Ransomware och kidnapparprogram ett växande hot på nätet

daniel larsson

4 år ago

Vad är ett ransomware?

Ransomware (kidnapparprogram) har blivit allt vanligare och det är skadlig kod som begränsar tillträdet till datorn som blivit smittad, och kräver en lösensumma betalas för att begränsningen ska upphävas och tas bort. Med lösensummor har pengar överförts till malware ekonomin. Ofta är det billigare för privatpersonen att betala lösensumman och gå vidare med sitt liv och business.

Enligt White House rapporten National Cyber Security Strategy 2023 har Ransomware-incidenter stört kritiska tjänster och företag över hela landet och världen, från energipipelines och livsmedelsföretag, till skolor och sjukhus. De totala ekonomiska förlusterna från ransomware-attacker fortsätter att öka och uppgår till miljarder amerikanska dollar årligen. Kriminella syndikat opererar ofta från stater som inte samarbetar med amerikansk brottsbekämpning och uppmuntrar, ger skydd till, eller tolererar sådana aktiviteter. Dessa och andra illasinnade cyberaktiviteter fortsätter att hota amerikaner i hela samhället, inklusive att oproportionerligt påverka dem som saknar de resurser som är nödvändiga för att skydda sig själva, återhämta sig, eller söka rättelse.

Rysk ransomware

CISA och JCDC-partners har observerat den ökade användningen av ransomware i cyberattacker mot amerikanska och internationella organisationer. Nedanstående källor innehåller tekniska detaljer, indicators of comprise (IOC) och rekommendationer för att bekämpa ryska ransomware-hot.

Publicerad	Titel	Beskrivning
Mars 1, 2022	CrowdStrike: Decryptable PartyTicket Ransomware Reportedly Targeting Ukrainian Entities	Destruktiva attacker utfördes mot ukrainska enheter. Olika branscher har hävdat att den Go-baserade ransomware som kallas PartyTicket (eller HermeticRansom) identifierades hos flera organisationer som drabbats av attacken
Februari 28, 2022	CISA: Conti Ransomware	CISA, FBI och United States Secret Service har observerat den ökade användningen av Conti Ransomware i mer än 400 attacker mot amerikanska och internationella organisationer. I typiska Conti Ransomware-attacker stjäl skadliga cyberaktörer filer, krypterar servrar och arbetsstationer och kräver en lösenbetalning. 60 000 dokument och chat meddelande och filer har läckt ut från gruppen. Läs artikel i tidningen Wired hur Conti Ransomware gruppen hjälper Putin.

Källa: Cisa.gov

Ransomware är väldigt lukrativ business för cyberkriminella och nischen har ökat i omfattning. 2015 betalades det ut 40 miljoner USD. Cloudwards har gjort en uppskattning att skadorna från ransomwre kommer kosta 265 miljarder USD år 2031.

Alla organisationer är utsatta och man räknar med att 37% av alla företag drabbades 2021. En del av de kriminella pengarna går till FoU och det utvecklas mer skrämmande verktyg när pengarna återinvesterats.

Hur fungerar ransomware virus?

Programmen sprids till stor del med skräppost. Hackern designar ett program som tar gisslan och filen som innehåller programmet skickas som en biogad fil i ett email. Programmet söker igenom offrets dator och letar efter filer som har en viss ändelse exempelvis .xls, .pdf och .doc filer och krypterar dessa. Offret kan bara låsa upp dem genom en unik kod.

Debatten har skiftat kring hur skaparna av destruktiva malware och cybervapen, som ursprungligen varit avsedda för motståndare till USA, har kommit i orätta händer och använts mot ”vänliga” mål och allierade.

Varför utförs den här typen av attacker?

Ransomware-attacker använd som rökridåer
Ransomware används för utpressning
Hackarna kombinerar angreppsmetoder för att skada och störa

Det är vanligt att man blir drabbad då man klickar på en länk i ett email och mailet kan vara skickad från någon i din kontaktlista. Användare bör vara försiktiga att öppna e-post och i synnerhet e-postbilagor från personer som är okända eller går till länkar som verkar misstänkta.

