Krypterer filer og krever betaling
Har du blitt rammet, får du ikke tilbake filene med mindre du betaler.
Sikkerhetseksperter hos Dell SecureWorks oppdaget tidligere i år en ny ransomware, kalt Cryptowall. I følge selskapet er dette den største og mest destruktive trusselen av sin sort pr i dag.
Ransomware betegner ondsinnede programmer hvis funksjon er å gjøre skade på maskinen din, for så å forlange løsepenger for å rette den opp igjen. De finnes i et utall varianter, og selv om mange av dem kan fjernes med antivirusprogramvare, er det i utgangspunktet ingenting som klarer å fjerne den nye generasjonen, som baserer seg på kryptering av filer.
Mest kjent er CryptoLocker, som ble oppdaget høsten 2013. Det estimeres at denne programvaren har infisert mellom 500.000 og 1.000.000 Windows-PC-er. Tidligere i sommer skrev vi også om Synolocker; en lignende løsning som angrep Synologys nettverksdisker.
Artikkelen fortsetter under annonsenArtikkelen fortsetter under annonsenLa oss først se på hvordan disse uhumskhetene fungerer:
Sprer seg via epost
CryptoLocker, CryptoWall og lignende løsninger sprer seg hovedsakelig gjennom e-postvedlegg, der brukeren får en epost med en .zip-fil, som innholder en .exe-fil (et kjørbart program) om man pakker den opp.
Denne er imidlertid kamuflert som en pdf-fil, fordi ikonet til fila er det samme som pdf-filer har ellers i operativsystemet. Dessuten sier tilsier filnavnet at det er snakk om en faktura, ordrebekreftelse og lignende. Derfor er det lett å gå fem på og åpne fila.
Artikkelen fortsetter under annonsenArtikkelen fortsetter under annonsenDog er det ikke kun per epost folk har blitt smittet – det kan også skje ved å laste ned et «gratisprogram» fra et ikke alt for pålitelig nettsted, eller via sikkerhetshull i nettleseren. Synolocker spredte seg for eksempel via sikkerhetshull i programvaren i nettverksdisken.
Artikkelen fortsetter under annonsenKrypterer filene
Når fila åpnes, infiseres maskinen, og så henter programmet ned en offentlig krypteringsnøkkel fra bakmennenes servere på nettet. Denne brukes så for å kryptere en drøss av filer på harddisken og tilkoblede disker – dokumenter, bilder, musikkfiler, regneark og lignende. Nettlagringstjenester som Dropbox, samt nettverksstasjoner, trenger heller ikke å være fritatt for krypteringen.
Er en fil blitt kryptert, kan man ikke lenger lese innholdet i den. For å gjøre det trenger man en nøkkel (den private nøkkelen) som brukes for å dekryptere filene igjen, og det er her løsepengene kommer inn.
Krever tusenvis av kroner
Når krypteringen av filene er ferdig, vises et vindu på skjermen som informerer brukeren om at filene er blitt kryptert.
Slik ser det for eksempel ut for CryptoWall:
Artikkelen fortsetter under annonsenFor å få tak i den private nøkkelen, er brukeren nødt til å besøke en nettside og betale bakmennene i den digitale valutaen Bitcoin (eller lignende valutaer) til en gitt adresse, som kan være forskjellig for hvert offer. Summen er typisk et par-tre tusen kroner hvis man slår til med en gang, der beløpet både dobles og firedobles om man venter for lenge. I ett tilfelle måtte offeret betale 10.000 dollar.
Artikkelen fortsetter under annonsenMed denne betalingsformen holdes både kjøper og selger anonym. Med CryptoLocker lot bakmennene ofrene få laste opp én fil til dekryptering, for å bevise at remediet fungerte, og det antas at bakmennene har tjent millioner av dollar på slike betalinger.
Artikkelen fortsetter under annonsenHva kan man gjøre om man er infisert?
