Hjelp! Jeg aktiverte «etiketten» fra Posten, den som inneholdt løsepengevirus!

Hentemeldingen fra Posten så tilforlatelig ut. Men den var IKKE sendt av Posten. Den inneholdt trolig et løsepengevirus... www.johnsteffensen.no

Løsepengevirus eller ransomware? Hva skulle jeg gjøre…?

Jeg aktiverte «etiketten» fra Posten, den som inneholdt løsepengevirus!

Om det som jeg gjorde for å bli kvitt løsepengevirus eller ransomware…

Jeg var rask i vendingen da jeg i juletravelheten (2016) mottok en mail fra Posten som fortalte at de ikke kunne levere en pakke til meg pga. mangelfull adressering. Dette kunne løses ved at jeg hentet en adresselapp gjennom å klikke på en stor rød knapp i mailen. Jeg var trolig en av de første som i denne omgang ble hjemsøkt av nettkriminelle, og selv om jeg stusset noe over logikken i mailen, var jeg likevel dum nok til å aktivere etiketten. Ikke bare en gang, men to…

Et par timer senere kunne jeg lese på nettet at dette var enda et svindelforsøk der Postens gode navn og rykte var blitt misbrukt av kriminelle. Ved å «skrive ut denne etiketten», hvilket jeg altså gjorde to ganger, kunne harddisken låse seg, og alle mine data bli kryptert. Så kunne jeg bare vente på at noen tok kontakt med meg for å kreve løsepenger, slik at jeg atter kunne få dataene igjen. Jeg kan forsikre om at det var ingen god følelse at noen hadde vært så simpel og ville ramme meg på en slik ondskapsfull måte.

Løsepengevirus: Slik jeg opplevde det…

Hva skjedde – og hva gjorde jeg da jeg fortstod at jeg var blitt lurt? For det første; harddisken låste seg ikke umiddelbart. Selv etter at «pausehjulet» hadde snurret i mange sekunder etter at jeg hadde aktivert etikett-knappen. Etter en stund stanset hjulet… og skjermen ble hvit med lite eller ingen tekst. Jeg tenkte dette var en systemfeil, så jeg ville prøve en gang til. Men jeg betakket meg, jeg ville se det litt an, studere meldingen fra Posten enda nøyere… Jo, dette så greit ut, ingen åpenbare skrivefeil, og det meste på stell, pent utført var det også. Det virket seriøst, det kunne være en ny vri fra Posten. Dermed prøvde jeg en gang til. Jeg overså igjen den lille dialogboksen som fortalte at dette handlet om en ukjent utgiver, og at jeg i verste fall kunne ødelegge PC’en ved å gå videre. Dumme meg gikk videre! Atter en gang snurret hjulet rundt en stund (ca 10-15 sekunder) til det stanset med hvit skjerm.

Løsepengevirus eller ransomware kan snike seg inn i PCen under dekke av å være noe seriøst eller skikkelig. Som en trojansk hest... www.johnsteffensen.no
Løsepengevirus eller ransomware kan snike seg inn i PCen under dekke av å være noe seriøst eller skikkelig… www.johnsteffensen.no

Nå var jeg sikker; dette var fusk og fanteri! Var jeg virkelig blitt rammet av ransomware eller løsepengevirus?

Nå var jeg sikker! Dette var ikke Posten, dette var fusk og fanteri! Og nå var jeg trolig fanget… Da advarslene om ransomware eller løsepengevirus noen timer senere spredte seg på nyheter og i sosiale medier, hadde min datamaskin for lengst vært avslått og frakoblet internett. For hva ville skje hvis jeg startet opp igjen? Ville alt gå i svart eller hvitt? Jeg våget ikke å prøve.

I stedet startet jeg et detektivarbeid for å finne ut hva jeg kunne gjøre med svineriet, dersom PC’en var blitt infisert. Jeg googlet, søkte og leste, og jeg snakket med noen som har betydelig mer greie på data enn meg. Ingen av dem hadde vært borti tilsvarende virus, og i så måte tråkket vi jomfruelig mark. Jeg måtte gjøre noe som ingen av mine informanter hadde erfaring med selv.

