ransomware

GIBON-ransomware kan knækkes

Dansk

Ransomwareprogrammet GIBON er dukket op for nylig. Programmet spredes via e-mail med en vedhæftet fil. Hvis man åbner filen og aktiverer makroer, henter og installerer den ransomware.

Ransomwareprogrammet krypterer data på pc'en. Alle filer, der ikke ligger i Windows-mappen, bliver krypteret. Filerne omdøbes, så de ender på .encrypt.

Endvidere placerer GIBON en fil ved navn READ_ME_NOW.txt i alle mapper med krypterede filer.

Sikkerhedsforsker Michael Gillespie har udviklet et program, der kan knække krypteringen, så data kan gendannes.

Kampagne spreder ransomware med millioner af mails

Dansk

I løbet af 24 timer registrerede sikkerhedsfirmaet AppRiver over 23 millioner e-mails, der forsøgte at inficere modtagernes pc'er med ransomware.

Mailens emnefelt kan indeholde et af følgende:

  • please print
  • documents
  • photo
  • images
  • scans
  • pictures

Vedhæftet mailen er en ZIP-fil, der indeholder endnu en ZIP-fil. Den indeholder et Visual Basic Script. Hvis man kører scriptet, forsøger det at hente en version af ransomwareprogrammet Locky.

Data krypteret af Notpetya kan ikke gendannes

Dansk

Sikkerhedsfirmaet Kaspersky har efter en analyse af Notpetya konkluderet, at det ikke er muligt at dekryptere data, som truslen har krypteret. Det skyldes, at der mangler et installations-ID.

Notpetya, som har bredt sig på nettet siden tirsdag, minder om ransomwareprogrammet Petya. Men der er en forskel: Petya gemmer et installations-ID, som er nødvendigt for at kunne identificere den pc, der er ramt.

"Ofre kan ikke gendanne deres data," konkluderer Kaspersky.

Petya-variant går efter computere på lokalnettet

Dansk

Truslen viser sig i form af en besked til brugeren om, at vedkommendes filer er krypteret. Den ligner den velkendte Petya-ransomware. Nogle sikkerhedsforskere er dog i tvivl, om det er en variant af Petya. Derfor kaldes den også for NotPetya.

Programmet kræver 300 dollars i løsesum, der skal overføres til en Bitcoin-konto. Endvidere skal offeret sende en række tekniske informationer om det inficerede system til bagmændene via en mail-adresse. Den er nu lukket, så det er ikke muligt at sende oplysningerne. Dermed kan ofre ikke modtage en nøgle, der dekrypterer de ramte filer.

Ransomware-angreb rammer bredt

Dansk

Ifølge beskeder på Twitter er Mærsks containerterminal i Rotterdam ramt. Et par spanske virksomheder skal også være ramt. En række it-systemer i Ukraine ser også ud til at være berørt.

Ransomwareprogrammet, der er spredt i dag, ser ud til at være en variant af Petya, der også er kendt som Goldeneye.

Fordi den spredes så hurtigt, antager sikkerhedsfirmaet Bitdefender, at den kan blive spredt i form af en orm. Men det er ikke bekræftet.

Ofre får besked om, at deres data er krypteret. For at få adgang til dem igen, skal de betale en løsesum på 300 dollars.

Værktøj hjælper ofre for Jaff-ransomware

Dansk

Jaff har været spredt på nettet siden maj måned. Det er ransomware, der krypterer offerets data og kræver en løsesum for at udlevere nøglen, der kan dekryptere data.

Sikkerhedsforskere fra Kaspersky har fundet en fejl i Jaffs programkode. Den gør det muligt at dekryptere data uden at betale løsesummen.

Krypterede filer kan kendes på, at deres filnavn ender på .jaff, .wlu eller .sVn.

Filerne kan gendannes med værktøjet Rakhni Decryptor, der også håndterer en række andre ransomwareformater.

Anbefaling

Ofre for Jaff bør afprøve det gratis værktøj.

WannaCry sjusker med sletning

Dansk

Sikkerhedsfirmaet Kaspersky har fundet flere fejl i programkoden til WannaCry. Fejlene medfører, at filer ikke altid slettes fuldstændig.

I nogle tilfælde markeres filerne kun som slettede. Derfor er det muligt at gendanne dem med et værktøj til gendannelse af slettede filer.

Det gælder blandt andet, når filerne ikke ligger i en mappe, som WannaCry opfatter som vigtig. Vigtige mapper er fx Dokumenter og Skrivebord.

Anbefaling

Afprøv værktøjer til gendannelse af slettede filer, hvis I er ramt af WannaCry.

Ransomware XData spredes i Ukraine

Dansk

Programmet, der kaldes XData, spredte sig i fredag tre gange hurtigere end WannaCry i Ukraine. Det vides ikke, hvordan programmet spredes.

XData bruger AES-kryptering (Advanced Encryption Standard) til at kode data på computeren, så man skal bruge en nøgle for at kunne læse dem. Filer omdøbes til at slutte på ~xdata~.

Anbefaling

Brug sikkerhedssoftware til at beskytte mod angreb fra skadelige programmer.

Dekryptering til WannaCry virker på systemer der ikke er genstartet

Dansk

Flere sikkerhedsforskere står bag Wanakiwi. Det kan dekryptere filer, som WannaCry (WanaCrypt0r) har kodet.

Metoden kræver imidlertid, at krypteringsnøglerne befinder sig arbejdslageret. Det gør de typisk, indtil systemet genstartes.

Wanakiwi ser ud til at virke på Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008 og 2008 R2, samt Windows 7.

Anbefaling

Ofre for WannaCry bør afprøve Wannakiwi, hvis de ikke har genstartet det ramte system.

Sider

Abonnér på RSS - ransomware