Även om det kan finnas mer än 1 miljard skadliga program (malware) på Internet som letar efter offer att infektera, har en särskild klass av malware orsakat ekonomiska förluster och säkerhetsproblem i åratal: Ransomware. Dess enda syfte är att blockera tillgången till datorsystem eller filer tills offret betalar en lösensumma. Dessa krav på lösensumma varierar kraftigt, från motsvarande ett par hundra dollar till flera hundra tusen.
Vad är en Ransomware?
Ransomware är en kategori av skadlig programvara som är utformad för att blockera tillgången till ett datorsystem tills en summa pengar betalas. Betalning krävs vanligtvis i kryptovalutor som Bitcoin eller Monero. Offren uppmanas att köpa dessa digitala tillgångar och sedan överföra dem till angriparna. Ransomware har utvecklats under det senaste decenniet i ett försök att rikta in sig på fler offer, generera stora vinster för cyberbrottslingar och göra det nästan omöjligt att återställa data om offret inte betalar lösensumman eller återskapar dem från säkerhetskopior.
Medan kryptering anses vara ett kraftfullt verktyg för att säkerställa integritet på nätet, genom att alla kan kommunicera utan rädsla för avlyssning, har utvecklare av ransomware använt kryptering för att se till att drabbade filer inte kan användas. Vissa krypteringsmekanismer gör det omöjligt att återställa data om inte angriparna går med på att skicka offren dekrypteringsnyckeln, vilket ger tillgång till det drabbade systemet efter att lösensumman har betalats. Föreställ dig att någon bryter sig in i ditt hem, hittar dina smycken, låser in dem i ett ogenomträngligt valv mitt i hemmet och sedan går därifrån med nyckeln efter att ha lagt en lösensumma. Om du kontaktar inbrottstjuven och betalar lösensumman kommer han att ge dig nyckeln för att låsa upp valvet och komma åt dina smycken. Annars måste du bryta upp valvet på egen hand. Du vet att alla dina värdesaker finns där, men du kan helt enkelt inte använda dem. Ransomware fungerar på ett liknande sätt, förutom att den är ute efter dina filer och data.
Tre olika typer av ransomware finns hittills ute på marknaden:
1. Skärmlåsare
Den "mildaste" av alla ransomware är skärmlåsare: de hindrar bara användaren från att komma åt sin enhet genom att blockera åtkomsten till skrivbordet eller startskärmen när det gäller smartphones. Skärmlåsare är visserligen irriterande, men de kan kringgås utan att betala angriparen om du har tillräcklig teknisk erfarenhet.
2. Kryptotrojaner
Medan tidiga mindre elakartade ransomware-stammar visade sig vara ineffektiva för att tjäna pengar eftersom de fokuserade på att hindra användarna från att komma åt sina enheter genom att använda skärmlåsare (inga data krypterades), började senare versioner använda kryptering som kallas kryptoromanware. Krypto-ransomware är extremt effektivt eftersom det krypterar specifik lokalt lagrad information och ibland även molnbackuper och erbjuder sig att dekryptera den i utbyte mot en avgift på mellan 300 och 900 dollar. Eftersom krypto-ransomware använder samma teknik som skyddar våra konversationer på nätet, banktransaktioner och militär kommunikation, kan krypterade filer inte hämtas utan att betala lösensumman. Krypto-ransomware-familjer är ansvariga för att ta mer än en miljard dollar per år från offren. Vissa krypto-ransomware-familjer som GandCrab har till och med genererat motsvarande mer än 2 miljarder dollar i betalda lösensummor på mindre än två års verksamhet.
Andra familjer med utpressningslösningar har börjat använda utpressning som en annan skrämseltaktik för att skrämma offren att betala. Innan angriparna krypterar privata uppgifter stjäl de dem från offren och hotar att visa dem på nätet som en del av en offentlig skambeläggningskampanj om lösensumman inte betalas.
