Fikk løsepengevirus på pc'n, noen som har peiling og kan hjelpe meg?

[AnonymBruker]

Jeg dreit meg loddrett ut i kveld, jeg har ingen andre å skylde på enn meg selv og selv om jeg vanligvis er veldig nøye med sikkerheten så glapp det litt for meg i kveld og så plutselig var alle filene mine overskrevet og fikk noen rare filendelser og ble låst.

Siden det ikke var så mange filer og ikke noen viktige på hoveddisken så kjørte jeg bare en formatering og installerte Windows på nytt. 

Men. Jeg var koblet til onedrive, så alle bildene mine der har også fått de rare filendelsene. Jeg har logget på på nettet og ser at alle bildene er der. Hva kan jeg gjøre med dem? Kan jeg få microsoft til å hjelpe meg med å bare fjerne filendelsene og så er alt i orden akkurat der?

Og så er det den eksterne harddisken min. Det er der jeg har tatt vare på de aller fleste tingene mine - dokumenter og sånn. Jeg koblet den fra da jeg skjønte hva som hadde skjedd, men da er det vel for seint der også? Hva kan jeg gjøre med det? Er det noen mulighet å få reddet noe der eller må jeg bare rett og slett bite i det sure eplet og anse alt der for tapt også? 

Jeg har da som sagt formatert pc'n. Er det nok? Er ting borte da? Jeg har ikke fått opp noen mistenkelige bokser eller noe som indikerer at jeg er infisert av noe, men jeg vet ikke om det betyr at jeg er trygg?

Jeg har endret passord på nettverket og pc'n jeg bruker er koblet til med kabel. 

 

Anonymkode: 36db6...6a0

[Vox_populi]

Det er derfor du skal ha backup, backup som ikke normalt er koblet til datamaskina. F.eks. en ekstern harddisk som helst oppbevares i et annet hus (i tilfelle brann). Og du må ha program som beskytter mot utpressingsvirus.

Etter formatering er pcen sikker nok.
De rare filendingene angir at filene er kryptert. Du kan skrive inn nye endinger, men hjelper ikke: filene er fremdeles kryptert. For all del, bare prøv, men er alle filene i skya og på harddisken krypterte, så er de tapt.

[AnonymBruker]

Takk for svar @Vox_populi 

Ja, jeg har lært på den veldig smertefulle måten at det var dumt å ha den eksterne harddisken koblet til - og jeg har også kuttet bådet mellom pc'n og onedrive.

Jeg har windows defender som beskytter mot løsepengevirus, men det hjelper ikke nå når skaden allerede har skjedd... 

Har sett at filer og bilder ikke funker på onedrive selv om jeg ser alt normalt på selve nettsiden til onedrive. Håper onedrive kan hjelpe meg med gjenoppretting av de. 

Det går ikke an å finne ut nå om det finnes en dekrypteringsnøkkel? Siden jeg formaterte pc'n og ikke husker hva det sto i den boksen som dukket opp på skjermen?

Jeg har scannet flere ganger og pc'n er fri for virus nå, men jeg har fortsatt ikke turt å koble til den eksterne harddisken. 

Anonymkode: 36db6...6a0

[Vox_populi]

30 minutter siden, AnonymBruker skrev:

Det går ikke an å finne ut nå om det finnes en dekrypteringsnøkkel? Siden jeg formaterte pc'n og ikke husker hva det sto i den boksen som dukket opp på skjermen?

Nei, siden du ikke lenger har adressa som du skal sende penger til, er det ikke mulig å få tak i nøkkelen. 
Jeg har aldri hørt at Onedrive lagrer gamle versjoner av filene. Windows gjør det i visse tilfeller, men du har jo fjernet muligheten til å undersøke det. 
Med tanke på framtida: Last ned Acronis ransomware protection, det skal være det beste gratisprogrammet!

