Om løsepengevirus

Løsepengevirusenes historie

1989: AIDS-trojaneren (også kjent som «PC Cyborg») var det første kjente løsepengeviruset, og herjet datamaskiner i 1989. Viruset ble skrevet av Joseph Popp
2005: Løsepengevirus dukker opp i mai 2005
2006: Ormer som Gpcode, TROJ.RANSOM.A, Archiveus, Krotten, Cryzip og MayArchive begynner å bruke mer sofistikert RSA-kryptering og stadig større nøkkellengder
2011: En løsepengeorm som imiterer Windows-produktaktivering dukker opp
2013: En løsepengeorm basert på den ondsinnede verktøykassen Stamp.EK tas i bruk, og et Mac OS X-spesifikt løsepengevirus oppdages. CryptoLocker håver inn rundt $5 millioner dollar i årets fire siste måneder
2015: Flere varianter av løsepengevirus gjør betydelig skade på flere ulike plattformer

Ulike typer løsepengevirus

  • Krypterende løsepengevirus

Krypterer filer og mapper (dokumenter, regneark, bilder og filmer).

De berørte filene slettes når de har blitt kryptert, og brukere får ofte opp en tekstfil med instruksjoner som forklarer hvordan man kan betale løsepengene.

Ofte oppdages problemet først når man forsøker å åpne de nå utilgjengelige filene.

Noen slike løsepengevirus viser en låseskjerm, som vist nedenfor:

Maktub1 Ctblocker2.10 Bitman_040 Bitman_025

  • Løsepengevirus med låseskjerm – WinLocker

WinLocker låser maskinens skjerm og krever betaling.

Den viser et fullskjermsbilde som blokkerer alle andre vinduer.

Ingen personlige filer krypteres.

Polyransom2

  • Master Boot Record-løsepengevirus

Master Boot Record (MBR) er den delen av harddisken som lar maskinen starte.

MBR-løsepengevirus endrer maskinens MBR, slik at den vanlige oppstartsprosessen forstyrres.

I stedet vises løsepengekravet på skjermen.

Master-Boot.jpg

  • Løsepengevirus som krypterer webservere

Slike løsepengevirus går etter webservere og krypter filer på dem.

Ofte brukes kjente sårbarheter i publiseringsverktøy (Content Management Systems) til å plassere løsepengevirus på webtjenester.

Ransomware encrypting web servers

  • Mobile enheter (hovedsakelig Android) kan infiseres ved hjelp av såkalte ‘drive-by download’-angrep.

Mobile enheter (hovedsakelig Android) kan infiseres ved hjelp av såkalte ‘drive-by download’-angrep.

Enhetene kan også infiseres gjennom falske applikasjoner som utgir seg for å være populære tjenester, som Adobe Flash eller antivirus-produkter.

Mobile Ransomware

Bør jeg betale løsepengene?

Det anbefales ikke å betale løsepenger, hovedsakelig fordi det ikke finnes noen garanti for at man får dekrypteringsnøklene etter man har betalt. Det er mange grunner til at betalingen ikke nødvendigvis vil føre til at du får filene dine tilbake. Det kan eksempelvis være programmeringsfeil i koden som medfører at filene ikke kan dekrypteres selv med rett nøkkel.

Om løsepengene betales sender dette også et signal til de kriminelle at løsepengevirus er et effektivt virkemiddel. Flere kriminelle vil dermed fortsette denne aktiviteten, og søke etter nye metoder for å utnytte systemer for å få mer penger inn på konto.

Hvordan angriper et løsepengevirus?

Et løsepengevirus leveres vanligvis gjennom et vedlegg i en e-post. Det kan være en eksekverbar fil, et arkiv eller et bilde. Når vedlegget åpnes vil skadevaren slippes fri på brukerens system. De kriminelle planter også skadevare på nettsider. Når en bruker besøker nettsiden vil skadevaren slippes inn i systemet

Brukeren vil ikke nødvendigvis oppdage infeksjonen med en gang. Skadevaren arbeider i det stille i bakgrunnen til filene er kryptert eller skjermlåsen aktiveres. Da vil det dukke opp en dialogboks på skjermen, med beskjed om at data har blitt låst, sammen med et krav om løsepenger. Det er da for sent å forhindre at filene låses.

For mer informasjon, vennligst se videoen under:

Hvem blir rammet av løsepengevirus?

Enhver forbruker eller bedrift kan bli offer for løsepengevirus. Cyberkriminelle opererer ikke selektivt, men er ofte ute etter å infisere så mange brukere som mulig for å maksimere sin profitt.

Er trusselen mot bedrifter voksende?

Ja, kriminelle vet at det er sannsynlig at bedrifter vil betale løsepenger for å få tilbake dataene sine, som typisk er både sensitive og essensielle for den daglige driften. Dessuten kan det noen ganger være dyrere for bedrifter å gjenopprette sikkerhetskopier enn å betale løsepengene.

Hvorfor er det vanskelig å stoppe løsepengevirus?

Løsepengevirus er i vekst, det er nå mer enn 50 løsepengevirusfamilier i omløp, og dette utvikler seg raskt. Hver nye variant forbedrer krypteringen og introduserer ny funksjonalitet. Dette er ikke en trussel du kan ignorere!

