Ransomware – Allt du behöver veta

Bakgrund och råd till dig som medarbetare

Ransomware, även kallad gisslanprogram eller utpressningstrojan är en form av skadlig programvara som krypterar och låser dina filer och dator i syfte att begära en lösensumma för att få dessa tillbaka. I denna artikel tittar vi på ett av de största fallen från verkligheten där avancerade Ransomware attacker påverkat företag och deras verksamheter. Vi tittar även närmare på Ransomwares historiska utveckling från 1989 fram till 2021 samt hur du gör för att skydda dig.

 

Är du i riskzonen för att drabbas av Ransomware?

Skydda dig mot RansomwareDet finns ett antal faktorer som kan göra dig till måltavla för en Ransomware-attack.

– Dina enheter har gammal hårdvara.

– Dina enheter har föråldrad mjukvara.

– Webbläsare eller operativsystem har slutat uppdateras.

– Du saknar en backup-plan.

– Du lägger för lite tid och resurser på cybersäkerhet samt saknar en plan för hantering av en eventuellt attack.

Grundläggande för säkerhetsarbete är att använda ett ramverk. Med en säkerhetsbedömning utifrån CIS Controls ges en bild av svagheter och styrkor i relation till jämförbara verksamheter – ladda ned Conscia whitepaper till höger:

Vad bör man tänka på för att undvika en attack?

  • Klicka aldrig på osäkra länkar: Undvik att klicka på länkar i skräppostmeddelanden eller på okända webbplatser. Om du klickar på skadliga länkar kan en automatisk nedladdning startas, vilket kan leda till att din dator blir infekterad.
  • Undvik att avslöja personlig information: Om du får ett samtal, sms eller e-post från en opålitlig källa som begär personlig information, svara inte. Cyberkriminella som planerar en Ransomware-attack kan försöka samla in personlig information i förväg, som sedan används för att skräddarsy nätfiskemeddelanden specifikt för dig. Om du är osäker på om meddelandet är legitimt, kontakta avsändaren direkt.
  • Öppna inte misstänkta e-postbilagor: Ransomware kan också hitta vägen till din enhet genom e-postbilagor. Undvik att öppna tillbehör som ser tvivelaktiga ut. För att vara säker på att e-postmeddelandet är pålitligt, var extra uppmärksam på avsändaren och kontrollera att adressen är korrekt. Öppna aldrig bilagor som uppmanar dig att köra makron för att visa dem. 
  • Använd aldrig okända USB-minnen: Anslut aldrig USB-minnen eller andra lagringsmedia till din dator om du inte vet var de kom ifrån. Cyberkriminella kan ha infekterat lagringsmediet och placerat det på en offentlig plats för att locka någon att använda det.
  • Håll dina program och operativsystem uppdaterade: Regelbunden uppdatering av program och operativsystem hjälper dig att skydda dig från skadlig programvara. 
  • Använd endast kända nedladdningskällor: För att minimera risken att ladda ner ransomware, ladda aldrig ner programvara eller mediefiler från okända webbplatser. 
  • Använd VPN-tjänster på offentliga Wi-Fi-nätverk: När du använder ett offentligt Wi-Fi-nätverk är din dator mer sårbar för attacker. För att vara skyddad, undvik att använda offentligt Wi-Fi för känsliga transaktioner eller använd en säker VPN-tjänst.

Läs också vår artikel “Vad gör jag när jag fått Ransomware? Viktiga första åtgärder” för mer information om hur du hanterar en eventuell attack.

 

WannaCry – Världens största Ransomware-attack

WannaCry Ransomware-attacken var en världsomspännande cyberattack i maj 2017. Attacken riktade in sig på datorer som använde Microsoft Windows operativsystem och spreds genom EternalBlue (en exploatering utvecklad av United States National Security Agency (NSA) för äldre Windows-system). 

EternalBlue stals och läcktes ut av en grupp som heter The Shadow Brokers minst ett år före attacken. Medan Microsoft hade släppt patchar tidigare för att stänga exploateringen, kom mycket av WannaCrys spridning från organisationer som inte hade tillämpat dessa, eller som använde äldre Windows-system. Dessa patchar var absolut nödvändiga för organisationers cybersäkerhet, men många implementerades aldrig på grund av okunnighet om deras betydelse.