Vad är Crypto ransom program?

Crypto ransom program har vuxit och blivit en nisch inom datasäkerhetsområdet och företagen opererar på liknande sätt som legala företag med bra gränssnitt och på flera olika språk!

Betalningarna till hackerföretagen sker oftast i Bitcoin. Riktigt läskiga och obehagliga ransomware är cryptolocker malware som krypterar offrets filer och som inte återställer och ger en nyckel till filerna om den som drabbas inte betalar 300 dollar via Bitcoin. Ofta går det att förhandla ner priset på att få tillbaka kontrollen över sin dator.

Kända ransomware program

Användningen av Ransomware ökade betydligt efter 2016. Skadlig kod med namn som Cryptolocker, TorLocker och TeslaCrypt där hackare krypterade filer för att sedan kräva lösen för att låsa upp dem. Ett Ransomware kallas ”Locky” som vände sig till användare i mer än 50 länder – många av dem i Europa.

Det finns en uppsjö av olika kända ransomware program.

Zepto – det är en form av Locky Ransomware och det finns för närvarande inget sätt att dekryptera filer som blivit krypterade. Det enda alternativet att få tillbaka filerna är att ha en back-up finns eller betala lösen.
Bart – distribueras via phishing e-postmeddelanden med titeln ”Bilder” som innehåller en bifogad zip-fil som antas vara bilder. När den infekterade zip mappen öppnas, innehåller den JavaScript-filer med skadliga program som kallas RocketLoader, som installerar Bart Ransomware på datorn.
CryptXXX och Cryptomix är en otäck form av programvara som inte bara krypterar filer på offrens dator utan också angriper alla filer på anslutna lagringsenheter. Detta program kan stjäla pengar från kryptovalutawallets som lagras på din dator eller skicka känsliga uppgifter till angriparna för ytterligare dataintrång. Cryptomix är en av de dyraste som kostar 3 bitcoins som motsvarar ungefär 2000 USD. Efter ett tag går de ner i pris.
Jigsaw
Shade
Torrent locker
Cerber Ransomware – sprids genom Office 365 Miljontals Microsoft Office 365 användare har potentiellt blivit utsatta för en massiv zero-day Cerber Ransomware attack där de fått hotbrev och en ljudvarning där de blivit informerade om att deras filer blivit krypterade.
RAA är ett nytt ransomware som använder JavaScript

Hur kan organisationer hantera cyberbrottslingar som knackar på din bakdörr?

Det finns lösningar för följande ransomware.

Du kan ladda ner lösningar från https://www.nomoreransom.org

Cryptolocker ransomware, låser filerna
Wildfire decryptor – är ett malware som spridits i Belgien och Nederländerna
Chimera Decryptor
Teslacrypt Decryptor
Shade Decryptor
CoinVault Decryptor
Rannoh Decryptor
Rakhni Decryptor

En undersökning med Spiceworks med över 300 IT-proffs bekräftar det växande hotet från Ransomware och hur det påverkar organisationer. I Sverige har polisviruset varit vanligt i många organisationer som lurat många användare. Läs mer om polisviruset. Andra internatioenlla ransomware är tex ”FBI Moneypak” eller ”FBI virus”.

För de flesta ransomware kan man ta bort viruset utan att förlora sina filer men metoden varierar beroende på vilket virus som har infekterat datorn.

F-secure har skrivit en rapport om de olika Ransomprogrammen som finns, priser och hur de fungerar.
Ladda ner PDF-fil från F-secure

Hur skyddar du dig mot ransomware

Det är viktigt att skydda sig och ofta behöver du använda olika metoder. Bästa skyddet är att ha bra backup rutiner och undvika att klicka på mail som ser misstänkta ut. Om du har backuper så är risken att du blir utpressad mindre.

