fbpx

Introduksjon

Denne artikkelen vil forklare deg følgende om løsepengevirus:

  • Hva løsepengevirus er.
  • Hvordan løsepengevirus infiserer bedrifters filer.
  • Hva du kan gjøre for å sikre din bedrift mot å måtte betale løsepenger.
  • Hhva dere gjør dersom uhellet skulle være ute og dere blir infisert av løsepengevirus.

Løsepengevirus er i ferd med å bli et stort problem for bedrifter. Ved å lese denne guiden, og å følge oppskriftene under, bidrar du til å redusere problemet siden du aldri vil bli tvunget til å betale løsepenger. Hvis alle bedrifter beskytter sine data på denne måten vil løsepengevirus antakelig slutte å eksistere.

Lesetid: Ca. 5-10 min.

Du lærer: Hva et løsepengevirus er, hvorfor det er en stor trussel, hvordan de angriper, hvordan du beskytter deg og hva du gjør om du får det.

Hva er et løsepengevirus?

Du har kanskje hørt det nevnt tidligere. Løsepengevirus, ransomware, kryptolocker eller kryptovirus.

Kort fortalt er dette et meget skadelig virus som låser filene deres og ber om betaling (oftest i Bitcoin) for å låse dem opp. Tidsfristene er korte, gjerne 24 eller 48 timer og om du ikke betaler blir filene slettet for alltid.   

Bedrifter som er rammet av dette og ikke har sikkerhetskopiert filene sine vil ofte være tvunget til å betale for å ikke miste sine data. Siden et totalt datatap kan bety kroken på døra for mange bedrifter er mørketallene sannsynligvis enorme for de som faktisk betaler for å ikke miste filene sine. Beviset på dette er at løsepengevirus fortsetter å eksistere og å infisere, ettersom det er lønnsomt for de kriminelle. Heldigvis finnes det enkle måter å sikre din bedrift mot dette, så dere aldri må ta dette valget og at dere ikke blir tvunget til å bidra til at problemet fortsetter.

Hva skjer når man får løsepengevirus?

Et løsepengevirus baserer seg på krypteringsteknologi. Kryptering betyr at du «låser» filene dine basert på matematiske formler og en krypteringsnøkkel. For en utenforstående er en kryptert fil umulig å lese uten krypteringsnøkkelen, dette brukes blant annet for sikker overføring av data når du logger deg på nettbanken din. Dersom du har blitt infisert, og ikke har sikkerhetskopi av dine data, kan det virke som eneste utvei er å betale for å få låst opp filene før de er tapt for alltid.


Tidsfrist før filene slettes

En veldig forenklet sammenligning: Du vil sende noe hemmelig i posten, men vil være helt sikker på at utenforstående ikke kan se hva som er i pakken. Du legger det du vil sende i en boks med en kodelås, som er umulig å åpne uten den korrekte koden, og sender denne i en postpakke. Koden sender du til mottakeren som en SMS. Når pakken kommer frem kan vedkommende åpne kodelåsen og ta ut det som er inni boksen.

Dersom noen uærlige sjeler underveis skulle titte inni pakken ville de kun fått se boksen med kodelåsen og ikke hva om er inni.

Tilsvarende, om din bedrift blir angrepet av løsepengevirus, kan du se for deg at alle dine filer blir låst ned i en boks med en kodelås du ikke har koden til. De kriminelle sitter på denne og ved å betale løsepenger kan du få låst opp filene dine igjen. Betaler du ikke blir de slettet og er borte for alltid.

Hvordan fungerer, og sprer, løsepengeviruset seg når noen har fått det?

Basert på tilbakemeldingene vi har fått, og research vi selv gjør, ser vi at løsepengevirusene blir mer og mer sofistikerte. Noen åpner til og med opp brannmurer og deaktiverer antivirus-programmer så de kan spre seg videre i organisasjonens mapper og infisere flere maskiner. Dette er spesielt kritisk om en bruker med administrator-rettigheter blir infisert, da disse ofte har tilgang til det meste i en bedrifts datasystemer.

Løsepengeviruset slår til på en av to måter:

  1. De vanligste løsepengevirusene krypterer absolutt alle filer de får tilgang til, samtidig som de sprer seg videre i bedriftens nett og servere. Dette vil si at alle mapper som den infiserte brukeren får tilgang til blir låst ned, og om det er en administratorbruker som har blitt infisert kan alle bedriftens systemer, servere og maskiner bli infisert.

  2. Noen få løsepengevirus krypterer dataene gradvis, mappe for mappe. Dette er så det forhåpentligvis ikke skal oppdages med det første, og at det skal gå såpass lang tid før angrepet oppdages at backupens historikk har gått ut og ofrene ikke har noen mulighet til å laste ned datene sine. Det er derfor viktig å ha varslingsrutiner for dersom dere blir utsatt for løsepengevirus. Les mer om vår løsepengevirusscanner her.  

Er din bedrift utsatt for løsepengevirus?

Hvordan får man løsepengevirus?

Selv om metodene kan være forskjellige er det noen gjengangere som går igjen:

Små og mellomstore bedrifter

Historisk sett har SMB’er blitt infisert av løsepengevirus på flere måter, men den vanligste er mailvedlegg.  Det som kan se ut som et uskyldig PDF-vedlegg (f.eks. at du har en pakke som må hentes på posten, populært rundt juletider) eller en lenke du trykker på (f.eks. at du har fått tilbake penger på skatten eller at en du kjenner vil sende deg noen filer) kan føre til at du blir infisert.

Store bedrifter

Angrepene på større bedrifter er mer sofistikerte og omfattende, da de har bedre økonomi og sannsynligvis større betalingsvilje og -evne. Selv om dette er metoder forbeholdt større bedrifter kan disse også omfatte små bedrifter, spesielt om det er høy omsetning og god betalingsevne. Finans er en typisk utsatt bransje da det er store penger i omløp og ofte sensitive data involvert.  Her starter de kriminelle med å gjøre såkalte «man in the middle» – angrep (der de overvåker korrespondansen mellom f.eks. daglig leder og kunder), eller andre metoder, for å få tilgang til bedriftens systemer.

Så fort de er inne kopierer de ut alt av relevant data de anser som verdifulle. Dette kan være bedriftshemmeligheter, persondata, kundedata, brukernavn / passord etc.

De kriminelle infiserer så offerets systemer med løsepengevirus og følger følgende oppskrift for å presse ut løsepenger:

  • Først låse filene med løsepengevirus og å kreve løsepenger for at disse åpnes.
  • Deretter true med å publisere bedriftshemmeligheter / persondata / kundedata på nett.
  • Til slutt, hvis de ikke får betalt, publiserer de data de har og offentliggjør at bedriften har hatt datainnbrudd og nektet å betale løsepenger.

For store bedrifter er data i de aller fleste tilfeller ivaretatt med rutiner for sikkerhetskopiering, men å tilbakestille dette er ofte tidkrevende og ofrene får store omsetningstap i perioden deres systemer er nede. Se under for eksempler på dette.

Hvor mye ville din bedrift tapt per dag der alle systemene er nede?

Hvordan beskytter jeg min bedrift?

Alt innen IT sikkerhet går på risikominimering. En sikkerhetsløsning vil aldri kunne være 100% sikker, men jo flere steg man legger inn og jo bedre hvert steg er vil drastisk minimere risikoen for at din bedrift blir utsatt.

En enkel huskeregel er: Forebygge og forsikre.

Trygg og avslappet

Forebygge

De vanligste rådene man får, som også er de mest effektive, er:

  • Hold datamaskinene deres oppdatert, installer siste oppdateringer for operativsystem (Windows, iOS etc.) så fort de kommer ut.

  • Hold alle programmer oppdaterte, spesielt antivirusprogrammet. En stor grunn til at oppdateringer kommer ut er nettopp for å lukke sikkerhetshull de kriminelle kan utnytte for å få installert løsepengevirus.

  • Teknisk kompetanse blant de ansatte: ikke åpne tvilsomme vedlegg eller klikk på mistenkelige lenker.

Forsikre

  • Sørg for å ha en backupløsning dataene går ut av huset (online backup). Backupløsningen må være satt opp med god historikk så dere har tid til å hente ned eldre data om uhellet skulle være ute. Custodis tilbyr den eneste backupløsningen som varsler din bedrift dersom uhellet skulle være ute og dere blir infisert av løsepengevirus. Ta gjerne kontakt om du vil ha en samtale rundt dette, eller se våre priser og pakker her: https://custodis.no/priser/.
  • (Valgfri for økt sikkerhet) Sørg for at backupleverandøren deres har begrenset deres mulighet til å slette data og backupsett. Løsepengevirus blir stadig mer sofistikerte og noen av dem er i stand til å slette backupsett og deres backuphistorikk så dere står uten data selv om dere i utgangspunktet skulle være sikret.
    Se våre backuptyper her: https://custodis.no/vare-tjenester/
  • Legg en plan for hva dere gjør dersom uhellet skulle være ute og dere blir infisert.
    Custodis tilbyr, som den eneste backupleverandøren, tilleggstjensten løsepengevirus-scanner. Denne scanner backuprapportene og metadata for å se etter spor av løsepengevirus. Dersom den finner dette varsles både vi og kunden samtidig.
    Les mer her: https://custodis.no/scanning-etter-losepengevirus/

OBS: Dersom du tar backup av filene dine til en eksterndisk / stasjon på nettverket som er koblet til, vil denne også bli låst av løsepengeviruset.

Hva gjør jeg om min bedrift blir infisert av løsepengevirus?

Dersom du blir infisert vil du miste tilgang til noen av, eller sannsynligvis, alle filene dine.

  1. Har du sikkerhetskopi av dataene dine er det lurt å starte en gjenoppretting av disse med en gang, gjerne til en eksterndisk eller lignende, fra en annen maskin, så disse ikke også blir låst.
    OBS: Sørg for at denne eksterndisken ikke er koblet til en infisert maskin, da kan også denne bli infisert og filene låst.
  • Det aller første du må gjøre for å få systemene dine opp og gå igjen er å fjerne løsepengeviruset. Selv om du gjenoppretter filene dine i et infisert miljø, vil viruset bare slå til igjen og låse filene på nytt.
    Du kan bruke Windows defender eller andre antimalware – løsninger for å reparere maskinene. Har du image/system -backup av systemene kan du tilbakeføre en tidligere versjon fra før viruset infiserte dere.
  • Når du er sikker på at maskinen er ren og løsepengeviruset er vekk kan du tilbakestille filene dine.
    • Dersom du har en løsning for sikkerhetskopiering av data, kan du tilbakestille filene fra denne.
    • Dersom du ikke har sikkerhetskopi av filene dine, kan du prøve NoMoreRansomware sine verktøy for å gjenopprette dem. Det er ingen garanti for at det fungerer, men dette er sannsynligvis deres eneste mulighet for å få tilbake filene deres.

NoMoreRansom.org er et europeisk samarbeid mellom bla. Europol, McAfee, og Amazon har satt fokus på problemet med løsepengevirus og tilbyr gratis mulighet for å låse opp filer som har blitt låst. Med litt flaks kan du få låst opp filene dine ved hjelp av deres verktøy.

Hvis du trenger hjelp, ta gjerne kontakt med oss og vi kan bistå dere.

Les om hvordan en av våre kunder brukte vår backupløsning for å slippe å betale løsepenger. [link]

Hvordan bidrar jeg til at trusselen om løsepengevirus blir redusert?

Dette gjør du ved å følge oppskriften over for å sikre din bedrift dersom dere skulle bli infisert av løsepengevirus. Med gode rutiner for sikkerhetskopiering (ut av huset) med lang historikk for deres data vil dere være i trygge hender dersom uhellet skulle være ute. Jo flere av oss som sørger for å sikre oss så vi aldri vil trenge å betale løsepenger desto mindre attraktivt blir det for de kriminelle.

Trykk gjerne her for å laste ned en sjekkliste for å forebygge, forsikre og hva dere skal gjøre dersom uhellet er ute.