Sättet WannaCry sprider sig är genom att använda företagsnätverk för att hoppa till andra Windows-system. Till skillnad från nätfiskeattacker behöver datoranvändare inte klicka på en länk eller öppna en infekterad fil. WannaCry letar bara efter andra sårbara system att komma in i (i vissa versioner använder den stulna referenser), sedan kopierar och kör programmet, igen, och igen, och igen. Så en enda sårbar dator i ett företagsnätverk kan utsätta en hel organisation för risker.

WannaCry-programmet har flera komponenter. Det finns ett primärt leveransprogram som innehåller andra program, inklusive kryptering och dekrypteringsmjukvara. När WannaCry väl finns på ett datorsystem söker den efter dussintals specifika filtyper, inklusive Microsoft Office-filer och bild-, video- och ljudfiler. Sedan kör den en rutin för att kryptera filerna, som endast kan dekrypteras med en externt levererad digital nyckel.

WannaCry spridningBild lånad från IDG.

Attacken började klockan 07:44 UTC den 12 maj 2017 och stoppades några timmar senare klockan 15:03 UTC genom registreringen av en sk “kill switch” (nödstopp) upptäckt av Marcus Hutchins. Kill-switchen hindrade redan infekterade datorer från att krypteras eller sprida WannaCry vidare. 

Attacken beräknas ha drabbat mer än 230 000 datorer i 150 länder (flera svenska kommuner och företag stod på listan över offren), med totala skador som sträckte sig från hundratals miljoner till miljarder dollar. Exempel på företag som drabbades vad bl a Nissan, Renault, Deutsche Bahn, Fedex och operatören Telefonica.

I december 2017 hävdade USA och Storbritannien formellt att Nordkorea låg bakom attacken.

En ny variant av WannaCry tvingade Taiwan Semiconductor Manufacturing Company (TSMC) att tillfälligt stänga flera av sina chiptillverkningsfabriker i augusti 2018. Viruset spred sig till 10 000 maskiner i TSMC:s mest avancerade anläggningar.

 

Video – När WannaCry sprids i realtid mellan två datorer

 

Video – Vad var det som hände med WannaCry?

 

Ransomware från 1989 till 2021

Sedan 1989 har Ransomware blivit den största säkerhetsrisken för företag och användare. Här kan ni följa dess historia och hur den har utvecklats genom åren.

Det första Ransomware-viruset någonsin skapades 1989 av den Harvard-utbildade evolutionsbiologen Joseph L. Popp (nu känd som "Ransomwares fader"). Den kallades AIDS-trojanen, även känd som PC Cyborg. 

Popp skickade 20 000 infekterade disketter märkta "AIDS Information – Introductory Diskettes" till deltagarna vid Världshälsoorganisationens internationella AIDS-konferens i Stockholm. Skivorna innehöll skadlig kod som gömde filkataloger, låsta filnamn och krävde att offer skickade 189 dollar till en PO Box i Panama om de ville ha tillbaka sina data. 

1996 varnade två kryptografer (Adam L. Young och Moti M. Yung) för att ett nytt Ransomware skulle använda asymmetrisk kryptografi. Detta skulle innebära att dess naturliga fillåsningsfunktioner skulle kunna användas för massiv förstörelse. Frågan var bara när?

De första samtida Ransomware-programmen började dyka upp med asymmetrisk kryptering (RSA). Symmetriska nycklar gjorde krypteringen, men de nycklarna skyddades med RSA så du skulle behöva en privat nyckel för att kunna få tillbaka datan.

År 2006 släpptes Archiveus Trojan, det första Ransomware-viruset någonsin som använder RSA-kryptering. Archiveus-trojanen krypterade allt i MyDocuments-katalogen och krävde att offren köpte varor från ett onlineapotek för att få det 30-siffriga lösenordet.

