Forum Mjukvara Microsoft Windows Tråd Inlägg

Postnords ransomware

1 2 3 4
Skriv svar
Permalänk
Medlem

Postnords ransomware

Fått en kunds dator som råkat ut för Postnords email och han klickade på länken.
Han har fått filer låsta nu och frågan är hur körde han är... Han hade sin minnessticka med sin backup på filer inkopplad så den vart oxo infekterad.

Filernna är krypterade så vad gör man? Går det att hacka ?

Jag har sagt att det inte går att göra nåt utom att försöka återställa så mycket som går med det som är oskadat och köra en systemåterställning för att få bort viruset om det ligger kvar. Men filerna som är krypterade kommer vara så även efter systemåterställning.

Nån som vet bättre om detta.

Visa signatur

NZXT 810 Switch, Corsair AX860i, Maximus V Formula, I7 3770K ,Asus GTX 680, Corsair vengance 1866Mhz 32gb Ram, Samsung 850 Pro 256Gb, Samsung 840 basic 500Gb, WD 2Tb Caviar Green,120GB, Komplett vattenkylning

Redigera
Citera flera Citera
Permalänk
Medlem

Filerna kommer nog tyvärr vara krypterade. Det är ett helvete och jag haft kunder som har betalat in summan pengar som dom kräver och en del har fått tillbaka filerna (men man vill ju inte förse dessa människor med pengar).

Rekommenderat att blåsa datorn och bita i det sura äpplet :/

Visa signatur

http://www.tomasnilsen.se
[Stationär] 4790K ,16Gb Corsair XMS3, Samsung 850 500GB, R4, ASUS 1080 STRIX, Samsung S27A850T, EVGA G2 |[Bärbar] HP Spectre 13 [Kamera] Fuji XT-1, XT-10, [objektiv] 35 1,4, 18-55 2,8-4, 55-200, 27 1,8 [Blixtar] Nissin 622, Dörr 160x3 Mobil Nexus 5, Lumia 920, OPO 3T, iPhone5s

Redigera
Citera flera Citera
Permalänk
Medlem

oftast rekommenderas man att betala summan dom vill ha om det är saker man bara måste få tillbaka, som familjefoton.
annars är det bara att bita i sura äpplet och formatera om allt

Visa signatur

Min dator: Silent Base 600 | 1700X @ 3.9Ghz | MSI Gaming X 1080TI | RM750X | 512Gb M2 | 16Gb 3200mhz Ram | S34E790C @ 3440x1440
Tjejens dator: Define r4 | i5 3570k @ 4.2ghz | GTX Titan | 750w Supernova | 240gb SSD | 32gb ram
Citera/Tagga för svar!

Redigera
Citera flera Citera
Permalänk
Medlem

Brukar vara att betala eller bara blåsa skiten, vi hade en liknande incident på jobbet där den dessutom hann börja kryptera filer på vår server från datorn. Viktigt att ta backup varje dag

Visa signatur

| CPU: Intel 11900K | GPU: ASUS RTX 3080 OC | Moderkort: Asus Prime Z590-A | RAM: Corsair LPX 32GB@3600MHz | CPU-Kylare: Noctua NH-U12A | Primär SSD: Samsung 970 Evo Plus 2TB | Sekundär SSD: Samsung 860 EVO 1TB | Ljudkort: Asus Xonar Essence STX | Nätaggregat: Corsair RM850x v2 Chassi: Fractal Design Define 7 Compact | Kringutrustning: LG UltraGear 27GL850, Dell U2412M, Ducky One 2 Mini, Filco Majestouch 2 TKL, Filco Majestouch 2, Logitech G Pro X Superlight, Sennheiser HD650

Redigera
Citera flera Citera
Permalänk
Medlem

Innan man betalar/ger upp så bör man kolla om det är krypterat av nån variant som redan är knäckt av AV-företagen. Det finns några verktyg där ute som eventuellt kan lösa det.

https://www.google.se/search?q=ransomware+decrypt+tool+trend+...

Redigera
Citera flera Citera
Permalänk
Medlem

Så vitt jag har förstått Postnord-virusen så är det såpass kryptografiskt korrekt implementerat att det inte finns en bakdörr som kan låsa upp filerna. Så om filerna ska eller måste återställas är det bara att pröjsa.

Självklart vill man egentligen inte betala eftersom det då ger virusmakaren pengar. Fast ibland har man inget val, speciellt inte om inte har en korrekt backup av filerna.

Jag har själv bara råkat komma i kontakt med detta virus via en bekants bekant (en mindre snickerifirma som fick detta virus på sin företagsdator). Ingen vettig backup att återställa från. Så det företaget valde att betala och fick sina filer återställda inom tio minuter.

