Skadlig kod

Tänk om opinionsmätningarna var rätt men valresultatet fel?

Publicerat: 
2016-11-11 17:00
Dagen innan presidentvalet i USA utsågs Hillary Clinton som vinnare. Ett annat resultat vore osannolikt enligt mätningarna. Det samma gällde Brexit-omröstningen. Även omröstningen i Colombia avseende fred med FARC-guerillan slog slint. Även i Sverige har opinionsmätningarna visat sig vara felaktiga. I samtliga fall försöker man hitta rimliga förklaringar, som att mätningarna inte är rättvisande, att mätningarna är slappa, att soffliggare får för sig att rösta, arga vita män och så vidare. Det som ingen verkar beröra, eller som man blundar för, är frågan om opinionsmätningarna var rätt men resultatet fel. För min del är det märkligt att mätningar de senaste åren varit så missvisande. 
 
Utan att ha en djupare kunskap om exakt hur IT-systemstöd fungerar i valsammanhang, så måste de lösa en hel del logistiska problem. 
 
1. Hantering av kandidater
2. Hantering av röstlängder 
3. Räkning av röster
 
För små val sker räkningen manuellt, medan för större val så används rösträkningsmaskiner. Logistiken är både komplicerad och måste även hantera en geografisk spridning. Komplexiteten ger utrymme för sårbarheter. För att klara komplexiteten används det alltid någon form av IT-stöd. I vissa fall är systemen tredjepartsprodukter, medan i andra fall har systemen utvecklats själv.
 
En främmande makt som bestämt sig för att påverka ett val kan lägga ner energi och resurser på att påverka valresultat genom att på ett långsiktigt sätt manipulera de IT-system som används i samband med ett val. Genom att få kontroll över rösträkningsmaskiner eller servrar skulle valresultat kunna manipuleras.
 
Frågan är då om hur reell denna risk är? Vi har ett gammalt exempel som visar på att möjligheterna är obegränsade och att risken är stor.
 
Stuxnetviruset tillverkades av USA och Israel och var det första steget i Cyberkrigföring [Kom Zetter]. Attacken riktade in sig mot Siemens SCADA-utrustningar. Stuxnetviruset fungerade i flera lager och spreds från PC till PC. När viruset detekterade att PCn användes för att administrera Siemensenheter aktiverades mer kod, som kontrollerade de SCADA-enheter som PCn kopplades upp till. Stuxnet-viruset kollade om SCADA-enheterna hade specifika serienummer, och om så var fallet injicerade de kod in i SCADA-enheterna. I detta fallet så styrde SCADA-enheterna centrifuger för anrikning av uran, och den kod som injicerades påverkade varvtalet på ett väl uttänkt sätt så att anrikningen saboterades och att centrifugernas livslängd förkortades. På så sätt hejdades Irans kärnvapenprogram, genom att dels sabotera anrikningen samt att dels höja kostnaderna. Koden som injicerades var liten och obetydlig. Stuxnet kom igenom de olika typer av säkerhetskontrollerna genom att tillverkaren av viruset lyckats stjäla certifikat och signera koden som pålitlig. Även efter Stuxnet var iranierna paranoida för varje fel som uppkom. Att veta om det är en logisk bomb eller bara en bug är svår att urskilja. Efter Stuxnet riktades alla blickar mot SCADA-system som det primära målet för cyberkrigföring. Stuxnet var ingen enkel konstruktion och att ta fram Stuxnet innebar utveckling under flera års tid, och utvecklarna var tvungna att testa lösningen på en uppsatt urananrikningsanläggning för att verifiera funktionaliteten [Kim Zetter]. Stuxnet löste dock inte ensamt problemet med Irans kärnvapenprogram, utan kombinerades med lönnmord, attentat och bombanfall. Stuxnet var bara en del i något mycket större.
 
En hackerattack mot ett röstningssystem kan inte ensamt vinna ett val. Det krävs att angriparen också lägger ner resurser på att vara opinionsbildare, att angriparen genomför informations- och desinformationskampanjer, samtidigt som denne ger ekonomiskt stöd för att valkampanjer ska lyckas. 
 