 

GPcode, Krotten och Cryzip var bara några namn på nya stammar som spreds via en e-postbilaga som påstods vara en jobbansökan, använde en 660-bitars RSA offentlig nyckel som var mycket svår att knäcka vid den tiden.

Samtidigt som GP Code och dess många varianter infekterade offer, cirkulerade andra typer av Ransomware som inte involverade kryptering, utan helt enkelt låste ut användare. WinLock visade pornografiska bilder tills användarna skickade ett 10 $ premium-sms för att ta emot upplåsningskoden.

Två år efter att det ursprungliga GP Code-viruset skapades, släpptes en annan variant av samma virus som heter GPcode.AK för allmänheten med hjälp av en 1024-bitars RSA-nyckel.

När Bitcoin dök upp 2008 var det en game changer för Ransomware. Den decentraliserade kryptovalutan gav ett nytt, mestadels anonymt system för att överföra pengar – vilket gör det till det perfekta sättet för cyberbrottslingar att utpressa sina offer. Den utbredda adoptionen av Bitcoin gjorde det möjligt för hackare att utföra mycket större Ransomware-attacker.

Mitten av 2011 - Det första utbrottet av Ransomware i stor skala, mycket på grund av användningen av anonyma betaltjänster vilket gjorde det lättare för hackare att samla in pengar från sina offer. 

Juli 2011 - Under tredje kvartalet 2011 fördubblades upptäckten av nya Ransomware till 60 000, en explosionsartad utveckling jämfört med tidigare.

Januari 2012 – Citadel, en verktygslåda för att distribuera skadlig programvara och hantera botnät gör det enkelt att producera Ransomware och infektera system i grossistledet med program som betalar per installation. På grund av införandet av Citadel översteg det totala antalet infektioner 100 000 under första kvartalet 2012.

Cyberbrottslingar börjar köpa brottspaket som Lyposit – skadlig programvara som låtsas komma från en lokal brottsbekämpande myndighet baserat på datorns regionala inställningar och instruerar offren att använda betaltjänster i ett specifikt land för en del av vinsten istället för för en bestämd mängd.

Mars 2012 - Citadel och Lyposit leder till Reveton-masken, ett försök att pressa ut pengar i form av en bedräglig brottslig böter. Reveton dök upp för första gången i europeiska länder i början av 2012. 

Användaren skulle låsas ute från den infekterade datorn och skärmen tas över av ett meddelande som informerar användaren om deras "brott" och instruerar dem att för att låsa upp sin dator måste de betala lämpliga böter med hjälp av en tjänst som Ukash, Paysafe eller MoneyPak.

Juli 2012 – Ransomware-fallen ökar till mer än 200 000.

November 2012 - En annan version av Reveton släpptes i det vilda och låtsades vara från FBI:s Internet Crime Complaint Center (IC3). Liksom de flesta skadliga program fortsätter Reveton att utvecklas.

Juli 2013 - En version släpps för OSX-användare som körs i Safari och kräver böter på 300 USD. Denna stam låser inte datorn eller krypterar filerna utan öppnar bara ett stort antal iframes (webbläsarfönster) som användaren måste stänga. En version som påstods vara från Department of Homeland Security låste datorer och krävde böter på 300 USD.

Juli 2013 - Svpeng: En mobil trojan som riktar sig till Android-enheter. Det upptäcktes av Kaspersky i juli 2013 och designades ursprungligen för att stjäla betalkortsinformation från ryska bankkunder. I början av 2014 hade det utvecklats till Ransomware, och låste telefonerna som visade ett meddelande som anklagade användaren för att komma åt barnpornografi. 

Augusti 2013 - En version som maskerar sig som falsk säkerhetsprogramvara känd som Live Security Professional börjar infektera system.

September 2013 - CryptoLocker släpps. CryptoLocker är den första kryptografiska skadliga programvaran som sprids genom nedladdningar från en komprometterad webbplats och/eller skickas till affärspersonal i form av e-postbilagor som gjordes för att se ut som kundklagomål.

Cryptolocker använder ett 2048-bitars RSA-nyckelpar och använde det för att kryptera filer med vissa filtillägg och ta bort originalen. Den skulle då hota att radera den privata nyckeln om betalning inte mottogs inom tre dagar. Betalningar kan initialt tas emot i form av Bitcoins eller förbetalda kontantkuponger.

