18
Søn, Aug

Locky Virus

3 år 5 måneder siden - 3 år 5 måneder siden #1 af EagleDK
Locky Virus blev oprettet af EagleDK
I forbindelse med mit arbejde, fik en af vores kunder inficeret deres filer med en ny type virus af typen ransomware tirsdag, der krypter filerne på serverer og pcer.

Her er mine erfaringer, med hvad den gør og hvad der kan gøres.

Som mange af de andre ransomeware viruser kommer denne også med en mail og kan kendes på at den har et emne og vedhæftning tilsvarende dette:

Subject: ATTN: Invoice J-11256978
Attachment: invoice_J-11256978.docm

Er den først aktiveret på ens computer er det første ,man skal gøre er at fjerne netværksforbindelsen fra pcen og lukke den ned.
Har man først lokaliseret pcen, og den er slukket ned, hvorfra udbrudet er sket, sker der ikke mere skade på filer på hverken andre pcer eller serverne, så det store oprydningsarbejde med at restore, og evt. ominstallerer pcer der har fået krypteret filer skal begynde.

Aktiveret begynder virusen at krypter ens filer, og til forskel til de tidligere ransomeware jeg er stødt ind i, er den anderledes på to punkter.
  1. Den krypter filer og derefter omdøber den filen til et navn tilsvarende dette: F67091F1D24A922B1A7FC27E19A9D9BC.locky
    Da den omdøber filen, kan det være svært at finde frem til hvilken fil den har krypteret og det eneste man kan gå efter er størrelsen på filen, samt hvem der ejer den, for derefter at sammenligne med en evt. backup
  2. Den angriber andre pcer, og forsøger at logge ind på andre pcer i netværket, og krypter filerne der.



Specielt det det sidste punkt er væsentligt, for er pcerne i netværket som de fleste i danmark desværre er, sat op så domain user er lokal administrator på pcen, er ens kollegaere også udsatte, hvor det tidligere kun var på ens egen pc og så de netværksdrev man havde adgang til.
Og da der ikke er mange pcer der får taget reglmæssig backup vil der her være tab af filer til følge. Selv online løsninger som Dropbox og onedrive er i fare.

Sidder man som administrator, og har svært ved at finde den bruger som har sat det hele i værk, kan man lede efter filer med dette navn:

_Locky_recover_instructions.txt

Højreklikke på filen og vælge egenskaber for så at finde ejeren af den, under sikkerhed -> advanceret -> ejer.

Det frra råpdes på det kraftigste at begynde at overveje at betale sig ud af at få sine filer igen, da man ikke kan være sikker på at selv om der betales gives adgang til alle eller bare dele af filerne.

Har man først lokaliseret pcen, og den er slukket ned, hvorfra udbrudet er sket, sker der ikke mere skade på filer på hverken andre pcer eller serverne, så det store oprydningsarbejde med at restore, og evt. ominstallerer pcer der har fået krypteret filer skal begynde.

Please Log på or Opret en konto to join the conversation.

Leveret af Kunena Forum