Hoppa till huvudinnehållet

Känna igen utpressningsvirus – hur skiljer sig krypteringstrojaner från andra virus?

Vad är utpressningsvirus?

Utpressningsvirus är en typ av skadlig programvara som används av cyberbrottslingar. Om en dator eller ett nätverk har smittats av ett utpressningsvirus blockerar utpressningsviruset åtkomst till systemet och krypterar dess data. Cyberbrottslingar kräver de drabbade på en lösensumma för att de ska låsa upp deras data. För att skydda sig mot att bli smittad av ett utpressningsvirus behövs både säkerhetsprogramvara och ett vakande öga. De som drabbas av sådana attacker från skadlig programvara har tre alternativ efter att ha fått ett virus: de kan antingen betala lösensumman, försöka ta bort den skadliga programvaran eller starta om enheten. Kanaler som ofta används vid utpressningsförsök inkluderar protokoll för fjärrskrivbord, nätfiskemeddelanden och sårbarheter i programvaran. En attack med skadlig programvara kan därför drabba både privatpersoner och företag.

Identifiera utpressningsvirus – vi behöver skilja mellan olika sorters virus

Det finns framför allt två populära typer av utpressningsvirus:

  • Låsningsutpressningsvirus. Den här sortens skadlig programvara blockerar datorns grundläggande funktioner. Du kan till exempel nekas åtkomst till skrivbordet medan musen och tangentbordet delvis är avaktiverade. På så sätt kan du fortfarande interagera med fönstret som kräver en lösensumma så att du kan betala den. Utöver det kan datorn inte användas. Men det finns goda nyheter: låsningsutpressningsvirus riktar oftast inte in sig på viktiga filer utan vill normalt sett bara låsa dig ute. Det är därför osannolikt att dina data förstörs helt.
  • Målet med ett krypteringsutpressningsvirus är att kryptera dina viktiga data, som dokument, bilder och videor, men inte att störa datorns grundläggande funktioner. Detta skapar panik då användarna kan se sina filer men inte komma åt dem. Krypteringsutvecklare lägger dessutom ofta till en nedräkning: ”Om du inte betalar lösensumman innan tiden går ut kommer alla dina filer att raderas”. Och med tanke på hur många användare som inte är medvetna om behovet av säkerhetskopiering av filer i molnet eller på externa fysiska lagringsenheter kan krypteringsutpressningsvirus ha förödande resultat. Därför betalar många lösensumman bara för att få tillbaka filerna.

Locky, Petya och andra.

Nu vet du vad utpressningsvirus är och vilka två sorter som är vanligast. Nu kan du läsa mer om några välkända exempel som hjälper dig att se vilka risker som utpressningsvirus innebär:

Locky

Locky är ett utpressningsvirus som först användes för en attack 2016 av en grupp organiserade hackare. Locky krypterade mer än 160 filtyper och spreds genom falska e-postmeddelanden med smittade bilagor. Användare lurades av e-postmeddelandena och installerade utpressningsviruset på sina datorer. Den här metoden för att sprida virus kallas för nätfiske och är en form av vad som kallas för social manipulering. Utpressningsviruset Locky angriper filtyper som ofta används av konstruktörer, utvecklare, ingenjörer och testare.

WannaCry

WannaCry var en utpressningsvirusattack som spreds till 150 länger 2017. Den utformades för att utnyttja en sårbarhet i Windows säkerhet som skapades av den amerikanska myndigheten NSA och läcktes av hackergruppen Shadow Brokers. WannaCry drabbade 230 000 datorer över hela världen. Attacken drabbade en tredjedel av alla NHS-sjukhus i Storbritannien och bedöms ha orsakat skador för 92 miljoner pund. Användare låstes ute och en lösensumma i bitcoin krävdes. Attacken avslöjade problemen med att använda föråldrade system. Hackaren utnyttjade nämligen en sårbarhet i operativsystemet som det länge hade funnits en patch för när attacken skedde. Den ekonomiska skadan världen över som WannaCry orsakade uppgick till ungefär fyra miljarder dollar.