Med vissa versioner av CryptoLocker, om betalningen inte mottogs inom tre dagar, fick användaren en andra möjlighet att betala en mycket högre lösensumma för att få tillbaka sina filer.

Mitten av december 2013 - Den första CryptoLocker-kopian dyker upp, Locker, och debiterar användare $150 för att få nyckeln, med pengar som skickas till ett Perfect Money- eller QIWI Visa Virtual Card-nummer.

Slutet av december 2013 – CryptoLocker 2.0 skulle bara acceptera Bitcoins och det skulle kryptera bild-, musik- och videofiler som originalet hoppade över.

Februari 2014 - CryptoDefense släpps. Den använde Tor och Bitcoin för anonymitet och 2048-bitars kryptering. Men eftersom den använde Windows inbyggda krypterings-API:er, lagrades den privata nyckeln i vanlig text på den infekterade datorn. Trots detta fel lyckades hackarna fortfarande tjäna minst 34 000$ under den första månaden, enligt Symantec.

April 2014 - Cyberbrottslingarna bakom CryptoDefense släpper en förbättrad version som heter CryptoWall. Även om det till stor del liknar den tidigare utgåvan, lagrar CryptoWall inte krypteringsnyckeln där användaren kan komma till den. 

Maj 2014 - Ett multinationellt team bestående av statliga myndigheter lyckades inaktivera Gameover ZeuS Botnet. Det amerikanska justitiedepartementet utfärdade också ett åtal mot Evgeniy Bogachev som drev botnätet från sin bas vid Svarta havet.

iDevice-användare i Australien och USA började se en låsskärm på sina iPhones och iPads som sa att den hade låsts av "Oleg Pliss" och krävde betalning på $50 till $100 för att låsa upp. Det är okänt hur många som drabbats, men i juni grep den ryska polisen två ansvariga och rapporterade hur de opererade. 

Juli 2014 - Det ursprungliga Gameover ZeuS/CryptoLocker-nätverket återuppstod och kräver inte längre betalning med en MoneyPak-nyckel i GUI, utan istället måste användare installera Tor eller en annan krypteringswebbläsare med lager för att betala dem säkert och direkt. 

Augusti 2014 - Symantec rapporterar att Ransomware i kryptostil har ökat med 700% från år till år.

SynoLocker dök upp i augusti 2014. Till skillnad från de andra som riktade sig till slutanvändarenheter, var den här designad för Synology nätverksanslutna lagringsenheter. 

Sent 2014 - TorrentLocker - Enligt iSight Partners använder TorrentLocker "komponenter av CryptoLocker och CryptoWall men med helt annan kod än dessa andra två Ransomware-familjer." Den sprids genom skräppost och använder Rijndael-algoritmen för filkryptering snarare än RSA-2048. Lösen betalas genom att köpa Bitcoins från specifika australiska Bitcoin-webbplatser.

Tidigt 2015 - CrytoWall tar fart och ersätter Cryptolocker som den ledande Ransomware-infektionen.

April 2015 - CrytoLocker lokaliseras nu för asiatiska länder. Det finns attacker i Korea, Malaysia och Japan.

Maj 2015 - Kriminell Ransomware-as-a-service har anlänt. Kort sagt, du kan nu gå till denna TOR-webbplats "för kriminella av kriminella", rulla din egen Ransomware gratis, och sajten tar 20% tillbaka av varje Bitcoin-betalning. 

Maj 2015 - Ny "Breaking Bad-tema Ransomware" upptäcks. Den här versionen tar ett brett utbud av datafiler, krypterar dem med en slumpmässig AES-nyckel som sedan krypteras med en offentlig nyckel.

Juni 2015 - SANS InfoSec-forumet noterar att en ny version av CryptoWall 3.0 är i naturen, och använder CV:n av unga kvinnor som ett lockbete för social ingenjörskonst: "resume Ransomware".

