Αντιμετώπιση ιών κρυπτογράφησης (Locky,Coinvault κ.α)

Αντιμετώπιση ιών κρυπτογράφησης (Locky,Coinvault κ.α)

Εδώ και πολύ καιρό, έρχονται πελάτες με το ίδιο πρόβλημα. Κλειδωμένα αρχεία από διάφορες εκδόσεις Ransomware.

Το πρόβλημα υπάρχει εδώ και 5 έτη τουλάχιστον με διάφορες εκδόσεις, άλλες με μικρό αντίκτυπο και άλλες που προκαλούν τεράστια καταστροφή στα αρχεία ενός υπολογιστή. Ειδικά στις περιπτώσεις που δεν γίνεται κάποιο υποτυπώδες backup, τότε το πρόβλημα είναι καταστροφικό. Το μέγεθος της καταστροφής των αρχείων μπορεί να φτάσει και το 100% στις περισσότερες περιπτώσεις.

figure4Περιγραφή Προβλήματος

Το ransomware είναι μια εφαρμογή που έρχεται ως συνημμένο σε ένα e-mail. Οι περισσότεροι έμπειροι χρήστες το αντιλαμβάνονται, αλλά όταν τρέχει η δουλειά αυτό το διπλό κλικ γίνεται ενστικτωδώς. Έχω δει και e-mails πιο ύπουλα.

Από τη στιγμή που θα επιλέξετε το συνημμένο της μορφής zip. jpeg, pdf, doc κ.α, αρχίζει η κρυπτογράφηση των αρχείων και η μετονομασία τους με διάφορες καταλήξεις.(.locky, .zzzzz, κτλ). Τα αρχεία μας πλέον έχουν κρυπτογραφηθεί και αν δεν υπάρχει backup, τότε τα έχουμε χάσει.

Οι κατασκευαστές ζητούν λύτρα για να ξεκλειδώσουν τα αρχεία σας από 2000€ και πάνω ανάλογα με την έκδοση του ransomware.

Μετά τι κάνουμε ; Υπάρχει λύση ;

Η πρώτη κίνηση είναι να βγει ο ιός από τον υπολογιστή μας, υπάρχουν πολλά άρθρα σχετικά, αλλά η εμπειρία μας στο θέμα λέει ότι σωστή διαγραφή θα γίνει με ένα καλό antivirus (Πληρωμένο), μην περιμένετε με δωρεάν εκδόσεις να βγάλετε άκρη. Τα πρώτα βήματα είναι σημαντικά ειδικά αν δεν έχετε backup, ώστε να μπορέσουμε να σταματήσουμε την πορεία της κρυπτογράφησης όσο μπορούμε. Μπορείτε να κατεβάσετε μια δοκιμαστική έκδοση βέβαια χωρίς κόστος από εδώ (Kasperksy Internet Security). Από τη στιγμή που καθαρίσει το Antivirus τον υπολογιστή μας, πάμε στο επόμενο βήμα που είναι επαναφορά των αρχείων μας.

Επιλογές επαναφοράς

fig-1-volume-shadow-copy-service-used-to-restore-previous-versions-folderΤα Windows έχουν το Shadow Copy, που πρακτικά είναι προηγούμενες εκδόσεις των αρχείων μας. Αυτή η λειτουργία βέβαια από προεπιλογή κρατάει πολύ μικρό αριθμό αντιγράφων με την λογική του γλιτώνω χώρο. Αν κάνετε δεξί κλικ σε οποιοδήποτε φάκελο ή αρχείο θα δείτε την επιλογή Προηγούμενες εκδόσεις (Ελληνικά Windows) ή Previous versions (English Windows). Επιλέγοντας λοιπόν, μας ανοίγει ένα παράθυρο όπως απεικονίζεται στην δίπλα φωτογραφία. Ένα ωραία πρόγραμμα σχετικά με αυτή τη λειτουργία μπορείτε να το κατεβάσετε από εδώ (Shadow Explorer), θα σας βοηθήσει ιδιαίτερα στην ανάκτηση προηγούμενων εκδόσεων.

Πολλές φορές η παραπάνω λειτουργία δεν θα είναι διαθέσιμη, επομένως αυτό που μπορούμε να κάνουμε είναι να κατεβάσουμε διάφορα εργαλεία αποκρυπτογράφησης. Δυστυχώς ο ιός εξελίσσεται και τα εργαλεία αυτά δεν βοηθούν, παρόλα αυτά τα χαμένα αρχεία καλό είναι να τα κρατήσουμε, μήπως στο μέλλον προκύψουν νέες εκδόσεις.

Το πρώτο είναι της Trend micro και μπορείτε να το κατεβάσετε από εδώ .

Το δεύτερο είναι ένα set από decryptors της Kasperksy, που προϋποθέτει ότι γνωρίζετε ποια έκδοση έχετε. Στους οδηγούς που υπάρχουν θα βρείτε τρόπους αναγνώρισης. Περισσότερα εδώ

Σύνοψη

Δυστυχώς ή ευτυχώς το Internet κινείται με πολύ γρήγορους ρυθμούς και πολλοί χρήστες χωρίς την απαραίτητη εξοικείωση στο αντικείμενο της ηλεκτρονικής αλληλογραφίας, βρίσκονται αντιμέτωποι με πολλά προβλήματα. Προληπτικά θεωρώ ότι ένα καλό Antivirus (Πληρωμένο) θα σώσει πολλές φορές από τέτοιου είδους προβλήματα. Επειδή βλέπω και πολλές επιχειρήσεις μικρές ή μεσαίες με μεγάλο όγκο αρχείων χωρίς υποτυπώδες backup, ένας εξωτερικός σκληρός δίσκος αρκεί, δεδομένου βέβαια ότι γίνεται περιοδική χρήση και δεν είναι ΜΟΝΙΜΑ συνδεδεμένος πάνω στον υπολογιστή, όπου και θα χάναμε αρχεία και από εκεί.