Däremot vill man vinna ett cyber-krig mot demokratier så är det värt att lägga ner energi på att angripa de system som används för rösträkning. Genom att låta ogynnsamma partier, kandidater eller alternativ vinna val eller omröstningar kan man sakta bryta ner ett lands förmåga att fungera. För att säkra demokratin behöver vi se cyberkrigföring i ett vidare perspektiv och verkligen se till att bevisa att våra val och omröstningar är säkra.
 
 
För att läsa mer se:
Bok som beskriver det första cyberkriget och Stuxnet är Kim Zetters – Countdown to Zeroday.
 
I USA används röstmaskiner. Dess säkerhet har ifrågasatts vid flertalet tillfällen. Röstmaskiner används bl.a. i de så kallade swing staterna Pennsylvania, Florida och Virginia.
En bra artikel som ifrågasätter säkerheten i röstmaskinerna hittas på:
 
Hursti hack som genomfördes 2005 visar hur man kan påverka ett val. https://en.wikipedia.org/wiki/Hursti_Hack
 
I Wired Magazine finns en artikel med en annan vinkling på hur val kan påverkas genom hacking.
I
 
Skribent(er): 
Mikael Simovits

Kort om APT ProjectSauron

Publicerat: 
2016-08-16 16:35

Förra veckan gick flera stora anti-virusföretag med information om att en ny APT-plattform identifierats under hösten 2015 som döpts till ProjectSauron av Kaspersky respektive Remsec av Symantec. APTn misstänks ha varit aktivt sedan 2011. Aktivitet har identifierats i bland annat Ryssland, Kina, Iran, Rwanda, Belgien och även en organisation i Sverige har blivit drabbad. Infektionsvektorn är dock inte känd och den har endast setts användas för att angripa Windows-baserade operativsystem.

ProjectSauron är en modulär plattform som används för cyberspionage, där fler moduler laddas ner vid behov. Plattformen gör det möjligt för en angripare att ta kontroll över ett system och röra sig över nätverk. Modulerna kan exempelvis användas för att lyssna på kommandon över nätverk, öppna bakdörrar, spela in knapptryckingar genom keylogger-moduler samt för att stjäla filer. Det finns närmare 50 olika moduler som ProjectSauron kan utnyttna. För att kommunicera utnyttjar ProjectSauron ett flertal vanliga kommunikationsprotokoll, där DNS-protokollet används i stor utsträckning för att exfiltrera data men även för att rapportera ”status”.

Nätverk som är air-gappade kan också bli angripna av ProjectSauron genom en specifik modul. Denna modul gör det möjligt att från ett air-gappat system flytta data till ett system som är anslutet till internet genom förflytta data med flyttbart USB-media. USB-mediat partitioneras på ett sådant sätt att den inte identifieras av operativsystemet korrekt, vilket medför att data från ett isolerat system kan förflyttas obemärkt och därefter exfiltreras från ett internetanslutet systemet.

ProjectSauron har kunnat agera obemärkt under flera år av tack vare flera olika egenskaper. ProjectSauron körs i många fall inte aktivt utan fungerar som en ”sovande-cell” och väntar på nätverkskommandon för att aktiveras, vissa moduler kör även endast i minnet vilket försvårar upptäckt. För kommunikation används vanligt förekommande kommunikationsprotokoll för att exfiltrera data och skicka statusuppdateringar och på så sätt döljer sig den aktiviteten enkelt bland normal nätverkstrafik.
 

Hur kan man skydda sig?
ProjectSauron förändras beroende på mål, så klassiska signaturer är troligen inte användbara. Men både Kaspersky och Symantec har tagit fram ett antal IoC:er (Indicators of Compromise) utifrån de fall de har undersökt för att identifiera ProjectSauron.
https://securelist.com/files/2016/07/The-ProjectSauron-APT_IOCs_KL.pdf
http://www.symantec.com/content/en/us/enterprise/media/security_response...