Juli 2015 - Ett östeuropeiskt cyberbrottsgäng har startat en ny TorrentLocker-kampanj där hela webbplatser för energibolag, statliga organisationer och stora företag skrapas och byggs om från grunden för att sprida Ransomware med hjälp av Google Drive och Yandex Disk.

Juli 2015 - Säkerhetsforskaren Fedor Sinitsyn rapporterade om den nya TeslaCrypt V2.0. Denna familj av Ransomware är relativt ny, den upptäcktes först i februari 2015. Den har kallats "förbannelsen" för datorspelare eftersom den riktar sig mot många spelrelaterade filtyper.

September 2015 - En aggressiv stam av Android Ransomware sprider sig i Amerika. Säkerhetsforskare vid ESET upptäckte det första riktiga exemplet på skadlig programvara som kan återställa PIN-koden på din telefon för att permanent låsa dig ute från din egen enhet. De kallade det LockerPin, och det ändrar den infekterade enhetens låsskärms PIN-kod och lämnar offren med en låst mobilskärm och kräver en lösensumma på 500 dollar.

Oktober 2015 - En ny stam kallad LowLevel04 sprids med hjälp av attacker på fjärrskrivbord och terminaltjänster. Den krypterar data med RSA-2048-kryptering och lösensumman är dubbelt från vad som är normala $500, vilket kräver fyra Bitcoin. Specifikt otäckt är hur det installeras: brute force-attacker på maskiner som har Remote Desktop eller Terminal Services installerade och har svaga lösenord.

Oktober 2015 - Nationens högsta brottsbekämpande myndighet varnar företag för att de kanske inte kan få tillbaka sina data från cyberbrottslingar som använder Cryptolocker, Cryptowall och annan skadlig kod utan att betala en lösensumma.

Oktober 2015 - Häpnadsväckande CryptoWall-skada: 325 miljoner dollar. En helt ny rapport från Cyber ​​Threat Alliance visade skadan som orsakats av en enda kriminell östeuropeisk cybermaffia. CTA är en branschgrupp med kända medlemmar som Intel, Palo Alto Networks, Fortinet och Symantec och skapades förra året för att varna för nya cyberhot.

November 2015 - CryptoWall v4.0 släpptes och visar en omdesignad lösennota, nya filnamn och krypterar nu en fils namn tillsammans med dess data. Sammanfattningsvis krypterar den nya versionen av v4.0 nu filnamn för att göra det svårare att fastställa viktiga filer, och har en ny HTML-lösennota som är ännu mer arrogant än den förra. 

November 2015 - En ny stam har upptäckts med en mycket kort 24-timmars deadline, forskare knäcker Linix. 

Januari 2016 - Första Javascript-endast Ransomware-as-a-Service upptäckt. En ny stam som heter Ransom32 var fullt utvecklad i JavaScript, HTML och CSS som potentiellt möjliggör infektioner på flera plattformar efter ompaketering för Linux och MacOS X. Att använda JavaScript tar oss ett steg närmare "write-once" -infektera-alla", vilket är något att vara medveten om.

Januari 2016 - En aggressiv och skadlig ny stam kallad 7ev3n krypterar din data och kräver 13 bitcoins för att dekryptera dina filer. 

Februari 2016 - Kriminell Ransomware infekterar tusentals med ett konstigt WordPress-hack. 

Februari 2016 - Ny Ransomware gömd i infekterade Word-filer. 

April 2016 - Nyheter kom ut om en ny stam som inte krypterar filer utan gör hela hårddisken oåtkomlig. Som om det inte räcker att kryptera filer och hålla dem som gisslan, tillgriper cyberkriminella som skapar och sprider crypto-Ransomware nu att orsaka blue screen of death (BSoD) och lägga sina lösensedlar vid systemstart – som i, även innan operativsystemet laddas. Den heter Petya och tydligt rysk.

April 2016 - CryptoWorms: Ciscos Talos Labs-forskare tittade in i framtiden och beskrev hur Ransomware skulle utvecklas. Det är en mardröm. De skapade ett sofistikerat ramverk för nästa generations Ransomware som kommer att skrämma bort dig. Dessutom börjar en ny stam som heter Jigsaw radera filer om du inte betalar lösensumman.

