Det krävs stor medvetenhet om säkerhet och försiktighet för att förhindra att en genomsnittlig programvara attackerar ditt system, men det är mycket svårare att bekämpa angreppet efter att det faktiskt har ägt rum. När viruset .odin angriper en Windowsdator blir det dubbelt så svårt att hantera angreppet. Viruset hittar och krypterar flera sorters filer på lokala nätverksenheter, vilket leder till en oslagbar kombination av RSA- och AES-kryptografi.
Den uppdaterade versionen av den skadliga programvaran Locky har utrustats med nya instruktioner och ett nytt sätt att döpa om filer. Den tydligaste förändringen är förlängningen .odin, som läggs till på filer som användaren inte längre kan öppna eller redigera. Filnamn byts ut mot 32 symboler, med bindestreck som delar upp symbolerna i fem grupper. Observera att den tidigare versionen .zepto inte längre är aktuell. Det värsta är användningen av kryptosystemen RSA-2048 och AES-128, som gör det i princip meningslöst att försöka hitta en kostnadsfri lösning på problemet. Blandningen av symmetriska och asymmetriska krypteringsalgoritmer låser data som inte går att återställas såvida användaren inte får tillgång till den privata nyckeln. Denna värdefulla information finns på en extern plats och kan bara erhållas mot en lösensumma på cirka $300, som betalas i kryptovalutan Bitcoin.
Brottslingarna bakom programvaran Odin är definitivt inga nybörjare. Bluffmakarna verkar ganska professionella, om man ser till programvarans robusta känsla, designen hos GUI-modulerna, och hur frekvent deras koder uppdateras. Den nuvarande versionen av trojanen innehåller inga motsägelsefulla instruktioner, utan visar bara de absolut nödvändigaste bitarna för offret: det personliga ID-numret, som är ett unikt sätt att identifiera offret vid transaktioner, och en URL som endast fungerar i webbläsaren Tor. Namnen på dessa dokument lyder: _HOWDO_text.html och _HOWDO_text.bmp. En kopia av varje dokument sparas på skrivbordet, och i de drabbade platserna på datorn.
När den drabbade användaren försöker följa angriparens instruktioner hamnar de i webbläsaren Tor, på en sida som heter “ Locky Decryptor Page”. Detta är i princip en betalningstjänst. Offret uppmanas att använda .onion-sidan för att betala 0,5 BTC, och i utbyte mot detta ska offret få den tidigare nämnda nyckeln och avkrypteringsprogrammet Locky Decryptor. Sidan innehåller ingen information om en deadline för att betala, men utpressarna brukar höja lösensumman om offret dröjer med betalningen i mer än en vecka.
Metoden för att undvika viruset .odin utgår från det särskilda angreppssättet. Viruset kan utnyttja svagheter i en dators programvara efter att användaren hamnat på en skadlig webbplats. Det är därför viktigt att åtgärda brister i operativsystemet varje gång en ny uppdatering presenteras. Öppna inte heller bifogade filer i mejl från okända personer, företag eller organisationer. Om din dator redan har smittats bör du följa nedan steg för att försöka åtgärda skadan.
Utplåning av denna skadliga programvara är möjligt med hjälp av ett pålitligt säkerhetsprogram. Den automatiska rengöringstekniken säkerställer att alla komponenter av viruset rensas bort från din dator.
Metod 1: Använd ett program för filåterställning
Det är viktigt att veta att Odin-viruset skapar kopior av dina filer och krypterar detta. De ursprungliga filerna raderas. Det finns dock ett par applikationer som kan återställa den raderade informationen, till exempel Data Recovery Pro. Den nyaste versionen av viruset brukar dock radera filer på ett säkert sätt, med flertalet överskrivningar, men metoden är i alla fall värt ett försök.
Metod 2: Använd backup
Till att börja med är det här ett jättebra sätt att återställa dina filer. Det fungerar dock bara om du har backat upp den information som lagrats på din dator. Om du har gjort detta ska du absolut utnyttja din smarthet.
Metod 3: Använd skuggkopior
Alla vet inte detta, men operativsystemet skapar så kallade skuggkopior av alla filer, förutsatt att Systemåterställning är aktiverat på datorn. Återställningspunkter skapas vid specifika intervaller, och då skapas även kopior av filer i det skick de är i just den stunden. Den här metoden kan alltså inte återställa den senaste versionen av dina filer, men det är ändå värt ett försök. Denna metod går att använda på två sätt, manuellt eller med hjälp av en automatisk lösning. Låt oss först titta på den manuella metoden.
Egenskapsrutan för många filer har en flik som heter Tidigare versioner. Det är där som de tidigare versionerna visas, och kan hämtas. Högerklicka på en fil, välj Egenskaper, klicka på den ovan nämnda fliken, och välj Kopiera eller Återställ, beroende på var du vill spara versionen.
Processen ovan kan automatiseras med ett verktyg som heter ShadowExplorer. Det gör egentligen samma sak (hämtar skuggkopior), men på ett smidigare sätt. Ladda ned och installera applikationen, kör den, och bläddra bland de filer och mappar som du vill återställa tidigare versioner av. Klicka på något av objekten och välj Export.
Att enbart ta bort den skadliga programvaran leder som sagt inte till att dina personliga filer avkrypteras. Ovan metoder för att återställa information kan förhoppningsvis fungera, men den skadliga programvaran hör självklart inte hemma i din dator. I många fall medför den skadliga programvaran andra skadliga programvaror, och därför är det mycket viktigt att regelbundet skanna din dator med ett automatiskt säkerhetsprogram för att kontrollera att inga skadliga rester av viruset och relaterade hot finns inuti Windowsregistret och andra platser.