Skribent(er): 
Tiina Loukusa Hyttnäs

RSAC2016 - Lösenfrasknäckning, samt Hackerspårning med hjälp av Sysinternals SysMon

Publicerat: 
2016-03-24

I början av månaden gick RSA Conference USA 2016 av stapeln i San Francisco. Jag och Mikael var där och höll vår presentation angående mitt/vårt arbete med lösenfrasknäckning med hjälp av Markovkedjor. Vi fick bra respons och många frågor efteråt, och det kändes som att åhörarna tyckte det var intressant, nydanande och att de kommer att få inspiration av vår metod för knäckning av långa lösenordsfraser. Åtminstone kommer de nog tänka till lite extra innan de väljer sin nästa lösenordsfras.

Vår session fick dessutom privilegiet att vara en av de tre som presenterades under rubriken "Agenda & Tracks" på förstasidan på konferensens site, dessutom strax jämte keynotetalaren Sean Penn, bara en sån sak… Nu har de precis ersatt både Sean och oss med andra rubriker, men vi fick pryda huvudsidan i ungefär tre veckor, däribland hela den vecka som konferensen pågick.

Mer information om vårt arbete med knäckning av lösenordsfraser kan hittas via referenserna [2] samt [3]. Rapport finns nu även publicerad på International Association For Cryptologic Research [4].

Givetvis fanns även en hel del andra sessioner som var mycket intressanta, och en av dem som jag kände kunde ha stor praktisk nytta i mitt arbete såväl som privat, var en genomgång av Sysinternals-svitens relativt nya tillskott ”SysMon” (1,5 år gammalt, men ny version ute nyligen). Denna sessions titel var “Tracking Hackers on Your Network with Sysinternals Sysmon”, och jag tänkte här försöka återberätta de intressantare delarna med hjälp av egna ord, kommentarer och tester.

Sysinternals

För den som inte känner till Sysinternals [7], så var det ett företag som skapade en mängd praktiska och kraftfulla freeware-systemverktyg för Windows med hjälp av operativsystemets mestadels odokumenterade nativa API, vilket gör att de ofta kan trolla mer med avancerade funktioner i Windows än verktyg som använder de mer officiella API:erna. Företaget är sedan en bra tid tillbaks uppköpt och en del av Microsoft TechNet, men de lyckades vid övertagandet förhandla fram att hela deras svit skulle vara fortsatt gratis och fritt att använda.

SysMon

Ett av de senare verktygen de tagit fram är alltså SysMon [8], och dessutom släpptes en ny version strax innan RSA-konferensen, så huvudutvecklaren Mark Russinovich var där och presenterade verktyget och dess nya features samt gav en del tips om det.

SysMon är i princip det enda verktyget i sviten som behöver installeras, och det körs sedan som en service som startar automatiskt vid varje systemstart, och loggar vissa systemaktiviteter som kan vara typiska vid exempelvis intrång och/eller malware. Dessa loggar skrivs till en egen sökväg i Windows eventlog, och kan vara till god hjälp både för att upptäcka och spåra konstiga processer/malware samt vid forensikarbete efter ett eventuellt intrång eller virusangrepp.

Aktivitetstyper som kan loggas: (alla är inte påslagna i defaultinstallationen)

1 Process Create
Detaljerad information om startade processer, såsom full kommandorad, processens ID och GUID, filens hashvärde (SHA1 som default, men det går att aktivera andra), användare etc.

2 File Creation Time Changed
När en process i efterhand ändrar tiden för skapande av en fil. Utan filtrering kan detta ge många false positives då exempelvis komprimeringsprogram och webbläsare kan ändra denna tidsstämpel för att den ska matcha originalfilens, men det är även ett vanligt sätt för hackare och malware att dölja sina spår.

3 Network Connection
Loggar nya nätverksanslutningar över såväl UDP som TCP. Här sparas bland annat vilken process som initierade anslutningen, vilket protokoll, IP, port som användes hos såväl mottagare som avsändare, samt i förekommande fall dnsnamn och portnamn.

