Skrivebordet til offerets pc endres til en plakat med betalingsanvisning og nedtellingsur. (Bilde: Sophos)

Advarer mot ny filkaprer

Krypterer alle dokumenter på pc-en, dekryptering umulig.

Det norske IT-sikkerhetsselskapet Norman Safeground advarer om «kraftig spredning i Norge» av et nytt «gissel-virus», kalt «Cryptolocker».

Betegnelsen «gissel-virus» viser til at den ondsinnede koden krypterer dokumenter på offerets pc, og forlanger løsepenger for å dekryptere dem.

Cryptolocker spres typisk som vedlegg til e-post. Den gir seg ut for å være en pdf-fil. Har man innstilt Windows til å vise filendelser – og det bør man absolutt – vil man se at etter «.pdf» kommer «.exe»: Det er ikke en pdf, men en eksekverbar fil. Filen aktiveres ikke ved lagring på pc-en, men når man åpner den. Filnavnet er tilpasset innholdet i den manipulerende e-postmeldingen som leverer filen. Det er påvist spredning via både phishing og botnett, det vil si både gjennom spesielt tilpassede meldinger til et lite utvalg potensielle ofre, og gjennom massesendt e-post.

Oppdatert antivirus innstilt på å skanne innkommende filer, vil straks advare og sette filen i karantene.

Dersom man ikke har oppdatert antivirus, og åpner filen, setter man i gang en prosess der viruset kontakter sin kommandosentral og får tilsendt en offentlig krypteringsnøkkel. Så setter den i gang med å kryptere alle dokumenter og bilder på alle lagringsmedier pc-en har tilgang til.

Det vil si at også filer i nettjenester som Skydrive og Dropbox krypteres.

Antivirusleverandørene advarer enstemmig at det for alle praktiske formål ikke er mulig å dekryptere filer kryptert av Cryptolocker. Krypteringen er så sterk at dekryptering krever tilgang til den private nøkkelen som tilhører den offentlige krypteringsnøkkelen som viruset har brukt.

Skrivebordet til offerets pc endres, og viser meldingen gjengitt i bildet øverst i artikkelen. Offeret anvises hvordan det skal betales for å få tilsendt den private dekrypteringsnøkkelen, og hvor mye, i dette tilfelle 300 euro eller 300 dollar. Merk nedtellingsklokken til venstre i det røde feltet: Den viser hvor mye tid som gjenstår før dekrypteringsnøkkelen slettes for godt.

Betalingsmetoden er anonym. Det er ingen garanti for at man faktisk får tilsende nøkkel. Antivirusselskapene advarer mot å betale: Hvis ingen betaler vil kriminelle heller ty til andre inntektskilder. Virksomheten har utelukkende til hensikt å skaffe penger.

I Storbritannia har pc-brukere slitt med Cryptolocker siden slutten av september. Det britiske IT-sikkerhetsselskapet Sophos har lagt ut denne videoen som forklarer hvordan offeret opplever angrepet.

Antivirusleverandørene peker på at tilfellet Cryptolocker understreker behovet for offline sikkerhetskopiering av dokumenter. Har man utelukkende basert seg på synkronisert mangfoldiggjøring av filer til ulike skytjenester, vil man oppleve at alle kopier av alle filer i alle kataloger går tapt. Det eneste håpet er at krypteringen tar tid, og at noe vil kunne reddes dersom man kopler pc-en fra nettet i tide.

Det skal ellers være trivielt å rense en pc for selve viruset. Det kan være liten trøst dersom verdifulle filer er tapt.

Til toppen