Ransomware Nefilim – Hvad? Hvordan? Og hva’ så?
Jeg siger “endnu en gang” i begges af udtrykkets mening: Endnu en gang fordi “Nefilim slår til igen”, og “endnu en gang” fordi Whirlpool er allerede faldet for same tricks tidligere og det er så anden gang det sker for dem.
Men hvad er Nefilim? Hvordan virker det? Kan det ske for dig? Og hvis ja, er der noget at gøre ved det?
Hvad er Nefilim?
Nefilim (af og til stavet “Nephilim”) er en gruppe pirater og navnet på deres ondsindet program som så er er kategoriseret som ransomware.
Det fungerer ved at trænge ind i et system, kopiere de vigtigste følsomme filer og sende dem til piraterne for derefter kryptere harddisken.
Alle de kompromitterede filer vil have med udvidelsen “.NEFILIM”. For eksempel vises en fil, der oprindeligt hedder noget som “karensbabser.jpg” som “karensbabser.jpg.NEFILIM” efter kryptering.
Når denne processus er afsluttet, oprettes en løsesum-meddelelse inden for “NEFILIM-DECRYPT.txt” på ofrenes desktops.
I denne meddelelsen fortælles der ofrene om, at deres data er blevet krypteret, og at den kryptering ikke kan brydes.
Kun piraterne har nøglen og de lover at sende dig pågældende nøgle hvis deres krav bliver opfyldt.
Indtil nu, var det sådan ransomware plejede at fungere, men Nefilim har tilføjet en “krølle”: Hvis ikke deres krav er opfyldte inden syv arbejdsdage offentliggøres de filer de har snuppet fra system online.
Når man kontakter dem via e-mail, for man at vide at man kan sagtens sikre sig at der ikke er tale om tomme trusler, man kan sende op til to krypterede filer til gruppen for at teste den.
Nefilim har åbnet (i juni 2020, tror jeg) en blog på hvilken de sætter nogle filer fra de, der nægter at betale, online.
Den blog er på “The Dark Web”, naturligvis og ikke lige tilgængelig hvis man ikke lige er vant til at surfe sådan nogle steder (vade retro darkwebtanas!). Og det gør vi andre naturligvis aldrig.
Bloggen er her: http://hxt254aygrsziejn.onion/
Som regel, anbefaler man ikke at tage kontakt med de kriminelle. Dels, sker det gang på gang at folk ikke får nøglen efter betalingen, eller at noget er gået galt under krypteringen eller dekrypteringen så de fleste eller alle data er alligevel gået tabt.
Den eneste løsning i den slags sager er og forbliver: Tag jævnligt backup (på en ekstern harddisk). Hvis den slags sker, så er det bare om at omformatere hele molevitten og bruge backup.
Husk at selv om du måske gør som mig: alle mine dokumenter, billeder, etc. er på min Dropbox, så skal du stadig jævnligt tage backup på et ekstern drev som ikke er knyttet computeren: Tag backup og kobl harddisken fysisk fra.
Hvordan bliver man smittet?
Stort set på samme måde som man bliver smittet af al slags Malware (ondsindede programmer): Det bliver sendt som trojaner.
En trojaner vil “skjule sig” i et andet program og blive aktiveret i stedet for eller samtidigt som et andet program og lægge sig på din computer.
Trojaneren kan gå i aktion med det samme, eller, som det er tilfældet med de fleste ransomware, downloade og aktivere yderligere Malware på offerets computer.
Du finder trojaner i såkaldte “spamkampagner”, som er når man får mails om man har vundet i lotteriet (bare åbn dokumentet), eller se Pia Kjærsgaard nøgen (bare åbn dokumentet), eller hvis du vil download en piratkopi af denne eller denne (helst dyr) program, klik bare på linket her, osv.
Til det, helt ærligt, så vil jeg sige det samme som jeg sagde til mine elever dengang jeg underviste edb i Danmark:
Du kommer på en pornoside og kan se en sort skærm og en stor link: For at se gratis porno, klik her.
Du klikker.
Næste skærm: Du skal være over 18 for at få lov til at se denne side med gratis porno. Er du over 18? Ja/Nej.
Kurt, med tungen ud ad munden klikker på “Ja”.
Næste side: Vi skal bruge en bevis for at du er over 18. En af de måder du kan bevise at du er over 18 er, hvis du har et Visa/Mastercard. Er du i besiddelse af sådan et kort (vi skal ikke bruge det til noget): Ja/Nej
Kurt savler og klikker på Ja.
Næste skærm: Skriv her kortnummer, dato, koden bag ved for at verificere at det er sandt at du har et kort (vi vil ikke hæve noget på det, det er kun for verificere at du er over 18).
Behøver jeg at fortælle hvad der sker efter det?
Johe… Man ser porno, men gratis bliver det bestemt ikke!
Med den slags mail, er det det samme: Hvis du forestiller dig at du kan få et (dyrt) program, gratis eller for yderst få penge eller hvis du vil beglo Pia Kjærsgaard nøgen, så har du næsten fortjent at blive fuppet.
Malware som du vil få via mail vil ofte være fra påstået piger der vil i seng med dig, nogle der vil give dig penge (penge og sex er de to bedste metoder til at få folk til at klikke på hvad som helst).
Du kan også få dem fra en smittet ven eller familiemedlem. Nogle spamsystemer fungerer således at når offerets computer er smittet, så sendes der mails til alle offerets adressebog.