4 Sysmon Service State Change
Loggning vid ändring av körstatus på själva SysMons service. Här kan man alltså se om och när SysMon stängts av eller satts igång.

5 Process Terminated
Processens ID och GUID, samt aktuell tid anges här för en process som avslutats.

6 Driver Loaded
Loggar laddade drivrutiner med information om vilken avbild som använts, dess hashvärde(n), samt om den är signerad och i sådant fall av vem.

7 Image Loaded
Logg över vilka moduler (dll-filer) som laddas av olika processer. Logghändelsen innehåller information om processens ID, GUID samt sökväg till avbild, den laddade modulen och dess hashvärde(n) samt om den är signerad och i sådant fall av vem.
Denna loggning är avstängd i grundinställningarna och bör användas med försiktighet då det även vid vanlig användning skapas väldigt många sådana här event. På 2,5 minuter loggades 480 händelser när jag testade denna funktion. Denna loggning kan vara bäst att använda för att med hjälp av config-filen filtrera på och bevaka någon speciell process eller modul.

8 CreateRemoteThread
Loggar när en process skapar en tråd i en annan process. Detta är vanligt att angripare/malware gör för att exempelvis använda sig av andra processer för att hålla sig dolda eller eskalera sin behörighet. Dock finns det också legitim användning även av denna metod.
Loggar innehåller diverse information om källprocess, målprocess, samt vilken adress i minnet tråden startades på.

9 RawAccessRead
Skapar loggar över direktläsning av diskar/volymer. Detta är vanligt bland malware i försök att kringgå filsystemets normala säkerhetsskydd för filer etc.  

255 Error
Om något fel inträffar i själva SysMon loggas det som en händelse av denna typ.

Sökning av hashvärden i Virustotal

En fils beräknade hashvärde kan ses som ett (i princip) unikt globalt ID för filen. Ett mycket användbart sätt att använda de hashvärden som sparas i SysMons loggar, är att göra en sökning på dem på exempelvis siten virustotal [10], för att få en indikation på om det aktuella programmet är pålitligt eller ej.

Nedan visas ett exempel på en sökning av en process startad av taskeng.exe (som normalt startar schemalagda uppgifter):

I eventet på bilden ser vi en hel del information om den startade processen, såsom användare som startade den, vilken sökväg den startades på, vilken kommandorad den startades med, information om den överordnade processen etc. Enligt denna information i eventet kan man skapa en hypotes om att det antagligen är en schemalagd uppdatering för Flash som startats, men eftersom vi är misstänksamma av oss vill vi bekräfta detta. I eventet hittar vi även hashvärden för processens fil, något av dessa använder vi i nästa steg för att på virustotal.com verifiera filens ursprung, samt om den kan vara skadlig.

SHA1-värdet som är markerat i bilden ovan klistrar man enkelt in på virustotal (fliken "Sök"/"Search") enligt bild nedan:

Just denna fil verkar enligt virustotal rätt ofarlig enligt sökresultatet:

Sökresultat visar att den aktuella filen inte är flaggad som direkt farlig

Man kan även exempelvis se på fliken "File Detail" att filen tillhör Flash Player Update Service, och är signerad av Adobe/Verisign, vilket ytterligare bekräftar vår initiala hypotes.

Filen är signerad av Adobe/Verisign, och tillhör Flash uppdateringstjänst.

Om man nu anser att ett program som Flash är pålitligt och oskadligt (!?), så kan man nu pusta ut och avfärda sin misstänksamhet mot denna processtart.

Installation/konfiguration

Installationen av SysMon sker genom att, efter nedladdning/uppackning, som administratör köra exempelvis kommandot:

sysmon –accepteula –i

Detta installerar SysMon med defaultkonfiguration, vilket innebär att endast SHA1-hashvärden beräknas för de filer som förekommer i loggarna, samt att loggning av nätverksanslutningar (eventID 3) och modulladdning (eventID 7) är avstängda. Med -accepteula slipper man dessutom popuprutan med licensavtalet, vilket vi antagligen sett förut då det är samma för samtliga sysinternalsverktyg.