3. Disk-krypterare
Slutligen är de mest störande formerna av utpressningstrojaner kända som disk-krypterare. Till skillnad från filkrypterare förhindrar diskkrypterare användarna från att starta upp hela sitt operativsystem, eftersom utpressningsvaran håller hela diskettenheten som "gisslan".
Hur sprids ett utpressningstrojaner?
E-post är en av de mest använda mekanismerna för att sprida utpressningstrojaner. Antingen luras offren att klicka på länkar och ladda ner filer som är infekterade med utpressningstrojaner, eller så bifogas förfalskade dokument som ser ut som CV, fakturor och andra typer av filer, och skräppost bidrar till ett stort antal infektioner med utpressningstrojaner. Om användaren öppnar meddelandet och klickar på bilagan startar krypteringsprocessen. När all information är krypterad ser användaren ett varningsmeddelande på skrivbordet tillsammans med instruktioner om hur han eller hon ska betala lösensumman och få dekrypteringsnyckeln.
En annan teknik som angriparna använder är att köpa reklam på webbplatser med hög trafik och sedan utnyttja dem för att utnyttja sårbarheter i webbläsare eller plugins. När en sådan sårbarhet utnyttjas kraschar webbläsaren eller insticksmodulen och utpressningstjänsten installeras automatiskt. Många användare har blivit ovilliga att öppna bifogade filer eller klicka på länkar i e-postmeddelanden, så denna metod tar bort all användarinteraktion eller social ingenjörskonst genom att förlita sig på olösta sårbarheter.
Sist men inte minst smyger cyberbrottslingar in ransomware i olagligt, piratkopierat innehåll som finns att ladda ner på torrent- eller "warez"-webbplatser. Ovetande offer laddar ner utpressningstrojaner förklädda till sprickor, nyckelgeneratorer och andra typer av programvara till sina system, utför dem och installerar utpressningstrojaner.
Hur du skyddar din dator mot attacker med Ransomware
Ransomware är en mycket lukrativ verksamhet för cyberbrottslingar, och de investerar ständigt i nya sätt att infektera offer och göra det svårt för säkerhetslösningar att avvärja. Det bästa sättet att skydda sig mot ransomware-attacker är att inte bli smittad. Infektion av Ransomware kan begränsas och ibland förhindras med några få bästa metoder:
1. Använd ett uppdaterat antivirusprogram
Använd en anti-malware-lösning med anti-exploit, anti-malware och anti-spam-moduler som ständigt uppdateras och kan utföra aktiv skanning. Se till att du inte åsidosätter de optimala inställningarna och att du uppdaterar den dagligen.
2. Schemalägg säkerhetskopior av filer
Säkerhetskopiera regelbundet dina filer antingen i molnet eller lokalt så att data kan återställas vid kryptering. Säkerhetskopior ska inte lagras på en annan partition på din dator, utan snarare på en extern hårddisk som endast är ansluten till datorn under säkerhetskopian.
3. Håll Windows uppdaterad
Håll ditt Windows-operativsystem och din sårbara programvara - särskilt webbläsaren och webbläsarinsticksmodulen - uppdaterad med de senaste säkerhetsuppdateringarna. Exploit-kit använder sårbarheter i dessa komponenter för att automatiskt installera skadlig programvara.
4. Håll UAC aktiverat
UAC (User Account Control) meddelar dig när ändringar ska göras på din dator som kräver administratörsbehörighet. Håll UAC aktiverat för att minska eller blockera effekterna av skadlig kod.
5. Följ säkra internetrutiner
Följ säkra Internet-metoder. Besök inte tvivelaktiga webbplatser, klicka inte på länkar eller öppna bilagor i e-postmeddelanden från osäkra källor. Undvik att ladda ner appar från okända webbplatser - installera bara programvara från betrodda källor. Ge inte personligt identifierbar information i offentliga chattrum eller forum.
6. Aktivera annonsblockerare
Aktivera annonsblockering och sekretstillägg (som AdBlock Plus) för att minska skadliga annonser. Öka ditt online-skydd genom att justera dina webbläsares säkerhetsinställningar. Alternativt kanske du vill överväga ett webbläsartillägg som blockerar JavaScript (t.ex. NoScript).
