Ransomware – det växande hotet.
Ransomware är ett av de mest högljudda hoten i dag, risken är liten att du missar att du har blivit drabbad. Det drabbar både privatpersoner och företag hårt genom att göra att filer blir otillgängliga och förblir så såvida du inte betalar den lösensumma som begärs ut. Filer som den krypterar ligger oftast inte bara lokalt, utan de inkluderar exempelvis nätverkshårddiskar som finns mappade så att ännu fler blir drabbade.
Infektion sker oftast genom en av två infektionsvägar; antingen via bilagor i phishingmail och ibland finns det även länkar som skickar användaren till URLer som kör exploit-kits. Ett exploit-kit kan utnyttja brister i olika programvaror som användaren har installerad på datorn för att leverera skadlig kod.
Det första ransomwaret sägs vara upptäckt i Ryssland 2006 som då skapade lösenordsskyddade zip-filer och raderade orginalfilerna. Då fick offret betala 300$ för att kunna låsa upp de lösenordsskyddade filerna. Under en lång period hade ransomware en begränsad spridning, men 2012 började de även dyka upp i Europa. Den första typen av ransomware var ”polis ransomware” som låste användarens dator på något sätt eller krypterade filer som gjorde dem otillgängliga för användaren. En bild visades till användaren där det stod att “polisen” hade “beslagtagit” dina filer för att du hade gjort något olagligt. Den information som visades till användaren var ofta anpassad så att det såg ut som det var den lokala polisorganisationen som krävde lösensumman. I exemplet nedan som ser ut att komma från Polisen kostade det 1000 SEK att låsa upp datorn eller filerna.
Sedan under 2013 kom den första versionen av CryptoLocker och därefter har en mängd varianter vuxit fram. Idag dominerar ransomwarefamiljerna TeslaCrypt, CryptoWall, CBT-Locker och Cryptolocker. Symantec rapporterar att ransomware (alla typer, inte bara crypto-ransomware) haft en ökning på 113% från 2013 till 2014. Samtidigt ser 2015 ut att vara året för de nya varianterna av ransomware… Även McAfee förutspår en ökning för 2016 där den nya affärsmodellen ”Ransomware-as-a-service” fortsätter att växa.
Redan under de senaste veckorna har det skett några förändringar i ransomware-sfären. Den senaste varianten av CryptoWall v4 skapar nu slumpmässiga filnamn. En annan variant av ransomware, Chimera, hotar med att publicera filerna som den har tagit som gisslan. Och nu är inte heller Linux-användare säkra med Linux.Encoder.1 i det vilda. Som tur är hade den första varianten av Linux-ransomwaret några brister och BitDefender har tagit fram ett verktyg för dekryptering.
Det är inte första missen som utvecklarna av ransomware gör, till exempel så har Kaspersky utvecklat verktyget Rakhni Dekryptor för ransomware som bland annat skapar filändelserna .locked, .oshit, .encrypted på de krypterade filerna. Men man kan inte alltid förlita sig på att det finns ett verktyg som kan dekryptera filerna, cert.se gick ut med en uppmaning med råd hur man kan skydda sig och vad man kan göra om man blir drabbad. Följande är några generella råd som alltid är bra att följa:
- Filtrera inkommande e-post, baserat på misstänkta sändare/domäner och bilagor som exempelvis är .exe filer.
- Blockera åtkomst till kända webbsidor som sprider skadlig kod, här kan båda din anti-virusprogramvara vara tillhjälp, men för företag som använder andra säkerhetskomponenter kan applicera filter på flera nivåer för att öka skyddet ytterligare.
- Svartlista/Vitlista program, exempelvis genom att konfigurera grupp-policies (GPO:er) som förhindrar att vissa program körs på systemet samt varifrån program får köras och vad de tillåts att göra.
- Ta backuper, på hela eller delar av disken, och se till att återställning av backuper fungerar.
- Se till att uppdatera datorn med de senaste uppdateringarna för programvaror och operativsystem och anti-virusskydd.
- Undvika att vara inloggad med lokala administratörsrättigheter
- Begränsa behörigheter på nätverksdiskar
Vad kan vi vänta oss härnäst då? Vad händer om Ransomware börjar plantera exekverbara filer med skadlig kod på filytor som delas med andra användare? Ja, det skulle säkert leda till en ökad spridning. McAfee förutspår en ökning av ”RaaS” och ransomware som inte gör så mycket väsen av sig, utan krypterar i det tysta. Det skulle kunna medföra att krypterade filer även hamnar i backuper som tas regelbundet, och då kan man inte längre förlita sig på att kunna använda sig av backuper för att återskapa filer.
Och förresten… Var extra försiktiga på fredagar, då är det tydligen är den dag i veckan som flest malware sprids!