Gå til innhold

Crypto-virus - ekstremt viktig med gode backup rutiner


Anbefalte innlegg

Spennende. Dette er jo "svakt" av cryptovirus dersom dette er jevnt over trenden til de fleste slike programmer.

 

Regner med de ikke skriver over filene fordi det krever mer ressurser og tid.

 

Men da vet jeg jo at dersom en maskin blir infisert med et slikt løsepengevirus og maskinen skrus av raskest mulig etter det er oppdaget så er sjansene store for at filene kan reddes ved bruk av en "ren" maskin og et recovery-program.

Lenke til kommentar
Videoannonse
Annonse

Spennende. Dette er jo "svakt" av cryptovirus dersom dette er jevnt over trenden til de fleste slike programmer.

 

Regner med de ikke skriver over filene fordi det krever mer ressurser og tid.

 

Skal teste noen flere utgaver av slike crypto virus for å se om det er noe forskjell. Men jeg tror nok dette er en svakhet ja. Som du sier ville det tatt veldig lang tid å slette filene sikkert. Hele poenget med viruset er jo at alt av filer blir kryptert så raskt som mulig før man oppdager hva som skjer.

 

Uansett er dette kjekt å vite, og jeg skal forske mer på det fremover. Står fortsatt på at backup er beste løsning, men kjekt å vite at man kan bruke recovery programmer til å få tilbake i alle fall mesteparten.

Lenke til kommentar

Spennende. Dette er jo "svakt" av cryptovirus dersom dette er jevnt over trenden til de fleste slike programmer.

 

Dårlige nyheter egentlig, det kommer veldig an på viruset. Forrige test var gjort med CryptoShield med deres nyeste angrep fra 28.februar i år.

 

Testet så Cerber cryptoviruset fra deres siste angrep 22.februar, og denne gangen hadde jeg kopiert inn dokumentmappen min på 4.500 filer ca 10GB, og viruset brukte bare 4 minutter på jobben, det på en snurredisk.

Og dette viruset gjør tydeligvis en sikker sletting, for Recuva fant absolutt ingen filer etter en Deep Scan.

 

Så muligheten for recovery kommer da helt an på hvilket crypto-virus du faktisk får. Og man kan jo banne på at hvis man først får noe slikt, så er det ikke det letteste ;)

Lenke til kommentar

Kan du komprimere en "stor og en liten" kryptert fil?

Hva er størrelsen på filene før og etter kryptering samt etter komprimering?

Hvor mange prosent sier komprimeringsprogrammet at dataene er komprimert?

 

Da har jeg prøvd å komprimere en liten fil og en større fil, og når man komprimerer de krypterte filene med WinRAR, uavhengig av hva filen var før kryptering, så blir resultatet at den ikke komprimerer noen som helst. En kryptert fil blir nøyaktig like stor komprimert som ukomprimert.

 

crypto022.jpg

Lenke til kommentar

En kryptert fil blir nøyaktig like stor komprimert som ukomprimert.

Det samsvarer med at en kryptert fil ikke kan komprimeres. En allerede komprimert fil er heller ikke særlig komprimerbar, derfor spurte jeg også etter opprinnelig filstørrelse (filtype hadde også vært interessant, helst noe komprimerbart), men jeg ser nå at det er vanskelig å identifisere fil før og etter kryptering.

Lenke til kommentar

 

Det samsvarer med at en kryptert fil ikke kan komprimeres.

 

 

Det er jo ingen tvil om at disse filene blir kryptert. De fleste av disse virusene linker jo til og med til Wikipedia siden om virustypen og/eller krypteringen. Foreløpig er det umulig å knekke krypteringen, da den er basert på RSA-2048.

 

Kan jeg spørre om hva du var ute etter å finne ut rundt det med komprimering og krypterte filer? Kan selvsagt teste noe mer, men ser ikke helt hva du er ute etter.

Lenke til kommentar

4 minutter høres ut som veldig kort tid på å RSA-2048-kryptere/sikkerslette 4500 filer/totalt 10GB på en snurredisk.

