PostNord & Fag Faktura email, Crypt0l0cker/cryptolocker virus/ransomware - sådan kan du (måske) dekryptere dine filer

Skrevet af  Henrik Holm Nielsen Onsdag, 19 april 2017
Sådan ser mailen ud 02.03.2017 Sådan ser mailen ud 02.03.2017 Mailen med Excel-fil, indeholdende Cryptolocker

Der har siden 2015, været rigtig meget fokus på den såkaldte "PostNord" samt "Faktura" virusmail eller spammail, som er væltet ind over landet, af flere omgange.

Allerførst - hvis du er blevet ramt af denne virus/ransomware, så skal du vide at der (mig bekendt) i skrivende stund ikke er dokumenteret nogle tilfælde hvor man har fået dekrypteret sine filer & data, ved at betale den såkaldte løsesum.

Dernæst - jeg håber meget, at du har en backup - for nu kan meget vel være tidspunktet, hvor du får brug for at restore dine data. For selv om jeg har haft success med den metode jeg herunder vil beskrive for dig, så er der INGEN garanti for at det kan lykkes. Du kan være heldig at det virker - men desværre også uheldig, at det ikke vil virke. Endvidere - hver gang der kommer en ny bølge af cryptolocker, så indeholder den en ny variant af programmet der krypterer dine data. Og der er ingen garanti for, at det bliver ved med at lykkes, at finde løsning på krypteringerne.

Når det er sagt, så er her en beskrivelse af den metode jeg benytter, og har haft success med.

Lidt information om crypt0l0cker, cryptolocker & torrentlocker

Virus'en hedder i daglig tale en Torrentlocker, og varienten er Crypt0l0cker (eller cryptolocker) og findes i mange forskellige versioner. Selve metoden og basen for virusen, har været i cirkulation i flere år og har således også hærget flere lande i forskellige versioner og forklædninger, Og i Danmark har man bla. valgt at benytte PostNord og senere også webshops som "identitet", da det jo er nogen vi alle kender, og bruger - ellers ville du nok ikke have klikket på linket i mailen, og derefter søgt frem til denne side.

De tidligere PostNord-varianter fungerede på den måde, at efter du kar klikket på et link og accepteret at køre programmet der downloades, så begynder den at kryptere alle dine dokumenter, billeder, videoer, tegninger, regneark etc. Det sker lynhurtigt og i baggrunden, så du ikke opdager det med det samme. I værste fald opdager du det først når du skal bruge dine filer - og så er der stor sandsynlighed for, at alle dine filer er krypteret på dette tidspunkt. De nyere emails med vedhæftede "fakturaer", findes i varianter både med exe, zip & xls-filer - men fælles for dem er, at åbner du de vedhæftede "fakturaer", så vil der enten blive afviklet eller hentet noget kode, som på kort tid kan bringe de fleste personer ud af fatning.

Virusen krypterer data på alle dine diske & drev - dvs. også USB diske, netværksdrev og andre steder du har en drivepointer til. Dvs. at en virksomhed med en server, som en bruger på en arbejdsstation har mappet drev til, også vil kunne få krypteret alle sine data.

Disse filtyper krypteres - men muligvis også andre end dem

.sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt

Hvad gør man så, når man er ramt af Crypt0l0cker

Der skal ske 2 ting.

  1. Du skal have fjernet Crypt0l0cker fra din computer - og det skal du gøre FØRST, for ellers krypteres dine filer jo i samme øjeblik du dekrypterer eller restorer igen.
  2. Du skal enten forsøge at dekryptere dine filer, eller restore din backup.

Hvordan fjerner man Crypt0l0cker

Der er mange vejledninger på nettet. Men jeg benyttede denne vejledning, som fungerede til perfektion.

