Om ransomware

Ransomwarens historie

1989: Den første kendte ransomware var AIDS-trojaneren (også kendte som "PC Cyborg"). Joseph Popp var ophavsmanden til den
2005: Ransomware med afpresning dukker op i maj
2006: Ormene Gpcode, TROJ.RANSOM.A, Archiveus, Krotten, Cryzip og MayArchive begynder at bruge mere sofistikerede RSA-kryptering med stadig længere nøgler
2011: En ransomware-orm, som efterligner Windows-produktaktivering, dukker op
2013: En ransomware-orm baseret på Stamp.EK-værktøjskassen dukker op, og en ransomware-orm opdages på Mac OS X. CryptoLocker skraber ca. 5 millioner dollars ind i årets sidste fire måneder
2015: Mange varianter af ransomware gør stor skade på flere forskellige platforme

Forskellige typer af ransomware

  • Krypterende Ransomware

Krypterer personlige filer og mapper (dokumenter, regneark, billeder og videoer)

De berørte filer slettes, så snart de er blevet krypteret, og brugere møder ofte en tekstfil med instruktioner, som forklarer, hvordan de betaler løsepengene.

Ofte opdages problemet først, når man forsøger at åbne de nu utilgængelige filer.

Nogle slags ransomware viser et skærmbillede, som fortæller, at dine filer er låst:

Maktub1 Ctblocker2.10 Bitman_040 Bitman_025

  • Ransomware med skærmbillede — WinLocker

WinLocker låser computerens skærm og kræver betaling.

Den viser et fuldskærmsbillede, der blokerer alle andre vinduer.

Ingen personlige filer krypteres.

Polyransom2

  • Master Boot Record-ransomware

Master Boot Recorden (MBR) er den del af harddisken, som tillader operativsystemet at starte op.

MBR-ransomware ændrer på computerens MBR, så opstartsprocessen forstyrres.

I stedet for bliver et løsepengekrav vist på skærmen.

Master-Boot.jpg

  • Ransomware som krypterer webservere

Denne form for ransomware går efter webservere og krypterer filer på dem.

Ofte bruges kendte sårbarheder i CMS-systemer/Content Management Systems til at placere ransomware på webtjenester.

Ransomware encrypting web servers

  • Ransomware mod mobile enheder (Android)

Mobile enheder (mest Android) kan blive ramt af såkaldte "drive-by download"-angreb.

Enhederne kan også blive ramt via falske apps, som udgiver sig for at være populære tjenester som Adobe Flash eller antivirus-programmer.

Mobile Ransomware

Bør jeg betale løsepengene?

Det anbefales ikke at betale løsepengene, hovedsageligt fordi man ikke er garanteret en løsning på problemet. Desuden kan der gå andre ting galt. For eksempel kan der være programmeringsfejl i koden, som gør, at filerne ikke kan dekrypteres, selv med den rigtige nøgle.

Hvis løsepengene betales, sender det også et signal til de kriminelle om, at ransomware virker. Dermed vil de it-kriminelle fortsætte med at benytte ransomware og se efter nye måder at udnytte systemer, hvilket ender ud i flere ransomware-angreb og flere penge til forbryderne.

Hvordan foregår et ransomware-angreb?

Et ransomware-angreb sker typisk via en vedhæftet fil i en e-mail. Det kan være en eksekverbar fil, et arkiv eller et billede. Når den vedhæftede fil åbnes, slippes den skadelige software fri på brugerens system. De it-kriminelle kan også lægge den skadelige software på hjemmesider. Når brugeren besøger hjemmesiden vil den skadelige software slippe ind i brugerens system.

Brugeren vil ikke nødvendigvis opdage infektionen med det samme. Den skadelige software arbejder stille i baggrunden, indtil systemet eller filerne er krypteret. Derefter vil en dialogboks dukke op på skærmen med besked om, at brugerens data er blevet låst, sammen med et krav om løsepenge. Det er derefter for sent at forhindre, at filerne låses.

Hvis du vil vide mere, så se videoen herunder:

Hvem bliver ramt af ransomware?

Enhver forbruger og enhver virksomhed kan blive offer for ransomware. De it-kriminelle vælger ikke nogen ud specifikt, men er ofte ude efter at inficere så mange brugere som muligt for at maksimere deres indtjening.

Er ransomware-angreb mod virksomheder i stigning?

Ja. De it-kriminelle ved, at det er sansynligt, at virksomheder vil betale løsepenge for at få deres data tilbage. Dataene er typisk både følsomme og essentielle for den daglige drift. Desuden er det nogle gange dyrere at gendanne sikkerhedskopier end at betale løsepengene.

Hvorfor er det så svært at finde én løsning mod ransomware?

Ransomware er i stigning - der er nu mere end 50 familier af ransomware i omløb - og det udvikler sig hurtigt. Hver ny variant forbedrer krypteringen og har nye funktioner. Du bør ikke ignorere denne trussel!

En af forklaringerne på, hvorfor det er så svært at finde én samlet løsning, er, at kryptering i sig selv ikke er ondsindet. Kryptering er faktisk samfundsnyttigt, og flere legitime programmer benytter sig af det.

