<strong>SKUMMELT:</strong> En slik melding på PC-en kan bety at alle dine personlige filer har blitt kryptert, og at du må betale for å få dem tilbake. Foto: EMSISOFT / PÅL JOAKIM OLSEN
SKUMMELT: En slik melding på PC-en kan bety at alle dine personlige filer har blitt kryptert, og at du må betale for å få dem tilbake. Foto: EMSISOFT / PÅL JOAKIM OLSENVis mer

Ransomware – kanskje det skumleste å få på PC-en sin

Tar filene som gisler og krever løsepenger. Og det finnes i praksis ingen motgift.

Begrepet «ransomware» omhandler ondsinnede programmer som på en eller annen måte gjør skade på maskinen din for så å kreve deg for løsepenger for å rydde opp.

Derav navnet ransom, som betyr løsepenger på norsk.

Den verste varianten er såkalt «crypto-ransomware», som krypterer filene dine slik at de blir ubrukelige. Disse har blomstret opp de siste par årene og blir stadig mer utbredt.

LES OGSÅ: Er det pornosurfing som gir deg virus på PC-en?

Låser filer og gjemmer nøkkelen

Måten de fungerer på er at du først lures til å kjøre programmet, enten ved at du laster det ned fra nettet, at det ligger som et e-postvedlegg som du åpner eller lignende. Eller enda verre – ved å utnytte et sikkerhetshull i ett av programmene du har på maskinen, slik at du egentlig ikke trenger å foreta deg noe som helst.

Får programmet kjøre, starter det en prosess med å kryptere alle personlige filer du har på maskinen, som bilder, dokumenter, musikkfiler, videoer, regneark og så videre.

Og ikke nødvendigvis bare de du har lagret på maskinen – også alle filer du har tilgang til fra maskinen din, som kan være lagret på nettverksdisker, nettjenester som Dropbox og lignende, kan bli tatt med i krypteringen.

Når en fil er kryptert, er den ubrukelig for deg, med mindre du får fatt i dekrypteringsnøkkelen, slik at du kan få den tilbake til normalen igjen.

Og det er nettopp den de vil at du skal betale for.

Ber om penger

LÅSTE FILER: Får du opp et vindu som dette på maskinen, kan det være at uvedkommende har klart å kryptere alle de personlige filene dine, og at de derfor vil være ubrukelige om ikke du betaler for nøkkelen som låser dem opp. Foto: EMSISOFT Vis mer


Her får brukeren beskjed om at alle personlige filer er kryptert, og at løsepengene, i dette tilfellet 0.1 bitcoins (cirka 300 kroner), må betales for å låse dem opp. Typisk for disse gisseltakerne er også at prisen økes etter en viss tid, og man kan også bli truet med at nøkkelen destrueres om man ikke betaler i tide. Beløpet kan for øvrig være langt høyere enn 300 kroner.

Grunnen til at bakmennene bruker bitcoin er fordi det er et betalingssystem med anonyme transaksjoner, i motsetning til om du måtte ha betalt med kredittkort eller PayPal. Dermed kan man ikke spore hvor pengene ender opp. Som regel får man også instrukser for hvordan man kjøper bitcoins

Les mer om Bitcoin

I praksis ingen utvei

Det som er trist med crypto-ransomware er at det i praksis ikke er noen annen utvei enn å stole på bakmennene (!) og betale for seg om du vil ha filene tilbake, så fremt du ikke har en sikkerhetskopi liggende, selvsagt.

– Ibas kan dessverre ikke rekonstruere data som rent fysisk er kryptert, sier Øyvind Nyland i Ibas AS i et blogginnlegg. Ibas er blant de ledende aktørene her til lands hva gjelder å redde filer fra lagringsmedier som har blitt ødelagt, skadd i brann eller lignende, men har altså lite å stille opp med dersom filer har blitt kryptert.

LES OGSÅ: Er det verdt 10.000 kroner å reparere en harddisk?

Krypteringen baserer seg som regel på kjente metoder, som vi til daglig stoler på når vi bruker krypterte forbindelser på nettet, for eksempel i nettbanken, på Facebook eller til e-post.

Det har riktignok vært eksempler på at storstilte politiaksjoner har gjort at man har klart å få tilgang til databaser med slike nøkler, men det er optimistisk å tro at man kan reddes på denne måten i alle tilfeller. Mest kjent er aksjonen mot CryptoLocker, der amerikanske myndigheter, FBI, Interpol, universiteter, sikkerhetsselskaper med flere klarte å knekke GameOver ZeuS-botnettet, som gjorde at folk som var rammet av Cryptolocker kunne få filene sine tilbake. Mange hadde allerede betalt for seg, og det estimeres at bakmennene klarte å få et titalls millioner kroner fra brukerne.

Mange varianter

KAN SKREDDERSDYS: Ransom32 lar hvem som helst bli nettkriminell med enkle grep. Foto: EMSISOFT Vis mer


Svindlerne blir stadig mer sofistikerte. Nytt om dagen er Javascript-baserte Ransom32, som i praksis kan infisere alle plattformer – ikke bare Windows, som har vært primærmålet for de fleste variantene til nå.

