Utpressningsvirusen som kapar din dator

laptop med för Postnord-viruset
Säkerhet

De senaste dagarna har vi sett en ny våg av utpressningsvirus eller ransomware som det heter på engelska.  Det är en slags program som läggs in på din dator mot din vilja, låser datorn och informationen på datorn och kräver pengar för att låsa upp den. Crypt0l0cker, Locky, CryptoWall, Startlösenord, CryptoDefender, Varning från Polisen, från Interpol, från FBI – skurken har många namn.

Smittan sprids via falska e-mail som ser ut att komma från Postnord eller genom att du blir uppringd av ”Microsoft Tech Support” eller genom bilder i SVG-formatet som skickas över Facebook.

Dina filer förvandlas till ”TOR”-länkar eller ett mystiskt meddelande dyker upp som bild i varje mapp på din dator. Kanske frågar datorn efter ett nytt lösenord varje gång du startar den. Ransomware är ett av de problem vi inte kan lösa till hundra procent, men detta är vad vi vet idag.

Hur det går till

Just nu pågår tre stora kampanjer mot privatpersoner och företag.

”Indiska Microsoft”

Någon ringer upp dig via telefon med vad många kallar indisk brytning. De berättar att det finns ett fel på din dator, att den är långsam men att de behöver hjälpa dig med detta. Vad de egentligen gör är att få dig att ge dem kontroll över datorn med ditt Microsoft-konto eller genom att installera TeamViewer Host.

TeamViewer är ett helt legitimt program, ett program vi använder själva på Tech Troopers för att hjälpa våra kunder. Tjuvarna använder istället samma program för att stjäla din information och låsa din dator.

”Paket från Postnord”

En annan variant är ett mail som ser ut att komma från Postnord eller DHL eller någon annan pakettjänst. Mailet ser nästan helt rätt ut och det är lätt att bli lurad om man inte har ett annat Postnord-mail att jämföra med. Kontentan är att du har ett paket att hämta och om du inte hämtar det så kostar det pengar, så det är bäst att du klickar på den här länken…

Om du klickar på länken laddas programmet ner och filerna på din dator börjar krypteras. När krypteringen är klar får du ett meddelande om att dina filer är tagna till fånga och att du måste betala en massa pengar anonymt för att få tillbaka dem.

”Photo_9252.svg” på Facebook

Du kan få ett chatmeddelande på Facebook med en SVG-bild som du förväntas klicka på. Normalt är det ingen fara att klicka på bilder, men den här bilden innehåller kod som hänvisar din dator till en webbsida som liknar YouTube. Sidan som ser ut som YouTube säger att du måste ladda ner en plugin till din webbläsare. Om du gör det kan denna plugin installera gisslanprogrammet Locky till din dator och låsa dina filer.

Din information är borta

Det är en av de tråkigaste saker vi behöver säga till kunder, men det är viktigt att du förstår att din information med största sannolikhet är borta. Krypteringen som de senaste varianterna av Crypt0l0cker använder går inte att bryta, lösenordet är slumpmässigt och har redan skickats iväg till hackarna så att det inte ens finns kvar på din dator. Det går inte att komma förbi. Vi kan hjälpa dig att radera din dator så att du kan använda den igen, men den information du hade är med största sannolikhet inte kvar.

Även om du väljer att betala pengar till maffian som bröt sig in i din dator finns det ingen som helst garanti att de faktiskt ger dig lösenordet och traditionellt sett har maffian ingen reklamationsavdelning. De tar gärna dina pengar, men det garanterar inte ens att de inte kommer att göra om precis samma sak mot dig nästa gång. Varför skulle de låta dig vara i fred? Nu vet de ju att du betalar!

Det kanske ändå går att rädda lite

Om du istället pratat med ”Microsoft Tech Support” kan det gå att rädda din information, men det kräver att du tar ut hårddisken ur datorn och kopplar in den i en annan dator som fungerar. Viruset smittar oftast inte på det sättet, speciellt inte om du bara letar efter information och inte försöker starta några av dina gamla program.

Kopiera ut dina dokument, bilder och videos – dessa är säkra – men försök inte hämta några program. Radera sedan datorn fullständigt och installera om Windows på den.

Om du fick ”Crypt0l0cker” eller någon liknande variant är chansen som sagt mycket liten att du kan få tillbaka din information och aldrig all information. Filerna har kopierats, krypterats och sedan raderats, så de oskadda originalen kan finnas kvar som raderade filer. Problemet är att dessa sedan har skrivits över av sina egna krypterade kopior. Kontentan är att mycket få filer går att rädda, det kommer inte att vara de filer du vill ha, och det kan vara väldigt tidskrävande att försöka.

Hur skyddar man sig?

Antivirus fungerar tyvärr oftast så att de skyddar mot kända virus. Din dator laddar regelbundet ner nya ”definitioner” av hur virusen brukar se ut så att de kan känna igen och stoppa dessa virus. Eftersom Ransomware ofta är helt nytt, anpassat för varje ny attack, känner antivirusen inte igen de nya varianterna som skickas ut till hundratusentals människor åt gången. I ett test i Augusti i år lyckades Kaspersky, ESET, Norton och Avast hitta och neutralisera mellan 96% och 100% av alla virus och ransomware, men problemet är att det kommer nya hela tiden och det räcker att en av dem slipper igenom.

Det bästa är därför att vara på sin vakt, att vara skeptisk och frågvis. Varför skulle jag få ett paket från Postnord nu? Varför skulle det kosta pengar om jag inte går ner dit, och varför 37kr? Varför går det inte att se bilden direkt utan att klicka? Varför behöver jag klicka på en länk som laddar ner ett program, istället för att skriva ut informationen i mailet?

Och Microsoft support är svåra att få tag på ens om man försöker men de ringer aldrig upp utan att man har bett om det.

Fråga oss

Om du undrar över malware, virus och utpressningsvirus, spionprogram, reklam och andra otäcka saker, skapa gärna ett ärende på TechTroopers.com