Visa signatur

-- Citera mig om ni vill få återkoppling --

Redigera
Citera flera Citera
Permalänk
Livsnjutare 😎

Betala inte!!

Då stödjer du den brottsliga verksamhet som ligger bakom skiten och får den att gro ännu mer med nya inkarnationer utav skiten.

Oavsett hur mycket det må vara värt för kunden så måste ju en backup finnas... ?
Illa annars.

Visa signatur

Citera eller Svara för respons! •
• Life is a playground {|;^) •

Redigera
Citera flera Citera
Permalänk
Medlem

Troligtvis är det som sagt bara att börja om från början. Man kan även prova t.ex.:

https://id-ransomware.malwarehunterteam.com/

för att få veta vilken kryptering som använts. Har man tur så är det en variant som redan är knäckt som t.ex.

http://arstechnica.com/security/2016/04/experts-crack-nasty-r...

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av andreas_dock:

Betala inte!!

Då stödjer du den brottsliga verksamhet som ligger bakom skiten och får den att gro ännu mer med nya inkarnationer utav skiten.

Oavsett hur mycket det må vara värt för kunden så måste ju en backup finnas... ?
Illa annars.

Gå till inlägget

"Han hade sin minnessticka med sin backup på filer inkopplad så den vart oxo infekterad."

troligen hade han inte en backup på sin backup

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av andreas_dock:

Betala inte!!

Då stödjer du den brottsliga verksamhet som ligger bakom skiten och får den att gro ännu mer med nya inkarnationer utav skiten.

Oavsett hur mycket det må vara värt för kunden så måste ju en backup finnas... ?
Illa annars.

Gå till inlägget

Helt med dig och självklart ska man ha en backup på annan plats men i detta fall skriver ju TS att personens backup satt i datorn och blev också infekterat..

Sen låter det lite som att det är en privatperson och då finns det nog ingen annan backup.

Men självklart ska man helst inte betala.. Men är det bilder från ens barns uppväxt är man nog ganska benägen att betala dyra pengar för det hela.. Dock vet man ju inte om man får oskadade filer. De kanske lagt in något skumt i filerna man får tillbaka också..

Visa signatur

And Jesus said "Come forth and I will grant you eternal life!" I came fifth and won a blender.
| MSI X99A Raider | i7-6850K | 32GB Corsair Vengeance DDR4 3000MHz | Palit GTX 1080 Super Jetstream | ASUS ROG Swift PG279Q |

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Akarr:

Fått en kunds dator som råkat ut för Postnords email och han klickade på länken.
Han har fått filer låsta nu och frågan är hur körde han är... Han hade sin minnessticka med sin backup på filer inkopplad så den vart oxo infekterad.

Filernna är krypterade så vad gör man? Går det att hacka ?

Jag har sagt att det inte går att göra nåt utom att försöka återställa så mycket som går med det som är oskadat och köra en systemåterställning för att få bort viruset om det ligger kvar. Men filerna som är krypterade kommer vara så även efter systemåterställning.

Nån som vet bättre om detta.

Gå till inlägget

Det är tyvärr kört om det inte finns någon backup... Har fått in liknande på företaget. Och det har alltid varit till att återläsa från backup och blåsa rent dator(er)
Många företag väljer att betala. Vi kommer aldrig bli av med dessa typer av utpressare.

Visa signatur

🧠i9-10900k @ 3,7GHz 📹3080Ti STRIX OC 12GB 📼Corsair Vengeance 64GB
📰MSI MEG z490 Unify 💽Samsung 970 EVO plus 500GB/1TB 📺Asus PG348Q 34"

Redigera
Citera flera Citera
Permalänk
Medlem

Rekommenderar nästan att du kollar så han inte har en Google Drive, DropBox eller OneDrive som också har blivit krypterad.
Har den också blivit krypterad kan det orsaka att efter ominstallation och han loggar in med det kontot så krypterar den om allt igen som den kommet åt, tex DropBox och usb-sticker som är anslutna.

Redigera
Citera flera Citera
Permalänk
Medlem

Man kan aldrig skydda en användare från sig själv

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av andreas_dock:

Betala inte!!

Då stödjer du den brottsliga verksamhet som ligger bakom skiten och får den att gro ännu mer med nya inkarnationer utav skiten.

Oavsett hur mycket det må vara värt för kunden så måste ju en backup finnas... ?
Illa annars.