Endret 19. desember 2018 av Vox_populi

[AnonymBruker]

38 minutter siden, AnonymBruker skrev:

Takk for svar @Vox_populi 

Ja, jeg har lært på den veldig smertefulle måten at det var dumt å ha den eksterne harddisken koblet til - og jeg har også kuttet bådet mellom pc'n og onedrive.

Jeg har windows defender som beskytter mot løsepengevirus, men det hjelper ikke nå når skaden allerede har skjedd... 

Har sett at filer og bilder ikke funker på onedrive selv om jeg ser alt normalt på selve nettsiden til onedrive. Håper onedrive kan hjelpe meg med gjenoppretting av de. 

Det går ikke an å finne ut nå om det finnes en dekrypteringsnøkkel? Siden jeg formaterte pc'n og ikke husker hva det sto i den boksen som dukket opp på skjermen?

Jeg har scannet flere ganger og pc'n er fri for virus nå, men jeg har fortsatt ikke turt å koble til den eksterne harddisken. 

Anonymkode: 36db6...6a0

Det er dessverre mange antivirusprogram som ikke er gode nok mot ransomware spesifikt, dvs. det "glipper" mellom fingrene. Hvorvidt filene på OneDrive er ødelagt kommer an på hva slags ransomware du fikk, og hvorvidt de ble kryptert eller ikke. Sannsynligvis ble de det siden de fleste ransomware skadeprogrammer også bruker kryptering, men det er jo selvfølgelig lov å forsøke å endre endelsen til noe du vet var et bilde til f. eks. .jpg eller .png avhengig av hva slags bildetype det var. Enten fungerer det eller så fungerer det ikke, men mest sannsynlig ikke dessverre siden man må regne med at det ble kryptert. 

Ser ut til at onedrive har et arkiv for tidligere versjoner av filer. Har aldri prøvd å gjenopprette tidligere versjon selv, så jeg vet ikke hvor langt tilbake i tid det går, men du kan jo gjøre et forsøk å følge denne guiden:

https://support.office.com/en-us/article/restore-a-previous-version-of-a-file-in-onedrive-159cad6d-d76e-4981-88ef-de6e96c93893

Dekrypteringsnøkkelen er i praksis umulig å finne, da det krever så my regnekraft for pc'en å "prøve" seg frem til hva som er riktig dekrypteringsnøkkel. Det er den man angivelig får hvis man betaler svindlerne, men det anbefales aldri å gjøre dette, ettersom man jo aldri har noen garanti for at svindlerne faktisk gir deg den hvis man betaler. 

Når det gjelder den eksterne harddisken så er den muligens inntakt. Det kommer an på hvor lang tid den var tilkoblet etter at du oppdaget at noe var galt på pc'en, om du hadde automatisk synkronisering også mot ekstern harddisk, om varianten av ransomware du fikk i det hele tatt påvirket eksterne enheter som eksterne harddiske samt noen andre tekniske faktorer. Uansett om skade har skjedd der også eller ikke, så kan ikke mer skade oppstå så lenge den er avskrudd. Uten strøm skjer ingenting. 

Men på et eller annet tidspunkt må man jo nødvendigvis koble den til en maskin for å sjekke. Da ville jeg for sikkerhet koblet den til noe annet enn Windows, f. eks. en Mac eller Linux maskin. Grunnen til det er at dersom det fortsatt skulle være er et "kjørbart" ransomware program på den eksterne harddisken, så er det som regel skrevet for Windows og i mindre grad Mac og Linux. Man vil mest sannsynlig derfor unngå å aktivere ransomwaren som evt. ligger der når man bruker Mac'en sin. Og på mac kan man lese Windows harddisker og kopiere det viktigste innholdet over på en annen disk . Når du kopierer anbefaler jeg ikke å ta "alt", gå gjennom mappe for mappe og se hva som ligger der før du kopierer det videre. Dette for å unngå å evt. overføre et eventuelt liggende ransomware program på en ny ekstern harddisk. Ser du noen rare mappenavn du ikke har laget selv, filnavn, .exe filer og slikt du ikke kjenner igjen, ikke kopier det til en ny disk. 

