Krypterer filer og krever betaling

LÅST: Når filene dine er kryptert, får du dem ikke tilbake med mindre du har nøkkelen som trengs for å låse opp. Foto: All Over Press
LÅST: Når filene dine er kryptert, får du dem ikke tilbake med mindre du har nøkkelen som trengs for å låse opp. Foto: All Over Press
Artikkelen fortsetter under annonsen

Har du blitt rammet, får du ikke tilbake filene med mindre du betaler.

Denne artikkelen er over ett år gammel og kan innholde utdatert informasjon

Artikkelen fortsetter under annonsen

Sikkerhetseksperter hos Dell SecureWorks oppdaget tidligere i år en ny ransomware, kalt Cryptowall. I følge selskapet er dette den største og mest destruktive trusselen av sin sort pr i dag.

Ransomware betegner ondsinnede programmer hvis funksjon er å gjøre skade på maskinen din, for så å forlange løsepenger for å rette den opp igjen. De finnes i et utall varianter, og selv om mange av dem kan fjernes med antivirusprogramvare, er det i utgangspunktet ingenting som klarer å fjerne den nye generasjonen, som baserer seg på kryptering av filer.

Mest kjent er CryptoLocker, som ble oppdaget høsten 2013. Det estimeres at denne programvaren har infisert mellom 500.000 og 1.000.000 Windows-PC-er. Tidligere i sommer skrev vi også om Synolocker; en lignende løsning som angrep Synologys nettverksdisker.

Artikkelen fortsetter under annonsen
Artikkelen fortsetter under annonsen

La oss først se på hvordan disse uhumskhetene fungerer:

Sprer seg via epost

CryptoLocker, CryptoWall og lignende løsninger sprer seg hovedsakelig gjennom e-postvedlegg, der brukeren får en epost med en .zip-fil, som innholder en .exe-fil (et kjørbart program) om man pakker den opp.

Denne er imidlertid kamuflert som en pdf-fil, fordi ikonet til fila er det samme som pdf-filer har ellers i operativsystemet. Dessuten sier tilsier filnavnet at det er snakk om en faktura, ordrebekreftelse og lignende. Derfor er det lett å gå fem på og åpne fila.

Saken fortsetter under bildetFORSIKTIG: Får du eposter som dette bør du ikke klikke på lenken.FORSIKTIG: Får du eposter som dette bør du ikke klikke på lenken.

Artikkelen fortsetter under annonsen
Artikkelen fortsetter under annonsen

Dog er det ikke kun per epost folk har blitt smittet – det kan også skje ved å laste ned et «gratisprogram» fra et ikke alt for pålitelig nettsted, eller via sikkerhetshull i nettleseren. Synolocker spredte seg for eksempel via sikkerhetshull i programvaren i nettverksdisken.

Artikkelen fortsetter under annonsen

Krypterer filene

Når fila åpnes, infiseres maskinen, og så henter programmet ned en offentlig krypteringsnøkkel fra bakmennenes servere på nettet. Denne brukes så for å kryptere en drøss av filer på harddisken og tilkoblede disker – dokumenter, bilder, musikkfiler, regneark og lignende. Nettlagringstjenester som Dropbox, samt nettverksstasjoner, trenger heller ikke å være fritatt for krypteringen.

Er en fil blitt kryptert, kan man ikke lenger lese innholdet i den. For å gjøre det trenger man en nøkkel (den private nøkkelen) som brukes for å dekryptere filene igjen, og det er her løsepengene kommer inn.

Krever tusenvis av kroner

Når krypteringen av filene er ferdig, vises et vindu på skjermen som informerer brukeren om at filene er blitt kryptert.

Slik ser det for eksempel ut for CryptoWall:

Saken fortsetter under bildetAIAI: Her får brukeren beskjed om at filene er blitt kryptert, og at man må betale løsepenger for å kunne låse dem opp igjen.AIAI: Her får brukeren beskjed om at filene er blitt kryptert, og at man må betale løsepenger for å kunne låse dem opp igjen.

Artikkelen fortsetter under annonsen

For å få tak i den private nøkkelen, er brukeren nødt til å besøke en nettside og betale bakmennene i den digitale valutaen Bitcoin (eller lignende valutaer) til en gitt adresse, som kan være forskjellig for hvert offer. Summen er typisk et par-tre tusen kroner hvis man slår til med en gang, der beløpet både dobles og firedobles om man venter for lenge. I ett tilfelle måtte offeret betale 10.000 dollar.

Artikkelen fortsetter under annonsen

Med denne betalingsformen holdes både kjøper og selger anonym. Med CryptoLocker lot bakmennene ofrene få laste opp én fil til dekryptering, for å bevise at remediet fungerte, og det antas at bakmennene har tjent millioner av dollar på slike betalinger.