 

Kryptovirus har det med å skryte på seg svært sterk kryptering. Jeg tror ikke den siste du testet er noe unntak. Det er nok selve dekrypteringsnøkkelen som er kryptert med RSA-2048 og ikke selve filen. Ikke det at det hjelper noe særlig. Brute forcing vil ikke være brukbart uansett.

 

Testen med komprimering kunne gi en indikasjon på om hele eller deler av filen er kryptert, men det forutsetter at den ukrypterte filen i utgangspunktet var komprimerbar.

Lenke til kommentar

4 minutter høres ut som veldig kort tid på å RSA-2048-kryptere/sikkerslette 4500 filer/totalt 10GB på en snurredisk.

 

Kryptovirus har det med å skryte på seg svært sterk kryptering. Jeg tror ikke den siste du testet er noe unntak. Det er nok selve dekrypteringsnøkkelen som er kryptert med RSA-2048 og ikke selve filen. Ikke det at det hjelper noe særlig. Brute forcing vil ikke være brukbart uansett.

 

Testen med komprimering kunne gi en indikasjon på om hele eller deler av filen er kryptert, men det forutsetter at den ukrypterte filen i utgangspunktet var komprimerbar.

 

Ja vet det var raskt, men det er ingen tvil, ingen i verden har foreløpig greid å knekke krypteringen til slike crypto-virus. Vil nok tro at nokså mange jobber med saken, da dette er et nokså stort problem, som rammer både privatpersoner og firmaer.

 

Testet en ny runde med komprimering. Laget et tekst dokument på 660KB, det ble komprimert til 70KB med standard innstillinger i WinRAR.

Lot viruset så gjøre jobben sin, og siden den eneste filen på 660KB var tekstdokumentet, så var det lett å finne filen.

I kryptert utgave, greier ikke WinRAR å komprimere noe som helst. Filen er fortsatt på 660KB

 

Sier det deg noe? Er redd for at krypteringen er ganske så effektiv.

 

Legger ved en video der jeg lar viruset herje med hele arkivet mitt, så kan du se hvor raskt det er i "real life", dette viruset sletter også filene sikkert. Har nå kjørt både Recuva og R-Studio Recovery (som jeg har brukt mange ganger før og funnet filer på disker flere år tilbake i tid, og reddet ut filer fra sletta systemer, virus herjete systemer (dog ikke ransomware) osv) men ingen av programmene finner tilbake de slettete filene.

 

Videoen er litt over 5 minutter lang totalt

 

Lenke til kommentar

Sier det deg noe?

Ikke noe annet enn at hele filen er kryptert, noe som er forventet siden filen er liten.

 

I videoen ser det ut som at det tar 200 sekunder for viruset å kryptere filene. Det betyr at 10GB skal leses og skrives i en hastighet på totalt 100MB/s i snitt. Det ser ut som hastigheten ligger en del lavere enn dette. (Tenker jeg riktig?)

 

Det må bety at større filer blir delevis kryptert og at det sannsynligvis ikke foregår noen sletting av filer, bare (delevis) overskriving. Dette er slik jeg har forstått ikke uvanlig og Recuva og co vil derfor ikke finne noenting.

Lenke til kommentar

 

Ikke noe annet enn at hele filen er kryptert, noe som er forventet siden filen er liten.

 

I videoen ser det ut som at det tar 200 sekunder for viruset å kryptere filene. Det betyr at 10GB skal leses og skrives i en hastighet på totalt 100MB/s i snitt. Det ser ut som hastigheten ligger en del lavere enn dette. (Tenker jeg riktig?)

 

Det må bety at større filer blir delevis kryptert og at det sannsynligvis ikke foregår noen sletting av filer, bare (delevis) overskriving. Dette er slik jeg har forstått ikke uvanlig og Recuva og co vil derfor ikke finne noenting.

 

 

Som du ser i videoen så er disk aktiviteten ca 70 MB/s.

