Ransomware och kidnapparprogram – är ett växande hot på nätet

0

Vad är ett ransomware?

Ransomware (kidnapparprogram) har blivit allt vanligare och det är skadlig kod som begränsar tillträdet till datorn som blivit smittad, och kräver en lösensumma betalas för att begränsningen ska upphävas och tas bort. Med lösensummor har pengar överförts till malware ekonomin. Ofta är det billigare för privatpersonen att betala lösensumman och gå vidare med sitt liv och business.

Ransomware är väldigt lukrativ business för cyberkriminella och nischen har ökat i omfattning. 2015 betalades det ut 40 miljoner USD. 2016 beräknades att 1 miljard USD betalades ut i Ransomware vilket gör det till den mest lönsamma kriminella affärsmodellen inom malware sektorn.

Staden Baltimore drabbades av en större ransomware attack den 7 maj 2019, där den totala incident kostnaderna uppskattas till minst 18, 2 miljoner dollar enligt Baltimore Sun. stadsledningen har inte uppgett någon tidsplan för hur länge det kommer att återhämta sig mer än att de sagt att det kan vara månader.

Alla organisationer är utsatta och man räknar med att 35% av alla företag drabbades 2016. En del av de kriminella pengarna  går till FoU  och om några år kommer vi troligtvis se verkligen skrämmande saker när pengarna återinvesterats i nya verktyg.

Hur fungerar ransomware virus?

Programmen sprids till stor del med skräppost. Hackern designar ett program som tar gisslan och filen som innehåller programmet skickas som en biogad fil i ett email. Programmet söker igenom offrets dator och letar efter filer som har en viss ändelse exempelvis .xls, .pdf och .doc filer och krypterar dessa. Offret kan bara låsa upp dem genom en unik kod.

Debatten har skiftat kring hur skaparna av destruktiva malware och cybervapen, som ursprungligen varit avsedda för motståndare till USA, har kommit i orätta händer och använts mot ”vänliga” mål och allierade.

Varför utförs den här typen av attacker?

  • Ransomware-attacker använd som rökridåer
  • Ransomware används för utpressning
  • Hackarna kombinerar angreppsmetoder för att skada och störa

Det är vanligt att man blir drabbad då man klickar på en länk i ett email och mailet kan vara skickad från någon i din kontaktlista. Användare bör vara försiktiga att öppna e-post och i synnerhet e-postbilagor från personer som är okända eller går till länkar som verkar misstänkta.

Vad är Crypto ransom program?

Crypto ransom program har vuxit och blivit en nisch inom datasäkerhetsområdet och företagen opererar på liknande sätt som legala företag med bra gränssnitt och på flera olika språk!

Betalningarna till hackerföretagen sker oftast i Bitcoin. Riktigt läskiga och obehagliga ransomware är cryptolocker malware som krypterar offrets filer och som inte återställer och ger en nyckel till filerna om den som drabbas inte betalar 300 dollar via Bitcoin. Ofta går det att förhandla ner priset på att få tillbaka kontrollen över sin dator.

Kända ransomware program

Användningen av Ransomware ökade betydligt efter 2016. Skadlig kod med namn som Cryptolocker, TorLocker och TeslaCrypt där hackare krypterade filer för att sedan kräva lösen för att låsa upp dem. Ett Ransomware kallas ”Locky” som vände sig till användare i mer än 50 länder – många av dem i Europa.

Det finns en uppsjö av olika kända ransomware program.

  • Zepto – det är en form av Locky Ransomware och det finns för närvarande inget sätt att dekryptera filer som blivit krypterade. Det enda alternativet att få tillbaka filerna är att ha en back-up finns eller betala lösen.
  • Bart – distribueras via phishing e-postmeddelanden med titeln ”Bilder” som innehåller en bifogad zip-fil som antas vara bilder. När den infekterade zip mappen öppnas, innehåller den JavaScript-filer med skadliga program som kallas RocketLoader, som installerar Bart Ransomware på datorn.
  • CryptXXX och Cryptomix är en otäck form av programvara som inte bara krypterar filer på offrens dator utan också angriper alla filer på anslutna lagringsenheter. Detta program kan stjäla pengar från kryptovalutawallets som lagras på din dator eller skicka känsliga uppgifter till angriparna för ytterligare dataintrång. Cryptomix är en av de dyraste som kostar 3 bitcoins som motsvarar ungefär 2000 USD. Efter ett tag går de ner i pris.
  • Jigsaw
  • Shade
  • Torrent locker
  • Cerber Ransomware – sprids genom Office 365 Miljontals Microsoft Office 365 användare har potentiellt blivit utsatta för en massiv zero-day Cerber Ransomware attack där de fått hotbrev och en ljudvarning där de blivit informerade om att deras filer blivit krypterade.
  • RAA är ett nytt ransomware som använder JavaScript

Hur kan organisationer hantera cyberbrottslingar som knackar på din bakdörr?

Det finns lösningar för följande ransomware.