Hvordan dekrypterer man filer krypteret af crypt0l0cker

Som nævnt, så er der INGEN garanti for at det kan lade sig gøre. Men - nedenstående vejledning  vil guide dig til at finde frem til en mulig løsning, hvis den findes for den variant der har ramt dig:

  1. Efter meget søgen og nærstuderen af foraer vedr. crypt0l0cker, fandt jeg frem til et Russisk (?!!) antivirusfirma, ved navn Dr. Web som har haft stor success med at producere krypteringsnøgler, til brug for dekryptering af data. 
     
  2. Jeg kontaktede Dr. Web og sendte 4 forskellige krypterede filer til analyse. Filerne de skal bruge, skal være min. 1MB store - men vælg nu ikke de allerstørste. Jeg sendte en PDF, DOC, XLS & JPG fil - men du kan naturligvis også sende andre krypterede filtyper. De vil kontakte dig, hvis de skal bruge andre filtyper end du har sendt dem.
     
  3. Kort tid efter, fik jeg svar retur med dekrypterede versioner af vores filer, en krypteringsnøgle & et program specifikt til brug ifm. den variant vi var ramt af. Stadig noget skeptisk, hentede jeg nøgle og programmet og kopierede det til en computer i et "lukket miljø" (en virtuel computer, som ikke havde adgang til omverdenen) sammen med de krypterede filer. Og så testede jeg programmet. Dvs. jeg skannede det først med alle de malware og antivirus skannere jeg havde tilgængelige, og da jeg ikke fik nogle meldinger om farer og krise, så slap jeg programmet løs på et par tusinde krypterede filer. Og det virkede!
     
  4. Så tog jeg en kopi af alle de krypterede filer, og derefter kørte jeg programmet på den ramte server (min kunde havde en filserver, som brugerne havde drivemappings til) hvor den efterfølgende kværnede sig igennen ca. 250.000 krypterede filer. Det tog naturligvis et stykke tid - men da den var igennem, var ALLE filer blevet dekrypteret, og ikke en eneste havde fejlet, så vidt vi kunne se.

Risikerer andre computere, smartphones, iPads, tablets på samme netværk, at blive smittet med Crypt0l0cker? 

Der er mig bekendt indtil videre, kun set varianter af Cryptolocker i de udsendte "Post Nord" & "Faktura"-emails som påvirker Windows PC platformen/computere. Og ligeledes er der mig bekendt IKKE set varianter af softwaren i disse emails som er i stand til at sprede sig til andre computere på netværket. Softwaren har "kun" effekt på den Windows computer den hentes/afvikles på. Men bemærk, at såfremt en ramt Windows computer har filadgang (via shares eller drivemappings) til andre computere på dit netværk, så vil data på disse også kunne blive ramt uanset disse data befinder sig på en Mac, Linux eller anden platform!

UPDATE 06.04.2017

Efter en god uges pause, har vi i dag set et par nye varianter - hvoraf den ene har været lidt mere snedig, end vi tidligere har set.  Begge varianter har henvist til "Fag faktura" og linket til en fil placeret i Dropbox. Men den ene havde ydermere indsat modtagers firmanavn i mailteksten og også modtagerens navn - hvilket vi mig bekendt ikke har set tidligere! Endda var firmanavnet indsat med korrekt angivelse af store og små bogstaver, på samme måde som virksomheden skriver sit navn. Dvs. man havde skrevet "FirmaNAVN" præcis som modtagerens virksomhed selv skriver deres navn.

UPDATE 23.03.2017

En ny variant, som udsendes som en "Forbrugsvarefaktura" er dukket op i dag. 
 

UPDATE 09.03.2017

Jeg har netop hørt om en ny variant, som angiveligt kommer fra Norske emailadresser! 

UPDATE 07.03.2017

Nu også varianter som ser ud til at komme fra e-conomic.dk - denne gang med link til faktura i Dropbox.... 
Disse varianter, har Dr. Web heldigvis også kunne analysere sig frem til krypteringsnøgler for!

