Blogg

Här skriver vi om sånt som är av intresse för våra kunder. IT-säkerhetsfrågor som rör svenska företag, viktigt och intressant, och även om sådant som händer på Optinet!
Rune Wallgren
19 nov 2015

Varning för Virus som krypterar dina filer

cryptowall-cryptolockerDetta blogginlägg innehåller information och rekommendationer om krypteringsvirus som nu tyvärr blivit allt vanligare. Vi uppmanar alla att läsa igenom det noggrant! Lämna kommentarer eller hör av er till oss om ni vill ha mer information!

I juni gick vi ut med en varning för krypteringsviruset Cryptowall. Sedan dess har vi kunnat se en ökad aktivitet och vi får in fler och fler rapporter från företag och privatpersoner som har blivit drabbade och fått alla sina filer krypterade. En googling på orden ”virus kryptering” ger just nu 83 000 träffar och detta bekräftar att detta är ett MYCKET STORT HOT just nu.

Det absolut första du bör känna till om du misstänker att du fått viruset är: STÄNG AV DATORN OMEDELBART! Starta den inte igen och se till att inte någon ”datakunnig” gör det heller.

Om det är en server eller ett företag som blivit drabbat så: BRYT STRÖMMEN TILL NÄTVERKS-SWITCHEN så att inte viruset kan kryptera fler filer i nätverket. Sök omedelbar hjälp!

Till skillnad från vanliga virus som kan ställa till lite oreda och i värsta fall göra att datorn inte går att använda så ”förstör” detta viruset din information. Att rensa bort viruset hjälper inte, du får ändå inte tillbaka din information. När filerna väl blivit krypterade så finns det inget sätt att få tillbaka dem förutom att betala kidnapparna, vilket i alla fall, i princip, är helt fel. Även om man betalar finns det ingen garanti för att man får tillbaka sitt data. Dock vet vi att flera som betalat faktiskt fått sitt data återställt, men det är en risk man tar. Sen blir man ju inte av med viruset bara för att man betalar…

Vi skall här nedan försöka vara proaktiva och fokusera på vad man kan göra INNAN skadan sker, det viktigaste är att skydda sig rätt. Man skall inte försätta sig, eller företaget, i en situation där man tvingas betala pengar till kidnappare.

Hur gör man då för att skydda sig? Ja, det är inte helt enkelt. En av förklaringarna till att detta viruset blivit så ”framgångsrikt” är just själva krypteringstekniken. Viruset krypterar inte bara din information utan även sig självt. Detta gör att antivirusprogram har mycket svårt att hitta det. Viruset kan kryptera om sig själv en gång i timmen så ett traditionellt antivirusprogram kommer aldrig att hitta det. Det finns dock antivirussystem som analyserar beteenden och det ger ett bättre skydd. Vi hör fortfarande folk jämföra antivirus på pris, sluta med det!! Om all din information är borta och du måste betala 25 000:- för att få tillbaka det från EN (1) dator är du då glad för att ha sparat 50:-?

Dock, ett bra antivirus räcker inte! Samtliga de företag vi fått rapporter om har haft oskyddade mail-servrar. D.v.s. mail-leverantören har inte blockerat antivirus, spam, eller farliga bifogade filer. Det räcker inte att säga till sina användare att inte klicka på filer i mail för det kommer de göra ändå. Man måste blockera dessa aktivt! Ja, även legitima filer kan fastna, men just nu har vi inget val, man får offra den bekvämligheten helt enkelt. På företag blir detta extra besvärligt då anställda kan komma åt sin privata mail via webben. Oavsett hur bra skydd man har på sin företagsmail så kan detta bara vara ett slag i luften. Därför är intelligenta brandväggar ett måste, brandväggar som analyserar innehållet i webmail, t.ex.

Detta räcker tyvärr inte heller! Man måste även begränsa rättigheter i användarnas datorer så att OM viruset kommer in OCH användare klickar på en fil OCH antiviruset inte fångar det skall man ändå inte bli smittad. Detta kräver en hel del kunskap om nätverk, Windows server-system eller om Windows om det är en fristående dator, men på företag är det absolut ett krav idag. ALLA system måste se över, inga om, inga men!

Men om skadan ändå inträffar? Ja det finns bara en lösning (om man inte betalar kidnapparna), BACKUP! Och här vill vi gör helt klart, det är skillnad på backup och backup. Att synkronisera sina filer till Onedrive, Google Drive eller Dropbox är INTE EN BACKUP. De senaste rapporterna vi fått är att även dessa ”backuper” blivit krypterade. Att ha en USB-disk kopplad och att kopiera eller synkronisera sina filer hit duger inte heller. Ett backupsystem måste vara separerat och det måste lagra flera versioner och flera månader bakåt i tiden.

För företag finns det ytterligare några aspekter att väga in och ta hänsyn till. Det räcker med att en enda PC (eller MAC) på företaget blir infekterad. Har den PC:n kontakt med servrarna så kan ALL information bli krypterad. Därför måste man ha övervakning som kan upptäcka oskyddade datorer och antivirus som inte fungerar, ställa in minimala rättigheter, ha bra brandväggar på plats m.m.. Vissa system skall förhindra skada, medan andra skall göra det möjligt att återställa informationen om skadan ändå inträffar.

Som ni kanske förstår är detta inte enkelt, men vårt största problem just nu är faktisk att man inte tar hotet på allvar! Man kanske inte blivit drabbad eller inte känner till någon som blivit det och då bryr man sig inte så mycket. Men tro oss, detta är på riktigt och väldigt vanligt förekommande!

Den vanligaste spridningen just nu är via mail som ser ut att komma från Postnord (Posten). Man klickar på en bifogad fil och sedan är skadan skedd! MEN, detta är idag, i morgon kan spridningsmetoden se helt annorlunda ut.

Vi vill uppmana alla att ta detta på största allvar och söka hjälp för att skydda sig på ett så bra sätt som möjligt!

Vill ni läsa mer finns det hur mycket som helst att läsa på nätet. GP hade nyligen en artikel om detta som ni hittar här.

”Detta är det absolut största hotet mot IT-säkerheten sedan jag börjande i branschen 1990!” /Rune Wallgren

Hoppas vi skrämt upp er …

Lämna en kommentar