Ramt af ransomware? Så lad være med at slette filen, der kræver løsepenge

2 kommentarer.  Hop til debatten
Ramt af ransomware? Så lad være med at slette filen, der kræver løsepenge
Illustration: Screenshot.
Det er vigtigt ikke bare at slette ransomware, hvis der skal være håb for at kunne gendanne data.
Reportage15. marts 2018 kl. 05:11
errorÆldre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

En spontan reaktion ovenpå et ransomware-angreb kan måske være at slette alle spor efter malware-angrebet, geninstallere og så komme videre. Men det er ikke en god idé, før der er taget en backup af det krypterede indhold.

Version2 Infosecurity

It-sikkerhedsmessen Infosecurity Denmark 2018 byder på mere end 110 seminarer og cases, 25 udvalgte keynotes og 80 udstillere. To dage med masser af faglig viden og netværk d. 2. og 3. maj i Øksnehallen i København.

Konferenceprogrammet dækker både compliance, cybercrime, IoT, nye teknologier som AI og blockchain samt cloud security og giver et unikt indblik i de nyeste it-sikkerhedsmæssige udfordringer på et højt fagligt niveau.

Du bliver opdateret om både de nyeste tekniske landvindinger fra spydspidsforskere og får indblik i aktuelle trusselsbilleder fra nogle af verdens bedste rådgivere.

Flere oplysninger

Vil du gå direkte til tilmelding, klik her.

Ligesom der også skal gemmes en kopi af den såkaldte ransom-note - det vil sige den fil, malwaren kan efterlade på computeren, hvor detaljer om betaling af løsesum fremgår.

Senior e-threat analyst Bogdan Botezatu, Bitdefender

Artiklen fortsætter efter annoncen

Forklaringen er, at beskeden kan indeholde et infektions-id, der gør det muligt at finde frem til netop den nøgle, som har været brugt til at kryptere filerne med, fortæller senior e-threat analyst ved den rumænske it-sikkerhedsvirksomhed Bitdefender Bogdan Botezatu.

»99 pct. af gangene så er ransom-noten faktisk den vigtigste del, du skal have på systemet for at være i stand til at identificere den tilsvarende nøgle,« siger han.

Hvis filen med id-nummeret er væk, så er håbet om at finde den rette nøgle det i udgangspunktet også.

Situationen var aktuel forleden, da Bitdefender havde fået udleveret 52.000 krypteringsnøgler fra politiet, som havde været brugt i forbindelse med ransomwaren GandCrab.

Artiklen fortsætter efter annoncen

Bogdan Botezatu har tidligere fortalt til Version2, at han ikke ved præcis, hvorfra politiet har nøglerne. En mulig forklaring kan være, at GandCrab-bagmændenes server er blevet kompromitteret.

Bitdefender har omsat de 52.000 nøgler til et dekrypteringsværktøj, som blev lanceret tidligere på måneden. Under et indlæg, hvor Bogdan Botezatu fortæller om lanceringen af værktøjet, fremgår det i kommentarsporet, at i hvert fald én bruger tilsyneladende har problemer med værktøjet, der ikke kan finde id-nummeret for infektionen.

Og Botezatu understreger flere gange i kommentarsporet vigtigheden af at beholde ransom-noten.

Og dette råd omfatter altså ikke kun Gandcrab-ransomwaren, men er generelt, påpeger Botezatu.

»Det hjælper os med at identificere det unikke infektions-id, og det hjælper os også med hurtigere at identificere, hvilen type ransomware der har krypteret filerne. Så bare ved at se på ransomware-noten kan jeg fortælle meget om infektionen.«

Best practice

Udover at beholde ransomware-noten så bør der også tages en backup af alle krypterede filer. Ellers er der jo ikke noget at dekryptere, skulle den mulighed opstå.

»Best practice i disse sager, når man bliver afkrævet løsesum, er at tage en fuld backup af ransom-computeren, gemme det et sted - eller i det mindste tage en backup af ransom-noten og ransom-filerne og gemme dem til senere.«

Ifølge Bogdan Botezatu kan det være, at it-sikkerhedsleverandører før eller siden finder en måde dekryptere data på - eksempelvis hvis de får kendskab til nøglen, som i tilfældet med Gandcrab.

En bruger, der kalder sig Mahmoud, fortæller i kommentarsporet under anti-GandCrab-lanceringen, hvordan ransom-noten først skulle hives ud af karantæne-systemet i et antivirusprodukt, før Bitdefenders dekrypteringsværktøj, kunne køres.

Antivirus-produkter bør i udgangspunktet ikke fjerne ransom-noten, men det kan ske, påpeger Bogdan Botezatu.

»Hvis du kører et disinficeringsværktøj, så er der en risiko for, at det ikke bare sletter den eksekverbare ransomware, men også ransom-noten. Det er bad practice i branchen,« siger Bogdan Botezatu.

Ny version på gaden

Ofre, der er blevet inficeret med GandCrab, efter Bitdefender lancerede dekrypteringsværktøjet, har i øvrigt ikke kunnet dekryptere deres filer - ransom-note eller ej. I hvert fald ikke ifølge it-sikkerhedsmand og partner i CSIS Peter Kruse, som ofte har fingeren på pulsen i den slags sager.

Han har fortalt til Version2, at Bitdefenders lancering af dekrypteringsværktøjet fik personerne bag GandCrab til at nedlægge den command-and-control-server(C&C), som er blevet brugt til at styre malwaren med.

Så ofre, der er blevet inficeret med den gamle version af GandCrab, efter command-and-control-serveren blev nedlagt, har ikke mulighed for at få fat i en dekrypteringsnøgle og kan dermed heller ikke låse data op igen.

Siden er Gandcrab dukket op i en ny version, har Peter Kruse fortalt.

2 kommentarer.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
2
16. marts 2018 kl. 08:40

Nej, og nej, og nej.

Tag backup, test backup, test recovery. Regelmæssigt.

Får du ransomware, så håndtér det som ethvert andet malwareincident. Tag "backup" af ransomwaren hvis du skal bruge den til efterforskning eller efterfølgende retssager eller dialoger med f.eks. forsikringsselskab eller politi. Tag ikke backup af malwaren og de krypterede data med håb om at bruge det i produktion senere.

Hvordan vil du nogensinde stole på integriteten af data, hvis et bevidst ondsindet program har onduleret det? Stoler du på at den kun krypterer og dekrypterer? - Sådan gør de primitive ransomwares måske i dag. Hvad gør de lidt mere intelligente i morgen?

Det er bare en dårlig vej at gå, uanset hvad.

SÅ, tag backup, test din backup, test din recovery, regelmæssigt.

1
15. marts 2018 kl. 12:08

Bør det ikke skrives klart i artiklen, at backup i sådanne tilfælde skal tages til et andet lagermedie end det, hvor man lægger sin normale backup, så man ikke også får lavet backup af ransomwaren og genimporterer ransomwaren, hvis man senere får brug for sin almindelige backup ?