Vad är Ransomware och hur skyddar man sig?

Vad är en Ransomware-attack?

Ransomware-attacker blockerar åtkomst till offrets filer och gör dem oläsliga tills lösensumman är betald. Vanligtvis är angriparna ute efter ekonomiska vinster. Det finns två typer av ransomware: Crypto-Locker och Non-Crypto.

Non-Crypto är ett exempel på där du betalar skurkarna och återställer dina filer genom att få nyckeln från dem. Crypto-Locker ger ingen nyckel till offren. I Crypto-Locker krypteras filerna med en nyckel som angriparna har. Därför är det enda sättet att få tillbaka filerna genom att betala pengarna i den avsedda plånboken.

Hackare riktar sig vanligtvis mot högprofilerade företag som sjukhus, skolor och statliga myndigheter för att utpressa dem för stora summor pengar. På så sätt kan hackarna få tillräckligt med pengar för att investera i nya attacker, utan att bli arresterade av lagen.

Hur Ransomware fungerar

Ransomware-attacker är mest en form av distribution. När angriparna väl har infekterat datorn och fått administrativa privilegier kan de skapa en mapp i användarens katalog som heter ”pay_crypt” där de placerar ransomware-filen.

När användaren startar den körbara filen kontrollerar den först var den körbara filen finns. Om den körbara filen är placerad i en icke-standardkatalog, kontrollerar den körbara om det finns en fördefinierad sökväg i registret. Om inte, ändrar den registersökvägen och startar sig själv.

Om den körbara filen hittar registersökvägen, modifierar den registret för att omdirigera offrets webbläsare till exploateringspaketet som är utformat för att generera intäkter för angripare genom att visa annonser eller samla in information från användarens webbläsare och skicka den till servern. Om den körbara filen hittar mappen ”pay_crypt” ändrar den användarens dokumentegenskaper så att den blir oläsbar för henne.

Om den körbara filen hittar mappen ”pay_crypt” utan den fördefinierade sökvägen i registret, startar och ändrar den Windows Explorers beteende för att kryptera filerna och göra dem oläsbara. Ett annat sätt på vilket ransomware-attacker fungerar är via en drive-by. När en användare surfar på en webbplats som har den skadliga koden, laddar hennes webbläsare automatiskt ned koden och kör den. På samma sätt sker ransomware-attacker via e-postbilagor och länkar.

Olika Ransomware-varianter

  • Lock Screen Ransomware: Detta är en av de mest populära typerna av ransomware. Vanligtvis designar angripare en falsk säkerhetsvarning och ersätter Windows-låsskärmsbilden med sin egen. Låsskärmen visar ett meddelande som uppmanar offret att betala böter för att se bilden. Den falska säkerhetsvarningen lyder: ”Den här datorn har blockerats på grund av att ha tittat på pornografi. All åtkomst till den här enheten har blockerats. Om du vill se den här varningen igen, skicka en Bitcoin till följande adress.” Offret uppmanas sedan att besöka en given Bitcoin-plånbok via en inbäddad länk, som kan äventyras och läggas online av angriparen.
  • CryptoWall: En av de mest sofistikerade ransomware-varianterna hittills, CryptoWall är extremt svår att upptäcka och ta bort. När den väl har aktiverats krypterar den alla filer på den infekterade enheten, vilket gör dem otillgängliga och kräver en lösensumma för att få tillbaka dem.
  • Hidden Tear: Den här typen av ransomware är designad för att verka legitim och smyga sig förbi antivirussystem. Det klär ut sig som en legitim Windows-fil eller registerpost och körs när användaren låtsas utföra någon åtgärd på sin dator.

Hur du skyddar dig mot Ransomware

Det finns några saker du kan göra för att skydda dig mot ransomware. Se först och främst till att hålla ditt antivirusprogram uppdaterat. Detta gäller särskilt om du har aktiverat automatiska uppdateringar. Se till att köra en skanning minst en gång i veckan, och se till att uppdatera den så snart nya uppdateringar släpps. Du bör också överväga att använda en virtuell sandlåda för att testa din programvara innan du distribuerar den till dina användare. Detta hjälper dig att undvika problem med din kod innan de uppstår. Förutom att hålla ditt antivirus uppdaterat kan du också se till att följa dessa bästa metoder när det gäller mjukvarusäkerhet:

  • Öppna inte länkar eller bilagor från tvivelaktiga källor
  • Använd separata konton för varje tjänst som du använder
  • Installera endast programvara från pålitliga källor
  • Klicka inte på länkar i e-postmeddelanden

Hur tar man bort Ransomware?

Om du vill öppna dina filer igen måste du ta bort ransomware. Det finns några sätt att göra det. Du kan försöka hitta ransomware-utvecklarna och be om deras nyckel, men det är inte alltid möjligt. Ett annat sätt skulle vara att återställa ditt system från säkerhetskopian du har.

För att göra det måste du ha en fullständig skivavbild, du kan använda verktyget för återställning av skivavbildningar, såsom Dariks Boot and Nuke eller Ghost15. Återställning bör dock göras extremt noggrant och du bör endast använda för de återställningsprocedurer som krävs.

Förebyggande av ransomware

Det är oerhört viktigt att skydda sig mot ransomware-attacker. Ett starkt lösenord, uppdatering av ditt antivirusprogram, håll din programvara uppdaterad och användning av en virtuell sandlåda kommer att räcka långt för att hålla din data säker.

För att vara på den säkra sidan bör du försöka undvika att klicka på länkar i e-postmeddelanden, ladda ner programvara från opålitliga källor och alltid hålla ditt lösenord dolt och komplext.