Gå till inlägget

Håller med. Jag är och snuddar på om de inte borde göras en lag som gör de olagligt att betala dessa brottslingar. Typ som häleri.

Redigera
Citera flera Citera
Permalänk
Medlem

När företaget jag jobbar på fick det, var det bara att göra en systemåterställning (Osäker på benämningen) från någon dag tidigare så var det löst.

Visa signatur

Windows 10 64 Corsair AX 860
CPU i7 6700K @ 4,00GHz Geforce RTX 3080
MSI Z170A SLI Plus Corsair DDR4 2800MHz 16GB 4x4GB
NVMe Samsung SSD 950 Samsung SSD 860 EVO 2TB

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Casper_83:

När företaget jag jobbar på fick det, var det bara att göra en systemåterställning (Osäker på benämningen) från någon dag tidigare så var det löst.

Gå till inlägget

Förmodligen en rollback från en icke infekterad backup i det fallet. Inte möjligt för ts

Visa signatur

#1: Z370N ITX | i7 8700k | GTX 1080 | 32GiB
#2: P8Z77-M pro | i7 3770k | GTX 1050ti | 16GiB
Server: Z370-G | i5 8600T | 64GiB | UnRAID 6.9.2 | 130TB
Smartphone: Samsung Z Flip 5 | Android 13 | Shure SE535

Redigera
Citera flera Citera
Permalänk
Avstängd

Man kan inte heller garantera att man får krypteringsnyckeln även om man betalar.. Så BETALA INTE! Det ger bara dessa typer mer kapital att röra sig med.

Visa signatur

Intel pentium III xeon 667 // Intel 815EG // 3dfx Voodoo 5 5500 // 125mb samsung DDR // 250W PSU //

Redigera
Citera flera Citera
Permalänk
Medlem

Hur avancerat är viruset? Är det som det välkända Polisviruset?
Du kan ju alltid prova detta: https://malwaretips.com/blogs/remove-police-trojan/
Gå in i säkerhetsläge med kommandotolk, starta "rstrui.exe". Och hoppas på att det finns någon återställningspunkt innan han drabbades. Och sedan köra igenom program som Malwarebytes.

Fast antagligen är det nog kört, så finns nog inte så många andra vägar att gå utan att blåsa om hela datorn. :/

Visa signatur

Chassi: Fractal Design Meshify C Mini | CPU: AMD Ryzen 5 3600 | Kylare: Be Quiet! Dark Rock Pro 4 | Graffe: ASUS 1070 8GB ROG STRIX DC3 | PSU: Corsair RM750X V2 | RAM: Corsair Vengence 32GB 3200 MHz | MOBO: MSI B450M MORTAR MAX
CS:GO-Maps (App) Sweclockers (App)

Redigera
Citera flera Citera
Permalänk
Medlem

Det är väldigt lätt att i en egen trygg situation säga att man aldrig ska betala i och med att man med det stödjer brottslig verksamhet, på samma sätt som många myndigheter skrävlar om att de aldrig ska förhandla med terrorister.

Det är inte så lätt för vanligt folk och mindre företag att ha en perfekt säkerhetsimplementation med automatisk backup och backup på den som är helt immunt mot ett sådant här angrepp där ingen data riskerar förloras, i synnerhet data som skapats efter senast utförda backup.

I ett läge där dataförlust inte är ett acceptabelt utfall och ingen känd bakdörr existerar finns inte mycket att göra annat än att betala. Oavsett om det stöttar skurkar eller inte.

Visa signatur

Data: B650 + 7800X3D + 4080 Super + 64GB (2x32) + 2TB T700 + 850W
Ljud: Cambridge Audio DacMagic + SPL Phonitor 2 + AKG K812
Bild: MSI MAG 274UPF (27" 4K)

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Hankburger:

Man kan inte heller garantera att man får krypteringsnyckeln även om man betalar.. Så BETALA INTE! Det ger bara dessa typer mer kapital att röra sig med.

Gå till inlägget

Detta är något som många verkar missa som tycker att han ska betala.

Vad garanterar att du får dem upplåsta? Inget....
De vill ha dina pengar. Allt annat skiter de i. Varför ge dem pengar och sen riskera sitta där både pank och utan dina filer. Finns kända fall där de tar emot det du ger dem, sen kräver det dubbla (för du väntade mer än x antal timmar), som ren utpressning.

@Akarr
Så detta är en värdefull läxa för personen. Testa med de knep och försök som tex @Naki nämnde. Fungerar de inte, så är det kört. Om du vill lägga undan disken i hopp om att de i framtiden kanske lyckas knäcka även denna, gör så. Men räkna inte med att det sker... tyvärr.

