Kapade filer och krav på lösensummor för att återfå kontrollen över din dator. Ett scenario som allt för många råkat ut för. Och det är svårt att skydda sig. Men det finns saker den drabbade kan göra, förutom att betala, skriver IDG News.
Men det krävs rätt hård- och mjukvara för att stoppa en attack, eller för att ens kunna köpa mer tid eller mildra skadan. Genom att titta på flera olika varianter av gisslanprogram som Cryptolocker och Cryptowall säger sig säkerhetsexperten Weston Hecker ha hittat ett sätt att vända virusens egenskaper mot sig själva.
Läs också: Stoppa utpressarna i tid – så skyddar du dig mot ransomware
En metod är att ge sig på förtrupperna, alltså den programvara som först infekterar datorn och förbereder nedladdningen av huvudviruset. Deras syfte är att undersöka datorn och hitta en möjlig värd och slå ut eventuella hinder.
Programmet, som på engelska kallas droppers, slår ofta ut de funktioner som ska starta om antivirusprogram om de stängs ner av skadliga inkräktare, berättade Weston Hecker på en konferens i förra veckan. Hans lösning är ett program som triggas av droppers och drar igång en blåskärm. Hos ett företag leder det ofta till att datorn hamnar hos it-avdelningen som då förhoppningsvis upptäcker attacken.
En annan strategi är att få en fysisk dator att se ut som en virtuell forskningsmiljö. Detta ska enligt Weston Hecker få gisslanprogrammet att avbryta attacken och förstöra sig självt. Detta eftersom programmet tolkar den virtuella datorn som en miljö som försöker fånga in och analysera virus. Något som hackarna gärna undviker.
För att förklä en dator på detta sätt vänder han sig till ram-minnet. Är det mindre än 1,5 GB indikerar det en säkerhetsplattform som försöker fånga upp viruset och studera det i en säker miljö. Om den skadliga koden upptäcker det är det troligt att den sätter stopp för attacken.
En tredje väg för företagen att välja är att köpa tid. Se till att viruset lägger massa tid på att kryptera helt meningslösa filer. Det kan bromsa attacken eller i alla fall göra så att företagens säkerhetsavdelningar hinner reagera. Själv köpte han en billig ssd med usb-koppling som sa sig innehålla 256 GB, men egentligen bara hade plats för 8. Vilket betyder att viruset skriver över samma filer om och om igen. Detta kan orsaka en minnesläcka i Windows vilket får till följd att operativsystemet kraschar.
Läs också: Ransomwaret Petya hindrar datorn från att starta – och nu har det blivit ännu elakare
Ingen av de tre metoderna är någon garanti för att attacken stoppas. Men de kan göra att it-avdelningen kopplas in tidigare och att skadan begränsas. Testerna gjorde han på datorer med Windows 7. Men versioner av dem ska gå att ta fram för senare upplagor av operativsystemet.
Poängen är att hackarna ska få det lite svårare att komma åt företagens filer. Gisslanprogrammet Locky försöker neutralisera skuggkopior av filer, som till exempel lokala backupfiler till Word. De raderas och användaren krävs på en lösensumma. Om dessa filer istället göms undan i .sys-mappen kan det förhindra att vissa av dem krypteras. För just den mappen står rätt långt ner på listan över filer som viruset är på jakt efter.
Dock kvarstår nog det bästa stalltipset: gör säkerhetskopior!
