Vad är Ransomware och hur man skyddar sig mot det

Ransomware är en form av skadlig programvara som krypterar media, dokument och andra filer på måldatorn och åtkomst till dessa filer beviljas först när angriparens krav på lösen är uppfyllda.

För närvarande finns det två typer av ransomware - en som låser vissa filer på en dator och en annan som låser hela systemet. Det senare finns mest på smartphones.

Ransomware har funnits i mer än ett decennium nu. De första fallen av en sådan attack hittades i Ryssland 2005 med Trojan GPcoder.

Tidig historia: The Russian Connect

Det första kända ransomware-viruset som skapade problem i stor skala var utvecklat av ryska organiserade brottslingar och kom i förgrunden 2005 och 2006.

Dessa skadliga program infekterade datorer i Ryssland, Vitryssland, Ukraina och Kazakstan. En av stammarna av skadlig programvara kallades Archievus och en annan ringde Troj_Cryzip. A.

Medan den förra krypterade mappen "Mina dokument", identifierade den senare och flyttade vissa filtyper i en PC till en lösenordsskyddad zip mapp, som först skulle låsas upp när offret överförde några hundra dollar till angriparen via E-Gold — elektronisk valuta innan Bitcoin.

E-Gold lades ner 2009 under instruktioner från den amerikanska regeringen på grund av att ett stort antal kriminella använde det för att tvätta pengar. Därefter används Bitcoin och förbetalda betalkort som en metod för att samla in lösensummor.

Närmar sig slutet av det första decenniet dök även många ransomware-attacker upp som utger sig för att vara brottsbekämpande myndigheter. Dessa angripare skulle trakassera offren med falska anklagelser såsom intrång i upphovsrätten och dra ut "böter" för dessa obefintliga anklagelser.

Den mest ökända av dessa lagupprätthållande imitatorer var Reveton, ett ransomware som skulle fungera lokalt. Beroende på landet som offret är baserat i, skulle Reveton utge sig för att vara den nationella polisen.

Utvecklarna gjorde lokaliseringsinsatser för nästan alla europeiska länder, USA, Australien, Kanada och Nya Zeeland. Ransomwaren använde inte kryptering för att låsa användarens filer, vilket gjorde det lättare att ta bort med ett antivirusprogram eller via säkert läge.

Under 2012, en annan ransomware riktade Windows Master Boot Record (MBR) och ersatte den med en skadlig kod. När ett infekterat system startades fick användaren instruktioner om att betala en rejäl summa via QIWI – ett ryskägt betalningssystem – för att få tillgång till sin enhet.

Moderna Crypto-Ransomware

En av de moderna metoderna för ransomware hittades först 2012-13. CryptoLocker var det första allmänt framgångsrika skadliga programmet som samlades norr om 27 miljoner dollar i lösen.

CryptoLocker är krypterad med en 256-bitars AES-nyckel och en 2048-bitars RSA-nyckel, vilket gör krypteringen nästan okrossbar även om skadlig programvara tas bort – vilket gör det till ett av de mest effektiva sätten för angripare.

Offren i dessa attacker ombads att betala $400 eller mer för att få dekrypteringsnyckeln och hotades med radering av nyckeln om de inte betalade inom 72 timmar.

2014 togs CryptoLocker ner av ett konsortium av statliga myndigheter, säkerhetsföretag och akademiska institutioner i Operation Tovar. Senare kommer de också lanserat en tjänst för personer som påverkas av CryptoLocker som hjälpte dem att dekryptera sina enheter utan kostnad.

Även om CryptoLockers hot inte varade länge, men det hjälpte säkert angripare att utforska världen av ransomware och ta reda på hur lukrativt det kan vara - vilket resulterar i att ett antal stammar av ransomware släpps på marknaden därefter.

CryptoLocker följdes av TorrentLocker, ett ransomware-program som dök upp som en e-postbilaga - vanligtvis en wordfil med skadliga makron - som låste vissa typer av filer på datorn med en AES-kryptering.

TorrentLocker är fortfarande aktiv och har utvecklats mycket under de senaste åren. De nyare versionerna byter namn på alla infekterade filer på en dator, vilket gör det omöjligt för användaren att identifiera vilka filer som har krypterats och återställa filerna via backup.

Under det senaste decenniet har crypto-ransomware-attacker ökat dramatiskt eftersom falska antivirus och andra vilseledande appar har minskat i antal. Bara under 2016 638 miljoner ransomware fall rapporterades.

Hur bekämpar man det?

Det finns ett stort antal webbplatser och säkerhetsföretag som försöker informera människor om hoten från skadlig programvara och även förse dem med verktyg för att förhindra det samt dekryptera informationen som har låsts av en angripare.

Populära antivirustjänster som Avast har kommit med deras dekrypteringsverktyg för Windows och för Android för att hjälpa människor att hantera det växande hotet med ransomware. Dessa verktyg är gratis att använda och täcker ett brett utbud av ransomware, även om några av de nya kanske inte täcks, men det kan fortfarande ge dig en start.

Ingen mer lösen är en webbplats som ger nyheter om den senaste utvecklingen inom ransomware-ekosfären samt som leder användare till verktyg som kan användas för att bekämpa dessa hot. Webbplatsen är en gemensam insats av den nederländska polisen, Europol, Kaspersky Lab och Intel Security.

Om du har hittat ett verktyg som kan vägleda dig genom att dekryptera ransomwaren som påverkar din PC för närvarande, då är allt du behöver göra att identifiera det. ID Ransomware är en webbplats som hjälper dig att göra just det, allt du behöver göra är att ladda upp en kopia av lösennotan.

Om du letar efter ett verktyg som ger skydd till din Windows-dator i realtid, då CyberReason Ransomfree är svaret på dina behov.

Ransomware har varit ett hot i eran av internetanslutna enheter och när IoT blir vardag kan det visa sig vara ett ännu större problem.

För närvarande påverkar ransomware endast din enhet eller filer och återkallar användaråtkomst tills lösensumman betalas men med framväxande popularitet för smarta hemenheter, att förlora åtkomst till din enhet skulle bara vara början på dina bekymmer.