26/01/15Ransomware

René Hansen, Sikkerhedskonsulent i Digicure, giver her gode råd og vejledning om Ransomware. Hvad er Ransomware? Hvordan opererer hackerne? Hvordan beskytter man sig og hvad gør man hvis skaden er sket? Få svarene her!

For tiden bliver en række af danske virksomheder udsat for et angreb, som benytter sig af Ransomware. Ransomware går efter virksomhedernes filer, men i stedet for at stjæle filerne, sørger Ransomwaren for, at virksomhederne ikke længere kan bruge dem. Dette gøres ved hjælp af en stærk kryptering som er umulig at bryde. Herefter bliver virksomhederne opkrævet en løsesum for at få fat i den nøgle, som kan dekryptere filerne.

Den typiske fremgansmåde er, at hackerne sender mails med vedhæftede filer til medarbejdere af virksomheden, eller mails som indholder links til hjemmesider med skadelig kode, der herefter inficerer brugernes maskiner.

Der findes forskellige varianter af Ransomwaren i omløb. Disse inficerer maskinerne på forskellige måder, men typisk vil Ransomwaren sørge for, at den starter op når brugeren logger på maskinen. Dette kan ske ved ændringer i registreringsdatabasen, eller ved at oprette en opgave i Task Scheduler, som starter når brugeren logger på maskinen.

Når Ransomwaren er startet op, kigger den i brugerens dokumentmappe samt de ekstra drev som findes på maskinen. Hvis der er adgang til netværksdrev, som har fået tildelt sit eget drev-bogstav, vil det også blive inficeret. Typisk bliver der scannet efter brugergenererede dokumenter, såsom Word dokumenter, Excel dokumenter og PDF filer som herefter bliver krypteret. De krypterede filer får herefter tilføjet en endelse med en tilfældig tekst. Dvs. et dokument som hedder Adressebog.doc kan komme til at hedde Adressebog.doc.pdhntg

Udover at endelserne er blevet ændret, gør hackerne opmærksom på hvad der er sket ved at ligge nogle filer på computeren. I disse står beskrevet hvordan man kan få fat i nøglen som låser filerne op. Normalt gives der en frist på 72 timer før nøglen, som kan åbne filerne bliver slettet. Der er set krav fra et par hundrede kroner op til mange tusinde kroner.

Det anbefales ikke at betale løsepenge, da der ikke er nogen garanti for at man modtager krypteringsnøglen efterfølgende. Ved ikke at betale, støtter man heller ikke hackerne i deres aktiviteter hvilket gør denne type angreb mindre attraktive.

Hvordan beskytter man sig?
Denne type angreb kan ramme alle både privatpersoner og virksomheder, også selvom man tager sine forholdsregler. Derfor er det vigtigere end nogensinde, at sikre sig at backup-strategien er på plads og gennemtestet, så man kan genskabe de tabte data.

• Det anbefales, at sætte mailserveren op til ikke at tillade filer af bestemte typer. Som minimum anbefales det at blokere for exe og zipfiler men andre eksekverbare filer bør også blokeres.
• Sørg for at klienternes antivirus er opdateret.
• Benyt gerne en antivirus på mailserveren af et andet fabrikat end det som er installeret på klienterne. På den måde er der større chance for at Ransomwaren bliver opfanget da de benytter forskellige definationsfiler.
• Giv brugerne mindst mulige rettigheder, så der ikke er mulighed for at inficere mere end højest nødvendigt.
• Map kun de netværksdrev som er relevant for den enkelte bruger.
• Gør brugerne opmærksom på at de ikke skal åbne mails fra afsendere de ikke kender og filer som de ikke forventer.

Hvad man kan gøre, når man er blevet ramt?
Når man opdager at man er blevet inficeret med Ransomware, anbefales det at man lukker maskinen ned for at undgå at flere filer bliver krypteret. Hvis der er en virtuel maskine, anbefales det at tage en kopi af maskinen før den startes op igen.

Malwaren skal fjernes fra maskinen. Afhængigt af varianten findes der forskellige guides på nettet som kan hjælpe med dette. Varianten kan man typisk se i de tekst eller billedefiler, hvori der er beskrevet kravet om løsepenge.

Hvis man er ramt af en ældre variant, kan man være heldig at man kan låse filerne op. Dette gælder for eksempel for varianten CryptoLocker, hvor der findes en online tjeneste, her kan man oploade en fil og modtage krypteringsnøglen efterfølgende https://www.decryptcryptolocker.com/

Desværre findes der ikke tilsvarende løsninger for de nyere udgaver af Ransomwaren. Krypteringen som bliver benyttet er så stærk, at det ikke vil være realistisk at dekryptere den selv.
Gendan serveren fra backup hvis det er muligt.
Hvis der ikke findes en backup af maskinen skal serveren geninstalleres med nyt operativsystem.

Gode råd til at genskabe data, hvis backup’en mangler:
• Check om Shadow Copy er slået til på serveren (højreklik på en fil og vælg previous versions).
• Benyt Recovery software og se om det er muligt at genskabe nogle af de krypterede filer.
• Check om der ligger gamle .tmp filer af officedokumenter som eventuelt vil kunne restores.
• Check om der er andre brugere som har nogle af filerne liggende. Evt. på mail.
Det anbefales IKKE at betale løsepengene da det vil opfordre hackerne til yderligere angreb af samme type.
Af:
René Hansen, Sikkerhedskonsulent, Digicure

 

  Der er to tilgange til problemet; ignorér det og stol på dine filtre og hav tillid til, at dine brugere aldrig kunne finde på at klikke på en phishing mail, eller tag problemet alvorligt og træn virksomhedens medarbejdere i deres parathed, over for de mere og mere sofistikerede angreb. Brugerne narres! Phishing angreb, hvor intetanende brugere narres til at downloade malware eller udlevere personlige og forretningsmæssige oplysninger, bliver mere og mere almindelige. Normalt kommer de i form af e-mail med links. Phishing angreb er blevet en alvorlig udfordring for mange, der er talrige eksempler på at virksomheder har fået krypteret mere end 100.000 filer og efterfølgende bliver afkrævet en løbesum for at få nøglen.

Nyhedsoversigt