 

Ellers har jeg nå testet Advanced Encryption Package 2017 på samme arkivet. Det programmet både krypterer enkelt filer og sletter filene sikkert etter de er kryptert. Det programmet bruker over 15 minutter på samme jobb med AES 256 algoritmen.

Endret av myhken
Lenke til kommentar

Tips:

 

Hvis man har Asus-router, så er det mulig å sette ekstern USB-disk på routeren slik at den blir tilgjengelig for hele nettverket. Da kan man sette opp rettigheter som kan varieres mappe til mappe på disken. Dette kombinert med at det også er mulig å koble seg opp til disken med FTP, gjør at man er sikret mot cryptovirus.

Lenke til kommentar

 

Har du prøvd å forhindre .exe fra å kjøre inni %appdata% mapper?

 

http://www.fatdex.net/php/2014/06/01/disable-exes-from-running-inside-any-user-appdata-directory-gpo/

 

 

Nei, har ikke hatt noe fokus på hvordan hindre viruset i å kjøre. Mer opptatt av hvordan viruset virker og konsekvensene av viruset.

Poenget er jo at det skal en del til for at viruset faktisk skal kjøre, om du har et oppdatert virusprogram og bruker sunn fornuft.

Likevel kan det meste overstyres, og det er jo trolig i kombinasjon med utdatert virusprogram og at man trykker OK ukritisk.

 

Til nå har jeg testet på Windows Server 2012 R2 - som ikke har innebygde sikkerhetsprogrammer og på Windows 10.

Skal sies at kjører man Windows 10, så skal man overstyre ganske så mye for at viruset i det hele tatt kan bli kjørt. Dog, nå har jeg testet virus som er kjent. Men uavhengig av om det er kjent eller ikke, så kicker jo SmartScreen inn, og den må du virkelig overstyre for å kunne kjøre viruset.

 

Skal kjøre noen tester på Windows 7, for å se om det er lettere å få kjørt viruset der.

Lenke til kommentar

Ellers har jeg nå testet Advanced Encryption Package 2017 på samme arkivet. Det programmet både krypterer enkelt filer og sletter filene sikkert etter de er kryptert. Det programmet bruker over 15 minutter på samme jobb med AES 256 algoritmen.

 

15 minutter rimer bra. :)

 

Skal kjøre noen tester på Windows 7, for å se om det er lettere å få kjørt viruset der.

Det å dobbelklikke på programmet som krypterer filene svarer sannsynligvis ikke til hvordan programmet kjøres på en datamaskin som angripes. Sannsynligvis distribueres et exploit kit som skaffer seg administrasjonrettigheter, skrur av UAC, smartscreen, anti-virus osv, laster ned krypteringsprogrammet og kjører det, alt uten at brukeren merker noe.

Lenke til kommentar
Gjest Slettet-t8fn5F

 

 

Har du prøvd å forhindre .exe fra å kjøre inni %appdata% mapper?

 

http://www.fatdex.net/php/2014/06/01/disable-exes-from-running-inside-any-user-appdata-directory-gpo/

 

 

Nei, har ikke hatt noe fokus på hvordan hindre viruset i å kjøre. Mer opptatt av hvordan viruset virker og konsekvensene av viruset.

Poenget er jo at det skal en del til for at viruset faktisk skal kjøre, om du har et oppdatert virusprogram og bruker sunn fornuft.

Likevel kan det meste overstyres, og det er jo trolig i kombinasjon med utdatert virusprogram og at man trykker OK ukritisk.

 

Til nå har jeg testet på Windows Server 2012 R2 - som ikke har innebygde sikkerhetsprogrammer og på Windows 10.

Skal sies at kjører man Windows 10, så skal man overstyre ganske så mye for at viruset i det hele tatt kan bli kjørt. Dog, nå har jeg testet virus som er kjent. Men uavhengig av om det er kjent eller ikke, så kicker jo SmartScreen inn, og den må du virkelig overstyre for å kunne kjøre viruset.

 

Skal kjøre noen tester på Windows 7, for å se om det er lettere å få kjørt viruset der.

