En af de nyere typer malware er kendt som ransomware. Ransomware er en særlig grim type malware, som den går igennem og krypterer hver fil på din computer og viser dig derefter en løsesumseddel. For at låse din enhed op, skal du betale løsesummen for derefter at modtage en oplåsningskode. Historisk set dekrypterer de fleste ransomware-kampagner faktisk filerne, når løsesummen er betalt, som offentlighed om hackere, der holder deres ende af handelen, er en vigtig del af at overtale folk at betale op.
Bemærk: Det anbefales generelt, at du ikke betaler løsesummen. At gøre det fortsætter med at bevise, at ransomware kan være rentabelt, det garanterer heller ikke, at du får adgang til dine data igen.
Tip: Kryptering er en proces med krypteringsdata med en krypteringsciffer og nøgle. De krypterede data kan kun dekrypteres ved brug af dekrypteringsnøglen.
Hvordan virker det?
Som enhver anden malware skal ransomware ind på din computer for at køre. Der er mange potentielle infektionsmetoder, men nogle af de mest almindelige metoder er inficerede downloads på websider, malvertising og ondsindede vedhæftede filer.
Tip: Malvertising er praksis med at levere ondsindet software gennem reklamenetværk.
Når den er downloadet til din computer, begynder ransomwaren at kryptere filer i baggrunden. Nogle varianter vil gøre det så hurtigt som muligt, du bemærker muligvis, at dette påvirker din systemydelse, men har så lidt tid til at gøre noget ved det. Nogle ransomware-varianter vil kryptere data langsomt for at reducere chancen for, at de bliver bemærket i aktion. Nogle få ransomware-varianter lå i dvale i uger eller måneder for at blive inkluderet i sikkerhedskopier, der kunne bruges til at gendanne systemet.
Tip: Ransomware undgår typisk at kryptere kritiske systemfiler. Windows burde stadig fungere, men alle personlige filer osv. vil blive krypteret.
Når ransomwaren har krypteret alt på computeren, er dens sidste handling at oprette en løsesumseddel, typisk på skrivebordet. Løsesedlen forklarer generelt, hvad der er sket, giver instruktioner om, hvordan du betaler løsesummen, og hvad der vil ske, hvis du ikke gør det. Der er generelt også sat en tidsfrist med truslen om en prisstigning eller sletning af nøglen, der bruges til at opfordre folk til at betale.
En række ransomware-varianter giver en funktion, der giver dig mulighed for at dekryptere et lille antal filer som en "goodwill"-gest for at bevise, at dine filer kan dekrypteres. Betalingsmetoden vil typisk være bitcoin eller forskellige andre kryptovalutaer. Løsesedlen giver generelt en række links til websteder, hvor du kan købe de relevante kryptovalutaer, i et forsøg på at gøre det nemmere for folk at betale dem.
Når du har afgivet betaling, eller nogle gange betalingsbevis, vil du generelt blive forsynet med en dekrypteringsnøgle, som du kan bruge til at dekryptere dine data. Desværre er der nogle varianter, der aldrig dekrypterer, selvom du betaler – du skal med andre ord IKKE betale, men søge andre løsninger.
Krypteringsprocessen på din computer udføres generelt med en tilfældigt genereret symmetrisk krypteringsnøgle. Denne krypteringsnøgle krypteres derefter med en asymmetrisk krypteringsnøgle, som skaberen af ransomware har den matchende dekrypteringsnøgle til. Dette betyder, at kun ransomware-skaberen kan dekryptere den adgangskode, du skal bruge for at dekryptere din computer.
Tip: Der er to typer krypteringsalgoritmer, symmetrisk og asymmetrisk. Symmetrisk kryptering bruger den samme krypteringsnøgle til både at kryptere og dekryptere dataene, hvorimod asymmetrisk kryptering bruger en anden nøgle til at kryptere og dekryptere data. Asymmetrisk kryptering giver én person mulighed for at give flere personer den samme krypteringsnøgle, mens den eneste dekrypteringsnøgle bibeholdes.
Nogle ransomware-varianter inkluderer også supportfunktioner, der giver dig mulighed for at kontakte den person, der kører fidusen. Dette er designet til at hjælpe dig gennem betalingsprocessen, men nogle mennesker har haft succes med at bruge det til at forsøge at forhandle prisen ned.
Tip: I nogle tilfælde vil ransomware blive implementeret som en sekundær infektion for at forsøge at dække over eksistensen af en anden virus, der muligvis har stjålet andre data i det skjulte. Hensigten, i dette tilfælde, er primært at kryptere logfilerne og gøre hændelsesvaret og den retsmedicinske proces vanskeligere. Denne type angreb bruges generelt kun i meget målrettede angreb mod virksomheder frem for almindelige computerbrugere.
Sådan beskytter du dig selv
Du kan reducere chancerne for, at du bliver inficeret af ransomware og anden malware ved at være forsigtig på internettet. Du bør ikke åbne e-mail-vedhæftede filer, du ikke havde forventet, selvom du stoler på afsenderen. Du burde aldrig aktivere makroer i office-dokumenter, især hvis dokumentet blev downloadet fra internettet. Office-dokumentmakroer er en almindelig infektionsmetode.
En ad-blocker, såsom uBlock Origin, kan være et godt værktøj til at beskytte mod malvertising. Du bør også sikre dig, at du kun downloader filer fra legitime og troværdige websteder, da malware ofte kan være skjult i inficerede downloads, der udgiver sig som gratis versioner af betalt software.
At have og bruge en anti-virus eller anti-malware software er generelt et godt back-stop forsvar mod malware, der formår at komme forbi din første forsvarslinje.
Hjælp, jeg er smittet!
Hvis du finder dig selv i den position, at ransomware har overtaget din computer, kan du muligvis låse ransomware op gratis. Et rimeligt antal ransomware-ordninger var dårligt designet og/eller er allerede blevet fjernet af retshåndhævende myndigheder.
I disse tilfælde er det muligt, at hoveddekrypteringsnøglen er blevet identificeret og er tilgængelig. Europols EC3 (European Cybercrime Centre) har et værktøj kaldet "Krypto sherif”, der kan bruges til at identificere den type ransomware du har, og derefter linke dig til det korrekte dekrypteringsværktøj, hvis der findes et.
En af de bedste beskyttelser, du kan have mod ransomware, er gode sikkerhedskopier. Disse sikkerhedskopier bør gemmes på en harddisk, der ikke er tilsluttet computeren eller det samme netværk som computeren for at forhindre, at de også bliver inficeret. Sikkerhedskopien bør kun forbindes til den berørte computer, når ransomwaren er blevet fjernet, ellers vil den også blive krypteret.