Ransomware
– Allt du behöver veta

Det första Ransomware-viruset någonsin skapades 1989 av den Harvard-utbildade evolutionsbiologen Joseph L. Popp (nu känd som "Ransomwares fader"). Den kallades AIDS-trojanen, även känd som PC Cyborg. 

Popp skickade 20 000 infekterade disketter märkta "AIDS Information – Introductory Diskettes" till deltagarna vid Världshälsoorganisationens internationella AIDS-konferens i Stockholm. Skivorna innehöll skadlig kod som gömde filkataloger, låsta filnamn och krävde att offer skickade 189 dollar till en PO Box i Panama om de ville ha tillbaka sina data. 

1996 varnade två kryptografer (Adam L. Young och Moti M. Yung) för att ett nytt Ransomware skulle använda asymmetrisk kryptografi. Detta skulle innebära att dess naturliga fillåsningsfunktioner skulle kunna användas för massiv förstörelse. Frågan var bara när?

De första samtida Ransomware-programmen började dyka upp med asymmetrisk kryptering (RSA). Symmetriska nycklar gjorde krypteringen, men de nycklarna skyddades med RSA så du skulle behöva en privat nyckel för att kunna få tillbaka datan.

År 2006 släpptes Archiveus Trojan, det första Ransomware-viruset någonsin som använder RSA-kryptering. Archiveus-trojanen krypterade allt i MyDocuments-katalogen och krävde att offren köpte varor från ett onlineapotek för att få det 30-siffriga lösenordet.

GPcode, Krotten och Cryzip var bara några namn på nya stammar som spreds via en e-postbilaga som påstods vara en jobbansökan, använde en 660-bitars RSA offentlig nyckel som var mycket svår att knäcka vid den tiden.

Samtidigt som GP Code och dess många varianter infekterade offer, cirkulerade andra typer av Ransomware som inte involverade kryptering, utan helt enkelt låste ut användare. WinLock visade pornografiska bilder tills användarna skickade ett 10 $ premium-sms för att ta emot upplåsningskoden.

Två år efter att det ursprungliga GP Code-viruset skapades, släpptes en annan variant av samma virus som heter GPcode.AK för allmänheten med hjälp av en 1024-bitars RSA-nyckel.

När Bitcoin dök upp 2008 var det en game changer för Ransomware. Den decentraliserade kryptovalutan gav ett nytt, mestadels anonymt system för att överföra pengar – vilket gör det till det perfekta sättet för cyberbrottslingar att utpressa sina offer. Den utbredda adoptionen av Bitcoin gjorde det möjligt för hackare att utföra mycket större Ransomware-attacker.

Mitten av 2011 - Det första utbrottet av Ransomware i stor skala, mycket på grund av användningen av anonyma betaltjänster vilket gjorde det lättare för hackare att samla in pengar från sina offer. 

Juli 2011 - Under tredje kvartalet 2011 fördubblades upptäckten av nya Ransomware till 60 000, en explosionsartad utveckling jämfört med tidigare.

Januari 2012 – Citadel, en verktygslåda för att distribuera skadlig programvara och hantera botnät gör det enkelt att producera Ransomware och infektera system i grossistledet med program som betalar per installation. På grund av införandet av Citadel översteg det totala antalet infektioner 100 000 under första kvartalet 2012.

Cyberbrottslingar börjar köpa brottspaket som Lyposit – skadlig programvara som låtsas komma från en lokal brottsbekämpande myndighet baserat på datorns regionala inställningar och instruerar offren att använda betaltjänster i ett specifikt land för en del av vinsten istället för för en bestämd mängd.

Mars 2012 - Citadel och Lyposit leder till Reveton-masken, ett försök att pressa ut pengar i form av en bedräglig brottslig böter. Reveton dök upp för första gången i europeiska länder i början av 2012. 

Användaren skulle låsas ute från den infekterade datorn och skärmen tas över av ett meddelande som informerar användaren om deras "brott" och instruerar dem att för att låsa upp sin dator måste de betala lämpliga böter med hjälp av en tjänst som Ukash, Paysafe eller MoneyPak.

Juli 2012 – Ransomware-fallen ökar till mer än 200 000.

November 2012 - En annan version av Reveton släpptes i det vilda och låtsades vara från FBI:s Internet Crime Complaint Center (IC3). Liksom de flesta skadliga program fortsätter Reveton att utvecklas.