Min gode nevø ble redningen

Min gode nevø, Nils Magne, ble til uvurderlig hjelp. Jeg sendte en sms til ham, og etter noen timers grubling ringte han meg tilbake. Vi satt flere timer og pratet sammen, og i pausene forsøkte han å finne en mulig vei ut av uføret. Fremdeles var maskinen avslått. Det gjaldt om å ikke starte Windows, vi måtte i så fall gå utenom selve operativsystemet. Muligens hadde virusprogrammet Bitdefender (som jeg hadde hatt installert på PC’en) allerede nøytralisert løsepengeviruset, men dette kunne vi ikke vite. Løsepengevirus er et lite program som når det aktiveres, f.eks. ved å trykke på den nevnte knappen, eller en åpner et vedlegg, straks begynner å ødelegge eller kryptere filer på datamaskinen. Snart vil alt som fins på den, bli borte. Programmet spres via operativsystemet (Windows), og det var grunnen til at jeg ikke måtte starte opp Windows igjen. Slik var det i hvert fall i teorien.

Løsepengevirus eller ransomware kan også ta styringen over PC'en... www.johnsteffensen.noBrukte mange timer på å ta knekken på viruset

Jeg innrømmer gjerne at disse to klikkene ga meg betydelig ekstraarbeid, noe som stjal svært mange lørdags- og søndagstimer denne helgen. Det var mye å sette seg inn i, og for en som ikke kan programmere eller forstår seg så veldig mye på hvordan en datamaskin fungerer, var dette opplegget betydelig utenfor egen komfortsone. Men jeg ville gjerne prøve selv, i hvert fall forsøke å gjøre det som min nevø foreslo.

Les også: Nettkriminalitet i praksis

Her følger en liten gjennomgang av hva som ble gjort for å komme et eventuelt løsepengevirus (ransomware) til livs.

Så for å gjøre en lang historie kort… Her følger en liten gjennomgang av hva som ble gjort for å komme et eventuelt løsepengevirus (ransomware) til livs. Husk at min maskin ikke gikk i svart med en gang, men at jeg hadde aktivert den beryktede etiketten to ganger, noe som i følge ekspertene betydde at jeg hadde gått i fellen, og at harddisken kom til å bli ødelagt. Kanskje var det Bitdefenders antivirusprogram (gratisversjonen) som blokkerte for løsepengeviruset straks det prøvde seg, eller kanskje var det det følgende regimet som førte til at vi lyktes med å rense maskinen for eventuelle uhumskheter?

Ikke noen fasit

La meg først si et par ting: Det som nå følger er ikke noe fasitsvar, men det kan gi en pekepinn på hva som kan forsøkes. Min datamaskin låste seg ikke, den gikk heller ikke i svart, og om den hadde gjort så, vil trolig det siste punktet (E) være redningen. Jeg er ingen dataekspert, og det er sikkert ikke alt som beskrives nedenfor er like smart eller tilrådelig, eller for den saks skyld riktig oppfattet. Husk likevel at jeg to ganger hadde aktivert knappen og dermed ga løsepengeviruset (eller det ondsinnede programmet) en mulig tilgang til PC’en. Selv om jeg fikk en advarsel om at utgiveren var ukjent, og at filen kunne ødelegge PC’en, var jeg sløv nok til å gå videre. PC’en kunne nå bli kryptert, og om litt ville jeg bli kontaktet av folk som ville gi meg dataene igjen mot betaling av løsepenger – eller at det ville dukke opp en nettside (evt. dialogboks) som ville fortelle hvor mye jeg måtte betale for å få innholdet på PC’en tilbake. 

Her er hva jeg gjorde:

A) Jeg sjekket straks etter at jeg hadde aktivert etiketten, hva Bitdefender (virusprogrammet) kunne berette: «You are protected!» Kanskje hadde virusprogrammet ordnet biffen selv…? Jeg åpnet Downloads og fant zip-filen fra Posten. Denne ble slettet og etterpå fjernet fra søppelspannet (trashcan).