 

Anonymkode: 3796e...a9c

[AnonymBruker]

Og en ting til: Husk å si fra til folk som evt. har kopiert bilder eller andre ting fra deg slik at man unngår at ting blir spredd videre. 

Anonymkode: 3796e...a9c

[AnonymBruker]

Takk for svar, jeg driver og gjenoppretter onedrive på nettet nå og har fjernet linken mellom onedrive på nettet og pc'n, så etterpå vil jeg kanskje få rene filer tilbake på pc'n.

13 minutter siden, AnonymBruker skrev:

Når det gjelder den eksterne harddisken så er den muligens inntakt. Det kommer an på hvor lang tid den var tilkoblet etter at du oppdaget at noe var galt på pc'en, om du hadde automatisk synkronisering også mot ekstern harddisk, om varianten av ransomware du fikk i det hele tatt påvirket eksterne enheter som eksterne harddiske samt noen andre tekniske faktorer. Uansett om skade har skjedd der også eller ikke, så kan ikke mer skade oppstå så lenge den er avskrudd. Uten strøm skjer ingenting. 

Jeg håper du har rett, for jeg hadde ikke noen synkronisering mot den eksterne. Det tok noen minutter fra angrepet til jeg tok ut kontakta av den eksterne, kanskje 3-4 minutter eller noe sånn. Vanskelig å huske tiden det tok. 

Og heldigvis har jeg en mac som det ikke er så farlig med uansett, så da skal jeg koble inn den eksterne der for å se om alt er greit, tusen takk for tips.

Jeg lastet ned og kjørte Malvarebytes Anti-Rootkit som ikke fant noe galt. Så da gjenstår det bare å se om ting blir reparert i Onedrive og om det er intakt på den eksterne, for da kan det se ut som det gikk bra denne gangen. 

46 minutter siden, Vox_populi skrev:

Acronis ransomware protection

Skal se på dette. Jeg tror ikke dette er nødvendig nå, jeg har lært leksa mi for å si det sånn. At jeg ble angrepet i går var ikke noen andre enn min skyld og Defender hadde gjort jobben sin hvis jeg hadde latt det, det var jeg som slo det av rett og slett... får helt vondt i magen av å tenke på hvor dum jeg var i går. 

Anonymkode: 36db6...6a0

[AnonymBruker]

12 minutter siden, AnonymBruker skrev:

Takk for svar, jeg driver og gjenoppretter onedrive på nettet nå og har fjernet linken mellom onedrive på nettet og pc'n, så etterpå vil jeg kanskje få rene filer tilbake på pc'n.

Jeg håper du har rett, for jeg hadde ikke noen synkronisering mot den eksterne. Det tok noen minutter fra angrepet til jeg tok ut kontakta av den eksterne, kanskje 3-4 minutter eller noe sånn. Vanskelig å huske tiden det tok. 

Og heldigvis har jeg en mac som det ikke er så farlig med uansett, så da skal jeg koble inn den eksterne der for å se om alt er greit, tusen takk for tips.

Jeg lastet ned og kjørte Malvarebytes Anti-Rootkit som ikke fant noe galt. Så da gjenstår det bare å se om ting blir reparert i Onedrive og om det er intakt på den eksterne, for da kan det se ut som det gikk bra denne gangen. 

Skal se på dette. Jeg tror ikke dette er nødvendig nå, jeg har lært leksa mi for å si det sånn. At jeg ble angrepet i går var ikke noen andre enn min skyld og Defender hadde gjort jobben sin hvis jeg hadde latt det, det var jeg som slo det av rett og slett... får helt vondt i magen av å tenke på hvor dum jeg var i går. 

Anonymkode: 36db6...6a0

Høres bra ut, gi gjerne en tilbakemelding på hvor godt gjenoppretting av gamle versjoner av ting fungerer på OneDrive. Har det jo selv også, men har aldri hatt behov for å gjenoprette....