Det som gjør Ransom32 ekstra skremmende, er at det ligger fritt tilgjengelig for de som bruker Tor-nettverket, ifølge sikkerhetsselskapet Emsisoft. Tor-nettverket er kort fortalt en innretning som gjør det mulig å surfe helt anonymt, ved at nettrafikken krypteres og rutes gjennom mange datamaskiner før den når mottakeren, slik at det i praksis blir umulig å spore trafikken.

Ved å finne riktig nettside, kan man så angi en Bitcoin-adresse man vil motta løsepengene på, og deretter sette opp Ransom32, blant annet med hvor mye penger man vil be om, hva som skal stå i advarselsvinduet og lignende. Til slutt kan man laste ned «sin» variant av Ransom32 for så å prøve å lure folk til å bite på ved å gjemme filene i e-postvedlegg, som del av et annet program eller lignende.

Med andre ord har det blitt nærmest trivielt for hvem som helst å bli en nettkriminell – helt anonymt.

Slik beskytter du deg

Så – hvordan beskytter man seg mot slike uhumskheter?

Vis mer


Regelmessig sikkerhetskopi:
Du bør alltid ta regelmessig sikkerhetskopi av alle personlige filer. Ikke bare på grunn av ransomware, virus og den slags, men også fordi harddisken din plutselig kan ta kvelden. Merk at flere av ransomware-variantene også krypterer filer du har tilgang til fra den samme maskinen, enten de er lagret på Dropbox eller på en nettverksdisk.

Det tryggeste er derfor å sikkerhetksopiere filer til en ekstern disk, som mesteparten av tiden er frakoblet.

Vis mer


Oppdatert antivirus:
Antivirusløsninger kan i mange tilfeller avsløre og forhindre at ransomware og andre uhumskheter får kjøre på maskinen. Vel å merke bør du sørge for at sikkerhetsprogrammer til en hver tid er oppdatert, slik at det også får med seg de nyeste variantene – det kan være greit å sjekke innstillingene at programmet oppdaterer seg daglig.

Mange sikkerhetsprogrammer har også såkalt oppførselsblokkering, som vil slå til når sikkerhetsprogrammet merker at et program begynner å tukle med filer på en unormal måte, og som derfor vil kunne beskytte deg også om det ikke er helt oppdatert.

LES OGSÅ: De beste antivirusprogrammene

(Dessverre er ikke antivirusleverandørene alltid helt ufeilbarlige heller.)

Vis mer


Oppdaterte programmer:
Det samme gjelder programmer du har installert på maskinen – mange angrepsmetoder baserer seg på kjente sikkerhetshull i enkeltprogrammer, som kan ha blitt tettet i nyere versjoner av programvaren.

Også her gjelder det å sjekke innstillinger for automatisk oppdatering og alltid ta seg tid til å oppdatere programmer (og operativsystem) når du får beskjed om at en ny versjon er tilgjengelig.

Viktigst av alt – vær kritisk!

De fleste som rammes av ransomware og annen skadelig programvare er dessverre skyld i det «selv», enten fordi de har lastet ned programmer de ikke burde, åpnet vedlegg i en e-post eller besøkt nettsider man bør holde seg unna.

Får du en e-post med «her er dokumentet du ba om» eller lignende, bør du dobbeltsjekke med avsender om vedkommende faktisk sendte e-posten med vilje (særlig om du aldri har bedt om et dokument).

MYE SVINDEL: Man blir vant til å overse dem, men får du lite spam-e-post fra før kan det være vanskelig å skille mellom falske og ekte e-poster. Foto: OLE PETTER BAUGERØD STOKKE Vis mer


Beskjed om at du har vunnet penger, at du kan få et produkt ekstremt billig eller lignende er også noe du må lære deg å ignorere. Får du en e-post fra banken din, skattemyndighetene eller lignende bør du også være på vakt, og gjerne ta en telefon for å dobbeltsjekke.

Tidligere var det enkelt for oss nordmenn å skille mellom svindel og reell e-post, siden svindel-e-postene som regel var skrevet på engelsk eller svært dårlig norsk, men som vi har sett flere eksempler på i det siste, har også det norske språket i epostene begynt å ta seg opp betraktelig.

LES OGSÅ: Slik ser du at det er svindel-e-post

Ikke last ned programmer uten å ha lest litt om dem først. Gjør et nettsøk etter programnavnet, gjerne etterfult av «scam», «malware» eller lignende for å se om det er noe du burde holde deg unna. Bruk gjerne tjenester som Web of trust, som advarer deg om skumle nettsider før du besøker dem.

Vær også klar over at mange skumle programmer godt kan ha nettsider som ser delikate ut, eller at du ser annonser for dem når du surfer rundt på nettet.

Annonser og pene nettsider er dog på ingen måte en garanti for at skaperen ikke har ugler i mosen.

LES OGSÅ: Hackerens beste råd