!!! VIGTIG INFORMATION !!!!
Alle dine filer er blevet krypteret med RSA-2048 og AES-128 krypteringer
Hvis du pludselig ser denne skærm på din computer, ja så er du blevet ramt af den
seneste ransomware Locky
Hvordan har du fået ransomware?
Det er sket på følgende måde:
Du har modtaget en mail med en besked om at du har modtaget en vedhæftet faktura
Når den vedhæftet Word fil åbnes, så kører filen en macro i baggrunden der henter en .exe fil på en server på nettet.
Denne .exe fil begynder at krypterer filer lokalt, men også på alle netværksdrev og alle backupdrev der er adgang til, herunder Google Drive, Dropbox samt Onedrive mf.
Alle de krypteret filer får endelsen .locky, og dette betyder at de nu er krypteret med en meget stærk kryptering, nemlig RSA-2048 og AES-128
De eneste filer der ikke er krypteret er tekst filen (Locky_recover_instructions.txt), hvori der står ovenstående besked, med instruktioner om hvordan krypteringen ophæves.
Locky krypterer typisk filer af nedenstående type og giver dem endelsen .locky i stedet.
doc, .docm, .log, .pap, .info, .gdoc, .asp, .jsp, .json, .xhtml, .txt, .xls, .xlsx, .xml, .docx, .html, .js, .mdb, .odt, .asc, .conf, .msg, .rtf, .cfg, .cnf, .pdf, .php, .ppt, .pptx, .sql
Denne kryptering kan ikke brydes, med mindre man downloader Tor browseren og går ind på en hjemmeside i Tor browseren, hvor der gives instruktioner om hvordan man kan få sine filer tilbage, nemlig ved at betale for det, i Bitcoins.
Det hjælper ikke at kontakte din lokale IT mand, da krypteringen anses for at være ubrydelig
Så du har nu 2 valg, skal du betale og håbe på at du får dine filer åbnet, eller skal du ikke betale..
Politiet kan som regel ikke hjælpe, og de anbefaler at man ikke betaler, da man dermed støtter de kriminelle, og desuden er man ikke sikker på at få sine filer igen.
Der er dog flere der har betalt, og dermed fået deres filer dekrypteret igen
Men det er op til dig at vurderer hvad du skal gøre i denne situation.
Hvordan kan man undgå at få ransomware?
- Køb et godt antivirus program og opdater din pc jævnlig.
- Lad vær med at åbne mails og filer fra personer du ikke kender.
- Brug en god backup løsning, som ikke synkroniseres automatisk, eller sørg for at have flere uafhængige backup.
Teknisk data:
Nedenstående registreringsnøgler ændres typisk, så ransomware
startes automatisk med Windows.
HKLM/Software/Microsoft/Windows/CurrentVersion/Run/
HKLM/Software/Microsoft/WindowsNT/CurrentVersion/Winlogon/Shell
Hvis der er installeret en sniffer i netværket kan der muligvis søges efter krypteringsnøglen her
Note:
Locky minder meget om den tidligere ransomware Dridex banking malware, hvor brugere også modtog en mail med en vedhæftet fil, brugeren blev her anbefalet at aktiverer brugen af macroer, og blev derved inficeret.