Ta pengarna och köp honom en ordentlig backup lösning istället, och formatera om. Då går pengarna till något vettigt och han lär sig from nu, varför, det är så viktigt med bra backup.

Redigera
Citera flera Citera
Permalänk
Medlem

Kaspersky har ett gäng olika Ransomware Decryptors, finns inga garantier att det kommer att lyckas.

Kaspersky noransom

Visa signatur

Moderkort: Asus P9X79 Processor: I7 4930K @ 4,6 GHz 6C/6HT Kylning: Corsair H100 Minne: 32Gb Corsair Dominator Platinum Grafik: Asus Strix RTX 3080 OC Lagring: Samsung 860 EVO 500Gb (OS) Samsung EVO 870 1Tb, Samsung 840 EVO 250Gb + WD Black 1Tb Nätagg: Corsair HX 850w Chassie: Corsair Obsidian 650D Skärm: Dell U2713 @ 2560 X 1440 2 X Dell U2410 @ 1920x1200 OS: Windows 10

Redigera
Citera flera Citera
Permalänk
Livsnjutare 😎
Skrivet av WEBRUNNER:

Håller med. Jag är och snuddar på om de inte borde göras en lag som gör de olagligt att betala dessa brottslingar. Typ som häleri.

Gå till inlägget

Typ, folk kastar ju pengar på dem mer eller mindre pga. deras dåliga struktur och att ha "viktiga saker" på mer än ett ställe.
Inte konstigt att de redan är uppe i revision 3 utav "viruset" som tar både lokal dator, inkopplade diskar/minnen etc OCH nätverk med onnejd...

.. och revision 4 är under utveckling vad jag har hört. Och de skall ta sig an cachade lösenord för cloud-tjänster etc.

Fy fan, mår illa utav det här pissiga utvecklingen som privatpersoner och företag stödjer genom att de betalar in pengar till deras utpressningsverksamhet.

Visa signatur

Citera eller Svara för respons! •
• Life is a playground {|;^) •

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Paddanx:

Detta är något som många verkar missa som tycker att han ska betala.

Vad garanterar att du får dem upplåsta? Inget....
De vill ha dina pengar. Allt annat skiter de i. Varför ge dem pengar och sen riskera sitta där både pank och utan dina filer. Finns kända fall där de tar emot det du ger dem, sen kräver det dubbla (för du väntade mer än x antal timmar), som ren utpressning.

@Akarr
Så detta är en värdefull läxa för personen. Testa med de knep och försök som tex @Naki nämnde. Fungerar de inte, så är det kört. Om du vill lägga undan disken i hopp om att de i framtiden kanske lyckas knäcka även denna, gör så. Men räkna inte med att det sker... tyvärr.

Ta pengarna och köp honom en ordentlig backup lösning istället, och formatera om. Då går pengarna till något vettigt och han lär sig from nu, varför, det är så viktigt med bra backup.

Gå till inlägget

Inget garanterar, men det är visst i brottslingarnas intresse att stå för det som de lovar. Annars hade det ju blivit allmänt känt att om man betalar in så händer ändå inget, och därför kan man skippa.

Men ja, det ska vara jävligt viktiga grejor för att man ens ska tänka tanken. Har du förlorat ett par arbetsdagar föreslår jag att man offrar den tiden, gör om sitt jobb, och avstår från att betala. Bara så att vi förhoppningsvis slipper sån här mjukvara i framtiden.

Visa signatur

i7-2700K 5 GHz | 16 GB DDR3-1600 | ASUS Maximus V Gene Z77 | GTX 980
i7-4790K 4.8 GHz | 32 GB DDR3-2133 | ASUS Maximus VII Gene Z97 | GTX 980

Redigera
Citera flera Citera
Permalänk
Medlem

Jättehemskt att det även krypterar nätverks sökvägar.
Någon påverkan på linux maskiner? Mina okunniga vänner och släktingar kör Mint och Kubuntu?
Tänker även då USB stickor och nätverks enheter som delas med samba.

Visa signatur

GA-Z97P-D3 | i5-4690K | 8Gb DDR3 | Gigabyte GTX 1050Ti | Samsung 850EVO 250Gb
Kylare: CPU: CM TX3 EVO3 | PSU: Silver Power SP-S460FL (Passiv)
Lur: OnePlus Nord | NAS: Synology 211j + Ett antal Hemmabygge

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Teddis:

Inget garanterar, men det är visst i brottslingarnas intresse att stå för det som de lovar. Annars hade det ju blivit allmänt känt att om man betalar in så händer ändå inget, och därför kan man skippa.