Januari 2017 - Spora Ransomware ger sina offer alternativ att bara betala för fildekryptering, eller så kan de betala mer för immunitet mot framtida attacker. Detta är en sofistikerad stam som samlar in offerdata till en .KEY-fil, som sedan måste skickas till angriparna som kommer att ställa in lösensumman baserat på dessa data och tillhandahålla dekryptering när de har betalats. En ny version av Spora använder ett innovativt sätt att sprida sig via USB-minnen.

Februari 2017 - En ny app hävdar att den har inloggningsdata för läckta Netflix-konton, vilket gör att användare kan få gratis åtkomst. Vad du faktiskt får är falska kontouppgifter, medan dina data krypteras i bakgrunden. DynA-Crypt Ransomware krypterar inte bara data, den försöker också stjäla information och raderar till och med filer utan att säkerhetskopiera dem. CRYSIS är tillbaka och riktar sig mest till amerikanska sjukvårdsorganisationer. använder brute force-attacker via Remote Desktop Protocol (RDP). Svaga lösenord gör dessa attacker framgångsrika.

Mars 2017 - Den ursprungliga Petya har kapats av cyberbrottslingar som gör den till sin egen. Den här nya varianten, kallad PetWrap, har en specialmodul som patchar den ursprungliga Petya.

Maj 2017 - Fatboy Raas (Ransomware-as-a-service) använder Big Mac-indexet från The Economist för att avgöra hur mycket lösen man ska begära. 

Juni 2017 - Microsoft tillkännagav stolt att ingen känd Ransomware kunde penetrera den senaste Win 10 Creators Update. Vad säger det om att saker är för bra för att vara sant? ZDNet anställde en proffshacker som bevisade att det var fel på cirka 3 timmar.

Augusti 2017 - En uppdatering av Cerber låter Dridex-gänget stjäla från tre olika Bitcoin-plånboksappar samt stjäla lösenord från populära webbläsare. Cerber är bland de snabbast utvecklande Ransomware-familjerna, brottslingarna försöker ständigt nya sätt att tjäna pengar på Ransomware.

Januari 2018 – En white hat-hacker utvecklade en fungerande "ransomcloud"-stam, som krypterar moln-e-postkonton som Office 365 i realtid. 

Februari 2018 - En ny variant som heter Annabelle har upptäckts, utformad för att "visa upp kompetensen" hos utvecklaren som skapade den, genom att vara så svår att ha att göra med som möjligt.

Mars 2018 – En ny Ransomware-as-a-service kallad GandCrab. Detta är 2018 års mest framträdande lösenprogram som infekterar cirka 50 000 datorer, de flesta i Europa, på mindre än en månad och ber varje offer om lösensummor mellan $400 och $700,000 i DASH-kryptovaluta. 

AVCrypt Ransomware, upptäckt av BleepingComputer, försöker avinstallera din befintliga säkerhetsprogramvara (som AV) innan den krypterar filer.

Januari 2019 - En ny stam kallad Anatova upptäcktes i ett privat peer-to-peer-nätverk (p2p) och riktar sig till konsumenter genom att använda ikonen för ett spel eller en applikation för att lura användaren att ladda ner det. 

Februari 2019 - Torrentsajter förbjuder CracksNow, en populär källa för torrentuppladdningar, efter att ha upptäckt att uppladdaren av cracks och keygens distribuerade GandCrab Ransomware. CracksNow märktes som "betrodd" innan ett antal användare började märka dåliga saker som händer med deras datorer.

Mars 2019 - En ny stam kallad LockerGoga infekterar aluminiumproducenten Norsk Hydro, och Hexion och Momentives kemiska fabriker, vilket effektivt stänger av dem i dagar och går i manuell drift, vilket får dem att köpa hundratals nya datorer.

Januari 2020 - Maze Ransomware har uppmärksammats av FBI. En varning till amerikanska företag om denna attack där gärningsmannen stjäl data och sedan krypterar den för att utpressa offer utfärdades. 