 

Synes du skal finne cryptolocker som kjører kun ved at brukeren klikker på en lenke.

Det er det de hevder har skjedd...

Lenke til kommentar

 

Synes du skal finne cryptolocker som kjører kun ved at brukeren klikker på en lenke.

Det er det de hevder har skjedd...

 

 

Men er det noe scenario du vil jeg skal teste? Virusene jeg tester kommer jo alle fra slike steder, enten som epost vedlegg eller en link som laster ned programvaren. Jeg bare hopper over et steg, og kjører programvaren (altså viruset) direkte.

Det er jo ingen tvil om at disse virusene kommer seg inn på pcer, resultatet er jo det samme, du mister alle filer.

 

Det som gjør det til et problem å teste nøyaktig hva som skjer når viruset er ute i det "fri" er jo

1. Ikke f. om jeg sender viruset til noen epost tjeneste jeg bruker

2. Websidene som viruset har brukt, følger med i disse viruspakkene jeg har tilgang på, men selve nettstedene som ble brukt akkurat i de aktuelle angrepene, er jo sperret nå som viruset er kjent. og/eller selve viruset er fjernet fra siden.

 

Men her kan du se bilder av hva som skjer ved et slik nettsted angrep:

 

crypto23.jpg

 

crypto24.jpg

 

crypto25.jpg

 

crypto26.jpg

Lenke til kommentar
Gjest Slettet-t8fn5F

Jeg har en mistanke om at de som hevder at maskinen begynner å gjøre dette UTEN at de har klikket ok eller ja på noe som helst, lyver.

 

Du bør også bruke IE eller Edge, da det er den browseren disse noldusene bruker.

 

Angrepet har så vidt jeg forstått vært pdf-filer som har som vedlegg på mailer og som har fått klienten (outlook) til å laste ned cryptoviruset (virus er feil ord å bruke IMO). Brukere har nevnt at det bare var å klikke på linken, så gikk alt av seg selv.

 

 

Forstår jeg dine poster rett, når du mener du har virusene og tester hva de gjør, mens det jeg lurer på er hvordan brukerne får disse virusene???

 

Hvordan man berger en slikt kryptert fil er vel opplest og vedtatt som en praktisk umulighet, men teoretisk mulig med brute force.

 

En annen ting jeg har erfart med berging av krypterte filer, er at det er ganske lett å fjerne programmet og man kan gjenopprette filer fra shadow copy (hvis man har det aktivert). Shadow copy er hvis nok borte fra Windows 10 og erstattet av filelogger.

Om man ikke er helt på nett med shadow copy, så kan man bruke Nirsoft sin ShadowCopyView for å se om der er noen filer å berge. Man bør ikke slette de orginale krypterte filene, da shadow copy er knyttet opp til de.

 

http://www.nirsoft.net/utils/shadow_copy_view.html

Endret av Slettet-t8fn5F
Lenke til kommentar

Men er det noe scenario du vil jeg skal teste? Virusene jeg tester kommer jo alle fra slike steder, enten som epost vedlegg eller en link som laster ned programvaren. Jeg bare hopper over et steg, og kjører programvaren (altså viruset) direkte.

Det er jo ingen tvil om at disse virusene kommer seg inn på pcer, resultatet er jo det samme, du mister alle filer.

 

Det som gjør det til et problem å teste nøyaktig hva som skjer når viruset er ute i det "fri" er jo

1. Ikke f. om jeg sender viruset til noen epost tjeneste jeg bruker

2. Websidene som viruset har brukt, følger med i disse viruspakkene jeg har tilgang på, men selve nettstedene som ble brukt akkurat i de aktuelle angrepene, er jo sperret nå som viruset er kjent. og/eller selve viruset er fjernet fra siden.

Om du har en maskin som kan fungere som e-postserver og en annen som mottaker, så kan vel dette testes om det lar seg gjøre å lage en lokal epost-tjeneste over et lite, lukket nettverk (to maskiner og en krysskabel). Spørs om det er verdt bryet.
Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
×
×
  • Opprett ny...