Juli 2013 - En version släpps för OSX-användare som körs i Safari och kräver böter på 300 USD. Denna stam låser inte datorn eller krypterar filerna utan öppnar bara ett stort antal iframes (webbläsarfönster) som användaren måste stänga. En version som påstods vara från Department of Homeland Security låste datorer och krävde böter på 300 USD.

Juli 2013 - Svpeng: En mobil trojan som riktar sig till Android-enheter. Det upptäcktes av Kaspersky i juli 2013 och designades ursprungligen för att stjäla betalkortsinformation från ryska bankkunder. I början av 2014 hade det utvecklats till Ransomware, och låste telefonerna som visade ett meddelande som anklagade användaren för att komma åt barnpornografi. 

Augusti 2013 - En version som maskerar sig som falsk säkerhetsprogramvara känd som Live Security Professional börjar infektera system.

September 2013 - CryptoLocker släpps. CryptoLocker är den första kryptografiska skadliga programvaran som sprids genom nedladdningar från en komprometterad webbplats och/eller skickas till affärspersonal i form av e-postbilagor som gjordes för att se ut som kundklagomål.

Cryptolocker använder ett 2048-bitars RSA-nyckelpar och använde det för att kryptera filer med vissa filtillägg och ta bort originalen. Den skulle då hota att radera den privata nyckeln om betalning inte mottogs inom tre dagar. Betalningar kan initialt tas emot i form av Bitcoins eller förbetalda kontantkuponger.

Med vissa versioner av CryptoLocker, om betalningen inte mottogs inom tre dagar, fick användaren en andra möjlighet att betala en mycket högre lösensumma för att få tillbaka sina filer.

Mitten av december 2013 - Den första CryptoLocker-kopian dyker upp, Locker, och debiterar användare $150 för att få nyckeln, med pengar som skickas till ett Perfect Money- eller QIWI Visa Virtual Card-nummer.

Slutet av december 2013 – CryptoLocker 2.0 skulle bara acceptera Bitcoins och det skulle kryptera bild-, musik- och videofiler som originalet hoppade över.

Februari 2014 - CryptoDefense släpps. Den använde Tor och Bitcoin för anonymitet och 2048-bitars kryptering. Men eftersom den använde Windows inbyggda krypterings-API:er, lagrades den privata nyckeln i vanlig text på den infekterade datorn. Trots detta fel lyckades hackarna fortfarande tjäna minst 34 000$ under den första månaden, enligt Symantec.

April 2014 - Cyberbrottslingarna bakom CryptoDefense släpper en förbättrad version som heter CryptoWall. Även om det till stor del liknar den tidigare utgåvan, lagrar CryptoWall inte krypteringsnyckeln där användaren kan komma till den. 

Maj 2014 - Ett multinationellt team bestående av statliga myndigheter lyckades inaktivera Gameover ZeuS Botnet. Det amerikanska justitiedepartementet utfärdade också ett åtal mot Evgeniy Bogachev som drev botnätet från sin bas vid Svarta havet.

iDevice-användare i Australien och USA började se en låsskärm på sina iPhones och iPads som sa att den hade låsts av "Oleg Pliss" och krävde betalning på $50 till $100 för att låsa upp. Det är okänt hur många som drabbats, men i juni grep den ryska polisen två ansvariga och rapporterade hur de opererade. 

Juli 2014 - Det ursprungliga Gameover ZeuS/CryptoLocker-nätverket återuppstod och kräver inte längre betalning med en MoneyPak-nyckel i GUI, utan istället måste användare installera Tor eller en annan krypteringswebbläsare med lager för att betala dem säkert och direkt. 

Augusti 2014 - Symantec rapporterar att Ransomware i kryptostil har ökat med 700% från år till år.

SynoLocker dök upp i augusti 2014. Till skillnad från de andra som riktade sig till slutanvändarenheter, var den här designad för Synology nätverksanslutna lagringsenheter. 

Sent 2014 - TorrentLocker - Enligt iSight Partners använder TorrentLocker "komponenter av CryptoLocker och CryptoWall men med helt annan kod än dessa andra två Ransomware-familjer." Den sprids genom skräppost och använder Rijndael-algoritmen för filkryptering snarare än RSA-2048. Lösen betalas genom att köpa Bitcoins från specifika australiska Bitcoin-webbplatser.