Det finns ett fåtal ytterligare alternativ man kan sätta antingen direkt vid installationen, eller efteråt med nedanstående kommando.

sysmon –c [alternativ]

med de alternativ man vill ha (om man inte ger ytterligare alternativ visas nuvarande konfig).

Exempel kan vara att man vill att alla stödda typer av hashvärden (sha1, sha256, md5, imphash) skall visas för de filer som förekommer i eventen, vilket fås av kommandot

sysmon –c –h *

för att aktivera loggning av nätverksanslutningar lägger man till –n

för att aktivera loggning av modulladdningar lägger man till –l (med eventuell påföljande lista på målprocesser att övervaka, för att slippa överflödsinformation)

Konfigurationsfil och filtrering

För att ha större kontroll och lättare kunna göra mer avancerade inställningar, speciellt filtrering, är det dock smidigare att först skapa en konfigurationsfil som man sedan laddar genom kommandot

sysmon –c [sökvägtillkonfigfil].xml

Filen skall vara i xml-format, och här ges ett exempel med en del mer eller mindre användbara filter (gjorda mest för illustration), några kopierade från [6].
 

<Sysmon schemaversion="2.01">
 
  <!--Inkludera alla typer av hashvärden-->
  <HashAlgorithms>*</HashAlgorithms>
 
  <EventFiltering>
 
  <!--Logga bara inkommande anslutningar eller till port 443-->
    <NetworkConnect onmatch="include">
      <Initiated condition="is">false</Initiated>
      <DestinationPort condition="is">443</DestinationPort>
    </NetworkConnect >
 
    <!--Logga bara trådinjektioner i lsass eller winlogon-->
    <CreateRemoteThread onmatch="include">
      <TargetImage condition="image">lsass.exe</TargetImage>
      <TargetImage condition="image">winlogon.exe</TargetImage>
    </CreateRemoteThread >
 
    <!--Strunta i att logga start av moduler signerade av Microsoft-->
    <ImageLoad onmatch="exclude">
      <Signature condition="contains">microsoft</Signature>
      <Signature condition="contains">windows</Signature>
    </ImageLoad>
 
    <!--Ignorera filtidsändringar gjorda av chrome och 7zip-->
    <FileCreateTime onmatch="exclude">
      <Image condition="end with">chrome.exe</Image>
      <Image condition="contains">7zip</Image>
    </FileCreateTime>
 
    <!--Stäng av loggning av avslutade processer (för att vi inkluderar ingenting)-->
    <ProcessTerminate onmatch="include" />
 
  </EventFiltering>
</Sysmon>

 

Man kan filtrera på vilka fält man vill i eventen, och villkoren kan vara exempelvis vad fältet ska innehålla, sluta med, vara lika med, vara lägre/högre än m.m.

För att helt sätta på eller stänga av loggning av en händelsetyp, använder man ”exclude” respektive ”include” utan att specificera några filter. Det känns kanske fel att stänga av all loggning genom att skriva ”include”, men det är ju för att listan på händelser man ska inkludera är tom (se sista regeln i exempelfilen ovan).

Konfigurationsfilen är riktigt användbar om man vill sålla bort ointressanta händelser (false positives), eller enbart vill leta efter/övervaka en mycket specifik händelse.

För mer info och detaljer om konfigurationsfiler rekommenderas framför allt Marks slides [6] från RSA-konferensen.

Central loggning/övervakning

Windows eventloggar är inte är särskilt skyddade mot manipulering/radering om nu en angripare väl tagit kontroll över den lokala datorn, så för att skydda loggarna och dessutom för att få en central övervakning/loggning så är det relativt enkelt att integrera med exempelvis Splunk eller Microsoft OMS för att skicka iväg och spara loggarna centralt. Vid en sådan setup kan man bland annat skapa dashboards och larm baserat på informationen från SysMons loggar från samtliga datorer i nätverket, och exempelvis korrelera händelser från olika datorer för att skapa larm etc. Hur man skapar en sådan setup är något beroende av det övervakningsprogram man valt, men det finns länkar och mer info om integrering med Splunk eller OMS i bland annat [6] och [9].

