Nätkriminella har länge använt så kallade ransom-trojaner som förvränger eller krypterar sitt offers filer för att sen erbjuda sig att depkryptera eller ordna problemet mot betalning. Ren utpressning, med andra ord.
Nu har forskare på säkerhetsföretaget BitDefender upptäckt en ny typ av trojan, Trojan.Crypt.VB.U, som först krypterar sitt offers data för att därefter erbjuda honom eller henne en trial-version av ett program som kan låsa upp filerna. Genom att programmet "visar sin effektivitet" på ett fåtal filer pressas den som drabbats att betala för fullversionen av programmet för att kunna låsa upp resten av de krypterade filerna.
BitDefender meddelar att kryteringen som den aktuella trojanen använder för att låsa filerna är en enkel typ av xor-algoritm som är relativt enkel att ta sig förbi utan att använda utpressarnas verktyg. Många luras ändå att tro att de inte har något annat val än att betala för att rädda sin data.
Vissa typer av utpressare använder betydligt brutalare metoder. Tidigare i år varnade F-Secure för den senaste versionen av GPcode, en ny trojan som använder sig av en AES public key-kryptering med en RSA-nyckel för att låsa filer på datorn.
Mikko Hypponen, chef för säkerhetsforskning på F-Secure var oroad.
- Vi känner inte till något sätt att låsa upp den. Så länge du har backup är det inget problem, men nästa steg är dessvärre att betala lösensumman för att få tillbaka din information.
Den som drabbas av GPcode möts av följande meddelande:
“All your personal files were encrypted with a strong algorythm RSA-1024 (sic). Remember don’t try to tell someone about this message if you want to get your files back! Just do all we told!"
Andra varianter av ransom-trojaner låser ner hela Windows vid uppstart och lurar användaren att skicka betal-sms eller ringa ett dyrt samtal till Microsoft som utpressaren sedan kopplar vidare till ett billigare nät i ett annat land genom så kallad stopping, och därigenom tjänar pengar.
Det finns också exempel på trojaner som inte är lika eleganta i sin framtoning. Troj/ransom-A är en äldre trojan som det flesta är skyddade mot idag men de som drabbades fick ett omedelbart hot om att trojanen skulle radera en fil i halvtimmen tills dess att lösensumman betalats. Efter att datorn infekterats av Troj/ransom-A visades ett antal pornografiska bilder tillsammans med ett inte alltför sofistikerat meddelande:
"listen up muthafucka! is this computer valuable. it better not be. is this a business computer. it better not be. do you keep important company records or files on this computer. you'd better hope not. because there are files scattered all over it tucked away in invisible hidden folders undetectable by antivirus sofware the only way to remove them and this message is by a CIDN number (Western union transfer)"
En annan ny typ av trojan är de så kallade "Advertising trojans" som tvingar användaren att genomföra ett antal undersökningar och frågeformulär (som utpressaren tjänar pengar på) för att filerna ska låsas upp. Tidigare varianter av Advertising trojans visade reklam som popups tills användaren betalade för att slippa dem.
Säkerhetsföretagen förutspår att vi kommer att få se ännu fler typer av ransom-trojaner i framtiden. Under hösten har det också dykt upp ett antal trojaner som infekterar mobila system som Android. Även om antivirusprogrammen uppdateras frekvent kan det vara försent när dina filer låsts med en stenhård och svårknäckt 1024 bitars RSA-kryptering. Som så ofta kan din backup-rutin vara den viktigaste handlingen i förebyggande syfte.