Tidigt 2015 - CrytoWall tar fart och ersätter Cryptolocker som den ledande Ransomware-infektionen.

April 2015 - CrytoLocker lokaliseras nu för asiatiska länder. Det finns attacker i Korea, Malaysia och Japan.

Maj 2015 - Kriminell Ransomware-as-a-service har anlänt. Kort sagt, du kan nu gå till denna TOR-webbplats "för kriminella av kriminella", rulla din egen Ransomware gratis, och sajten tar 20% tillbaka av varje Bitcoin-betalning. 

Maj 2015 - Ny "Breaking Bad-tema Ransomware" upptäcks. Den här versionen tar ett brett utbud av datafiler, krypterar dem med en slumpmässig AES-nyckel som sedan krypteras med en offentlig nyckel.

Juni 2015 - SANS InfoSec-forumet noterar att en ny version av CryptoWall 3.0 är i naturen, och använder CV:n av unga kvinnor som ett lockbete för social ingenjörskonst: "resume Ransomware".

Juli 2015 - Ett östeuropeiskt cyberbrottsgäng har startat en ny TorrentLocker-kampanj där hela webbplatser för energibolag, statliga organisationer och stora företag skrapas och byggs om från grunden för att sprida Ransomware med hjälp av Google Drive och Yandex Disk.

Juli 2015 - Säkerhetsforskaren Fedor Sinitsyn rapporterade om den nya TeslaCrypt V2.0. Denna familj av Ransomware är relativt ny, den upptäcktes först i februari 2015. Den har kallats "förbannelsen" för datorspelare eftersom den riktar sig mot många spelrelaterade filtyper.

September 2015 - En aggressiv stam av Android Ransomware sprider sig i Amerika. Säkerhetsforskare vid ESET upptäckte det första riktiga exemplet på skadlig programvara som kan återställa PIN-koden på din telefon för att permanent låsa dig ute från din egen enhet. De kallade det LockerPin, och det ändrar den infekterade enhetens låsskärms PIN-kod och lämnar offren med en låst mobilskärm och kräver en lösensumma på 500 dollar.

Oktober 2015 - En ny stam kallad LowLevel04 sprids med hjälp av attacker på fjärrskrivbord och terminaltjänster. Den krypterar data med RSA-2048-kryptering och lösensumman är dubbelt från vad som är normala $500, vilket kräver fyra Bitcoin. Specifikt otäckt är hur det installeras: brute force-attacker på maskiner som har Remote Desktop eller Terminal Services installerade och har svaga lösenord.

Oktober 2015 - Nationens högsta brottsbekämpande myndighet varnar företag för att de kanske inte kan få tillbaka sina data från cyberbrottslingar som använder Cryptolocker, Cryptowall och annan skadlig kod utan att betala en lösensumma.

Oktober 2015 - Häpnadsväckande CryptoWall-skada: 325 miljoner dollar. En helt ny rapport från Cyber ​​Threat Alliance visade skadan som orsakats av en enda kriminell östeuropeisk cybermaffia. CTA är en branschgrupp med kända medlemmar som Intel, Palo Alto Networks, Fortinet och Symantec och skapades förra året för att varna för nya cyberhot.

November 2015 - CryptoWall v4.0 släpptes och visar en omdesignad lösennota, nya filnamn och krypterar nu en fils namn tillsammans med dess data. Sammanfattningsvis krypterar den nya versionen av v4.0 nu filnamn för att göra det svårare att fastställa viktiga filer, och har en ny HTML-lösennota som är ännu mer arrogant än den förra. 

November 2015 - En ny stam har upptäckts med en mycket kort 24-timmars deadline, forskare knäcker Linix. 

Januari 2016 - Första Javascript-endast Ransomware-as-a-Service upptäckt. En ny stam som heter Ransom32 var fullt utvecklad i JavaScript, HTML och CSS som potentiellt möjliggör infektioner på flera plattformar efter ompaketering för Linux och MacOS X. Att använda JavaScript tar oss ett steg närmare "write-once" -infektera-alla", vilket är något att vara medveten om.

Januari 2016 - En aggressiv och skadlig ny stam kallad 7ev3n krypterar din data och kräver 13 bitcoins för att dekryptera dina filer. 

Februari 2016 - Kriminell Ransomware infekterar tusentals med ett konstigt WordPress-hack. 

Februari 2016 - Ny Ransomware gömd i infekterade Word-filer. 