Travelex, ett valutaväxlingsföretag, drabbades av REvil/Sodinokibi på nyårsafton. Dess nätverksdata var krypterad och deras kunder kunde inte ta emot beställningar. REVil sägs exfiltrera data innan nätverket krypteras som ett extra incitament för utpressning för offren att antingen betala eller ha möjlighet att deras data offentliggörs. 

Skapare av Nemty Ransomware utpressar nu offer genom att hota att publicera data på en blogg om de inte betalar.

Januari 2021 - En dataaktivistgrupp känd som Distributed Denial of Secrets, eller DDoSecrets, arbetar för att göra data stulen som en del av Ransomware-attacker tillgänglig för journalister. Gruppen har tagit över en terabyte av data från organisationer som täcker industrier som inkluderar läkemedel, tillverkning, finans, mjukvara, detaljhandel, fastigheter och olja och gas, och lagt upp data på en allmänt tillgänglig webbplats. 

Februari 2021 - Cyberattacker inom sjukvården, angripare som ser möjligheten att slå sjukvårdsorganisationer under pandemin.

Mars 2021 - Ryuk Ransomware kan nu maska ​​sig till alla dina Windows LAN-enheter. 

Den 5 mars bröt KrebsOnSecurity nyheten att minst 30 000 organisationer och hundratusentals globalt hade blivit hackade. 

FBI varnade för en våg av Ransomware-attacker mot skolor och andra enheter över hela USA och Storbritannien. PYSA Ransomware, även känd som Mespinoza, kan exfiltrera och kryptera filer och data lagrade på användarnas system. PYSA-aktörerna riktar sig till högre utbildning, grundskolor och seminarier, de är också bland Ransomware-grupperna som stjäl data och hotar att publicera det om offret vägrar att betala.

 

Vanliga frågor om Ransomware

Ransomware sprids oftast via fejkade mail eller sms som ser ut att komma från en känd avsändare, som t ex Skatteverket, Post Nord, DHL mfl. Mailet uppmanar användaren att klicka på en länk. Klickar du på länken laddas viruset ner i bakgrunden och installeras.

Du kan råka ut för Ransomware på olika sätt: 

  • Genom att öppna en skadlig e‑post­bilaga
  • Besöka en smittad eller skadlig webb­plats
  • Genom att klicka på en annons som innehåller skadlig kod
  • Via oskyddade Wi‑Fi-nät­verk

Du kanske inte ens inser att du infekteras tills dina filer är låsta.

Ransomware existerar även på mobiltelefoner, både för iOS och Android och det ökar på grund av det stora antalet människor som använder dessa enheter.

Ransomware krypterar filerna på datorn så att du inte kan komma åt dem utan en dekrypterings­nyckel. I utbyte mot dekrypterings­nyckeln krävs en lösensumma som ofta krävs i Bit­coins, en virtuell valuta som är svår att spåra.

Att ta bort Ransomware kan vara svårt och i vissa fall omöjligt efter att du har blivit infekterad. Därför är det viktigt att ha ett pålitligt anti­virus­program så att man inte blir infekterad. Du kan också vara förberedd genom att regel­bundet ta säkerhets­kopior så att du kan åter­ställa dina filer om skadan sker.

Här kan du läsa mer om viktiga första åtgärder att vidta om du skulle drabbas.

Det är ingen garanti att du får tillbaka dina filer genom att betala lösen­summan.

Polisen säger nej. IT-säkerhetsföretag säger nej. Men för den som är drabbad kan alternativet att betala vara det enda som återstår. Så varje person som har drabbats får göra sina egen bedömning ifall det är värt risken att betala eller inte. Dessutom kan angriparna lämna kvar malware på datorn så att de kan infektera dig igen senare.

Att säkerhetskopiera och ha kompletta backuplösningar är avgörande för att kunna återställa datorer och system ifall du skulle drabbas.

Medan majoriteten av skadorna inträffade veckorna efter den 12 maj 2017, ökade WannaCry Ransomware-attacker med 53% från januari 2021 till mars 2021, WannaCry attacker finns alltså fortfarande även idag.

 

 

Kontakta oss!
Svar inom 24h