UPDATE 06.03.2017

Gode nyheder igen - det kan nu lade sig gøre at dekryptere cryptolocker, i den variant vi først så den 2/3 marts 2017, distribueret af "fakturaer" ifm. Excel filer. Det betyder, at hvis du har brug for hjælp til dekryptering af disse, kan du kontakte mig via formularen, hvor jeg beder dig uploade nogle filer til analyse.

Desværre er der også lidt dårlige nyheder, idet endnu en variant har set dagens lys - nemlig en "faktura" ifa. et Word dokument. Og denne variant har jeg netop sendt eksempler af, til analyse. Jeg  afventer svar på muligheden for dekryptering af denne, og forventer at der går 2-3 dage fra d.d. før vi ved mere.

UPDATE 04.03.2017

NY variant over os igen - denne gang ifa. et Excel dokument der angiveligt skulle være en faktura, men naturligvis ikke er det. Dr. Web har identificeret & beskrevet den som en Trojan.Encoder.761 V4 og arbejder på en mulighed for dekrytering af data, ramt af denne variant. Csis.dk beskriver bla. varianten på deres Facebookside.  Vil du gerne holdes opdateret vedr. mulighed for dekryptering, så skriv til mig via kontaktformularen, eller hold øje med denne side, som jeg vil opdatere så snart der er ny info.

UPDATE 24.02.2017

Gode nyheder - Dr. Web har nu bekræftet, at det er muligt at dekryptere data ramt af denne uges variant af crypt0l0cker! Det betyder, at de der vil betale de €150 det koster at få analyseret sine filer, og evt. udleveret en krypteringsnøgle, nu har muligheden!

UPDATE 21.02.2017

En ny bølge af mail med Crypt0l0cker, skyller netop nu ind over Danmark. Denne gang er det IKKE båret af mails fra "Post Nord" men forklædt som en "Faktura for ordre nr.xxxxxx". Vi er i gang med at undersøge om disse kan dekrypteres, og vil du gerne holdes opdateret, så skriv til mig via kontaktformularen, eller hold øje med denne side, som jeg vil opdatere så snart der er nyt at fortælle.

Brug for mere hjælp?

Jeg har lavet en lille FAQ vedr. Cryptolocker, som du kan kigge på, og så skal du naturligvis være velkommen til at kontakte mig, hvis du har spørgsmål eller brug for yderligere hjælp. Men vær klar over, at selvom jeg helst ville kunne hjælpe alle uden beregning, så kan jeg desværre ikke leve af det. Og da jeg lever af at sælge min tid, hjælp & assistance (heldigvis også til andre ting end dette), så vil min hjælp blive afregnet til alm. timetakst - pt. kr. 600,- ex. moms.

Mange spørger mig hvor store chancer der er, for at deres data kan dekrypteres igen. Og selvom man aldrig kan være 100% sikker på success, så kan jeg sige at det indtil videre er lykkedes at dekryptere data, for alle de kunder jeg har hjulpet med Cryptolocker! Men der har desværre også været flere tilfælde & situationer, hvor folk har været ramt af andre ransomwares end cryptolocker, hvor jeg (eller Dr. Web) ikke har kunne hjælpe....!

2nd Level Webdesign
  •  Skelhøjvej 21
  • 2800 Lyngby
     
  •  +45 22 409 430
  •  info@2ndlevel.dk
  •  CVR: DK26507383

Hvorfor véd en webmand noget om crypt0l0cker?

Godt & relevant spørgsmål.....!

Den korte historie er, at jeg har en fortid som it-konsulent med fokus på sikkerhed. Så da én af mine større kunder for nogle år siden blev ramt af denne plage og fik krypteret nogle terrabyte data, hvoraf et par dages meget vigtigt arbejde ikke var med i backuppen - så var der ingen anden udvej, end at sætte sig ind i hvad Crypt0l0cker var for en størrelse. Og det endte med, at vi fik dekrypteret alle data.

Den viden jeg fik om emnet på dette tidspunkt, kunne jeg jo ligesågodt lade andre få del i - og det er nok dén beslutning der er grunden, til at du nu sidder og læser dette :)

Til toppen