April 2016 - Nyheter kom ut om en ny stam som inte krypterar filer utan gör hela hårddisken oåtkomlig. Som om det inte räcker att kryptera filer och hålla dem som gisslan, tillgriper cyberkriminella som skapar och sprider crypto-Ransomware nu att orsaka blue screen of death (BSoD) och lägga sina lösensedlar vid systemstart – som i, även innan operativsystemet laddas. Den heter Petya och tydligt rysk.

April 2016 - CryptoWorms: Ciscos Talos Labs-forskare tittade in i framtiden och beskrev hur Ransomware skulle utvecklas. Det är en mardröm. De skapade ett sofistikerat ramverk för nästa generations Ransomware som kommer att skrämma bort dig. Dessutom börjar en ny stam som heter Jigsaw radera filer om du inte betalar lösensumman.

Januari 2017 - Spora Ransomware ger sina offer alternativ att bara betala för fildekryptering, eller så kan de betala mer för immunitet mot framtida attacker. Detta är en sofistikerad stam som samlar in offerdata till en .KEY-fil, som sedan måste skickas till angriparna som kommer att ställa in lösensumman baserat på dessa data och tillhandahålla dekryptering när de har betalats. En ny version av Spora använder ett innovativt sätt att sprida sig via USB-minnen.

Februari 2017 - En ny app hävdar att den har inloggningsdata för läckta Netflix-konton, vilket gör att användare kan få gratis åtkomst. Vad du faktiskt får är falska kontouppgifter, medan dina data krypteras i bakgrunden. DynA-Crypt Ransomware krypterar inte bara data, den försöker också stjäla information och raderar till och med filer utan att säkerhetskopiera dem. CRYSIS är tillbaka och riktar sig mest till amerikanska sjukvårdsorganisationer. använder brute force-attacker via Remote Desktop Protocol (RDP). Svaga lösenord gör dessa attacker framgångsrika.

Mars 2017 - Den ursprungliga Petya har kapats av cyberbrottslingar som gör den till sin egen. Den här nya varianten, kallad PetWrap, har en specialmodul som patchar den ursprungliga Petya.

Maj 2017 - Fatboy Raas (Ransomware-as-a-service) använder Big Mac-indexet från The Economist för att avgöra hur mycket lösen man ska begära. 

Juni 2017 - Microsoft tillkännagav stolt att ingen känd Ransomware kunde penetrera den senaste Win 10 Creators Update. Vad säger det om att saker är för bra för att vara sant? ZDNet anställde en proffshacker som bevisade att det var fel på cirka 3 timmar.

Augusti 2017 - En uppdatering av Cerber låter Dridex-gänget stjäla från tre olika Bitcoin-plånboksappar samt stjäla lösenord från populära webbläsare. Cerber är bland de snabbast utvecklande Ransomware-familjerna, brottslingarna försöker ständigt nya sätt att tjäna pengar på Ransomware.

Januari 2018 – En white hat-hacker utvecklade en fungerande "ransomcloud"-stam, som krypterar moln-e-postkonton som Office 365 i realtid. 

Februari 2018 - En ny variant som heter Annabelle har upptäckts, utformad för att "visa upp kompetensen" hos utvecklaren som skapade den, genom att vara så svår att ha att göra med som möjligt.

Mars 2018 – En ny Ransomware-as-a-service kallad GandCrab. Detta är 2018 års mest framträdande lösenprogram som infekterar cirka 50 000 datorer, de flesta i Europa, på mindre än en månad och ber varje offer om lösensummor mellan $400 och $700,000 i DASH-kryptovaluta. 

AVCrypt Ransomware, upptäckt av BleepingComputer, försöker avinstallera din befintliga säkerhetsprogramvara (som AV) innan den krypterar filer.

Januari 2019 - En ny stam kallad Anatova upptäcktes i ett privat peer-to-peer-nätverk (p2p) och riktar sig till konsumenter genom att använda ikonen för ett spel eller en applikation för att lura användaren att ladda ner det. 

Februari 2019 - Torrentsajter förbjuder CracksNow, en populär källa för torrentuppladdningar, efter att ha upptäckt att uppladdaren av cracks och keygens distribuerade GandCrab Ransomware. CracksNow märktes som "betrodd" innan ett antal användare började märka dåliga saker som händer med deras datorer.