7. Använd antispamfilter
Implementera och använd ett skräppostfilter för att minska antalet smittade skräppostmeddelanden som når din inkorg.
8. Inaktivera Flash
När det är möjligt virtualiserar eller inaktiverar du Adobe Flash helt, eftersom detta plugin har upprepade gånger använts som en infektionsvektor.
9. Aktivera programvarubegränsningspolicyer
Om din dator kör en Windows Professional- eller Windows Server-utgåva eller om du är systemadministratör i företagets IT-team, aktivera programvarubegränsningspolicyer. Tillämpa grupprincipobjekt i registret för att blockera körbara filer från specifika platser.
Detta kan endast uppnås när du kör en Windows Professional- eller Windows Server-utgåva. Alternativet för programvarubegränsningar finns i redigeraren för lokal säkerhetspolicy. Efter att ha klickat på knappen Ny programvarubegränsning under Ytterligare regler bör följande sökregler användas med den tillåtna säkerhetsnivån:
"%username%\\Appdata\\Roaming\\*.exe"
"%appdata%\Microsoft\Windows\Start Menu\Programs\Startup\\.*exe"
C:\\\*.exe
"%temp%\\*.exe"
"%userprofile%\\Start Menu\\Programs\\Startup\\*.exe”
"%userprofile%\\*.exe”
"%username%\\Appdata\\*.exe”
"%username%\\Appdata\\Local\\*.exe”
"%username%\\Application Data\\*.exe”
"%username%\\Application Data\\Microsoft\\*.exe”
"%username%\\Local Settings\\Application Data\\*.exe”
Vad gör du om ett ransomware har krypterat dina filer?
Vanligtvis krypteras lokala filer vid krypterande ransomware med hjälp av ett slumpmässigt genererat nyckelpar som är kopplat till den infekterade datorn. Medan den offentliga nyckeln kopieras på den infekterade datorn kan den privata nyckeln endast erhållas genom att betala för den inom en tilldelad tid. Om betalningen inte levereras raderas den privata nyckeln, vilket gör att det inte finns någon möjlig dekrypteringsmetod för att återställa de låsta filerna.
Myndigheterna rekommenderar att man inte ger efter för krav på lösensumma. Att betala en lösensumma garanterar inte att du får tillbaka dina filer och tjänar bara till att finansiellt driva på utvecklingen av nya och mer sofistikerade utpressarfamiljer, hjälper till att finansiera annan cyberkriminell verksamhet och legitimerar i slutändan utpressarverksamheten genom att göra den lönsam för hackare. Det är svårt, men inte omöjligt, att besegra attacker med utpressningstrojaner. Brottsbekämpande myndigheter och säkerhetsföretag har samarbetat i åratal för att hjälpa offren att återfå sina filer.
Tips för att återställa krypterade data från ransomware:
- Om Bitdefender modul för Avhjälpning av Ransomware är aktiverad vid tidpunkten för en ransomware-attack kommer dina filer att återställas automatiskt.
- Det är också möjligt att återställa krypterade Ransomware-filer genom att återställa originalfiler från en extern eller molnbackup.
- Initiativ som webbplatsen nomoreransom.org kan hjälpa offer för utpressningstrojaner att återskapa sina data, i de fall där brottsbekämpande myndigheter eller säkerhetsleverantörer har hittat ett sätt att dekryptera filer för specifika utpressningstrojanerfamiljer.
- FBI har följande rekommendationer för offer för ransomware:
-
- Skicka in ett tips på nätet eller kontakta ditt lokala FBI-område för att be om hjälp.
- Lämna in en rapport till FBI Internet Crime Complaint Center (IC3).
Kom ihåg! Det är viktigt att ofta säkerhetskopiera dina data, hålla utkik efter oönskade e-postmeddelanden, ständigt uppdatera alla dina programvaror och operativsystem, installera en säkerhetslösning som har flera lager av skydd mot utpressningstrojaner och inte ge efter för utpressning.