Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.

Uppdaterad | Publicerad

Kort om ransomware

Den senaste tiden har flera fall av skadlig kod i form av så kallad ransomware drabbat svenska organisationer. Detta har i flera fall orsakat allvarliga störningar avseende den drabbade organisationens tillgänglighet till sin egen information.

Ransomware är en typ av skadlig kod som krypterar hela eller delar av innehållet i den drabbade datorn eller bara låser datorn så att den blir obrukbar. I vissa fall krypteras även andra anslutna enheter exempelvis gemensamma nätverksresurser såsom delade mappar på en filserver. När informationen krypterats är den inte längre åtkomlig för den som äger informationen. För att återfå tillgången till informationen krävs den drabbade ofta på pengar från aktören bakom den skadliga koden. Efter att aktören fått pengarna är tanken att den drabbade ska få den kod,nyckeln, som krävs för ett dekryptera filerna och åter göra dem läsbara. På detta sätt liknas angreppet vid ett digitalt gisslantagande av datafiler.

De senaste åren har framgångar rönts i kampen mot ransomware främst genom riktade polisinsatser. Aktörerna utvecklar dock ständigt nya varianter i syfte att tjäna pengar genom sin kriminella verksamhet. Hösten 2014 dök flera nya varianter upp såsom CryptoWall, CryptoLocker-2.0/3.0 (ej relaterade till den tidigare mest välkända varianten CryptoLocker), TorrenLocker och BandarChor/Ebola. Dessa varianter krypterar hela eller delar av filer på samma sätt som tidigare. Vanligast spridningsvägen är fortfarande via e-post eller surfning via länkar till skadliga webbsidor, som ibland imiterar kommersiella webbplatser, där användaren luras att ladda ner och exekvera koden. Trojanen TorrentLocker använder komponenter från Cryptolocker och Cryptowall men koden skiljer sig helt. Till en början verkade den vara lika effektiv som CryptoLocker men analyser visade att den innehöll vissa svagheter som kunde utnyttjas för att avkryptera filer som krypteras. I nyare versioner av den skadliga koden ser dessa brister ut att ha rättats till.

Ransomware är att relativt gammalt problemområde där utbredningen i Sverige det senaste året varit relativ konstant. Flera allvarliga händelser i närtid gör dock att problemet uppmärksammas särskilt och svenska organisationer bör överse situationen och vidta relevanta åtgärder. De drabbade bör inte betala några pengar till aktören, de kriminella. Chansen att få datorn eller innehållet återställt är ganska liten. Är det en variant som endast låser datorn så finns det för det mesta sätt att låsa upp datorn och komma åt innehållet igen. Har filer krypterats kan det finnas möjligheter att återfå allt eller delar innehållet med detta beror dock på vilken specifik variant av ransomware det gäller. Några varianter har haft brister som kunnat utnyttjas för att få tillbaka krypterade filer. Men de senaste versionerna är oftast mer sofistikerade vilket gör det näst intill omöjligt att återställa filerna utan tillgång till krypteringsnyckeln.

Det finns inga speciella sätt för att skydda sig specifikt mot ransomware utan det gäller att använda samma förebyggande åtgärder som gäller för de flesta typer av skadlig kod såsom att installera säkerhetsuppdateringar, ta backuper och testa återläsningsfunktionen, använda antivirusskydd, undvika att vara inloggad med lokala administratörsrättigheter. Mer avancerade lösningar är att använda vitlistning som kontrollerar vilka program som får köras och på vissa filservrar finns det tjänster som kan larma och stoppa försök att spara ej godkända filtyper görs på fil-utrymmet. Men det absolut viktigaste är att öka medvetenheten hos användarna i organisationen så att de undviker att klicka på konstiga länkar eller öppna misstänkta filer. Och inte minst hur de ska agera om de misstänker att de har drabbats av en infektion.

För mer information:

Decrypt Cryptolocker Web site:
https://www.decryptcryptolocker.com/

CryptoWall:
http://www.bleepingcomputer.com/virus-removal/cryptowallransomware-information

BandaChor/Ebola:
https://www.f-secure.com/weblog/archives/00002795.html
http://blog.sensecy.com/2015/03/12/bandarchor-and-ebola-virus-ransomware-are-they-the-same-one/

Microsoft Windows Server: File Server Resource Manager
https://technet.microsoft.com/en-us/library/cc732074.aspx