Mars 2019 - En ny stam kallad LockerGoga infekterar aluminiumproducenten Norsk Hydro, och Hexion och Momentives kemiska fabriker, vilket effektivt stänger av dem i dagar och går i manuell drift, vilket får dem att köpa hundratals nya datorer.

Januari 2020 - Maze Ransomware har uppmärksammats av FBI. En varning till amerikanska företag om denna attack där gärningsmannen stjäl data och sedan krypterar den för att utpressa offer utfärdades. 

Travelex, ett valutaväxlingsföretag, drabbades av REvil/Sodinokibi på nyårsafton. Dess nätverksdata var krypterad och deras kunder kunde inte ta emot beställningar. REVil sägs exfiltrera data innan nätverket krypteras som ett extra incitament för utpressning för offren att antingen betala eller ha möjlighet att deras data offentliggörs. 

Skapare av Nemty Ransomware utpressar nu offer genom att hota att publicera data på en blogg om de inte betalar.

Januari 2021 - En dataaktivistgrupp känd som Distributed Denial of Secrets, eller DDoSecrets, arbetar för att göra data stulen som en del av Ransomware-attacker tillgänglig för journalister. Gruppen har tagit över en terabyte av data från organisationer som täcker industrier som inkluderar läkemedel, tillverkning, finans, mjukvara, detaljhandel, fastigheter och olja och gas, och lagt upp data på en allmänt tillgänglig webbplats. 

Februari 2021 - Cyberattacker inom sjukvården, angripare som ser möjligheten att slå sjukvårdsorganisationer under pandemin.

Mars 2021 - Ryuk Ransomware kan nu maska ​​sig till alla dina Windows LAN-enheter. 

Den 5 mars bröt KrebsOnSecurity nyheten att minst 30 000 organisationer och hundratusentals globalt hade blivit hackade. 

FBI varnade för en våg av Ransomware-attacker mot skolor och andra enheter över hela USA och Storbritannien. PYSA Ransomware, även känd som Mespinoza, kan exfiltrera och kryptera filer och data lagrade på användarnas system. PYSA-aktörerna riktar sig till högre utbildning, grundskolor och seminarier, de är också bland Ransomware-grupperna som stjäl data och hotar att publicera det om offret vägrar att betala.

Ransomware sprids oftast via fejkade mail eller sms som ser ut att komma från en känd avsändare, som t ex Skatteverket, Post Nord, DHL mfl. Mailet uppmanar användaren att klicka på en länk. Klickar du på länken laddas viruset ner i bakgrunden och installeras.

Du kan råka ut för Ransomware på olika sätt: 

• Genom att öppna en skadlig e‑post­bilaga
• Besöka en smittad eller skadlig webb­plats
• Genom att klicka på en annons som innehåller skadlig kod
• Via oskyddade Wi‑Fi-nät­verk

Du kanske inte ens inser att du infekteras tills dina filer är låsta.

Ransomware existerar även på mobiltelefoner, både för iOS och Android och det ökar på grund av det stora antalet människor som använder dessa enheter.

Ransomware krypterar filerna på datorn så att du inte kan komma åt dem utan en dekrypterings­nyckel. I utbyte mot dekrypterings­nyckeln krävs en lösensumma som ofta krävs i Bit­coins, en virtuell valuta som är svår att spåra.

Att ta bort Ransomware kan vara svårt och i vissa fall omöjligt efter att du har blivit infekterad. Därför är det viktigt att ha ett pålitligt anti­virus­program så att man inte blir infekterad. Du kan också vara förberedd genom att regel­bundet ta säkerhets­kopior så att du kan åter­ställa dina filer om skadan sker.

Det är ingen garanti att du får tillbaka dina filer genom att betala lösensumman.

Polisen säger nej. IT-säkerhetsföretag säger nej. Men för den som är drabbad kan alternativet att betala vara det enda som återstår. Så varje person som har drabbats får göra sina egen bedömning ifall det är värt risken att betala eller inte. Dessutom kan angriparna lämna kvar malware på datorn så att de kan infektera dig igen senare.

Att säkerhetskopiera och ha kompletta backuplösningar är avgörande för att kunna återställa datorer och system ifall du skulle drabbas.

Medan majoriteten av skadorna inträffade veckorna efter den 12 maj 2017, ökade WannaCry Ransomware-attacker med 53% från januari 2021 till mars 2021, WannaCry attacker finns alltså fortfarande även idag.