Artikel top billede

(Foto: Computerworld)

Raid mod ransomware

Hackere har for nyligt oversvømmet Danmark med en ransomware kendt som Wannacry eller WannaDecryptor. Men hvad er ransomware, og hvordan kan du sikre dig?.

Af Palle Vibe, Alt om Data

Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.

Selv om 2017 langt fra er forbi endnu, ser det ud til, at ransomware bliver en af årets store digitale plager. Et af de hidtil værste anslag fandt sted hen over foråret, hvor en ransomware betegnet Wannacry (”Jeg har lyst til at græde”) ramte Danmark i form af inficerede mails beregnet til at gøre dig nysgerrig. Men åbnede du den vedhæftede fil, tillod du samtidig en fjendtlig kode at kryptere alle filer på din computer og harddisk.

Både små svindlere og garvede kriminelle

WannaCry ramte ikke kun Danmark, men også Norge, Holland, Belgien og Spanien. Det afslørede sig senere, at alle de inficerede mail var identiske bortset fra sproget, der altid var det lokale for landet. Det antyder, at bagmændene var de samme, ligesom formålet.

Ransomware er nemlig først og fremmest en type malware (fællesbetegnelse for al software-dårligdom), der er designet til at afpresse for penge. Betegnelsen er en sammentrækning af det engelske ord for løsepenge “ransom” og “software” (programkode).

Udbredelsen af ransomware er ikke blevet mindre af, at det er utroligt let at erhverve sig ransomware-produkter, ligesom det er nemt at rette angrebene mod bestemte målgrupper. Småkriminelle kan derfor i dag uden den store tekniske viden nemt finde og tilrette ransomware til egne formål. Derfor kan disse angreb også optræde meget forskelligt og opfindsomt og komme fra vidt forskellig side. Samtidig er også de store og mere professionelle grupperinger af it-kriminelle blevet mere opfindsomme og dygtige.

ransomware Ofre for den berygtede ransomware ”WannaCry” kunne se denne besked tone frem på skærmen.

Det klassiske eksempel er phishing-mails, hvor du modtager en mail, der udgiver sig for at komme fra din bank eller NemID med en advarsel om, at dit kreditkort eller nøglekort er spærret, og at du for at ophæve spærringen skal genindtaste alle dine personoplysninger. Men det kan også dreje sig om en ”venlig” mail fra Skat om, at du får penge tilbage, hvis du blot lige opgiver konto og kode.

Både frygt og fristelse er gode lokkemidler, og det har mange tankeløse computerbrugere måttet sande i tidens løb. Forventninger har samme virkning. Handel via nettet er i dag så udbredt, og når it-kriminelle udsender måske tusinder af mail, at der er en pakke på vej, vil der altid være nogle, der glemmer al forsigtighed og måske åbner den vedhæftede ”Track and Trace”-fil, eller hvad det nu kan være, skønt deres antivirus-program ringer med alle klokker.

Ud over e-mail med vedhæftede filer kan ransomware også optræde i form af links eller inficerede websites (eller områder af websites som eksempelvis en reklame). Klikker du på disse elementer, installerer du ransomware på din computer uden, at du er klar over det eller bemærker det.

Og sker det, bliver samtlige filer på både din computer og samtlige enheder, der er forbundet til den med kabel eller trådløst via Wi-Fi mv., inficeret og krypteret dvs. kodet, så de bliver ulæselige. Og på skærmen kan du så læse, at den eneste måde at få adgang til dine filer igen er ved at betale for at få en særlig dekrypteringsnøgle til måske 2-3000 kroner, og betalingen skal typisk falde i virtuelle Bitcoins, der er meget svære at spore.

ransomware Husk at have funktionen ”Protected View” slået til i dit Word Office program (her Office 2013).

Kun få redningsmuligheder

Der er stort set kun to redninger fra et angreb med effektiv ransomware. Du kan naturligvis forsøge at betale den forlangte løsesum. Ifølge undersøgelser ender halvdelen af alle ransomware-ofre med at betale løsepenge. Men for hvert offer, der betaler, bliver hackerne kun endnu mere tilskyndet til ransom-wareangreb, og selv om du ved betaling måske får dekrypteringskoden tilsendt, så du kan gendanne dine filer, er det ikke nødvendigvis reglen. Der er ikke meget garanti til den ende, og du kan sagtens komme ud for at betale og stadig ikke få dine filer tilbage eller kunne generobre kontrol over computeren.

Prøv derfor først at få dit antivirusprogram til at gøre det af med krypteringen. Eller anskaf dig et program, der er specielt skabt til at fjerne ransomware (eksempelvis fra F-Secure, Kaspersky Lab eller Enigma Software). Du kan også forsøge at gå på nettet efter dekrypteringsværktøjer, selv om sådanne typisk kun er tilgængelige for tidlige versioner, fordi hackerne hele tiden opdaterer deres ransomware-programmer.

Det forudsætter dog bedst, at du først identificerer den type ransomware, du er blevet angrebet af. Det kan du eksempelvis gøre med den gratis online service, der hedder ID Ransomware (https://id-ransomware.malwarehunterteam.com). Lykkes det at identificere angrebet, kan du meget mere målrettet tjekke, om du der finder et anvendeligt dekrypteringsredskab. Flyt eller kopier gerne forinden alle dine krypterede filer til en selvstændig harddisk eller andet, hvor det gør mindre, hvis der sker noget uønsket med filerne. Virker dekrypteringen, har du en komplet backup i samme tur!

Du kan også eventuelt hente hjælp hos forskellige gratis hjælpeportaler som eksempelvis ”Bleeping Computer” m.fl. Og som noget helt nyt er det Hollandske politi, Europols European Cybercrime Centre og sikkerhedsfirmaet Kaspersky Lab og Intel Security gået sammen om en portal til hjælp for ransomware-ofre nomoreransom.org.

Via siden kan du uploade filer, der er blevet krypteret ved et ransomwareangreb, hvorefter du modtager den mulige dekrypteringskode som download, ligesom du kan hente en masse gode generelle råd til at beskytte dig mod den slags hackerangreb. Endelig bør du altid anmelde ethvert angreb til politiet.

ransomware Er du blevet ramt af et ransomwareangreb kan der være hjælp at hente på siden nomoreransom.org, hvortil du bl.a. kan uploade krypterede filer og få en brugbar dekrypteringskode sendt retur.

Bedre at forebygge end at helbrede

Det bedste er imidlertid at forebygge altså at beskytte sig på forhånd. Det er forholdsvis simpelt og består blot i at sikkerhedskopiere alle dine vigtige filer på et medie, der så bagefter må kobles fra computeren, så der hverken er forbindelse via kabel eller trådløst via Wi-Fi og router eller andet.

Gendan fra dette medie tid til anden, så du kan se, om løsningen rent faktisk fungerer, før skaden sker. Virker backuppen, kan du bare række tunge ad hackerne, der sidder og håber på let gevinst, men altså i dette tilfælde må se i øjnene, at deres offer var dem for smart.