I så fald, så er man mere tilbøjelig til lige at tjekke den Word dokument (Wordmakro-inficering), Excel regneark eller PDF der følger med. Og så er man selv smittet.
Mod det, skal man her igen bruge sin sund fornuft, som er meget mere effektiv end alle antivirusser i verden (nej, jeg bruger ikke antivirus).
Som regel vil mailen være på engelsk og ret lakonisk: “I just received that” eller “Open and check this document for me, please“.
Så er det, man skal spørge sig selv: Plejer du at tale engelsk med din tante Agathe? Og plejer Børge at sende dig sådan filer uden yderligere forklaring?
Er du i tvivl, så kan du jo altid liiiige skrive tilbage til Agathe eller Børge og spørge dem om de virkelig har sendt dig det for det tilfælde hvor I benytter jer af engelsk i ny og næ.
Derfor skal du ikke lytte til råd om at tage dig i agt for mails fra personer du ikke kender. Jo, det skal du, naturligvis, men du skal sandelig også være på vagt over for mails fra personer du kender, især hvis de virker anderledes skruet op end de mails du plejer at modtage fra vedkommende.
Andre måder at få sådan en Malware på er at hente dem selv som nøglefil for ulovligt at aktivere licenserede produkter (“Cracking”). Filen kan være Microsoft Office, PDF, .exe-fil eller så noget og i stedet for at aktivere produktet (eller samtidigt som produktet aktiveres) bliver en trojaner lagt på din maskine.
Her igen, er det i og for sig selvforskyldt. I computerens stenalder var de fleste programmer ikke beskyttede og kunne kopieres frit, senere blev de beskyttede men de var så dyre at mange var nødt til at ty til crack. Men i dag kan man finde et hav af gratis (og lovlige) eller yderst billige produkter, så der er ingen grund til at piratere noget som helst.
Sådan risikerer man så at få en del Malware og ransomware, deriblandt Nefilim.
Tilbage til Nefilim.
Hvad sker der?
Nå Nefilim er installeret på en computer, bliver der åbnet for din computer fra Malware og signalet sendes til piratgruppen.
Piratgruppen får fat i Remote Access og vil bruge programmer som Mimikatz (downloades herfra), PsExec (som er et Microsoft program du kan aktivere fra din computer) og det ekstrem dyre Cobalt Strike (https://www.cobaltstrike.com/).
Ved hjælp af disse programmer vil piraten få flere rettigheder på offerets maskine og ende med administrator rettigheder.
Efter det er det meget nemt at stjæle det, der kan stjæles og efter det, kryptere harddisken og gå i gang med afpresningdelen.
Nefilim beder som regel om beløb i 100.000 $ klassen fra firmaer (ca. 600.000 Kr.) og mellem 5.000$ til 10.000$ fra private (30.000 Kr. til 60.000 Kr.).
Så ja. Det kan sagtens ske for dig, også som privatperson.
Hvad gør man så?
Er du som mig, så har du en backup eller endda op til flere, så er der kun en ting at gøre: Reformatere det hele og gå til din seneste backup. Då er der ikke mere ved det.
Men i det tilfælde du er som min kone, så er din sidste backup fra 2012 og den kan du ikke bruge til ret meget.
Isolere
Det første du skal gøre er at isolere den smittede maskine så virussen ikke spreder sig: Fjern kablet hvis du er på kablet netværk og/eller deaktiver netværkskortene: Både det kablet kort og wi-fi kortet.
Husk at slukke modemmet.
Hvis du har en antimalware program, brug den på de ikke krypterede computere for at rense dem fra Nefilim eller andre Malware. Du kan bruge MalwareBytes antimalware program: https://www.pcrisk.com/download-malwarebytes
Den er betalende men du har vist 14 dage gratis prøvetid.
Den kan ikke fjerne krypteringen, men du kan bruge den på de maskiner som er inficerede men ikke endnu er krypterede. Den burde kunne fjerne de kendte malware og ransomware.
Identificer og rense
Bagefter skal du identificere krypteringen. Der er jo ikke kun Nefilim på spil, men mange andre arter og nogle af dem kan dekrypteres.
På denne side: https://id-ransomware.malwarehunterteam.com/ kan du uploade den ransomware-notat du har fået og en krypteret fil. Ud fra det kan siden fortælle dig hvilken ransomware der er tale om, og om krypteringen kan eller ikke kan dekrypteres. hvis der kan gøres noget ved det, vil denne side give dig de oplysninger og links til hvad du skal bruge for at dekryptere og rense din maskine.
En side, der kan være dig til hjælp med dekryptering til din krypteret maskine er NoMoreRansom (findes på dansk, endda!) https://www.nomoreransom.org/
Endeligt er der et program som kan hjælpe, især hvis dine filer har taget skade, det er EaseUS Data Recovery Wizard Pro. Den er lidt dyr men til at betale (noget med 60$ pr. måned, men du kan nøjes med en måned) og udmærket og intuitiv. Jeg brugte det når jeg smadrede dataer på en af min harddiske og fik stort set alt tilbage.
Men det er især hvis dine filer har taget skade.
Hvis det her ikke virker, så er der kun Den Store Formatering tilbage og en (dyr) lektion om, at man skal huske at bruge den inderside af hovedet … også når computerskærmen er tændt. (Chill)
