Locky; Slik fungerer løsepengeviruset

Løsepengeviruset Locky er et strevsomt problem å få på datamaskinen, fordi den krypterer og låser alle dine filer, og krever penger for å låse de opp igjen.

Selv om “Locky” høres ganske artig ut, er det så langt fra sannheten man kan komme. Viruset sprer seg gjerne via dokumenter som vedlegg til epost, og om du blir infisert, vil filer og dokumenter på din datamaskin få tilnavnet .locky.

Ikke bare får filene nye navn, men de blir også kryptert med RSA-2048- og AES-128-algoritmer, og vil at du skal kjøpe et dekrypteringsprogram fra dypnettet for å få tilbake tilgangen til filene dine. For å lese mer om algoritmene og de tekniske begrepene, kan du lese mer her.

Prisene for å låse opp filene har variert fra 0.5 Bitcoins og oppover, hvor én BTC tilsvarer ca 3500,- norske kroner. Et sykehus i USA ble nylig tvunget til å betale 150.000 kroner for å få tilgang til sine filer og journaler.

Les også: Sykehus betaler seg ut av ransomware-angrep

Slik fungerer Locky

  • Locky kommer via epost sammen med et Word-dokument med makroer.
  • Ved å åpne dokumentet og aktiverer makroene, vil datamaskinen bli infisert.
  • Locky sletter alle sikkerhetskopier som Windows har lagd og starter å kryptere dine filer.
  • Når alt er kryptert, åpnes en fil som heter “_Locky_recover_instructions.txt” i notisblokk.

Om du mistenker at Locky har vært på besøk, kan du søke etter disse filene på din datamaskin.

  • “_Locky_recover_instructions.txt”
  • “_Locky_recover_instructions.bmp”

Skjult som faktura

Eposten du mottar inneholder et Word-dokument, og eposten utgir seg for å være en faktura.

locky-cryptolocker

Når dokumentet åpnes, lastes Locky ned og infeksjonen starter. Malwaren kommer gjerne fra “lovlige” nettsteder som har blitt kompromittert, og brukes som lagringsplass for viruset.

Word-dokumentet er makroaktivert, og du blir derfor bedt om å aktivere makroer før du kan lese “innholdet” i dokumentet. Dette må du aldri finne på å gjøre!

locky_word-makro
Du må aldri aktivere makroer i dokumenter du ikke kjenner avsender og innholdet i.

Om du blir infisert, vil du få opp instruksjoner på hvordan du kan gjenopprette tilgangen på dine filer. I tillegg vil skjermbildet ditt bli endret.

Locky instruksjoner

I instruksjonene blir du bedt om å hente dekrypteringsnøkler fra dark-web. Der vil du få videre instruksjoner for å betale for dekrypteringsprogrammet som skal låse opp dine filer.

Det er ingen andre måter å låse opp filsystemet ditt på. Derfor er det viktig med ekstern backup av systemet. 

I tillegg til å kryptere C-disken din, vil viruset også kryptere alle mapper og disker som er koblet til datamaskinen, inkludert flyttbare medier, tilgjengelige nettverksmapper, inludert servere og andre personers datamaskiner (Windows, Linux og OS X), og trolig også tilkoblede mobiltelefoner.

Om du er logget inn som domeneadministrator på et bedriftsnettverk og blir angrepet av Locky, kan det potensielt gjøre svært mye skade på hele nettverket.

Norsk senter for Informasjonssikring (NorSIS) anbefaler å IKKE betale kriminelle for å få dekrypteringsnøkler. Dette er svindel, og det er ikke sikkert du faktisk får tilbake tilgangen etter å ha betalt. 

Hvordan unngå Locky?

  • Ta jevnlig backup til ekstern lagring. Backup er alltid lurt, og det er ikke bare ransomware som kan forårsake datatap; hva med brann, tyveri eller ødelagt datamaskin? Kryptér backupen din og lagre den trygt på en ekstern plassering.
  • Aldri aktiver makroer i dokumentvedlegg du mottar via epost. Microsoft deaktivert makroer som standard for noen år side på grunn av sikkerhetsrisikoen. Mange malware-varianter forsøker å få deg til å aktivere makroer i dokumenter – så ikke gjør det!
  • Vær forsiktig med mistenkelige vedlegg. Ukjent avsender, uventet vedlegg? Ikke åpne mailen eller vedlegget. Er du i tvil; Ikke åpne det!
  • Ikke vær administrator. I det daglige er det ikke behov for å være innlogget som administrator på en datamaskin. Unngå nettleseren, åpne dokumenter og vanlig arbeid når du er innlogget som administrator. Opprett heller en ny bruker med begrensede rettigheter.

Kommentarer