Slutsats

Som de flesta andra i Sysinternals svit, är Sysmon ett verktyg med stor användbarhet för Windowsanvändare/administratörer/säkerhetsspecialister etc.

SysMon är ett intressant verktyg bara att köra lokalt, men det har ännu större potential om man i en företagsmiljö installerar det på samtliga datorer och sätter upp en nätverksspännande övervakning. Då kan dess loggar användas för exempelvis central larmning och dashboards, och vara till oerhörd stor hjälp vid såväl upptäckt som spårning/forensisk utredning vid incidenter som malware eller hackerintrång som spridit sig via nätverket, vilket inte är helt ovanligt för APT exempelvis.

Även om vi säkerhetsfolk brukar gilla ordentlig loggning så kan det ibland gå till överdrift, så lite tid och tanke bör nog läggas på att konstruera en konfigurationsfil som filtrerar bort vissa händelser för att inte överflöda loggutrymmet med ointressanta loggar.

Slutord och rekommendation blir: Installera och testa SysMon, för en vacker dag kommer även du den bäste att råka ut för någon slags incident som detta verktyg kan vara till god hjälp vid.

Referenser/länkar:

[1] – RSA Conference USA 2016, http://www.rsaconference.com/events/us16

[2] – Session: Linguistic Passphrase Cracking, https://www.rsaconference.com/events/us16/agenda/sessions/2396/linguistic-passphrase-cracking

[3] – Post Passwords 2015 - Phraser release on Github (earlier blogpost related to our talk), http://www.simovits.com/blogg/post-passwords-2015-conference-phraser-release-github

[4] – International Association For Cryptologic Research, Report 2016/246 - Linguistic Cracking of Passphrases using Markov Chains, https://eprint.iacr.org/2016/246

[5] – Session: Tracking Hackers on Your Network with Sysinternals Sysmon, https://www.rsaconference.com/events/us16/agenda/sessions/2461/tracking-hackers-on-your-network-with-sysinternals

[6] – Slides: Tracking Hackers on Your Network with Sysinternals Sysmon, https://www.rsaconference.com/writable/presentations/file_upload/hta-w05-tracking_hackers_on_your_network_with_sysinternals_sysmon.pdf

[7] – Sysinternals website, www.sysinternals.com or https://technet.microsoft.com/sysinternals/

[8] – SysMon info & download, https://technet.microsoft.com/sysinternals/sysmon

[9] – SysMon/Splunk integration, http://blogs.splunk.com/2014/11/24/monitoring-network-traffic-with-sysmon-and-splunk/

[10] – Virustotal search, https://www.virustotal.com

Skribent(er): 
Peder Sparell

Ransomware - det växande hotet.

Publicerat: 
2015-11-13 11:20

Ransomware är ett av de mest högljudda hoten i dag, risken är liten att du missar att du har blivit drabbad. Det drabbar både privatpersoner och företag hårt genom att göra att filer blir otillgängliga och förblir så såvida du inte betalar den lösensumma som begärs ut. Filer som den krypterar ligger oftast inte bara lokalt, utan de inkluderar exempelvis nätverkshårddiskar som finns mappade så att ännu fler blir drabbade.

Infektion sker oftast genom en av två infektionsvägar; antingen via bilagor i phishingmail och ibland finns det även länkar som skickar användaren till URLer som kör exploit-kits. Ett exploit-kit kan utnyttja brister i olika programvaror som användaren har installerad på datorn för att leverera skadlig kod.