Dette er det snedige med disse løsningene – man har i utgangspunktet ikke annet valg enn å betale for å få tilgang til filene sine igjen.
Det finnes ingen antivirusprogrammer eller lignende som kan dekryptere filene igjen, så lenge den private nøkkelen som er nødvendig for dekryptering ikke er tilgjengelig.
Når det er sagt, lyktes det amerikanske justisdepartementet i samarbeid med blant annet FBI, Interpol, universiteter og sikkerhetsselskaper å knekke det såkalte GameOver Zeus-nettverket som stod for distribusjonen av Cryptolocker.
Det nederlandske selskapet Fox-IT klarte så, i samarbeid med FireEye, å hente ut de private nøklene som var nødvendige for dekryptering. De har laget en nettjeneste for de som har blitt rammet av CryptoLocker.
Den finner du her: https://www.decryptcryptolocker.com/
Artikkelen fortsetter under annonsenBrukere som er rammet av CryptoLocker kan besøke denne nettsiden, laste opp en fil som er blitt kryptert og dernest få tilsendt det de trenger på epost for å dekryptere resten av filene.
Artikkelen fortsetter under annonsenDu har imidlertid ingen garanti for at historien om CryptoWall eller andre lignende løsninger får en like lykkelig slutt.
Ta sikkerhetskopier
Det beste er selvsagt om du har en sikkerhetskopi av de viktige filene dine, noe alle uansett burde ha, siden PC-er kan bli stjålet, plutselig ta kvelden eller lignende.
I dette tilfellet ser vi imidlertid at det ikke nødvendigvis holder å ha en sikkerhetskopi på en disk som er koblet til maskinen (enten direkte eller via nettverket), så det beste er egentlig å ha en sikkerhetskopi som ikke har forbindelse til internett.
Før du kobler den til bør du selvsagt sørge for å bruke et oppdatert antivirusprogram for å påse at trusselen er fjernet.
Artikkelen fortsetter under annonsenSkyggekopier:
Flere nettlagringstjenester, for eksempel Dropbox, gir deg mulighet til å gå tilbake til en tidligere utgave av en bestemt fil. Det gjør også Windows – en funksjon som har vært tilgjengelig lenge. Ved å bruke noe av diskplassen til såkalte skyggekopier, kan du senere gjenopprette en tidligere utgave av fila ved å høyreklikke på den og velge tidligere versjoner.
Dette forutsetter selvsagt at du har aktivert funksjonen på forhånd. Du kan også lese mer om hvorden dette fungerer hos howtogeek.
Vær dog varsom – CryptoWall prøver også å slette skyggekopier som er lagret på maskinen, som gjør det umulig å gjenopprette tidligere versjoner.
Artikkelen fortsetter under annonsenGjenopprettingsprogrammer:
Når slike løsninger krypterer en fil, slettes den opprinnelige fila etter at den nye (krypterte) fila er skrevet. Dermed kan du være heldig å få gjenopprettet filer som er slettet. Det er lettere jo mindre du har skrevet til harddisken i mellomtiden.
Les også: Guide – redd slettede filer
Online Tech Tips gjorde for øvrig nylig en test av fem slike gjenopprettingsprogrammer.
Hvordan kan man forhindre å bli infisert?
Det første budet for ikke å bli infisert av slike løsninger er å være litt kritisk i sin netthverdag. For oss nordmenn er det nok lettere å identifisere slike falske eposter fordi de er på engelsk eller på Google translate-norsk, men vær generelt varsom når det gjelder lenker og vedlegg i eposter der du har grunn til å tro at innholdet kan være falskt.
I tillegg gjelder det å sørge for at sikkerhetsprogrammer man har installert kontinuerlig er oppdatert til siste versjon; det samme for nettleseren. Et eget program, Cryptoprevent nevnes også flere steder på nettet som en god forsvarsmekanisme mot CryptoLocker og lignende løsninger.
(Kilder: Secureworks , Wikipedia , Bleepingcomputer)