Den første ransomware brugte kryptering med symmetrisk nøglealgoritme, hvor den samme nøgle blev brugt til både kryptering og dekryptering. Dermed kunne krypterede data ofte blive dekrypteret med hjælp fra sikkerhedsfirmaer. Over tid begyndte it-kriminelle at indføre asymmetrisk kryptering, som bruger to seperate nøgler - en offentlig nøgle til kryptering og en privat nøgle til dekryptering.

CryptoLocker-trojaneren er en af de mest kendte ransomware-virus. Den bruger også en asymmetrisk nøglefunktion. Når computeren bliver inficeret, forbinder den sig til en command-and-control-server for at downloade den offentlige nøgle. Den private nøgle er kun tilgængelig for de kriminelle bag CryptoLocker. Ofte har offeret kun 72 timer til at betale løsepengene, før den private nøgle slettes, hvorefter det er umuligt at dekryptere filerne.

Derfor bør du først tænke på at forebygge. De fleste antivirusprogrammer indeholder en komponent, som forsøger at identificere og stoppe en ransomware-virus i krypteringens tidlige fase. Det er vigtigt, at brugere sørger for at slå denne funktionalitet til.

Hvad er chancen for, at I kan hjælpe ofre for ransomware med at dekryptere deres filer?

"No More Ransom"-projektet er lige begyndt, men vi arbejder sammen med sikkerhedsfirmaer og retshåndhævende myndigheder med løbende at identificere så mange nøgler som muligt for så mange varianter som muligt. Hvis du kender til nogle oplysninger, som du tror vil være gavnligt for vores arbejde, så del det gerne med os.

Hvad er Crypto Sheriff, og hvordan bruger jeg det?

Crypto Sheriff er et værktøj, som er lavet til at hjælpe os med at definere, hvilken ransomware-type der påvirker din enhed. Det gør det muligt for os at finde ud af, om der allerede ligger en dekrypteringsløsning klar. Se venligst videoen herunder for at se, hvordan det virker:

Jeres dekrypteringsværktøj virker ikke, selvom jeg er sikker på, at jeg bruger det rigtige værktøj - hvorfor?

Det er muligt. Nogle gange har vi kun en delmængde af nøglerne, så vend venligst tilbage til hjemmesiden på et senere tidspunkt.

Hvornår er det muligt at dekryptere filer, som er krypteret med ransomware?

Det er muligt i disse tilfælde:

  • Når de, der har lavet den skadelige software, har lavet en fejl i implementeringen, så det er muligt at standse krypteringen. Det var tilfældet med Petya ransomwaren og med CryptXXX ransomwaren.
  • Når de, der har lavet den skadelige software, bliver kede af deres handlinger og udgiver dekrypteringsøglerne eller en "hovednøgle", som tilfældet var med TeslaCrypt.
  • Når retshåndhævende myndigheder beslaglægger en server, der indeholder nøgler, og deler dem. CoinVault er et eksempel på det.


Nogle gange virker det også at betale løsepengene, men der er ingen garanti for, at du får dekrypteret dine filer, hvis du betaler. Desuden understøtter du på den måde de kriminelles forretningsmodel og er dermed delvis ansvarlig for, at stadig flere bliver ramt af ransomware.

Hvorfor valgte I at starte "No More Ransom"-initiativet?

Det er ingen hemmelighed, at ransomware, som krypterer data på brugeres systemer og forlanger løsepenge, er blevet et enormt problem for it-sikkerheden inden for de seneste år. Det er blevet så udbredt, at man sagtens kunne kalde det for en epidemi. Antallet af brugere, som bliver angrebet med ransomware, er stigende. 718.000 brugere blev ramt mellem april 2015 og marts 2016. Det er 5,5 gange flere sammenlignet med den samme periode i 2014-2015.

Politiet kan ikke bekæmpe it-kriminalitet, og ransomware i særdeleshed, på egen hånd. Og sikkerhedseksperter kan ikke gøre det uden hjælp fra de retshåndhævende myndigheder. Ansvaret for bekæmpelsen af ransomware er delt mellem politiet, justitsministeriet, Europol og it-sikkerhedsfirmaer, og kræver en fælles indsats. Sammen vil vi gøre alt, hvad vi kan, for at forstyrre de kriminelles måder at tjene penge på og returnere filer til de retmæssige ejere, uden at sidstnævnte er nødt til at betale en masse penge.

Findes der tilsvarende initiativer i mit land?

"No More Ransom" er et internationalt initiativ, som viser værdien af offentligt-privat samarbejde, når vi tager alvorligt fat på indsatsen mod it-kriminalitet. Dette samarbejde går strækker sig på tværs af landegrænser. Hovedformålet med projektet er at dele viden og lære brugere rundtom i hele verden om, hvordan man undgår at blive ransomware-angreb. Ved at give ofrene deres data tilbage og adgang til deres systemer, giver magten tilbage til ofrene ved at vise dem, hvordan man kan løse problemet uden at belønne de kriminelle.

I projektets indledende fase indeholder portalen fire dekrypteringsværktøjer for forskellige typer af skadelig software. Alle værktøjerne på hjemmesiden er gratis, og de virker for enhver bruger, som er inficeret med den trussel, som nævnes på hjemmesiden - uanset hvor i verden de befinder sig.