13 ransomware som plågat världen

Säkerhetsexpert Terrance DeJesus arbetar på amerikanska Solutionarys säkerhetsteam. Han blickar tillbaka på de senaste 27 åren och på utvecklingen av ransomware som drabbat såväl företag som privatpersoner.

Aids-trojanen

Det allra första ransomware-viruset som världen sett skapades av Joseph L Popp, som var utbildad vid Harvard. 20 000 infekterade disketter delades ut vid Världshälsoorganisationen WHO:s internationella Aids-konferens. Trojanens huvudvapen var symmetrisk kryptering. Det tog inte lång tid att hitta verktyg för att återfå filerna, men detta var startskottet för närmare 30 år av attacker.

Archievus

Nästan 20 år efter att det första viruset fått spridning släpptes en ny art. Dessvärre visade det sig att det nya viruset var betydligt svårare att bli av med. Archievus-trojanen använde för första gången det som kallas RSA-kryptering och krypterade allt som fanns listat under Mina dokument i ett system. För att få tag på lösenordet och kunna låsa upp krypteringen krävdes att användaren genomförde ett köp på en specifik webbsida.

Läs också: Dropbox ber användarna byta lösenord – läcka misstänks

Den namnlösa trojanen

Fem år har passerat och mycket har förändrats. Anonyma betalningstjänster har gjort det lättare för hackare att använda ransomware som ett sätt att få ut pengar från sina offer, utan att riskera att bli identifierade. Denna namnlösa trojan som började cirkulera 2011 utgjorde sig för att vara Windows produkt activation för att på så sätt lura användaren att i slutänden ringa ett internationellt nummer. Och därmed dra på sig höga kostnader, utöver viruset som följde med den falska uppdateringen.

Reveton

Att få folk att tro att de begått ett brott är en beprövad metod bland hackare. Reveton spred sig genom Europa 2012 och byggde på den redan etablerade Citadel-trojanen. Här hävdade viruset att den attackerade datorn använts vid olagliga aktiviteter och för att låsa upp systemet skulle användaren betala böter med värdecheck från en anonym betalningstjänst. I vissa versioner visades foton från datorn webbkamera upp, allt för att förstärka bilden av att användaren är övervakad.

Cryptolocker

Ett virus har rört om i grytan mer än andra. Ett sådant var Cryptolocker som såg dagens ljus i september 2013. För första gången kunde skadlig krypteringskod spridas vid nedladdningar från skadade webbsidor, eller material skickat via bifogade dokument i epost. Cryptolocker spred sig som pesten i medeltida London. Och anledningen till att det gick så fort var övertaget som hackare redan hade genom den redan existerande infrastrukturen för GameOver Zeus botnet.

cryptolocker

Tack vare operation Tovar kunde viruset till slut stoppas. Men inte innan det orsakat en hel del skada. Cryptolocker använde AES-256 för att filer med särskilda tillägg. Därefter använde det en 2048-bit RSA-nyckel via en kommando-och-kontroll-server, placerade i Tor-nätverket. Allt detta sammantaget gjorde att det var oerhört svårt att låsa upp krypteringen, eftersom hackarna hade RSA-nycklarna på sina servrar. Om lösensumman inte betaldes hotade de att radera den privata nyckeln helt och hållet.

Cryptodefense

I och med Tor och bitcoins inträdde på internet har möjligheten för hackare att behålla sin anonymitet blivit lättare. Ett sådant virus var Cryptodefense som använde Windows inbyggda kryptering CryptoAPI och den privata nyckeln som lagrades i vanlig text på den infekterade datorn – ett fel som tyvärr inte upptäcktes i tid.

Läs också: Drabbad av ransomware? Det går numera att pruta ner lösensumman

Varianter av viruset dök snart upp, naturligtvis förbättrade sådana. Lillebror Cryptowall lagrade nämlingen inte den privata nyckeln så att användaren kunde komma åt den. Genom sitt aggressiva tillvägagångssätt och att det ofta kombinerades med andra spam- och viruspaket blev det välanvänt av cyberbrottslingar. Det är också ett av de mest avancerade gisslanprogrammen som cirkulerat.

Sypeng och Koler

Sypeng kan ses som ett av de första Androidbaserade gisslanprogrammen som låste offrets skärm med en varning från FBI. Det spreds via falska uppdateringar av Adobe Flash som skickades ut via sms.

