tekst er gengivet i filer med navnet _Locky_recover_instructions.txt. Det står i flertal, fordi det førnævnte TXT dokument findes inden i hver eneste mappe, der indeholder låste filer, der før var ofrets personlige data. Disse er stort set anvisninger for betaling af løsepenge, der forklarer lidt om, hvad der er sket med filerne og giver en gennemgang af, hvordan man kan få filerne gendannet.
Nærmere bestemt står der i meddelelsen:
“!!! Vigtig information !!!! Alle dine filer er blevet krypteret med RSA-2048 og AES-128 kryptering. Dekryptering af dine filer kan kun gøres med en privat nøgle og et dekrypteringsprogram, som ligger på vores hemmelige server”.
Kort sagt betyder dette, at .locky file extension virussen benytter asymmetrisk kryptografi til at kryptere filernes indhold, og den bruger også symmetrisk kryptering til at kode selve filnavnene.
Som resultat kan ofret hverken åbne sine billeder, dokumenter, eller videoer, eller overhovedet afgøre hvilket filnavn svarer til hvilken fil på harddisken. På dette tidspunkt anbefaler afpresserne en ‘patentløsning’, som hævdes at kunne afkode alt mod et gebyr. Den hedder Locky Dekrypteren. For at bruge dette værktøj, skal den ramte person besøge en Tor gateway angivet i _Locky_recover_instructions.txt filen og sende 0,5 BTC til en Bitcoin adresse angivet på siden. Brugen af Onion Router teknologi og et betalingsworkflow, der bruger kryptovaluta, er foranstaltninger, gerningsmændene har taget for at holde sig anonyme og undgå retsforfølgelse. Desværre lykkes det de fleste af disse gerningsmænd at holde sig på fri fod, så de kan blive ved med at opfinde nye typer af ransomware.
Spredning af .locky virussen afhænger af fup via sociale medier. Nærmere bestemt har de fleste mennesker, inden de bliver inficeret, modtaget skadelige mail meddelelser med titlen “ATTN: Invoice J-68522931” (de 8 cifre kan variere). Disse mails foregiver at være fakturaer fra General Mills, men det er de ikke. Det medfølgende Microsoft Word dokument er den genstand, der aktiverer ransomwaren, så snart den intetanende bruger åbner det. Exploit kits, som generelt udgør en mere raffineret smittemåde, er i øjeblikket ikke involveret i .locky kampagnen.
Det er ikke en god ide at betale løsepengene og købe Locky Decrypter programmet. Det er det, de cyberkriminelle insisterer på, men det er helt sikkert ikke i nogen inficeret brugers interesse. Siden denne ransomware muligvis ikke deaktiverer Volume Shadow Copy Service på maskinen, giver det mening at prøve et par smarte teknikker for at få de krypterede data genoprettet.
Dette er en eksklusivt effektiv metode til at tage sig af malware i det hele taget og ransomware trusler i særdeleshed. Brugen af en velrenommeret sikkerhedssuite sikrer gennemgribende detektion af alle viruskomponenter og en komplet fjernelse deraf med et enkelt klik. Bemærk dog, at afinstallering af denne infektion og gendannelsen af dine filer er to forskellige ting, men behovet for at fjerne plagen er ubestrideligt, da den siges at frembringe andre Trojanske heste, så længe den kører.
Det blev før nævnt, at .locky extension malware bruger stærk kryptering til at gøre sin krypto utilgængelig, så der er ingen tryllestav, der genopretter alle de krypterede data på et øjeblik, udover selvfølgelig at indsende den utænkelige løsesum. Der findes dog teknikker, som kan give dig en hånd med at få de vigtige ting tilbage – og lære hvad de er.
Automatisk filgendannelses software
Det er ret interessant at vide, at inficeringen sletter de oprindelige filer i en ukrypteret form. Det er kopierne, der gennemgår ransomwarens krypto behandling. Derefter kan værktøjer som Data Recovery Pro gendanne de slettede filer, selv hvis de blev fjernet på en sikker måde. Denne nødløsning er det helt sikkert værd at prøve, da den har vist sig at være ret effektiv.
Shadow Volume kopier
Denne fremgangsmåde afhænger af Windows native sikkerhedskopiering af filer på computeren, som foretages ved hvert gendannelsespunkt. Der er en stor betingelse for effektiviteten af denne metode: Den virker, hvis Systemgendannelse var slået til før inficeringen. Og hvis der er blevet lavet ændringer i filen siden det seneste gendannelsespunkt, vil disse ikke ses i den gendannede fil version.
Properties dialogen for forskellige filer har en fane, der hedder Tidligere versioner. Det er her de sikkerhedskopierede versioner kan ses og genoprettes fra. Så højre-klik på en fil, vælg Egenskaber, klik på ovenstående fane og vælg Kopier eller Gendan, afhængigt af, hvor du gerne vil genoprette.
Ovenstående proces kan gøres automatisk med et værktøj, der kaldes ShadowExplorer. Den gør stort set nøjagtigt det samme (henter Shadow Volume kopier), men på en mere praktisk måde. Hent og installer derefter programmet, kør det og gennemse filer og mapper, hvor du ønsker at genoprette tidligere versioner. For at få det ordnet, skal du højre-klikke på forskellige filer og vælg Export funktionen.
Sikkerhedskopiering
Af alle de muligheder, der ikke har noget med løsesummen at gøre, er denne den mest optimale. Hvis du har sikkerhedskopieret dine oplysninger over på en ekstern server, før ransomwaren ramte din pc, er gendannelsen af filer, der krypteres af denne ransomware, så let som at logge ind på den pågældende brugerflade, vælge de rigtige filer og gå i gang med selve gendannelsesprocessen. Men før du gør det, skal du sørge for fuldstændig at fjerne ransomwaren fra din computer.
I tilfælde af, at du vælger at holde dig til den manuelle rensningsteknik, kan der være nogle stumper af ransomwaren, der er blevet efterladt som obfuskerede objekter i operativsystemet eller poster i registreringsdatabasen. For at sikre, at der ikke er ondsindede komponenter tilbage af truslen, skal du få din computer scannet med en pålidelig malware sikkerhedssuite.