En grunn til at det er vanskelig å finne èn enkel løsning på løsepengevirus er at kryptering ikke nødvendigvis er ondsinnet. Kryptering er faktisk samfunnsnyttig, og flere legitime programmer benytter seg av det.

Det første løsepengeviruset brukte kryptering med symmetrisk nøkkelalgoritme, slik at den samme nøkkelen ble brukt til både kryptering og dekryptering. Dermed kunne kryptert informasjon vanligvis dekrypteres ved hjelp fra sikkerhetsselskaper. Over tid implementerte de kriminelle asymmetrisk kryptering, som bruker to separate nøkler – en offentlig nøkkel som krypterer filene, og en privat nøkkel for å dekryptere dem.

CryptoLocker-trojaneren er en av de mest kjente løsepengevirusene. Den bruker også en asymmetrisk nøkkelfunksjon. Hver maskin som krypteres kobles til en kommandoserver som laster ned den offentlige nøkkelen. Den private nøkkelen er det bare de kriminelle bak CryptoLocker som har tilgang til. Vanligvis vil offeret få 72 timer til å betale løsepengene før den private nøkkelen slettes. Det er umulig å dekryptere filene uten nøkkelen.

Derfor må du tenke forebyggende. De fleste antivirusprogrammer inkluderer en komponent som forsøker å identifisere og stoppe trusselen fra løsepengevirus tidlig i prosessen, før filene krypteres. Det er viktig at brukere sørger for at denne funksjonaliteten er slått på.

Hva er sjansen for at dere kan hjelpe offer for løsepengevirus med å dekryptere filene sine?

«No More Ransom»-prosjektet har nettopp startet, men vi arbeider kontinuerlig med andre sikkerhetsbedrifter og politimyndigheter for å identifisere så mange nøkler som mulig, for så mange løsepengevirusvarianter som mulig. Hvis du har informasjon som du tror kan hjelpe, vennligst del den med oss.

Hva er Crypto Sheriff og hvordan bruker jeg det?

Crypto Sheriff er et verktøy som er designet for å finne ut hvilken type løsepengevirus som har infisert maskinen din. Dette gjør oss i stand til å sjekke om det finnes en dekrypteringsløsning du kan benytte deg av. Vennligst se videoen under for å se hvordan dette fungerer:

Dekrypteringsverktøyet virker ikke, til tross for at jeg er sikker på at jeg bruker rett verktøy. Hvorfor?

Det er mulig. Noen ganger får vi bare tak i noen av nøklene, så vennligst fortsett å sjekke nettsiden jevnlig.

I hvilke tilfeller er det mulig å dekryptere filer som har blitt kryptert av løsepengevirus?

Det er mulig i disse tilfellene:

  • De som lager skadevaren gjør en feil i implementeringen av krypteringsalgoritmen, slik at det er mulig å knekke krypteringen. Dette var tilfellet med Petya-løsepengeviruset og med CryptXXX.
  • Personene som lager løsepengeviruset får dårlig samvittighet og publiserer nøklene, eller en mesternøkkel. Dette var tilfellet med TeslaCrypt.
  • Påtalemyndigheter konfiskerer en sever som inneholder dekrypteringsnøkler og deler dem. Et slikt eksempel er CoinVault.


Noen ganger fungerer det også å betale løsepengene, men det finnes ingen garanti for at betaling vil føre til at du får dekryptert filene. I tillegg vil du da styrke de kriminelles forretningsmodell og være delvis ansvarlig for at stadig flere blir infisert av løsepengevirus.

Hvorfor valgte dere å starte No More Ransom?

Det er ingen hemmelighet at løsepengevirus, som krypterer data på brukeres system og deretter forlanger løsepenger, har blitt et stort problem de siste årene. Det har blitt så utbredt at mange nå kaller det en epidemi. Antallet brukere angrepet av løsepengevirus øker raskt, med 718 000 infiserte brukere mellom april 2015 og mars 2016. Dette er 5,5 ganger mer enn i samme periode i 2014-2015.

Politiet kan ikke ta kampen mot nettkriminalitet på egenhånd. Spesielt ikke løsepengevirus. De som forsker på sikkerhet kan heller ikke bekjempe løsepengevirus uten hjelp fra politimyndighetene. Dette krever en felles innsats, og ansvaret er delt mellom politiet, justisdepartementet, Europol og bedrifter innen IT-sikkerhet. Sammen vil vi gjøre alt vi kan for å hindre de kriminelles forsøk på utpressing og returnere filene til deres rettmessige eiere, uten at de trenger å betale masse penger.

Finnes det tilsvarende initiativ i mitt land?

No More Ransom er et internasjonalt initiativ som viser verdien av at private og offentlige aktører samarbeider i kampen mot nettkriminalitet. Dette samarbeidet krysser landegrenser. Prosjektets hovedmål er å dele kunnskap og lære brukere verden over hvordan de kan unngå å bli infisert av løsepengevirus. Ved å gi de skadelidende tilbake dataene sine uten å betale løsepenger, gir vi makten tilbake til ofrene ved å vise hvordan man kan løse problemet uten å premiere de kriminelle.

I denne tidlige fasen inneholder portalen fire dekrypteringsverktøy for ulike typer skadevare. Alle verktøyene er gratis og vil virke for brukere infisert av trusslene nevnt på denne nettsiden – samme hvor i verden de er bosatt.