Get in touch with us!

How to solve poor man’s crypto ransomware

by Jon Jander | 24 February, 2017 | Featured posts

The ransom-ware out the have been around for a while and people have finally seen the benefits of cloud storage. But files are still synced to a local folder on the computer and are therefore still vulnerable. Microsoft helps customer to restore batches of files that have been encrypted so most of the data will be in good hands regardless.

But the ransom-ware creators know this. So by doing a renaming attack instead, the cloud vendors are unable to help because they don’t see the renaming of a file as a file changes and no file history is ever created.

One type of ransom-ware we came across just added a new random file extension to all the files. No encryption was ever made and the extensions followed a pattern so restoring the files was easy.

By using this simple PowerShell script I was able to rename all the files back to their original names.

The regex pattern I used is, “\.[\w]{1,6}\.[\w]{6}$”. Is matches a string which ends with a dot followed by 1-6 characters followed by another dot and end with exactly 6 characters. Of course there is a chance of false positives, so comment out the “rename-item”-part of the script until you know it’s doing the right thing.

cd C:\test
$files = Get-ChildItem -Recurse 
$files | ? {$_.Name -match "\.[\w]{1,6}\.[\w]{6}$"} | % {
    [string]$newName = $_.Name.Substring(0,$_.Name.Length - 7)
    write-host ("Renaming {1} New name {0}" -f $_.Name.Substring(0,$_.Name.Length - 7),$_.Name)
    rename-Item -Path $_.FullName -NewName $newName 
}

The result after the script.

Submit a Comment

Your email address will not be published. Required fields are marked *

Starkare tillsammans

Bolag inom både publik och offentlig sektor efterfrågar en alltmer kostnadseffektiv, platsoberoende och säker digital arbetsplats. Därför går nu Altitude 365 och Uclarity samman och bildar ett gemensamt specialistbolag.
Fortsätt på Altitude 365Kolla in Exobe

Altitude 365 + Uclarity – Årets Modern Work Partner!

Vinnaren är ett bra exempel på hur en “Born in the Cloud” ständigt förbättrar sitt erbjudande, arbetar nära och proaktivt med Microsoft för att hjälpa kunderna på deras digitaliseringsresa. Plus att vi på Microsoft verkligen ser fram mot den nya bolags-konstellationen (Altitude 365 + Uclarity) för ett “Starkare Tillsammans”.

Uclarity och Altitude 365 - Starkare tillsammans

Uclarity är specialister på digitala möten, telefoni, kontaktcenter och digitalt arbetssätt. Altitude 365 är specialister på säkerhet, mobilitet och hur bolag kan optimera resan till Microsoft365. Nu gör vi gemensam sak och bildar bolag tillsammans.

– Pandemin har tydliggjort behoven av en modern digital arbetsplats och vi har diskuterat ett samgående med Altitude 365 under en längre tid. Våra kunder har behov av specialistkompetens och tillsammans blir vi en ledande specialist inom Digital Workplace-området, säger Niklas Olsson Hellström, VD Uclarity AB.

Tommy Clark, Partner, Altitude 365, kommenterar:
– Inget bolag köper det andra utan båda bolagen får lika stora delar i det nya bolaget. Vår ledstjärna är att vi blir starkare tillsammans och att vi kan hjälpa våra kunder under hela deras resa.
Målet med sammanslagningen är att kunna hjälpa kunder med både teknik och effektiva arbetssätt.

– Det är då våra kunder får önskad effekt av sin investering i den digitala arbetsplatsen, säger Niklas Olsson Hellström.

Båda bolagen har svenska och internationella kunder från både privat och offentlig sektor. Sammanslagningen resulterar i en organisation på 50+ anställda baserade i Stockholm, Örebro och Göteborg.

För frågor, vänligen kontakta;
Tommy Clarke, Partner, Altitude 365 AB, 0703-593854, tommy.clarke@altitude365.com
Niklas Olsson Hellström, VD, Uclarity AB, 0734-198016, niklas.olsson@uclarity.com

Fortsätt på Altitude 365Kolla in Exobe