Se till att använda backuper och ta backup regelbundet – då kan du alltid återställa filerna från din extra kopia om du behöver det
Aktivera brandväggen
Använd robusta antivirusprogram
Använd alltid de senaste versionerna av olika program och i synnerhet webbläsare och pdf-acrobat.
Lite inte på någon inte ens dina vänner eftersom det kan vara sociala attacker. Se till att surfasäkert och undvik att öppna upp email attachment som du misstänker kan innehålla skadlig kod
Visa hela filändelsen (show file extensions) i Windows – det gör det enklare att se och upptäcka ifall du riskerar att öppna ”farliga filer” som .exe, .vbs eller .scr.
Använd program som Cryptoprevent som skyddar filer från att bli krypterade.
Det finns projekt som NoMoreRansom som är en webbplats dit du kan vända dig och se ifall det finns någon lösning på filerna som krypterats. Du får ladda upp krypterade filer så ser de ifall det finns någon lösning. NomoreRansom har publicerat en Ransomware dekryptering verktyg för dem som smittats av exempelvis Wildfire.

NSA riktar in sig på ransomware

Amerikanska NSA och dess cyberdirektorat har sagt att de kommer att fokusera på att störa utländska Ransomware ringar. Ransomware angripare har alltmer riktat in sig på specifika bransche och NSA är oroliga att motståndare kommer använda Ransomware för att störa 2020 års val genom att låsa viktiga system på valdagen.

Vad gör jag ifall min datorskärm är låst och jag kan inte öppna den?

Det finns flera olika verktyg som du kan använda för att ta bort olika typer av ransomware vilket ofta fungerar bättre än att betala till utpressarna.

Trendmicro’s Ransomware Removal Tool – tar bort ransomware som går mot PC plattformar
Kaspersky’s Ransomware Decryptor Site (kan dekryptera en del filer som ransomware CoinVault)
Hitman Pro Kickstart – anti-ransomware verktyg från SurfRight.

Exempel hur ett ransomware mail kan se ut

Självklart ska du inte betala pengar till ett ransomware och du ska inte skrämmas upp även om mailet ser ut att komma från dig själv.

Hello!
I’m a programmer who cracked your email account and device about half year ago. You entered a password on one of the insecure site you visited, and I catched it.

Your password from XXXX on moment of crack: 345 Of course you can will change your password, or already made it. But it doesn’t matter, my rat software update it every time.

Please don’t try to contact me or find me, it is impossible, since I sent you an email from your email account. Through your e-mail, I uploaded malicious code to your Operation System.

I saved all of your contacts with friends, colleagues, relatives and a complete history of visits to the Internet resources. Also I installed a rat software on your device and long tome spying for you.

You are not my only victim, I usually lock devices and ask for a ransom. But I was struck by the sites of intimate content that you very often visit.I am in shock of your reach fantasies! Wow! I’ve never seen anything like this!I did not even know that SUCH content could be so exciting!

So, when you had fun on intime sites (you know what I mean!) I made screenshot with using my program from your camera of yours device. After that, I jointed them to the content of the currently viewed site. Will be funny when I send these photos to your contacts! And if your relatives see it?

BUT I’m sure you don’t want it. I definitely would not want to …I will not do this if you pay me a little amount.

I think $839 is a nice price for it!

I accept only Bitcoins.
My BTC wallet: 1PL9ewB1y3iC7EyuePDoPxJjwC4CgAvWTo

If you have difficulty with this – Ask Google ”how to make a payment on a bitcoin wallet”. It’s easy. After receiving the above amount, all your data will be immediately removed automatically. My virus will also will be destroy itself from your operating system. My Trojan have auto alert, after this email is looked, I will be know it!

You have 2 days (48 hours) for make a payment. If this does not happen – all your contacts will get crazy shots with your dirty life! And so that you do not obstruct me, your device will be locked (also after 48 hours)

Do not take this frivolously! This is the last warning! Various security services or antiviruses won’t help you for sure (I have already collected all your data). Here are the recommendations of a professional: Antiviruses do not help against modern malicious code. Just do not enter your passwords on unsafe sites!

I hope you will be prudent.
Bye.