SJOKK: Virusene Urausy og Gimemo kan låse maskinen din, og kun vise deg dette skjermbildet. Der bes du om å betale for dine piratsynder, eller holdes utenfor PC-en til evig tid.  Foto: PER ERVLAND
SJOKK: Virusene Urausy og Gimemo kan låse maskinen din, og kun vise deg dette skjermbildet. Der bes du om å betale for dine piratsynder, eller holdes utenfor PC-en til evig tid. Foto: PER ERVLANDVis mer

Slik redder du data etter virusangrep

Nytt virus hevder politiet og Tono krever penger for å låse opp maskinen. Ikke betal.

Norsk senter for informasjonssikring (NorSIS), politiet, Telenors sikkerhetssenter, Tono og det meste som kan krype og gå av norske sikkerhetseksperter advarer nå mot to nye virus: Urausy og Gimemo.

Det vil si: Virusene er ikke nye, men de har nylig blitt oppdaget i norsk drakt. Man bruker norske logoer og norsk språk, og selv om det er langt fra feilfritt, er norsken bedre enn det man ofte ser hos datakriminelle.

De to virusene hevder å ha låst Windows-maskinen din på vegne av henholdsvis politiet eller Tono. Begge hevder dette er gjort fordi det er oppdaget piratkopiert materiale på PC-en, og for å låse opp maskinen blir brukeren bedt om å betale en bot på 1.000 kroner.

– Men så vidt vi forstår, blir ikke PC-en opplåst om man betaler. Og uansett er 1.000 kroner mye å gi mafiaen, sier analytiker Jan Roger Wilkens i Telenors sikkerhetssenter (TSOC) til DinSide.

"FRA POLITIET": Urausy-viruset påstår at du har "brutt Opphaveretts og Nærstående Rettighets Loven (Åndsverksloven)" og derfor må betale 1.000 kroner for å låse opp maskinen din. Politiet ville selvfølgelig aldri gjort noe slikt. Foto: Botnets.fr, CC BY-SA Vis mer


Ikke bare pornosider

Foreløpig kjenner man ikke til at viruset har infisert norske PC-er. Men det ligger klart, og kan spres når som helst. Kriminelle lager ikke norske drakter til virusene sine for moro skyld.

Tidligere i år ble en rekke nordmenn infisert av liknende virus. Den lugubre familien kalles "ransomware", eller løsepengevirus, og konseptet er å få ofrene til å betale en sum i bytte mot tilgang på PC-en sin.

Som DinSide har fortalt er det ikke lenger bare lugubre pornosider og pirathavner som sprer virus til nordmenn. Løsepengeviruset tidligere i år ble blant annet spredd via ITPro.no, og Teknisk Ukeblads nettsted TU.no spredde i slutten av august virus til sine lesere.

Les mer: Slik sprer norske nettsider virus til deg

– De fleste infeksjoner vi ser kommer fra surfing på helt vanlige sider, forteller Wilkens, som påpeker at han først og fremst jobber mot bedrifter.

Vanskelig å bli kvitt

Den beste måten å bli kvitt skadevare på er fortsatt å slette alt og installere hele PC-en på nytt, eller "format c:" som man gjerne kjente det som i eldre dager. For det første kan det rett og slett være vanskelig å identifisere og fjerne et virus, og for det andre er sjansen stor for at du har mer skadevare på PC-en om du først har hatt uvedkommende på besøk.

"FRA TONO": "Ulovlig nedlastet musikk (piratnedlasting) er funnet på din datamaskin" påstår Gimemo-viruset. "Unnlatelse av å overholde denne forespørselen kan involvere kriminelle anklager og mulig fengselsstraff" skrives det videre. Foto: Botnets.fr, CC BY-SA Vis mer


Problemet med å starte med helt blanke ark er selvfølgelig at man mister alt som ligger på harddisken; inkludert bilder, musikk og dokumenter. Og derfor er det aller beste å være forberedt på at et virus kan finne veien til PC-en din uansett hvor forsiktig du er.

– Man bør ha en mulighet for å redde ut dataene sine, sier Wilkens i TSOC.

Men selvfølgelig, husk også på reglene for å unngå virus: Hold operativsystem og programmer oppdatert, last bare ned filer fra nettsteder du stoler på og ha sikkerhetsprogrammer installert.

