Slik redder du data etter virusangrep

SJOKK: Virusene Urausy og Gimemo kan låse maskinen din, og kun vise deg dette skjermbildet. Der bes du om å betale for dine piratsynder, eller holdes utenfor PC-en til evig tid. (Foto: Per Ervland)
SJOKK: Virusene Urausy og Gimemo kan låse maskinen din, og kun vise deg dette skjermbildet. Der bes du om å betale for dine piratsynder, eller holdes utenfor PC-en til evig tid. (Foto: Per Ervland)

Nytt virus hevder politiet og Tono krever penger for å låse opp maskinen. Ikke betal.

DinSide Norsk senter for informasjonssikring (NorSIS), politiet , Telenors sikkerhetssenter, Tono og det meste som kan krype og gå av norske sikkerhetseksperter advarer nå mot to nye virus: Urausy og Gimemo.

Det vil si: Virusene er ikke nye, men de har nylig blitt oppdaget i norsk drakt. Man bruker norske logoer og norsk språk, og selv om det er langt fra feilfritt, er norsken bedre enn det man ofte ser hos datakriminelle.

De to virusene hevder å ha låst maskinen din på vegne av henholdsvis politiet eller Tono. Begge hevder dette er gjort fordi det er oppdaget piratkopiert materiale på PC-en, og for å låse opp maskinen blir brukeren bedt om å betale en bot på 1.000 kroner.

– Men så vidt vi forstår, blir ikke PC-en opplåst om man betaler. Og uansett er 1.000 kroner mye å gi mafiaen, sier analytiker Jan Roger Wilkens i Telenors sikkerhetssenter (TSOC) til DinSide.

Ikke bare pornosider

"FRA POLITIET": Urausy-viruset påstår at du har "brutt Opphaveretts og Nærstående Rettighets Loven (Åndsverksloven)" og derfor må betale 1.000 kroner for å låse opp maskinen din. Politiet ville selvfølgelig aldri gjort noe slikt. (Skjermdump: Botnets.fr, CC BY-SA)

Foreløpig kjenner man ikke til at viruset har infisert norske PC-er. Men det ligger klart, og kan spres når som helst. Kriminelle lager ikke norske drakter til virusene sine for moro skyld.

Tidligere i år ble en rekke nordmenn infisert av liknende virus. Den lugubre familien kalles "ransomware", eller løsepengevirus, og konseptet er å få ofrene til å betale en sum i bytte mot tilgang på PC-en sin.

Som DinSide har fortalt er det ikke lenger bare lugubre pornosider og pirathavner som sprer virus til nordmenn. Løsepengeviruset tidligere i år ble blant annet spredd via ITPro.no, og Teknisk Ukeblads nettsted TU.no spredde i slutten av august virus til sine lesere.

Les mer: Slik sprer norske nettsider virus til deg

– De fleste infeksjoner vi ser kommer fra surfing på helt vanlige sider, forteller Wilkens, som påpeker at han først og fremst jobber mot bedrifter.

Vanskelig å bli kvitt

Den beste måten å bli kvitt skadevare på er fortsatt å slette alt og installere hele PC-en på nytt, eller "format c:" som man gjerne kjente det som i eldre dager. For det første kan det rett og slett være vanskelig å identifisere og fjerne et virus, og for det andre er sjansen stor for at du har mer skadevare på PC-en om du først har hatt uvedkommende på besøk.

"FRA TONO": "Ulovlig nedlastet musikk (piratnedlasting) er funnet på din datamaskin" påstår Gimemo-viruset. "Unnlatelse av å overholde denne forespørselen kan involvere kriminelle anklager og mulig fengselsstraff" skrives det videre. (Skjermdump: Botnets.fr, CC BY-SA)

Problemet med å starte med helt blanke ark er selvfølgelig at man mister alt som ligger på harddisken; inkludert bilder, musikk og dokumenter. Og derfor er det aller beste å være forberedt på at et virus kan finne veien til PC-en din uansett hvor forsiktig du er.

– Man bør ha en mulighet for å redde ut dataene sine, sier Wilkens i TSOC. Men selvfølgelig, husk også på reglene for å unngå virus: Hold operativsystem og programmer oppdatert, last bare ned filer fra nettsteder du stoler på og ha sikkerhetsprogrammer installert.Et annet konkret tips: Unngå sponsede lenker i Google for å slippe virus

Metode #1: "USB-boot"

Har viruset låst maskinen din risikerer du å ikke engang kunne starte i Windows sin sikkerhetsmodus. Da kan løsningen være å starte med et helt annet operativsystem, via for eksempel en minnepinne eller en DVD-plate. Wilkens har ikke prøvd den selv, men har hørt mye godt om

SIKKERHETSKOPI: Med en ekstern harddisk kan du ta sikkerhetskopier uten at harddisken er utsatt for angrep. Om du trekker ut pluggen, vel og merke. (Foto: Brynjulf Blix)SIKKERHETSKOPI: Med en ekstern harddisk kan du ta sikkerhetskopier uten at harddisken er utsatt for angrep. Om du trekker ut pluggen, vel og merke. (Foto: Brynjulf Blix)

Ved å installere denne på en minnepinne eller brenne den på en DVD, kan man starte maskinen derfra i stedet for fra harddisken, og dermed unngå både Windows og viruset.

En slik løsning kan hjelpe deg med å fjerne skadevaren, men kanskje like viktig: Det kan gi deg en mulighet til å redde filene dine. Urausy og Gimemo krypterer såvidt Wilkens vet ikke filene, slik at de er fullt lesbare, bare man gjør det utenfor Windows. Dermed kan du kopiere bilder og liknende ut fra harddisken og inn på for eksempel en minnepinne, slik at de er trygge selv om harddisken senere må slettes totalt.

Metode #2: "Offline backup"

Er du riktig uheldig, har løsepengeviruset ødelagt filene dine med kryptering. Da vil man ikke nødvendigvis kunne redde dem via en alternativ oppstart som forklart over. Og om filene dine er ødelagt, er det kanskje bare én løsning som fungerer: Å ha sikkerhetskopier.

Det er banalt, men det er fortsatt den enkleste løsningen for de aller fleste. Én ting kan det være verdt å merke seg: Skal man være ordentlig sikker, anbefaler Wilkens at man har en avkoblet sikkerhetskopi; en "offline backup". Altså sikkerhetskopier på en harddisk som ikke er koblet opp mot internett; i praksis en ekstern harddisk som kobles ut av PC-en så snart man har kopiert det man skal. På den måten unngår man virus får tilgang på filene dine. Wilkens minner om at sikkerhetskopier i skyen (på nettet) også kan være i fare når du får krypterende virus, om filene kan nås gjennom operativsystemets filsystem. I praksis: Om du får opp filene gjennom en egen stasjon i filutforskeren.

Fint program for dette: Slik fungerer Paragon Drive Backup & Recovery 2012 Free

Les flere nyheter


Mer fra ABC Nyheter
Siste fra forsiden