FAQ om Cryptolocker/Crypt0l0cker

Skrevet af  Henrik Holm Nielsen

Hvad er Cryptolocker eller Crypt0l0cker?

Cryptolocker (eller Crypt0l0cker) er en virus af typen "Ransomware", som krypterer data på din computer og efterfølgende beder som en "løsesum" for at udlevere en krypteringsnøgle, som kan benyttes til at dekryptere data med.

Denne ransomware findes i rigtig mange forskellige varianter, som desværre videreudvikles og ændres hele tiden, så den version vi sloges med i går, behøver desværre ikke være den samme version vi slås med i morgen. Derved forsøger den at omgå de metoder der findes til at stoppe den, inden den forvolder skade. Og er uheldet ude og man bliver ramt, så er den løsning man evt. fandt succesfuld til dekryptering i går, desværre ikke nødvendigvis brugbar på den nye version i dag.

Se evt. den engelske beskrivelse af cryptolocker på wikipedia.

Rammes Mac OS X, Linux og andre ikke-windows operativsystemer, af cryptolocker?

Ja - der er nu desværre også flere eksempler på Cryptolocker (og andre ransomwares), som går efter OS X & Linux :(
Jeg har derimod ikke set eller hørt om cryptolocker på IOS eller Android - men der findes desværre flere andre ransomswares til disse platforme, så du har stadig god grund til at beskytte disse enheder også!

Imidlertid er der mig bekendt i skrivende stund, ingen eksempler på at de versioner der udsendes link til via Post Nord emails, rammer andre end Windows operativsystemer.

Hvis du har set/læst noget andet, så hører jeg gerne om det!

Spreder Cryptolocker sig til andre enheder i samme netværk?

Cryptolocker i de versioner vi har set spredt via links i Post Nord emails, har ikke haft evnen til at sprede sig som en "orm" - en anden type vira, der kan sprede sig hastigt inden for samme netværk.

MEN - cryptolocker vil forsøge at kryptere alle de data den kan nå, fra den inficerede computer. Det betyder altså, at hvis en ramt computer har mappet drev/shares til en netværks server, en NAS (netværksharddiske) eller USB & Firewire diske - så vil data på disse også sagtens kunne blive krypteret! Det samme gælder data i Dropbox, Google Drive, Box.net, OneDrive etc., hvis du har data fra disse liggende i en lokal folder, som synkroniseres i realtime ud i skyen. Hvis du er opmærsom og hurtigt efter din computer er blevet inficeret skynder dig at stoppe det program/service som synkroniserer data ud i skyen, kan du måske nå at redde data derude.

Se iøvrigt forslag til redning af data for hhv. DropBox, Box.com & Google Drive andetsteds i denne FAQ.

Hvordan fjerner jeg Cryptolocker fra min computer?

Som nævnt i artiklen vedr. dekryptering af data ramt af cryptolocker, er der mange vejledninger på nettet som beskriver hvordan man fjerner Cryptolocker fra sin computer. Jeg benyttede denne vejledning, som fungerede for mig.
Andre har nævnt Spyhunter, som et fungerende værktøj til at fjerne Cryptolocker, men jeg har ikke selv testet dette værktøj.

BEMÆRK; Selvom du fjerner Crtptolocker virus'en fra din computer, så betyder det ikke at dina data bliver dekrypteret :(

Hvorfor kan man kun dekryptere nogle varianter af cryptolocker?

Det korte svar er, at dem der udvikler cryptolocker, har fat i den lange ende, om man så må sige....!

Cryptolocker er designet og kodet på en måde, så krypteringsnøglerne der benyttes til kryptering af data, er forskellige fra computer til computer - selvom 2 computere er inficeret med samme variant af cryptolocker. Og da krypteringsalgoritmen der benyttes er så stærk som den er, så kan man ikke "bare lige" beregne eller prøve sig frem, til man rammer den rigtige nøgle.

Imidlertid så fandt man i forbindelse med nedlukning af et botnet, som benyttes til distribution af bla. cryptolocker, en database med flere millioner krypteringsnøgler som benyttedes til en specifik variant af cryptolocker. Og det var tilsyneladende denne variant af cryptolocker, der for en stor dels vedkommende blev brugt ifm. de såkaldte Post Nord mails som udsendtes i perioden medio 2015 til ultimo 2016, hvorfor successraten for at kunne finde en brugbar dekrypteringsnøgle i denne periode, var så høj for os i Danmark.

Siden da har Dr. Web haft held med deres metode, til at fInde frem til nøgle - en hver gang en ny variant ser dagens lys, skal de kæmpe forfra. I skrivende stund (primo marts 2017) arbejder Dr. Web på højtryk, for at en metode til at finde brugbare krypteringsnøgler til varianten som ramte Danmark primo marts 2017.

Hvilke data krypteres?

Cryptolocker leder efter filer med specifikke file-extensions, og krypterer dem derefter. Det betyder at du sagtens kan have filer på din computer, som ikke er kryperet.

Bland de filer vi véd cryptolocker går efter, tæller nedenstående liste:

.sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt

Bemærk - listen kan variere fra variant til variant af cryptolocker, og er derfor ikke nødvendigvis 100% komplet!

Skal jeg betale det de ønsker, for at få mine data igen?

