Løsepengevirus


Løsepengevirus er en type skadevare som låser eller krypterer hele eller deler av innholdet på datamaskinen. Målet er å få brukeren til å betale løsepenger til angriperen. For at brukeren skal få tilgang til innholdet på egen datamaskin igjen, krever angriper at man betaler løsepenger, ofte i form av bitcoin.

Noen løsepengevirus fryser bare datamaskinen og ber deg betale en avgift. Andre løsepengevirus krypterer dine personlige filer, men lar datamaskinen som sådan fungere. Cryptolocker viser seg først etter å ha kryptert filene dine, noe som bare skjer dersom skadevaren har internettilgang, og har identifisert deg og datamaskinen din i kontrollserveren som er drevet av kriminelle bakmenn.

Hvordan spres det

Det spres først og fremst via vedlegg i epost, office-filer eller via infiserte nettsider.

Forholdsregler

  • Hold datamaskinens operativsystem og programvare oppdatert.
  • Bruk antivirusprogram og hold det oppdatert.
  • Ta sikkerhetskopi jevnlig av de filene som er viktig å ta vare på.
  • Vær oppmerksom på at løsepengevirus også kan spre seg til disker og andre enheter som er tilkoblet datamaskinen. Det kan derfor være lurt å ikke la eventuelle enheter være koblet til maskinen til enhver tid.
  • Enkelte utgaver av løsepengevirus spres også til delte tjenester som Dropbox, OneDrive eller lignende. Derfor anbefales det å ikke være tilkoblet delte tjenester til enhver tid, med mindre man benytter de der og da.

Dersom du bruker Windows 10, finnes det også en innebygd beskyttelse mot løsepengevirus. Dette ble tilgjengelig i stor-oppgraderingen Windows 10 Fall Creators Update som ble sluppet i oktober 2017.

Dette hindrer uautoriserte programmer (som f.eks. et løsepengevirus) fra å få tilgang til spesifiserte mapper. Som standard gjelder det bl.a. Dokumenter, Bilder og Skrivebordet, men det er mulighet til å spesifisere flere mapper selv.

Funksjonen er ikke aktivert som standard, slik går du frem for å aktivere den:

  1. Gå inn på Innstillinger i Windows (du finner et tannhjulikon i startmenyen).
  2. Velg Oppdatering og sikkerhet.
  3. Velg Windows Defender i listen på venstre side.
  4. Velg Åpne Windows Defender Sikkerhetssenter.
  5. Velg Virus- og trusselbeskyttelse.
  6. Velg Innstillinger for virus- og trusselbeskyttelse.
  7. Litt ned på siden finner du Kontrollert mappetilgang. Slå den på.

For å legge til flere mapper, kan du klikke på Beskyttede mapper, og deretter velge de mappene du ønsker at også skal beskyttes.
Dersom en app eller et program du stoler på mangler tilgang til en mappe den behøver tilgang til, kan du gi den tilgang ved å trykke på Tillat en app gjennom Kontroller mappetilgang.

Windows 10 Fall Creators Update blir gradvis rullet ut til brukere, så mange vil nok ikke oppleve å få den før om en god stund. Om du ikke vil vente kan du benytte Microsofts Update Assistant for å sette i gang oppgradering til siste utgave av Windows 10 manuelt.

Når du rammes

Betal aldri løsepenger. Løsepenger gir ingen garanti for at innholdet på datamaskinen blir tilgjengelig igjen. I tillegg holder man liv i kriminell virksomhet ved å betale.

Koble datamaskinen fra nett for å unngå spredning.

Det finnes ulike typer løsepengevirus; for øyeblikket finnes det ikke løsninger for alle typer. Forsøk å finne ut hvilken variant av løsepengevirus som har infisert datamaskinen og om det finnes kjente metoder for å fjerne det.

Ellers, gå til den generelle veiledningen for håndtering av virus.

Typer løsepengevirus

Petya/Nyetya

Petya/Nyetya er en ny type løsepengevirus som har fått mye oppmerksomhet. Den sprer seg på samme måte som Wannacry, i tillegg til to andre metoder.

Spesifikke råd for Petya/Nyetya: Ikke betal, det er for øyeblikket ikke mulig å få dekrypteringsnøkkel av bakmennene, så betaling hjelper ikke. Oppdater, i hvert fall ha oppdateringen MS17-010, deaktiver SMBv1, psexec og WMI om det ikke er nødvendig, sørg for at lokale brukere ikke har unødvendige administratorrettigheter eller nettverksrettigheter.

Systemet blir ikke kryptert før datamaskinen er startet på nytt, derfor må du ikke skru av datamaskinen hvis du er blitt infisert.

WannaCry (Også kjent som Wanna Decryptor eller Wana Decrypt0r)

En infisering fører til at filer på systemet blir kryptert og man vil bli spurt om å betale penger for å få de dekryptert. Det spesielle med denne er at den har infisert veldig mange maskiner på veldig kort tid. Det blir gjort med å utnytte en sårbarhet i Microsoft SMB for å kompromittere andre maskiner i nettverket. Denne sårbarheten skal være rettet i denne Windows-oppdateringen.

Skadevaren sprer seg automatisk og går derfor ikke mot en spesifikk sektor. Det sikreste tiltaket for å stå imot dette angrepet, og eventuelle nye versjoner av skadevaren, er å installere sikkerhetsoppdateringer fra Microsoft for å hindre spredning og infeksjoner.

Mye tyder på at krypterte filer ikke vil bli låst opp, selv om pengene betales. Det rapporteres at opplåsing er planlagt gjort manuelt av bakmennene, men at disse ikke svarer på henvendelser. Dersom du er rammet er det tryggest å bygge opp systemet på nytt fra sikkerhetskopi. Dersom sikkerhetskopi ikke finnes, kan det lønne seg å ta vare på filene i tilfelle en metode for å dekryptere filene blir oppdaget senere.

Les mer om WannaCry hos Symantec
Her er en kort oppsummering fra ICS-CERT

CoinVault Ransomware

Gå til kaspersky.com

Last ned en prøveversjon av Kaspersky Internet Security og installer det. Dette vil fjerne skadevaren fra datamaskinen din.

For å dekryptere de filene som er kryptert med CoinVault, last ned dekrypterings verktøy fra noransom.kaspersky.com. Følg veiledningen.

Teslacrypt Ransomware

Teslacrypt er rettet mot filer knyttet til kjente spill, og det er dermed gamere som er mest utsatt. Cisco Talos har utviklet dekrypteringsverktøy for Teslacrypt. Ofre for denne typen ransomware kan laste ned verktøyet og låse opp filene selv.
Mer info finnes blant annet her.

Cryptolocker

Finnes i mange versjoner, og noen av de kan fjernes. Forsøk eventuelt disse linkene for å finne ut om det er mulig å fjerne Cryptolocker:

“Politi virus” på Mac OS X

Les mer om det her.

Informasjon fra Nettvett.no er hentet fra flere kilder. Nettvett.no vurderer informasjon før publisering, men Nettvett.no kan ikke holdes ansvarlig for skade eller tap som kan oppstå som følge av ukorrekt, manglende eller utilstrekkelig informasjon.

Var dette nyttig for deg?

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *