Ransomware – lite mer teknik och missuppfattningar

Vissa av er kanske läst vår bloggpost om 13 steg för att undvika skadlig kod. Den är fortfarande högst aktuell för vi ser att speciellt antalet Ransomware ökar. Även Microsoft säger att 27% av deras säkerhetsärenden 2014 handlade just om Ransomware [referens].

Det råder en del missuppfattningar om just Ransomware som jag tänkte ta upp. Först och främst, och det är lika bra vi säger det på en gång – råkar du ut för Ransomware och dina filer krypterats så är de borta. Det finns idag inga kända sätt att dekryptera dem.

Ransomware dyker ofta upp som bifogade filer i e-mail eller att användare ombes klicka på en länk. Det kan vara en .zip eller en .scr som är en skärmsläckare och därmed exekverbar fil eller så kan det vara en PDF. Detta är allmänt känt men trots detta ser vi att användare fortfarande klickar på dem.

Tyvärr stoppas inte alltid dessa mail/bifogade filer av mailtvätt eller Antivirus då de ofta inte hittas av signaturbaserade säkerhetsprodukter.

Har du kanske någonsin laddar ner en Office-fil och fått följande?

enable_macro

Detta är också ett sätt för Ransomware sprida sig för när du trycker Enable content så körs macrot och infektering kan ske.

Det kan också spridas genom helt legitima webbsidor genom så kallade Exploit Kits. Förutom att webbsidor blivit hackade så har det inträffat att företag som skapar reklambanners för webbsidor har blivit hackade så när en användare besökt en helt legitim, till exempel en nyhetssida, som haft reklambanners från detta företag så har de blivit infekterade. Därför behöver det inte vara okunniga användare som klickar på felaktig bifogad fil eller länk.

Vissa Ransomware utnyttjar säkerhetshål i Windows men det är absolut vanligare att säkerhetshål i Java, Adobe Reader och Flash utnyttjas så därför är det viktigt att hålla dessa uppdaterade. Exploit Kits är också intelligenta så när användaren besöker en infekterad webbplats så kommer den läsa av vilken version användare har installerat och exekvera exploits just för den versionen.  Trots att patchning av Windows och alla 3e parts produkter sker omgående så finns det 0-day exploits, det vill säga att ett nytt säkerhetshål upptäcks och utnyttjas bara ett par timmar senare.

Väldigt intelligenta varianter av Ransomware attackerar även OneDrive, Dropbox och kan till och med inaktivera och ta bort alla Shadow Copies backuper.

En av våra rekommendationer är att inte låta användarna vara administratörer, men det är bara en av många åtgärder för användarna behöver inte vara administratörer för att företaget ska inflekterat. Många Ransomware exekveras i kontexten av en vanlig användare så alla filer användaren har behörighet till, vilket ofta är många om användaren har en uppmappade nätverksenhet, typ G:

Ransomware kommer förmodligen inte minska för det har visat sig lukrativt. En artikel från BBC skriver om ett nätverk som spred Ransomware. Trots att bara 1.3% valde att betala för att dekryptera sina filer så räknar de med att hackarna fick in över 30 miljoner kronor.

Kontakta oss om du behöver hjälp att förebygga Ransomware.

Disclaimer: All information on this blog is offered "as is" with no warranty. It is strongly recommended that you verify all information and validate all scripts in isolated test environments before using them in production environments.