Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.

Uppdaterad | Publicerad - ransomware, cryptolocker, cryptowall

CERT-SE informerar med anledning av mängden ökade Ransomware-attacker

Antalet datorer som infekterats med Ransomware (RW) och som låser eller krypterar filer på användardatorer och eventuella anslutna diskar så som externt USB-media eller nätverksanslutna diskar, har ökat markant det sista månaderna.

I de flesta fallen handlar det om att användare luras att klicka på e-post innehållande länkar eller bilagor, alternativt att de på andra sätt luras att besöka en webbsida som serverar skadlig kod.

Bakgrund

RW-infektioner har ökat de senaste månaderna samt blivit svårare att hantera vid en eventuell infektion. Det är – beroende på vilken typ av Ransomware som drabbar organistionen – nästan omöjligt att återskapa de krypterade filerna då nycklarna för avkryptering ofta inte finns lokalt på den infekterade maskinen. Dessutom så sprids det skadliga programmet till anslutna nätverksdiskar, backupservrar samt annat externt media som t.ex. USB-diskar, molntjänster och liknande.

De vanligaste RW-versionerna är idag bland annat CryptoLocker, CTB-locker, TorrentLocker, CryptoWall och BandaChor/Ebola.

Hur skyddar jag mig?

Skydd sker i form av förberedande åtgärder som kan försvåra för eventuella angripare att köra skadlig kod på ett system. Troligen så går det inte att skydda sig till hundra procent men nedan finns förslag som försvårar för RW att köras.

  • Filtrera inkommande e-postbilagor - inte tillåta .exe-filer
  • Blockera åtkomst till kända webbsidor som sprider skadlig kod
  • Konfigurera grupp-policies (GPO:er) som förhindrar att vissa program körs på systemet samt varifrån program får köras och vad de tillåts att göra
  • Var noga med att ta backuper samt att testa återställning av filer
  • Uppdatera all mjukvara på datorn
  • Installera säkerhetsuppdateringar
  • Uppdatera antivirusskyddet
  • Undvika att vara inloggad med lokala administratörsrättigheter

En mer avancerad lösning är att använda vitlistning som kontrollerar vilka program som får köras. På vissa filservrar finns även tjänster som kan larma och stoppa försök att spara ej godkända filtyper ner till disk.

Det absolut viktigaste är att öka medvetenheten hos användarna i organisationen så att de undviker att klicka på konstiga länkar eller öppna misstänkta filer. De bör också att utbildas i hur de ska agera om de misstänker att de har drabbats av en infektion.

Vad gör jag om jag drabbas?

Det finns inga helt säkra sätt att stoppa RW men följande metoder kan begränsa skadan:

  • Koppla bort datorn från nätverket för att förhindra att C&C-servrar eventuellt hinner kommunicera med systemet och på så sätt förhindra kryptering av filerna.
  • Beroende på vilken version av RW som använts kan man i vissa fall använda system-restore för att komma tillbaka till en “ren” version av systemet (Senare versioner av CryptoLocker raderar även sk. “shadow”-filer vilket omöjliggör en sådan operation).
  • Vissa varianter av RW har en tidsgräns innan priset för att avkryptera filerna går upp. I de fallen kan man återställa systemklockan och på så sätt köpa sig tid innan man blir tvungen att betala en högre lösensumma.

Länkar till mer information:
http://blog.fox-it.com/2015/09/07/the-state-of-ransomware-in-2015/
http://www.trendmicro.com/vinfo/us/security/definition/Ransomware
http://media.kaspersky.com/pdf/guard-against-crypto-ransomware-kaspersky-guide.pdf
http://blog.sensecy.com/2015/03/12/bandarchor-and-ebola-virus-ransomware-are-they-the-same-one/

Länkar till webbsidor som kan avkryptera vissa varianter av Ransomware:
https://noransom.kaspersky.com/
http://www.bleepingcomputer.com/virus-removal/
http://malwaretips.com/blogs/category/ransomware/