Koler fungerade på ett liknande sätt, genom att lura sina offer med fejkade meddelanden från polisen. Detta ransomware ses också som det första som kunde föröka sig på egen hand.

Hackarna tog fram ett specialanpassat meddelande som via sms skickades ut till alla personer i offrets kontaktbok. I sms:et fanns en url men en uppmaning att ladda ner materialet på sidan. Följdes instruktionerna kunde personen låsas ute från telefonen, eller surfplattan, helt och hållet.

LockerPin

En riktigt obehaglig och aggressiv variant av ransomware är denna art som spreds i USA i september förra året. Som namnet avslöjar har den siktet inställt på telefonens pinkod. Även denna gång var det Androidmobiler som var måltavlorna. Kort och gott kunde den återställa telefonenens pinkod, och låste ute användaren från telefonen. För att få tillbaka koden krävde de 500 dollar i lösen.

2015 var också året då ransomware-as-a-service börjar dyka upp. Lätta och användarvänliga paket med ransomware som såldes på svarta marknaden. Priset ligger på mellan 1 000 och 3 000 dollar, samt att köparen delar en procentandel av vinsten med säljaren.

TeslaCrypt

2015 såg många nya ransomware och det som ofta gör det svårt att sätta stopp för dem är att de släpps nya versioner. Som Teslacrypt. I den tredje versionen som upptäcktes i våras hade skaparna städat upp rejält och i princip gjort det omöjligt att låsa upp utan krypteringsnyckeln.
Teslacrypt var ett mycket avancerat ransomewareprogram som byggt in flera nivåer i infrastrukturen, inklusive proxyservrar. Det byggde upp ett eget försvar mot åtgärder och lagningspaket. Tidigare i år lämnade författarna till koden in huvudnyckeln till it-säkerhetsföretaget Eset i Slovakien.

Petya

Två virus i ett – så beskrivs detta gisslanprogram på bästa sätt. För lyckades inte Petya, som kom polaren Mischa. Petya var ovanligt i den bemärkelsen att den inte låste in filerna. Istället skrev viruset över datorns huvudstartsektor och krypterade hårddiskens filförteckning. Det gick alltså inte ens att starta datorn förrän lösensumman var betald.

För att lyckas med kuppen krävdes att programmet fick administratörsrättigheter. Gick inte det, stod Mischa där och väntade i kulisserna. Ivrig att dra i gång en mer traditionella ransomwareattack.

Jigsaw

Ni som sett filmen Saw kan ana hur detta gisslanprogram fungerade. För er, liksom jag, såg första filmen gömd bakom kudden kommer här en kort sammanfattning: gör som galningen säger annars dödas din familj, en efter en.

Ransomwaret Jigsaw utsätter sina offer för en liknande process, tack och lov inte lika blodig. Om offret inte betalar lösensumman på 1 200 kronor inom en timma, raderas en slumpvis utvald fil. Och så fortsätter det till pengarna är på hackarens konto, eller filerna har tagit slut. Försöker man sig på att starta om datorn, ja då raderas 1 000 filer vid varje omstart.

ZCryptor

Nyligen släppte Microsoft en artikel med detaljer om ett nytt ransomwarprogram, ZCryptor. Utöver de vanliga funktionerna som kryptering av filer och så vidare verkar det som att viruset är den första krypteringsmasken, cryptoworm. Det sprids via epost och kan föröka sig själv för att infektera externa hårddiskar samt andra system i nätverket. Samtidigt som det krypterar varenda inkopplad maskin och disk det kan komma över.

Framtiden?

Den samlade bilden från säkerhetsexperterna är att ransomware är något vi får lära oss leva med. Vi kommer troligen se fler varianter dyker upp under 2016, helt nya och gamla i ny kostym. Troligast är att bara ett fåtal av dem kommer få stor inverkan. Utvecklare av skadlig kod kommer fortsätta fila på nya arter och tillägg som stärker deras motståndskraft och uthållighet väntas bli standard.

Terrance DeJesus varnar för mardrömsscenarier om programmen bygger alltför starka murar runt sig. För tillsammans med stora anonyma nätverk och infrastrukturer kommer det bli mycket svårt att dels komma åt dem, men också att hålla sig undan. Han tror också att offline-kryptering kommer att växa, där hackare utnyttjar redan inbyggda funktioner i till exempel Windows.