Hva er Ransomware?

En av de nyere typene skadelig programvare er kjent som løsepengevare. Ransomware er en spesielt ekkel type skadelig programvare når den går gjennom og krypterer hver fil på datamaskinen din, og viser deg deretter en løsepengenotat. For å låse opp enheten din må du betale løsepenger for deretter å motta en opplåsingskode. Historisk sett dekrypterer de fleste løsepengevarekampanjer filene når løsepengene er betalt, ettersom publisitet om hackere som opprettholder avtalen sin er en viktig del av å overtale folk til å betale.

Merk: Det anbefales generelt at du ikke betaler løsepenger. Å gjøre det fortsetter å bevise at løsepengevare kan være lønnsomt, det garanterer heller ikke at du får tilgang til dataene dine igjen.  

Tips: Kryptering er en prosess for å kryptere data med en krypteringssiffer og nøkkel. De krypterte dataene kan kun dekrypteres ved bruk av dekrypteringsnøkkelen.

Hvordan virker det?

Som all annen skadelig programvare, må løsepengevare komme på datamaskinen din for å kjøre. Det er mange potensielle infeksjonsmetoder, men noen av de vanligste metodene er infiserte nedlastinger på nettsider, malvertising og ondsinnede e-postvedlegg.

Tips: Malvertising er praksisen med å levere skadelig programvare gjennom annonsenettverk.

Når den er lastet ned til datamaskinen din, vil løsepengevaren begynne å kryptere filer i bakgrunnen. Noen varianter vil gjøre det så raskt som mulig, du kan merke at dette påvirker systemytelsen din, men har da liten tid til å gjøre noe med det. Noen løsepengevarevarianter vil kryptere data sakte, for å redusere sjansen for at de blir lagt merke til i aksjon. Noen få løsepengevarevarianter lå i dvale i uker eller måneder for å bli inkludert i sikkerhetskopier som kan brukes til å gjenopprette systemet.

Tips: Ransomware unngår vanligvis kryptering av kritiske systemfiler. Windows skal fortsatt fungere, men alle personlige filer osv. vil være kryptert.

Når løsepengevaren har kryptert alt på datamaskinen, er den siste handlingen å lage en løsepengenotat, vanligvis på skrivebordet. Løsepengene forklarer generelt hva som har skjedd, gir instruksjoner om hvordan du betaler løsepenger og hva som vil skje hvis du ikke gjør det. Det settes generelt også en tidsbegrensning, med trussel om prisøkning eller sletting av nøkkelen som brukes for å oppfordre folk til å betale.

En rekke løsepengevarevarianter har en funksjon som lar deg dekryptere et lite antall filer som en "goodwill"-gest for å bevise at filene dine kan dekrypteres. Betalingsmetoden vil typisk være bitcoin eller ulike andre kryptovalutaer. Løsepengene gir generelt en rekke lenker til nettsteder hvor du kan kjøpe de relevante kryptovalutaene, i et forsøk på å gjøre det enklere for folk å betale dem.

Når du har gitt betaling, eller noen ganger betalingsbevis, vil du vanligvis få en dekrypteringsnøkkel som du kan bruke til å dekryptere dataene dine. Dessverre er det noen varianter som aldri dekrypterer, selv om du betaler –  du skal med andre ord IKKE betale, men se etter andre løsninger.

Krypteringsprosessen på datamaskinen din utføres vanligvis med en tilfeldig generert symmetrisk krypteringsnøkkel. Denne krypteringsnøkkelen blir deretter kryptert med en asymmetrisk krypteringsnøkkel, som løsepengevareskaperen har den matchende dekrypteringsnøkkelen for. Dette betyr at bare løsepengevareskaperen kan dekryptere passordet du trenger for å dekryptere datamaskinen din.

Tips: Det finnes to typer krypteringsalgoritmer, symmetrisk og asymmetrisk. Symmetrisk kryptering bruker samme krypteringsnøkkel for både å kryptere og dekryptere dataene, mens asymmetrisk kryptering bruker en annen nøkkel for å kryptere og dekryptere data. Asymmetrisk kryptering lar én person gi flere personer den samme krypteringsnøkkelen mens den eneste dekrypteringsnøkkelen beholdes.

Noen løsepengevarevarianter inkluderer også støttefunksjoner som lar deg kontakte personen som kjører svindelen. Dette er designet for å hjelpe deg gjennom betalingsprosessen, men noen har hatt suksess med å bruke det til å prøve å prute ned prisen.

Tips: I noen tilfeller vil løsepengevare bli utplassert som en sekundær infeksjon for å forsøke å dekke over eksistensen av et annet virus som kan ha stjålet andre data i det skjulte. Hensikten, i dette tilfellet, er først og fremst å kryptere loggfilene og gjøre hendelsesresponsen og etterforskningsprosessen vanskeligere. Denne typen angrep brukes vanligvis bare i svært målrettede angrep mot bedrifter i stedet for generelle databrukere.

Hvordan beskytte deg selv

Du kan redusere sjansene for at du blir infisert av løsepengeprogramvare og annen skadelig programvare ved å være forsiktig på internett. Du bør ikke åpne e-postvedlegg du ikke hadde forventet, selv om du stoler på avsenderen. Du bør aldri aktivere makroer i kontordokumenter, spesielt hvis dokumentet ble lastet ned fra internett. Office-dokumentmakroer er en vanlig metode for infeksjon.

En ad-blocker, som uBlock Origin, kan være et godt verktøy for å beskytte mot malvertising. Du bør også sørge for at du kun laster ned filer fra legitime og pålitelige nettsteder, ettersom skadelig programvare ofte kan skjules i infiserte nedlastinger som er maskert som gratisversjoner av betalt programvare.

Å ha og bruke en anti-virus eller anti-malware programvare er generelt et godt forsvar mot skadelig programvare som klarer å komme forbi din første forsvarslinje.

Hjelp, jeg er smittet!

Hvis du finner deg selv i den posisjonen at løsepengevare har tatt over datamaskinen din, kan du kanskje låse opp løsepengevaren gratis. En god del løsepengeprogrammer var dårlig utformet og/eller har allerede blitt fjernet av rettshåndhevelsesbyråer.

I disse tilfellene er det mulig at hoveddekrypteringsnøkkelen er identifisert og tilgjengelig. Europols EC3 (European Cybercrime Centre) har et verktøy kalt " Crypto Sheriff " som kan brukes til å identifisere typen løsepengevare du har, og deretter koble deg til riktig dekrypteringsverktøy hvis det finnes.

En av de beste beskyttelsene du kan ha mot løsepengevare er gode sikkerhetskopier. Disse sikkerhetskopiene bør lagres på en harddisk som ikke er koblet til datamaskinen eller det samme nettverket som datamaskinen for å forhindre at de også blir infisert. Sikkerhetskopien skal bare kobles til den berørte datamaskinen når løsepengevaren er fjernet, ellers vil den også bli kryptert.