ITpro utsatt for ‘ransomware-virus’

ITpro utsatt for ‘ransomware-virus’

Oppdatert: ITpro.no har i dag blitt komprimittert av en såkalt ransomware-infeksjon. Vi ber alle våre besøkende i dag om å gjennomføre full virus- og malwarescann av sin datamaskin.

Viruset gjør at filer på datamaskinen kan bli kryptert av bakmenn som krever penger for å gi deg dekrypteringsnøkkelen – et såkalt “løsepengevirus”, som har stormet internett de siste dagene.

ITpro er blitt kompromittert gjennom vår annonseløsning, som har spredd viruset gjennom en annonse. Når viruset ble oppdaget, ble annonseserveren tatt av lufta for å hindre ytterligere spredning. Vi vil holde annonseserveren nede inntil vi har løst problemet.

Brukere som har besøkt nettstedet mellom 12:00 og 14:00 bes om å gjennomføre fullstendig virus- og malwaresjekk av sin datamaskin.

Viruset fungerer på en slik måte at når datamaskinen er blitt infisert, vil alle eller noen utvalgte filer bli kryptert og utilgjengelige for brukeren. Bakmennene bak viruset krever så penger for å gi brukeren en krypteringsnøkkel eller passord for å «låse opp» filene igjen. Hvis man ikke betaler, eller prøver seg med feil krypteringsnøkkel gjentatte ganger, kan det føre til at filene slettes eller blir ødelagte.

Viruset gir ofte brukeren følgende tekst:

«”Attention! All your files are encrypted!
You are using unlicensed programms! To restore your files and access them, send code Ukash or Paysafecard nominal value of EUR 50 to the e-mail XXX. During the day you receive the answer with the code.

You have 5 attempts to enter the code. If you exceed this
of all data irretrievably spoiled. Be careful when you enter the code!»

Hold programmene oppdaterte

Som alltid, råder vi alle våre brukere til å holde sine programmer og antivirusprogram oppdatert. Dette er den beste beskyttelsen og forhåndsregelen man kan ta. Berørte brukere kan også besøke vårt sikkerhetsforum for å få hjelp til å fjerne malware.

Angriperne legger igjen en usynlig lenke eller kobling på nettsider som blir besøkt mye. Denne lenken videresender brukeren til en fiendtlig nettside med et såkalt ‘exploit-kit’. Siden undersøker brukerens datamaskin for sårbarheter, og her blir gjerne Java utnyttet. Dersom man ikke har siste versjon av Java, vil angriperne ta kontroll over datamaskinen og melde den inn i et botnett, hvor din datamaskin kan bli benyttet til å kontrollere tusenvis av datamaskiner samtidig, og senere bli infisert av fiendtlig programvare.

Du kan lese mer om Løsepengeviruset hos NorSIS.

Det er foreløpig ikke klart hvor mange av våre brukere dette kan ha rammet.

Oppdatert 14/4 kl: 22:24:

Det er nå klart at vår annonseløsning ble utnyttet gjennom en SQL-exploit, og en skadelig kode ble plassert i databasen.

Vi hadde omlag 11.000 forespørsler mot annonseserveren i nevnte tidsrom, og vi har regnet ut at ca. 380 unike IP-adresser kan ha blitt utsatt for malware. I de fleste tilfeller, hvor brukeren har oppdatert programvare, inkludert Java, nettleser og antivirus/malware, vil dette ikke ha noen innvirkning på datamaskinen.

Databasen er nå renset opp for skadelig kode, og vi returnerer til normal drift.

Kommentarer