B) Jeg koblet PC’en fra routeren, et eventuelt virusprogram skulle ikke få infisere andre enheter på hjemmenettverket mitt. Siden maskinen ikke hadde låst seg umiddelbart, gjorde jeg noe som trolig ikke er tilrådelig; jeg lot virusprogrammet scanne PC’en. Heller ikke nå ble det funnet et virus eller et ukjent program. Skanningen var «en suksess, maskinen var beskyttet«, lød Bitdefenders konklusjon. Men løsepengevirus er laget slik at det farlige programmet lurer seg forbi PC’ens beskyttelse, og deretter starter sin ødeleggende virksomhet innenfra, som en trojansk hest.

C) Nå slo jeg av maskinen. PC’en skulle ikke surre og gå et sekund for mye. Det var ille nok at den hadde kjørt videre under punkt A og B, men det var de ovennevnte tiltakene som var det første som falt meg inn da jeg fryktet at jeg hadde fått ransomware på PC’en. Nå var det tid for å sjekke grundig hva som kunne gjøres videre. Det ble en del telefoner, og det ble en del googling. Jeg hadde heldigvis en lap top tilgjengelig, og via denne kunne jeg lese meg opp på problemet, bl.a. ved å sjekke andres erfaringer med tilsvarende virus. Dette siste var deprimerende lesning!

D) Ett av forslagene gikk ut på å foreta en gjenoppretting av PC’en fra et tidligere tidspunkt. Det var riktignok en del uenighet om dette blant folk som har mer greie på data enn meg, men det var verdt et forsøk. PC’er med Windows 7 eller nyere versjoner, kan gjenopprettes fra et tidligere oppstarts-tidspunkt, f.eks. fra en dato før PC’en ble angrepet av løsepengevirus. Men selv om dette var ingen farbar vei, ville jeg forsøke. Dessverre lyktes jeg ikke med gjenopprettingen for ingen av gjenopprettingspunktene fungerte. PC’en lystret ikke, og da fryktet jeg det verste! Endatil etter at jeg avinstallerte virusprogrammet, ville ikke PC’en gjenopprettes slik den hadde vært for noen uker siden. Og nå hadde jeg samtidig ingen beskyttelse all den tid virusprogrammet var blitt fjernet. (For å gjenopprette PC’en fra en tidligere dato: Finn på skrivebordet «This PC» og høyreklikk. Velg deretter «System protection» og «System Restore». Forsøk å gjenopprette PC’en fra en dato før et eventuelt virusprogram kunne ha infisert maskinen.)

På www.bitdefender.com fins mange typer antivirusprogram. Det var her vi fant Bitdefender Rescue CD som trolig tok knekken på viruset. Dette er hvordan Rescue CD kommer til syne på skjermen når du booter den spesialbrente CDen. www.johnsteffensen.no
På www.bitdefender.com fins mange typer antivirusprogram. Det var her vi fant Bitdefender Rescue CD som trolig tok knekken på viruset. Dette er hvordan Rescue CD kommer til syne på skjermen når du booter den spesialbrente CDen. www.johnsteffensen.no

E) Min nevø mente at jeg nå kun hadde en mulighet igjen; å laste ned en såkalt iso-fil på en annen datamaskin, og deretter foreta en spesiell brenning av iso-filen på en CD (evt. USB minnepinne) (CD’en måtte skrives via kommandoen «Burn Disc Image» – eller på norsk «Brenn som bildeavlesning»), og deretter skulle iso-filen kjøres i den infiserte PC’en UTEN å starte Windows! (VIKTIG). Jeg måtte derfor «boote» maskinen. Dette var definitivt betydelig utenfor min komfortsone, så for meg var dette nesten gresk. Men min nevø, Nils Magne, er ikke bare en kløpper på data, han er også en dyktig pedagog, et naturtalent som evner å gjøre kompliserte data-greier begripelige, og etter en god redegjørelse fra ham om hva iso-filer var, og hva disse kunne brukes til, valgte jeg å prøve. Dette var tross alt trolig siste mulighet til å ta knekken på et eventuelt løsepengevirus – eller ødeleggende program som kanskje krypterte alle filene på maskinen når Windows ble aktivert.