Du  kan ladda ner lösningar från https://www.nomoreransom.org

  • Cryptolocker ransomware, låser filerna
  • Wildfire decryptor – är ett malware som spridits i Belgien och Nederländerna
  • Chimera Decryptor
  • Teslacrypt Decryptor
  • Shade Decryptor
  • CoinVault Decryptor
  • Rannoh Decryptor
  • Rakhni Decryptor

En undersökning med Spiceworks med över 300 IT-proffs bekräftar det växande hotet från Ransomware och hur det påverkar organisationer. I Sverige har polisviruset varit vanligt i många organisationer som lurat många användare. Läs mer om polisviruset. Andra internatioenlla ransomware är tex ”FBI Moneypak” eller ”FBI virus”.

För de flesta ransomware kan man ta bort viruset utan att förlora sina filer men metoden varierar beroende på vilket virus som har infekterat datorn.

F-secure har skrivit en rapport om de olika Ransomprogrammen som finns, priser och hur de fungerar.
Ladda ner PDF-fil från F-secure

Hur skyddar du dig mot ransomware

Det är viktigt att skydda sig och ofta behöver du använda olika metoder. Bästa skyddet är att ha bra backup rutiner och undvika att klicka på mail som ser misstänkta ut. Om du har backuper så är risken att du blir utpressad mindre.

  • Se till att använda backuper och ta backup regelbundet – då kan du alltid återställa filerna från din extra kopia om du behöver det
  • Aktivera brandväggen
  • Använd robusta antivirusprogram
  • Använd alltid de senaste versionerna av olika program och i synnerhet webbläsare och pdf-acrobat.
  • Lite inte på någon inte ens dina vänner eftersom det kan vara sociala attacker. Se till att surfasäkert och undvik att öppna upp email attachment som du misstänker kan innehålla skadlig kod
  • Visa hela filändelsen (show file extensions) i Windows – det gör det enklare att se och upptäcka ifall du riskerar att öppna ”farliga filer” som .exe, .vbs eller .scr.
  • Använd program som Cryptoprevent som skyddar filer från att bli krypterade.
  • Det finns projekt som NoMoreRansom som är en webbplats dit du kan vända dig och se ifall det finns någon lösning på filerna som krypterats. Du får ladda upp krypterade filer så ser de ifall det finns någon lösning. NomoreRansom har publicerat en Ransomware dekryptering verktyg för dem som smittats av exempelvis Wildfire.

Vad gör jag ifall min datorskärm är låst och jag kan inte öppna den?

Det finns flera olika verktyg som du kan använda för att ta bort olika typer av ransomware vilket ofta fungerar bättre än att betala till utpressarna.

Exempel hur ett ransomware mail kan se ut

Självklart ska du inte betala pengar till ett ransomware och du ska inte skrämmas upp även om mailet ser ut att komma från dig själv.

Hello!
I’m a programmer who cracked your email account and device about half year ago. You entered a password on one of the insecure site you visited, and I catched it.
Your password from XXXX on moment of crack: 345 Of course you can will change your password, or already made it. But it doesn’t matter, my rat software update it every time.
Please don’t try to contact me or find me, it is impossible, since I sent you an email from your email account. Through your e-mail, I uploaded malicious code to your Operation System.
I saved all of your contacts with friends, colleagues, relatives and a complete history of visits to the Internet resources. Also I installed a rat software on your device and long tome spying for you.
You are not my only victim, I usually lock devices and ask for a ransom. But I was struck by the sites of intimate content that you very often visit.I am in shock of your reach fantasies! Wow! I’ve never seen anything like this!I did not even know that SUCH content could be so exciting!
So, when you had fun on intime sites (you know what I mean!) I made screenshot with using my program from your camera of yours device. After that, I jointed them to the content of the currently viewed site. Will be funny when I send these photos to your contacts! And if your relatives see it?
BUT I’m sure you don’t want it. I definitely would not want to …I will not do this if you pay me a little amount.
I think $839 is a nice price for it!
I accept only Bitcoins.
My BTC wallet: 1PL9ewB1y3iC7EyuePDoPxJjwC4CgAvWTo
If you have difficulty with this – Ask Google ”how to make a payment on a bitcoin wallet”. It’s easy. After receiving the above amount, all your data will be immediately removed automatically. My virus will also will be destroy itself from your operating system. My Trojan have auto alert, after this email is looked, I will be know it!
You have 2 days (48 hours) for make a payment. If this does not happen – all your contacts will get crazy shots with your dirty life! And so that you do not obstruct me, your device will be locked (also after 48 hours)
Do not take this frivolously! This is the last warning! Various security services or antiviruses won’t help you for sure (I have already collected all your data). Here are the recommendations of a professional: Antiviruses do not help against modern malicious code. Just do not enter your passwords on unsafe sites!
I hope you will be prudent.
Bye.

Om författaren

Daniel Larsson jobbar med Cybersecurity och datasäkerhet. Under åren har han marknadsfört säkerhetsbolag inom områden som PKI, certifikat, digital signering, mobil säkerhet och kryptering. Han har tung erfarenhet av digital marknadsföring, webbutveckling och e-handel från några av världens största varumärken.

Share via