Bad Rabbit

Bad Rabbit var en utpressningsvirusattack från 2017 som spreds via så kallade attacker med ”drive-by”. Osäkra webbplatser användes för att genomföra attackerna. Vid en utpressningsvirusattack med ”drive-by” besöker en användare en riktig webbplats utan att veta att den har utsatts för intrång av hackare. Vid de flesta attacker med ”drive-by” behöver användaren bara gå till en webbplats som har blivit utsatt för intrång på det här sättet. Men i det här fallet smittades datorerna när ett installationsprogram med dold skadlig programvara kördes. Det här kallas för en trojanspridare. Bad Rabbit bad användaren att köra en falsk installation av Adobe Flash och smittade på så sätt datorn med skadlig programvara.

Ryuk

Ryuk är en krypteringstrojan som spreds i augusti 2018 och avaktiverade återhämtningsfunktionen för operativsystem i Windows. Det gjorde det omöjligt att återställa krypterade data utan extern säkerhetskopiering. Med Ryuk krypterades även nätverkshårddiskar. Det hade enorma följder och många av de amerikanska organisationer som hade drabbats betalade lösensumman som krävdes. Den totala skadan bedöms vara över 640 000 dollar.

Shade/Troldesh

Utpressningsvirusattacken Shade eller Troldesh skedde 2015 och spreds via skräppostmeddelanden som innehöll smittade länkar eller bifogade filer. Intressant nog kommunicerade angriparna bakom Troldesh direkt med de drabbade via e-post. Personer som de skapade en ”god relation” med fick rabatter. Men den här sortens beteende är ett undantag snarare än normen.

Jigsaw

Jigsaw är en utpressningsvirusattack som startade 2016. Attacken fick sitt namn efter en bild som den visade på den välkända dockan från filmserien Saw. För varje timme som gick utan att lösensumman hade betalts raderade utpressningsviruset Jigsaw fler filer. Att en bild från en skräckfilm användes orsakade ytterligare stress bland användarna.

CryptoLocker

CryptoLocker är ett utpressningsvirus som först användes 2007 och spreds via smittade e-postbilagor. Utpressningsviruset sökte efter viktiga data på smittade datorer och krypterade dem. Det bedöms att 500 000 datorer påverkades. Brottsbekämpande myndigheter och säkerhetsföretag lyckades så småningom ta kontroll över ett nätverk med kapade hemdatorer över hela världen som användes för att sprida CryptoLocker. På så sätt kunde myndigheterna och företagen fånga upp data som skickades genom nätverket utan att brottslingarna märkte det. Det här resulterade till slut i att en webbportal skapades där de som hade drabbats kunde hämta en nyckel för att låsa upp sina data. På så sätt kunde deras data släppas fri utan att lösensumman till brottslingarna behövde betalas.

Petya

Petya (som inte ska förväxlas med ExPetr) är en utpressningsvirusattack som skedde för första gången 2016 och återuppstod som GoldenEye 2017. I stället för att kryptera vissa filer krypterade det här skadliga utpressningsviruset de drabbades hela hårddisk. Det här gjordes genom att kryptera Master File Table (MFT), vilket gjorde det omöjligt att få åtkomst till filer på hårddisken. Utpressningsviruset Petya spreds till företagens HR-avdelningar via en falsk jobbansökan som innehöll en smittad Dropbox-länk.

En annan variant av Petya är Petya 2.0, där vissa viktiga aspekter skiljer sig åt i hur attacken genomförs. Båda varianterna är dock lika allvarliga för enheten.

GoldenEye

När Petya återuppstod som GoldenEye resulterade det i en infektion över hela världen på grund av utpressningsviruset under 2017. GoldenEye, känt som WannaCrys ”dödliga syskon”, drabbade fler än 2 000 offer – däribland framträdande oljeproducenter i Ryssland och flera banker. Vid ett tillfälle hände det oroande nog att GoldenEye tvingade personalen på kärnkraftverket Tjernobyl att kontrollera nivån av radioaktiv strålning på platsen manuellt efter att de hade blivit utelåsta från sina Windows-datorer.

GandCrab

GandCrab är ett obehagligt utpressningsvirus som hotade att avslöja de drabbades porrvanor. Det hävdade att det hade hackat deras webbkameror och begärde en lösensumma. Om den inte betalades skulle pinsamma filmklipp på de drabbade publiceras. Efter att det först dök upp 2018 fortsatte utpressningsviruset GandCrab att utvecklas i olika versioner. Som en del av initiativet ”No More Ransom” utvecklade internetsäkerhetsleverantörer och polisen ett verktyg för dekryptering av utpressningsvirus för att hjälpa de som drabbats att få tillbaka sina känsliga data från GandCrab.