Saken fortsetter under bildetTJENER MILLIONER: Her har brukeren betalt cirka 3000 kroner i bitcoin og får da nøkkelen til å låse opp filene sine igjen.TJENER MILLIONER: Her har brukeren betalt cirka 3000 kroner i bitcoin og får da nøkkelen til å låse opp filene sine igjen.

Artikkelen fortsetter under annonsen

Hva kan man gjøre om man er infisert?

Dette er det snedige med disse løsningene – man har i utgangspunktet ikke annet valg enn å betale for å få tilgang til filene sine igjen.

Det finnes ingen antivirusprogrammer eller lignende som kan dekryptere filene igjen, så lenge den private nøkkelen som er nødvendig for dekryptering ikke er tilgjengelig.

Når det er sagt, lyktes det amerikanske justisdepartementet i samarbeid med blant annet FBI, Interpol, universiteter og sikkerhetsselskaper å knekke det såkalte GameOver Zeus-nettverket som stod for distribusjonen av Cryptolocker.

Det nederlandske selskapet Fox-IT klarte så, i samarbeid med FireEye, å hente ut de private nøklene som var nødvendige for dekryptering. De har laget en nettjeneste for de som har blitt rammet av CryptoLocker.

Den finner du her: https://www.decryptcryptolocker.com/

Artikkelen fortsetter under annonsen

Brukere som er rammet av CryptoLocker kan besøke denne nettsiden, laste opp en fil som er blitt kryptert og dernest få tilsendt det de trenger på epost for å dekryptere resten av filene.

Artikkelen fortsetter under annonsen

Du har imidlertid ingen garanti for at historien om CryptoWall eller andre lignende løsninger får en like lykkelig slutt.

Ta sikkerhetskopier

Det beste er selvsagt om du har en sikkerhetskopi av de viktige filene dine, noe alle uansett burde ha, siden PC-er kan bli stjålet, plutselig ta kvelden eller lignende.

I dette tilfellet ser vi imidlertid at det ikke nødvendigvis holder å ha en sikkerhetskopi på en disk som er koblet til maskinen (enten direkte eller via nettverket), så det beste er egentlig å ha en sikkerhetskopi som ikke har forbindelse til internett.

Før du kobler den til bør du selvsagt sørge for å bruke et oppdatert antivirusprogram for å påse at trusselen er fjernet.

Artikkelen fortsetter under annonsen

GÅ TILBAKE: Via Windows innebygde funksjon for skyggekopier, kan man gjenopprette en tidligere versjon av filer.GÅ TILBAKE: Via Windows innebygde funksjon for skyggekopier, kan man gjenopprette en tidligere versjon av filer.

Skyggekopier:
Flere nettlagringstjenester, for eksempel Dropbox, gir deg mulighet til å gå tilbake til en tidligere utgave av en bestemt fil. Det gjør også Windows – en funksjon som har vært tilgjengelig lenge. Ved å bruke noe av diskplassen til såkalte skyggekopier, kan du senere gjenopprette en tidligere utgave av fila ved å høyreklikke på den og velge tidligere versjoner.

Dette forutsetter selvsagt at du har aktivert funksjonen på forhånd. Du kan også lese mer om hvorden dette fungerer hos howtogeek.

Vær dog varsom – CryptoWall prøver også å slette skyggekopier som er lagret på maskinen, som gjør det umulig å gjenopprette tidligere versjoner.

Artikkelen fortsetter under annonsen

Gjenopprettingsprogrammer:
Når slike løsninger krypterer en fil, slettes den opprinnelige fila etter at den nye (krypterte) fila er skrevet. Dermed kan du være heldig å få gjenopprettet filer som er slettet. Det er lettere jo mindre du har skrevet til harddisken i mellomtiden.

Artikkelen fortsetter under annonsen

Les også: Guide – redd slettede filer

Online Tech Tips gjorde for øvrig nylig en test av fem slike gjenopprettingsprogrammer.

Hvordan kan man forhindre å bli infisert?

Det første budet for ikke å bli infisert av slike løsninger er å være litt kritisk i sin netthverdag. For oss nordmenn er det nok lettere å identifisere slike falske eposter fordi de er på engelsk eller på Google translate-norsk, men vær generelt varsom når det gjelder lenker og vedlegg i eposter der du har grunn til å tro at innholdet kan være falskt.

I tillegg gjelder det å sørge for at sikkerhetsprogrammer man har installert kontinuerlig er oppdatert til siste versjon; det samme for nettleseren. Et eget program, Cryptoprevent nevnes også flere steder på nettet som en god forsvarsmekanisme mot CryptoLocker og lignende løsninger.

(Kilder: Secureworks , Wikipedia , Bleepingcomputer)