Ny ransomware med avancerede funktioner på spil

Bølgen af angreb med krypteringssoftware ser ud til at fortsætte uden at aftage i styrke. Efter de mange angreb med PostNord- og Danske Bank-mails er nyeste skud på stammen en streng, der er døbt ”Locky”. ”Locky” krypterer på samme vis som CryptoLocker alle dine filer, hvis du uforvarende kommer til at køre filen. Den eneste måde, hvormed der er en sandsynlighed for, at du kan dekryptere dine filer, er hvis du betaler løsesummen. Denne betales via Bitcoins, og afhængigt af hvor hurtigt du reagerer, så er prisen for at få sine filer igen op til ca. 3.000 kr. Til forskel fra andre typer af ransomware, så har Locky en del avancerede funktioner og kan gøre skade på ikke blot din egen computer, men på hele det lokale netværk. Den kan mappe og sprede sig på netværket. Antivirus-detektionen er desværre fortsat lav.

Både Locky og CryptoLocker er grene af Ransomware.

Sådan arbejder Locky

Typisk bliver man inficeret med Locky via en email, der indeholder et vedhæftet dokument kaldet Troj / DocDl-BCF. Hvis du åbner filen, vil du opdage at indholdet er rent volapyk, og du vil blive opfordret til at tillade makros, for at indholdet vises korrekt. Hvis du gør det, bliver teksten dog ikke rettet. Derimod køres der en stump kode i dokumentet, der kort fortalt gemmer en fil på din harddisk og efterfølgende kører den. Filen hedder Troy / Ransom-CGX og fungerer som en downloader, der henter malwaren Locky og derefter begynder at kryptere en lang række af dine filer. Heriblandt Office-filer, videoer, musikfiler, bileder mm.

Locky krypterer også de backups, som Windows løbende tager, imens du arbejder i et dokument eller en applikation. Disse skyggekopier er for mange et hurtigt og populært alternativ til at have en professionel backup-procedure.

Når Locky har krypteret alle dine filer, ændres din skrivebordsbaggrund til en ”VIGTIG MEDDELELSE”, der forklarer dig, hvordan du kan få dine filer igen. Du er altså ikke i tvivl om, hvad du skal gøre efterfølgende. Vi (og andre IT-professionelle) anbefaler dog, at man som hovedregel aldrig betaler løsesummen. Dels er der ingen garanti for, at du reelt får dine filer igen, dels kan dine filer stadig være inficerede, selv hvis du kan tilgå dem igen, og sidst, men ikke mindst, er der en uskreven regel om, at man ikke forhandler med internetkriminelle, da dette blot opildner dem til at fortsætte deres ugerninger.

Hvordan kan du sikre dig imod Locky?

  • Tag regelmæssigt backup!

Det kan ikke siges ofte nok. Sørg for altid at have en funktionel og opdateret backup, der ikke er i direkte forbindelse med dit netværk. Når driftsdata og backuppen af disse er adskilte, er sandsynligheden for at malwaren inficerer begge dele mindre.

En backup er ofte den eneste sikre måde at få dine filer tilbage igen, så læg det gerne i system, så backuppen tages automatisk på faste tidspunkter med fastlagte intervaller imellem.

  • Bloker for kørsel af scripts

I din mailklient har du mulighed for at blokere for kørsel af makroer og .js-scripts. I Microsoft Outlook kan du klikke ind i dit sikkerhedscenter, vælge makroer og sætte indstillingerne til enten ”Deaktiver alle makroer uden meddelelse” eller ”Meddelelser om digitalt signerede makroer. Alle andre makroer deaktiveres”.

I både Word og Excel bør automatisk kørsel af makros være deaktiveret som standard. Dette kan du tjekke under sikkerhed og makroer.

  • Brug et webfilter

Webfiltering blokerer for malware ved at lukke ned for allerede kendte ip-adresser, som er inficerede eller spredere. Et webfilteringprodukt kan også sættes op til at blokere for pornografisk indhold, gamblingsider, sociale medier og meget mere. Især hvis I har brugere, der ikke er så internetkyndige, kan dette være en god ide.

  • Vær opmærksom på uanmodede vedhæftninger

De cyberkriminelles aktiviteter beror på, at du bliver nysgerrig og åbner vedhæftningen. Du bør dog aldrig åbne dokumenter, før du er sikker på, at du både er bekendt med afsender og indholdet af vedhæftningen. Indholdet kan dog være svært at kende, før man rent faktisk åbner en mail, men her er en god tommelfingerregel, at hvis du er usikker, så lad vær.

  • Husk nu at opdatere

Malware udnytter ofte sikkerhedshuller i din software til at trænge ind på din PC. Dette punkt er ofte en oversetit sikkerhedsrisiko, da rigtig mange undervurderer vigtigheden af hele tiden at være opdateret. Der er sikkerhedshuller i både Office, JAVA, Flash, din browser og så fremdeles. Jo tidligere du opdaterer, når en ny opdatering er tilgængelig, desto mindre udsat er du for angreb.

  • Lukket for admins

En ransomware som Locky slår hårdere, desto flere rettigheder du har. Den kan nemlig mappe og sprede sig på netværket. Brug derfor kun din administratorkonto i begrænset omfang, og undlad at surfe, se videoer og tekstbehandle mm. Til dagligdags opgaver bør du bruge en anden konto med færre rettigheder.

Få hjælp til sikring mod ransomware

Hør også hvordan vi kan hjælpe med bl.a. udformning af en IT-sikkerhedspolitik, kryptering af e-mail, Secure DNS, F-Secure, Firewall, samt bekæmpelse af malware og phishing.

keyboard_arrow_up