B0r0nt0k

B0r0nt0k är ett krypteringsutpressningsvirus som fokuserar specifikt på Windows- och Linux-baserade servrar. Det här skadliga utpressningsviruset krypterar filer på en Linux-server och lägger till filtillägget ”.rontok”. Den skadliga programvaran innebär inte bara ett hot mot filerna utan gör också ändringar i startinställningarna, avaktiverar funktioner och program och lägger till registerposter och program.

Utpressningsviruset Dharma Brrr

Brrr, det nya Dharma-utpressningsviruset installeras manuellt av hackare som hackar sig in i datorprogram som är anslutna till internet. Så fort utpressningsviruset har aktiverats av hackaren börjar det kryptera filerna som det hittar. Krypterade data får filtillägget ”.id-[id].[email].brrr”.

Utpressningsviruset FAIR RANSOMWARE

FAIR RANSOMWARE är ett utpressningsvirus som har som mål att kryptera data. Genom att använda en kraftfull algoritm krypteras alla den drabbades privata dokument och filer. Filer som krypteras med det här utpressningsviruset får filtillägget ”.FAIR RANSOMWARE”.

Utpressningsviruset MADO

MADO är en annan typ av krypteringsutpressningsvirus. Data som har krypterats med det här utpressningsviruset får filtillägget ”.mado” och kan sedan inte öppnas.

Attacker med utpressningsvirus

Som vi har nämnt hittar utpressningsvirus offer lite överallt. Lösensumman som krävs ligger oftast mellan 100 och 200 dollar. Men vid vissa attacker krävs mycket mer, särskilt om angriparen vet att de data som blockeras innebär en stor ekonomisk förlust för de företag som attackeras. Cyberbrottslingar kan därför tjäna enorma summor pengar när de använder de här metoderna. I två exempel nedan är eller var den som drabbades av attacken viktigare än vilken typ av utpressningsvirus som användes.

Utpressningsvirus för Wordpress

Precis som namnet antyder angriper utpressningsvirus för WordPress filer på WordPress-webbsidor. Den drabbade pressas på pengar precis som vid andra utpressningsvirus. Ju mer populär WordPress-webbplatsen är, desto mer sannolikt är det att den angrips av cyberbrottslingar som använder utpressningsvirus.

Wolverine-fallet

Wolverine Solutions Group (en leverantör till sjukvården) drabbades av en utpressningsvirusattack i september 2018. Den skadliga programvaran krypterade ett stort antal av företagets filer vilket gjorde det omöjligt för många av de anställda att öppna dem. Som tur var kunde kriminaltekniska experter dekryptera och återställa alla data den 3 oktober. Men mycket patientdata hade komprometterats vid attacken. Namn, adresser, medicinska data och annan personlig information hade kunnat hamna i händerna på cyberbrottslingar.

Utpressningsvirus som tjänst

Med utpressningsvirus som tjänst får cyberbrottslingar med låg teknisk kapacitet möjlighet att genomföra utpressningsvirusattacker. Den skadliga programvaran görs tillgänglig för köpare, vilket innebär lägre risker och större vinst för programmerarna som skapar programvaran.

Sammanfattning

Utpressningsvirusattacker ser olika ut och kommer i alla former och storlekar. Kanalen för attacken är en viktig faktor för vilka typer av utpressningsvirus som används. För att kunna bedöma storleken och omfattningen på attacken behöver man alltid tänka på vad som står på spel eller vilka data som skulle kunna raderas eller publiceras. Oavsett typen av utpressningsvirus går det att försvaga attackens intensitet betydligt genom att säkerhetskopiera data i förväg och hantera säkerhetsprogram på rätt sätt.

Känna igen utpressningsvirus – hur skiljer sig krypteringstrojaner från andra virus?

Med Kaspersky får du lära dig att identifiera och skilja mellan Bad Rabbit, CryptoLocker, GandCrab och många anda utpressningsvirus.
Kaspersky logo

Utvalda inlägg