Men ja, det ska vara jävligt viktiga grejor för att man ens ska tänka tanken. Har du förlorat ett par arbetsdagar föreslår jag att man offrar den tiden, gör om sitt jobb, och avstår från att betala. Bara så att vi förhoppningsvis slipper sån här mjukvara i framtiden.

Gå till inlägget

Som sagt... jag vet 2 fall där extra krav kom, när personen betalade. Så att tro att de gör det för att hålla "god PR" är bara dumt. Om folk visste att det inte lönade sig att betala, hade de också vetat att inte klicka på viruset från början...

Och håller med andra i tråden att betala dessa borde vara straffbart, som häleri/förskingring, då du gynnar brottslighet.

Redigera
Citera flera Citera
Permalänk
Medlem

Hur i hela friden kan ni gå på det där? Riktigt kryptisk avsändare och man ser DIREKT hur dåligt översatt mailet är. Jag har sett det och kan verkligen inte förstå hur ni kan gå på någonting så simpelt. Betala inte, ominstallera Windows ocj lär er att ta backups.

Visa signatur

It’s more fun to compute.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Casper_83:

När företaget jag jobbar på fick det, var det bara att göra en systemåterställning (Osäker på benämningen) från någon dag tidigare så var det löst.

Gå till inlägget

Återläsning från backup. bästa och enda lösningen

Visa signatur

🧠i9-10900k @ 3,7GHz 📹3080Ti STRIX OC 12GB 📼Corsair Vengeance 64GB
📰MSI MEG z490 Unify 💽Samsung 970 EVO plus 500GB/1TB 📺Asus PG348Q 34"

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Dreijer:

Hur i hela friden kan ni gå på det där? Riktigt kryptisk avsändare och man ser DIREKT hur dåligt översatt mailet är. Jag har sett det och kan verkligen inte förstå hur ni kan gå på någonting så simpelt. Betala inte, ominstallera Windows ocj lär er att ta backups.

Gå till inlägget

På det mailet ser man (om man är van datoranvändare) att det är något skumt. Jag har fått in adresser med noreply@postnord.com där översättningen varit betydligt bättre och det var i början av den här veckan. De här attackerna kommer aldrig att sluta eftersom folk betalar. Läste att polisverksamhet och sjukhus har betalat för att få tillbaka sina filer..:(

Visa signatur

🧠i9-10900k @ 3,7GHz 📹3080Ti STRIX OC 12GB 📼Corsair Vengeance 64GB
📰MSI MEG z490 Unify 💽Samsung 970 EVO plus 500GB/1TB 📺Asus PG348Q 34"

Redigera
Citera flera Citera
Permalänk
Medlem

Det är lätt att vara kaxig när andra har problem. Det finns ju andra distributionsvägar för de som inte luras av mail. T ex är det vanligt att man utnyttjar program med kända säkerhetsbrister så en rekommendation är att vara noga med uppdateringar.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Paddanx:

Som sagt... jag vet 2 fall där extra krav kom, när personen betalade. Så att tro att de gör det för att hålla "god PR" är bara dumt. Om folk visste att det inte lönade sig att betala, hade de också vetat att inte klicka på viruset från början...

Och håller med andra i tråden att betala dessa borde vara straffbart, som häleri/förskingring, då du gynnar brottslighet.

Gå till inlägget

Och jag vet om ett fall där dom känt sig tvungna (om jag höll med dom är en annan fråga) och de fick sina saker tillbaka. När du klickar fram dig till att ta in det skadliga programmet så må du vara oinsatt, men efter att du fått programmet så verkar ju tanken infalla att det är värt att fråga sig runt, oftast troligtvis med motivet att man inte vill betala. Case in point: uppståndelsen av denna tråd.

Och det är lätt att säga att det borde vara brottsligt, men till skillnad från dina två andra exempel så finns det inte någon annan chans alls att lösa ens potentiella problem. Har man något extremt viktigt, och då menar jag verkligen extremt, så förstår jag att man hostar fram pengarna. Du kan ex. inte gå till polisen och be dem lösa det.

Visa signatur

i7-2700K 5 GHz | 16 GB DDR3-1600 | ASUS Maximus V Gene Z77 | GTX 980
i7-4790K 4.8 GHz | 32 GB DDR3-2133 | ASUS Maximus VII Gene Z97 | GTX 980

Redigera
Citera flera Citera
1 2 3 4
Skriv svar
Senaste nyheterna
Hårdvara
Mjukvara
Övrigt
Nytt i forumet
Datorkomponenter
System
Ljud, bild och kommunikation
Spel och mjukvara