Her må jeg sige, et stort og rungende "NEJ" - det skal du ikke....!

Ud over debatten om hvorvidt man skal give efter, for kriminelle som afpresser én - hvilken jeg slet ikke vil gå ind i - så er der mig bekendt ingen eksempler på, at nogen som har fulgt instruktionerne der placeres i alle biblioteker med filer krypteret af Cryptolocker, nogensinde har fået nogetsomhelst brugbart retur for pengene.

Hvis nogen har dokumentation for det modsatte, eller egne oplevelser som går i positiv retning i denne forbindelse, hører jeg meget gerne om det!

Hvilke andre muligheder har jeg for at få mine data tilbage?

Siden du spørger, så tillader jeg mig at antage at du ingen backup har - for ellers ville det naturligvis være den åbenlyse vej frem.

Som nævnt andetsteds, så har Dr. Web historisk set haft held med at finde en metode, til at fremskaffe krypteringsnøgler. Men hver gang en ny variant af cryptolocker ser dagens lys, skal de starte forfra og finde en måde igen. Indtil videre har vi været heldige, men der er ingen garantier i fremtiden.....

De senere versioner af Windows (Win. 7 & fremefter) har en indbygget funktion, som hedder "Shadow copies" - dvs. at windows - såfremt funktionen er aktiveret - vil gemme den forrige kopi af en fil, hver gang den overskrives.
Hvis funktionen er/var aktiveret, og du har haft diskplads nok til at der kunne gemmes en kopi af alle dine filer, så vil du under egenskaber for hver fil, have en fane ved navn "Previous versions". Så her kan du prøve, om du kan få lov at genskabe dine filer.

Her kan du finde en vejledning til brug af "Restore Previous Versions" hos Microsoft på hhv. Engelsk og Dansk.

Tilbage i 2014 & 2015 fandtes der en service på www.decryptcryptolocker.com, hvor man kunne uploade en fil og så være heldig at få en krypteringsnøgle retur - men denne service er nu desværre lukket, så den skal du ikke bruge kræfter på. Den vil derudover heller ikke være relevant, med alle de nye varianter der har set dagens lys siden da.

Hvis dine data i Dropbox er krypteret, så se her!

Dropbox har en funktion, som gør det muligt at restore tidligere versioner af samme fil - og derved kan du måske restore filen som den så ud, inden den blev krypteret.

Sådan gør du:

  1. Login på DropBox.com website og naviger ned i folderen som indeholde krypterede filer.
  2. Højreklik på en krypteret fil, og vælg "Version History".
  3. Vælg den version af filen du vil restore, og klik på Restore-knappen.
Hvis dine data i Box.com er krypteret, så se her!

Box har en funktion, som gør det muligt at restore tidligere versioner af samme fil - og derved kan du måske restore filen som den så ud, inden den blev krypteret. Funktionen kræver dog, at du har et "Premium"-plan hos Box.com for at du får lov at se & restore tidligere versioner.

Sådan gør du:

  1. Login på box.com website og naviger ned i folderen som indeholde krypterede filer.
  2. Højreklik på en krypteret fil, og vælg "Properties -> Version History".
  3. Vælg den version af filen du vil restore, og klik på Restore-knappen.
Hvis dine data på Google Drive er krypteret, så se her!

Google Drive har en funktion, som gør det muligt at restore tidligere versioner af samme fil - og derved kan du måske restore filen som den så ud, inden den blev krypteret. 

Sådan gør du:

  1. Gå til http://drive.google.com
  2. Klik på en fil.
  3. Øverst til højre, klikker du på "More" (de 3 prikker over hinanden).
  4. Klik "Manage versions".
  5. Klik "More" (de 3 prikker over hinanden).
  6. Klik "Download" for at gemme en kopi på din computer.
Hvorfor véd en webdesigner noget om det her?

Godt & relevant spørgsmål.....!

Den korte historie er, at jeg har en fortid som it-konsulent med fokus på sikkerhed. Så da én af mine større kunder for nogle år siden blev ramt af denne plage og fik krypteret nogle terrabyte data, hvoraf et par dages meget vigtigt arbejde ikke var med i backuppen - så var der ingen anden udvej, end at sætte sig ind i hvad Crypt0l0cker var for en størrelse. Og det endte med, at vi fik dekrypteret alle data.

Den viden jeg fik om emnet på dette tidspunkt, kunne jeg jo ligesågodt lade andre få del i - og det er nok dén beslutning der er grunden, til at du nu sidder og læser dette :)

Hvorfor véd en webmand noget om crypt0l0cker?

Godt & relevant spørgsmål.....!

Den korte historie er, at jeg har en fortid som it-konsulent med fokus på sikkerhed. Så da én af mine større kunder for nogle år siden blev ramt af denne plage og fik krypteret nogle terrabyte data, hvoraf et par dages meget vigtigt arbejde ikke var med i backuppen - så var der ingen anden udvej, end at sætte sig ind i hvad Crypt0l0cker var for en størrelse. Og det endte med, at vi fik dekrypteret alle data.

Den viden jeg fik om emnet på dette tidspunkt, kunne jeg jo ligesågodt lade andre få del i - og det er nok dén beslutning der er grunden, til at du nu sidder og læser dette :)

Til toppen