Et annet konkret tips: Unngå sponsede lenker i Google for å slippe virus

Metode #1: "USB-boot"

Har viruset låst maskinen din risikerer du å ikke engang kunne starte i Windows sin sikkerhetsmodus. Da kan løsningen være å starte med et helt annet operativsystem, via for eksempel en minnepinne eller en DVD-plate. Wilkens har ikke prøvd den selv, men har hørt mye godt om Kaspersky Rescue Disk. Ved å installere denne på en minnepinne eller brenne den på en DVD, kan man starte maskinen derfra i stedet for fra harddisken, og dermed unngå både Windows og viruset.

En slik løsning kan hjelpe deg med å fjerne skadevaren, men kanskje like viktig: Det kan gi deg en mulighet til å redde filene dine. Urausy og Gimemo krypterer såvidt Wilkens vet ikke filene, slik at de er fullt lesbare, bare man gjør det utenfor Windows. Dermed kan du kopiere bilder og liknende ut fra harddisken og inn på for eksempel en minnepinne, slik at de er trygge selv om harddisken senere må slettes totalt.

Om du ønsker å slippe å formatere harddisken, må du i alle fall huske å ta et par søk til med noen flere antivirus-programmer etter at PC-en tilsynelatende har blitt frisk. Vi blir tipset om at Malwarebytes, som vi også har omtalt tidligere, skal fungere bra ved Urusay-infeksjon.

SIKKERHETSKOPI: Med en ekstern harddisk kan du ta sikkerhetskopier uten at harddisken er utsatt for angrep. Om du trekker ut pluggen, vel og merke. Foto: Brynjulf Blix Vis mer


Metode #2: "Offline backup"

Er du riktig uheldig, har løsepengeviruset ødelagt filene dine med kryptering. Da vil man ikke nødvendigvis kunne redde dem via en alternativ oppstart som forklart over. Og om filene dine er ødelagt, er det kanskje bare én løsning som fungerer: Å ha sikkerhetskopier. Det er banalt, men det er fortsatt den enkleste løsningen for de aller fleste.

Én ting kan det være verdt å merke seg: Skal man være ordentlig sikker, anbefaler Wilkens at man har en avkoblet sikkerhetskopi; en "offline backup". Altså sikkerhetskopier på en harddisk som ikke er koblet opp mot internett; i praksis en ekstern harddisk som kobles ut av PC-en så snart man har kopiert det man skal. På den måten unngår man virus får tilgang på filene dine.

Wilkens minner om at sikkerhetskopier i skyen (på nettet) også kan være i fare når du får krypterende virus, om filene kan nås gjennom operativsystemets filsystem. I praksis: Om du får opp filene gjennom en egen stasjon i filutforskeren. Men sikkerhetskopi på for eksempel Dropbox kan være fint så lenge viruset ikke gjør annet enn å stenge maskinen.

Fint program for dette: Slik fungerer Paragon Drive Backup & Recovery 2012 Free

LURT MED SSD: En SSD-disk kan gjøre maskinen raskere, men også tryggere. Bruker du SSD-disken til programvare og en annen harddisk til data er du heldigere om uhellet er ute. Foto: Bjørn Eirik Loftås Vis mer


Metode #3: To harddisker

En relativt enkel løsning som kan fungere om viruset ikke krypterer filene dine, er å bruke to harddisker. Mange velger i dag å ha en SSD-disk for operativsystem og programmer, og en annen for data som bilder, filmer, musikk og dokumenter. Dette er ikke bare lurt for hastighet; det er også lurt for sikkerhet.

For om et løsepengevirus (som ikke krypterer) stenger deg ute fra maskinen, kan du ganske enkelt nappe ut harddisken med dataene dine og være relativ sikker på at de er trygge. Deretter kan du slette alt og installere operativsystemet på nytt på SSD-en, sette inn den gamle harddisken med dataene dine og ikke ha mistet så mye som en MP3.

Å lage to partisjoner på disken kan også gjøre noe av den samme nytten, selv om Wilkens anbefaler å ha to fysiske harddisker. Blant annet fordi du bokstavelig talt kan fjerne den fra den infiserte maskinen.

– Hva hadde du selv gjort om du hadde blitt infisert av et slikt løsepengevirus?

– Det er jeg jommen ikke sikker på. Det er veldig vanskelig å bli kvitt alt. Jeg hadde i alle fall prøvd å få reddet ut tingene mine, svarer Wilkens.

Les også: Poster Twitter-kontoen av seg selv? Slik fjerner du Twitter-virus!