Det var Bitdefender Rescue CD (gratis) som ble redningen, et program som fins på Bitdefender.com. Hvordan du bruker dette programmet – og hvordan du booter PC’en din – finner du ved å lese «How to Scan Your Computer with Bitdefender Rescue CD». Et lite tips: Om du ikke lykkes med bootingen ved første forsøk fordi maskinen først må åpne CD-stasjonen når den starter opp, så STOPP før du blir bedt om å logge deg på (og dermed starte Windows)! Om du kommer til PC’ens brukernavn og passord, IKKE gå videre, men restart maskinen og hold på/trykk F12 eller den kommandoknappen som gjelder for din PC. Da vil Bitdefender Rescue CD starte opp etter at du har gitt PC’en beskjed om at datamaskinen skal startes fra CD’en som nå befinner seg i CD/DVD-stasjonen (evt USB-porten hvis du bruker minnepinne). Snart dukker det opp et stilig bilde (se illustrasjon i denne artikkelen) sammen med en del tekst. Velg engelsk utgave. Så er det bare å la Bitdefender Rescue CD’en redde PC’en. Det tar sin tid (en time eller to), for iso-filen er et bilde av PC’ens operativsystem som Bitdefender Rescue CD trinn for trinn sammenligner med det som faktisk fins på PC’en. Hvis Bitdefender finner noe i operativsystemet som avviker fra bildet (iso-filen) på redningsCD’en, registreres avviket/avvikene. Til sist mottar du en rapport som viser hvor mange uhumskheter programmet har funnet, samtidig som du får spørsmål om hva som skal gjøres med det som ikke hører hjemme der. Selv valgte jeg «Disinfect», og alle de infiserte programdelene ble snart slettet av Bitdefender Rescue CD.

VIKTIG: For at PC’en skal kunne lese Rescue-CD’en (ISO-filen) når den bootes, programmet være brent som bildeavlesning eller «Burn Disc Image». Hvis ikke vil CD’en bare snurre rundt og rundt uten mål og mening. Får du ingen meldinger på skjermen, kan det være at CD’en er brent feil. Du skal nemlig se bilde og meldinger på skjermen dersom alt er gjort riktig! Det kan være at du blir bedt om Username og Password når du holder på med Bitfinder Rescue CD. Etter det jeg har lest meg frem til, er brukernavnet: livecd mens passordet skal stå åpent (leave blank). Om du ikke kommer videre, kan det lønne seg å boote Bitfinder Rescue CD en gang til. I mitt tilfelle var det denne restarten som gjorde susen, og som førte til at jeg kom videre.

Deretter ble det å reinstallere Bitdefender antivirusprogrammet, det som jeg hadde avinstallert tidligere i prosessen da jeg prøvde å gjenopprette PC’en fra en tidligere dato, og da antivirusprogrammet var ferdig installert, kunne jeg atter bruke PC’en. Nå var den minst like god som før, og alle mine data var på plass!

Har skrevet dette for å hjelpe andre i en tilsvarende situasjon

Hipp hurra for min kjære nevø, Nils Magne, som aldri ga seg på tap, og som viste stor tålmodighet med meg da redningsaksjonen pågikk. Og til deg som opplever noe lignende med PC’en din, har jeg skrevet dette for at du kanskje kan få noen ideer om hva som eventuelt kan gjøres dersom maskinen låser seg. Men du må handle på eget ansvar. Jeg kan ikke innestå for at alt som her er omtalt, er like smart eller hensiktsmessig å gjøre. Men PC’en ble i det minste reddet – selv om jeg hadde gått på limpinnen og aktivert den farlige «etiketten» eller hentelappen fra Posten, handlingen som kunne ødelegge PC’en min.  John Steffensen / www.johnsteffensen.no ©

Les også: Se hvor sårbar smarttelefonen og andre mobile enheter er  Dvs. mer om løsepengevirus

 

La andre få vite om dette innlegget..