Af Jakob D. Lund, Alt om Data
Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.
Ransomware er desværre ikke noget nyt fænomen, og over de sidste par år er der dukket flere forskellige varianter op. Specielt de meget aggressive såkaldte crypto-lockere er blevet populære blandt de cyberkriminelle. En crypto-locker nøjes nemlig ikke med at låse computeren.
Den tager alle filer på harddisken som gidsel og krypterer dem så kraftigt, at det er umuligt at genskabe filerne, medmindre man betaler for at få genskabt de dyrebare filer på harddisken. I midten af januar 2015 så vi hos ESET, hvordan ransomware igen dukkede op, og denne gang var det en ny variant af CTB-Locker Ransomware, som har givet hovedpine til tusinder af brugere over hele verden. Det er stadig lande som Polen, Tjekkiet og Mexico, der er hårdest ramt af ransomware, men ingen kan sige sig fri for at blive ramt af denne type malware.
Elliptisk kryptering
Ransomware baserer sig i alt overskyggende grad på folks tendens til at klikke på eller åbne alt, der dukker op i deres mailboks. Det gør sig også gældende med den nye variant af CTB-Locker Ransomware, der sender en relativ simpel mail ud til folks indbakke.
I emnefeltet står der ”FAX”, og så er der vedhæftet en fil. Hvis computeren er ordentligt beskyttet, vil den vedhæftede fil blive afsløret som det, den er, nemlig Win32/TrojanDownloader.Elenoocka.A. Hvis modtageren af mailen vælger at åbne den vedhæftede fil, vil den downloade en variant af et stykke malware, Win32/FileCoder.DA, til computeren, og alle filer på harddisken vil blive krypteret og potentielt mistet for altid. Det er umuligt at dekryptere filerne uden at kende nøglen, de er krypterede med.
Win32/FileCoder.DA er også kendt som CTB-Locker, og denne familie af malware krypterer filer på en måde, der er meget lig CryptoLockers måde. Den største forskel er, at CTB-Locker bruger en anden og mere avanceret krypteringsalgoritme, hvorfra den også får navnet.
CTB står for Curve, Tor, Bitcoin, og Curve hentyder til, at den bruger en teknologi kendt som Elliptical Curve Cryptography, eller ECC, til at kryptere filer med. ECC er langt mere vanskelig at knække end den traditionelle RSA-kryptografi. ECC danner nemlig nøgler ud fra ligningen for elliptiske kurver: y2=X3+ax-b, mens den traditionelle RSA-kryptering bruger lange beregningsoperationer til at kryptere filer med.
Filerne krypteres – for evigt
Tor hentyder til, at den ondsindede server er placeret i det såkaldte onion-domain (TOR), hvilket gør, at den næsten er umulig at lægge ned, og Bitcoin hentyder naturligvis til, at det er den valuta, som de cyberkriminelle ønsker løsesummen for dine filer udbetalt i. Resultatet minder lidt om det, der sker med CryptoLocker og TorrentLocker, idet alle filer af typen mp4, .pem, .jpg, .doc, .cer, .db og så videre krypteres med ECC.
Netop det, at CTR-Locker Ransomware gør brug af ECC, gør den meget værre end CryptoLocker, for ECC sætter den dels i stand til at kryptere filer langt hurtigere, og dels bliver de krypterede filer umulige at dekryptere uden at kende nøglen. Ja, faktisk vil ethvert forsøg på at dekryptere filerne uden at have nøglen, resultere i, at den private nøgle bliver ødelagt – og dermed er filerne tabt for evigt. Når filerne er krypteret af malwaren, bliver brugerne mødt af et skærmbillede med en advarsel om, at alle deres filer er krypterede, og at de har 96 timer til at betale. Ellers mister de deres filer for evigt.
De cyberkriminelle har tydeligvis været på et salgskursus, for det næste skærmbillede, offeret bliver mødt af, er muligheden for at køre en test-dekryptering af filer. Her viser de cyberkriminelle, hvordan proceduren er. Fem tilfældige filer bliver udvalgt og dekrypteret. Herefter kommer de cyberkriminelle med instruktioner på, hvordan resten af filerne dekrypteres, og hvor løsesummen, bitcoins, skal sendes hen.
Hos ESET har vi set variationer af denne malware, der endda tilbyder måder at veksle valuta til bitcoins på, hvis ofret ikke har bitcoins – endnu et eksempel på, hvor avanceret ransomware er blevet. En pudsig krølle på løsesumshalen er, at ikke alene bliver meddelelsen vist i forskellige sprog, den retter også valutaen til, så den passer til sproget. Så hvis brugeren vælger at se beskeden på engelsk, vil prisen blive vist i amerikanske dollars, og ellers vil den blive vist i euro. I skrivende stund er løsesummen otte bitcoins, hvilket svarer til omkring 11.000 kroner.
Når katastrofen er sket
CTB-Locker Ransomware er stadig ret ny, og det er stadig meget få infektioner, der er detekteret i Skandinavien. Men kampagnen er også ret ny, og der er ingen grund til at tro, at den ikke også vil ramme Skandinavien. Så hvis uheldet er ude, og en computer bliver taget gidsel af CTB-Locker Ransomware, er der reelt tre ting, du bør gøre:
Undlad at betale løsesummen. Der er ingen garanti for, at du får dekrypteret dine filer, bare fordi du betaler løsesummen. Det er tværtimod meget tænkeligt, at du sender pengene til de cyberkriminelle, og at du stadig ikke får dine filer genskabt.
Få scannet computeren med antivirusprogram. Ransomwaren er relativ let at finde og fjerne for et antivirusprogram.
Kontakt politiet. Det er meget tænkeligt, at politiet ikke kan gøre noget for dig, men nok henvendelser kan være med til at sikre, at de cyberkriminelles netværk kan lukkes.
Teknisk set er CTB-Locker Ransomware en trussel, der er let at imødegå. Nok er krypteringen umulig at bryde, men et par simple forholdsregler kan forhindre, at du eller din virksomhed bliver ramt af denne malware:
Hvis du har en sikkerhedsløsning for en mailserver, så sørg for at den filtrerer på filtypenavn.
På den måde kan du blokere ondsindede filer med filtypenavne som .scr, der blandt andet bruges af Win32/TrojanDownloader.Elenoocka.A
Slet mails eller mærk den som spam for at forhindre andre brugere eller ansatte i virksomheden i at blive ramt af disse trusler
Husk at tage backup – ofte.