Det första ransomwaret sägs vara upptäckt i Ryssland 2006 som då skapade lösenordsskyddade zip-filer och raderade orginalfilerna. Då fick offret betala 300$ för att kunna låsa upp de lösenordsskyddade filerna. Under en lång period hade ransomware en begränsad spridning, men 2012 började de även dyka upp i Europa. Den första typen av ransomware var ”polis ransomware” som låste användarens dator på något sätt eller krypterade filer som gjorde dem otillgängliga för användaren. En bild visades till användaren där det stod att “polisen” hade “beslagtagit” dina filer för att du hade gjort något olagligt. Den information som visades till användaren var ofta anpassad så att det såg ut som det var den lokala polisorganisationen som krävde lösensumman. I exemplet nedan som ser ut att komma från Polisen kostade det 1000 SEK att låsa upp datorn eller filerna.

Ransomware som utger sig för att vara från Polisen

Sedan under 2013 kom den första versionen av CryptoLocker och därefter har en mängd varianter vuxit fram. Idag dominerar ransomwarefamiljerna TeslaCrypt, CryptoWall, CBT-Locker och Cryptolocker. Symantec rapporterar att ransomware (alla typer, inte bara crypto-ransomware) haft en ökning på 113% från 2013 till 2014. Samtidigt ser 2015 ut att vara året för de nya varianterna av ransomware… Även McAfee förutspår en ökning för 2016 där den nya affärsmodellen ”Ransomware-as-a-service”  fortsätter att växa.

Statistik från McAfee visar en ökning av det totala antalet ransomware.

Redan under de senaste veckorna har det skett några förändringar i ransomware-sfären. Den senaste varianten av CryptoWall v4 skapar nu slumpmässiga filnamn. En annan variant av ransomware, Chimera, hotar med att publicera filerna som den har tagit som gisslan. Och nu är inte heller Linux-användare säkra med Linux.Encoder.1 i det vilda. Som tur är hade den första varianten av Linux-ransomwaret några brister och BitDefender har tagit fram ett verktyg för dekryptering.

Det är inte första missen som utvecklarna av ransomware gör, till exempel så har Kaspersky utvecklat verktyget Rakhni Dekryptor för ransomware som bland annat skapar filändelserna .locked, .oshit, .encrypted på de krypterade filerna. Men man kan inte alltid förlita sig på att det finns ett verktyg som kan dekryptera filerna, cert.se gick ut med en uppmaning med råd hur man kan skydda sig och vad man kan göra om man blir drabbad. Följande är några generella råd som alltid är bra att följa:

  1. Filtrera inkommande e-post, baserat på misstänkta sändare/domäner och bilagor som exempelvis är .exe filer.
  2. Blockera åtkomst till kända webbsidor som sprider skadlig kod, här kan båda din anti-virusprogramvara vara tillhjälp, men för företag som använder andra säkerhetskomponenter kan applicera filter på flera nivåer för att öka skyddet ytterligare.
  3. Svartlista/Vitlista program, exempelvis genom att konfigurera grupp-policies (GPO:er) som förhindrar att vissa program körs på systemet samt varifrån program får köras och vad de tillåts att göra.
  4. Ta backuper, på hela eller delar av disken, och se till att återställning av backuper fungerar.
  5. Se till att uppdatera datorn med de senaste uppdateringarna för programvaror och operativsystem och anti-virusskydd.
  6. Undvika att vara inloggad med lokala administratörsrättigheter
  7. Begränsa behörigheter på nätverksdiskar

Vad kan vi vänta oss härnäst då? Vad händer om Ransomware börjar plantera exekverbara filer med skadlig kod på filytor som delas med andra användare? Ja, det skulle säkert leda till en ökad spridning. McAfee förutspår en ökning av ”RaaS” och ransomware som inte gör så mycket väsen av sig, utan krypterar i det tysta. Det skulle kunna medföra att krypterade filer även hamnar i backuper som tas regelbundet, och då kan man inte längre förlita sig på att kunna använda sig av backuper för att återskapa filer.

Och förresten… Var extra försiktiga på fredagar, då är det tydligen är den dag i veckan som flest malware sprids!

Skribent(er): 
Tiina Loukusa Hyttnäs