Wednesday, August 31, 2016

Interaction Studio starter ikke etter Cryptolocker angrep

Ved en Trio installasjon var det plutselig problemer med å starte Interaction Studio. Det stoppet på meldingen "could not load the template file".

For å få mer bakgrunnsinformasjon sjekker filen c:\Users\<username>\AppData\Roaming\InteractionStudio. Der finnes det mer informasjon rundt hvilken fil man ikke får tilgang til ved oppstart av Interaction Studio:
Trykk for større bilde
Finner mappestrukturen bak via Internet Information Server Manager og ser der at innholdet i mappen er kryptert av CryptoLocker virus:



I dette tilfellet var løsningen å dekryptere filene ettersom kunden hadde verktøy for dette fra et angrep som var for kort tid tilbake. Alternativt hadde det vært nødvendig å legge filene tilbake fra Backup. Man kan finne eventuelle andre filer som kan ha vært kryptert ved å søke gjennom serveren etter "*HELP_instructions.html".

Selve angrepet med påfølgende overskriving må ha skjedd på en PC med Trio klienten installert og med tilhørende tilgang til delte områder på Trio serveren. Det medførte ingen nedetid på Trio systemet sett bort fra manglende tilgang til Interaction Studio.