Det er ikke så lang tid. Med mindre du hadde veldig lite der, så har ikke Ransomwareprogrammet fått så lang tid til å gjøre stor skade hvertfall. Mulig du har mistet noe, men vil bli overrasket hvis alt er kryptert. 

Mac/Linux er alltid fint når man skal kopiere innhold fra disker som kan ha vært utsatt for Windowstrusler. I noen tilfeller kan man komme over trusler som også affekterer mac/linux men det er efaringsmessig mer sjelden. 

Malwarebytes anti rootkit sjekker bare for rootkit, last også ned malwarebytes (generell versjon), dette er en av de bedre antimalwareprogrammene der ute. Har hatt mye hell med det programmet på opprdyning av diverse familiepc'er o.l.  

Anonymkode: 3796e...a9c

[AnonymBruker]

Onedrive ble ferdig med gjenoppretting og nå er alle filendingene borte og bildene ser bra ut - så jeg tror det funket. 

Nå driver jeg og laster bildene ned til pc'n for å se om de fortsatt ser bra ut da - og hvis de gjør det så er jeg rimelig sikker på at det har gått fint med bildene i Onedrive. 

Og nå skal jeg koble til den eksterne i mac'en... *spent*

Anonymkode: 36db6...6a0

[AnonymBruker]

Ok... 

Det ser ut som filene i den eksterne er intakt som de skal, men det ligger et tekstdokument som heter BPPQNGHARN-DECRYPT.txt der. 

Jeg vet ikke hvordan man sletter ting på MAC, jeg trodde det bare var å høyreklikke og velge slett, men det er ikke så enkelt på MAC? Jeg prøvde å dra filen ned i papirkurven, men det står at den ikke kan legges der fordi filen ikke kan slettes. 

Anonymkode: 36db6...6a0

[Vox_populi]

Spiller ingen rolle om den ikke kan slettes, ei tekstfil er helt ufarlig.

[AnonymBruker]

Takk igjen.

Det er noen filer som har blitt ødelagt av denne filendelsen, men mye er fortsatt intakt. Siden jeg har bare en usb-inngang på mac'en så må jeg flytte alt på skrivebordet først og så rense harddisken og legge det tilbake etterpå.

Men. Hvordan markerer jeg mange filer samtidig på Mac'en? Det funker ikke å markere første bildet og så holde shift-tasten nede og markere det siste - det blir bare markert de to bildene, på samme måte som jeg ville holdt ctrl-tasten på pc'n. 

Anonymkode: 36db6...6a0

[AnonymBruker]

Jeg sjekket den eksterne harddisken på mac'en min og der var tekstfilen med instruksjoner hva jeg måtte gjøre, og øverst står det at det er GANDCRAB V5.0.4 som ble installert på pc¨'n min.

Nå har jeg formatert og scannet pc'n flere ganger med bl.a defender og det er ingenting som kommer opp nå, så da er jeg vel trygg? Og jeg trenger ikke gjøre noe mer med dette?

Jeg ble hacket på Facebook også, noen kjøpte annonse i mitt navn og jeg aner ingenting om hva slags annonse det var engang, men sendte melding til FB straks jeg la merke til det og de fikk stoppet det i dag og jeg har byttet passord så da håper jeg det er over også.

Er det noe mer jeg bør tenke på å sjekke? 

Jeg har byttet passord på Facebook, nettverket, microsoft, onedrive, outlook, gmail. 

Anonymkode: 36db6...6a0

[AnonymBruker]

Slike programmer pleier å begynne krypteringen med en gang de blir startet, så hvis ikke du har merket noe til nå er det sannsynligvis borte. Regner med du husker å ta backup og ikke ha den koblet til til vanlig. Det viktigste bør ligge på to eksterne lagringsenheter slik at du bare må ha en av dem koblet til av gangen.

Anonymkode: eacca...d8b