Gisslanprogram eller ransomware är ett växande problem för många företag världen över. Det uppskattas idag vara en industri som omsätter flera miljarder och metoderna för infektion blir allt fler.
– Det är ett otroligt vanligt problem. När vi hjälper kunder med att stoppa pågående infektioner är det väldigt vanligt att vi även identifierar infektioner som skett veckor eller månader tidigare. I dessa situationer har enbart en delmängd filer krypterats och ingen har ens märkt av det då det till exempel rör sig om gammal bokföring eller fakturor, säger Joel Rangsmo, säkerhetskonsult på Sentor.
Läs också: Nya säkerhetsverktyg ersätter antivirus – de gamla leverantörena hotade
I korthet går en infektion till så att du lockas att köra viruset som sedan kastar sig över alla filer den kan komma åt, både på din egen dator och på alla anslutna nätverksenheter. Krypteringen av filerna är mycket stark och sker med en asymmetrisk kryptoalgoritm där den privata nyckelhalvan enbart finns hos virusmakarna, det är alltså ingen större idé att försöka sig på att dekryptera filerna, det kommer du inte att lyckas med.
Bland de krypterade filerna finns information som berättar hur du ska göra för att få tillbaka dina data i användbar form. Oftast går det ut på att du ska surfa med en Tor-webbläsare till en utpekad adress och sedan betala lösesumman med Bitcoin. Detta är inte en särskilt rolig situation, du kan plötsligt stå utan en användbar filserver och ditt affärssystem kanske stannar.
Och det finns inga produkter som ger ett fullgott skydd mot problemet.
– Centraliserade logglösningar är nog den enda "produkten" som jag kan rekommendera. Genom att övervaka sina filareor och slå larm tidigt kan man upptäcka pågående angrepp innan de hinner pågå särskilt länge. Datorer infekterade med ransomware som krypterar filer delar ofta vissa beteendemönster - de läser och skriver avsevärt mycket fler filer än
under normal användning.Vi har kunder som har satt upp automatiserade system med hjälp av logglösningar som detekterar dessa beteende och kopplar bort den angripande datorn från nätverket, i syfte att minska skadan. säger Joel Rangsmo.
Så vad ska du då göra för att undvika att drabbas? Här är åtta tips:
1. Utbilda användarna
Detta ger utan tvekan den största effekten. Tekniska lösningar i all ära, men säkerhetsmedvetna användare som inte luras att köra elaka program är det bästa skyddet. Arbeta med utbildning kring säkerhet och var noga med att upplysa om säkerhetsfrågor vid nyanställningar. Lär också användarna att undersöka länken innan de klickar på den. Går den till någon annan URL än till avsett företag så bör de kasta brevet.
2. Ha en bra backup
Även om företag kan få tillbaka sin information då de har betalat så finns det absolut ingen sådan garanti. Det är brottslingar du har att göra med så någon affärsmoral är nog tyvärr inte att vänta sig. Du kan heller inte vara säker på att dina data inte har förändrats på något sätt. Det bästa är alltså att återställa dina data från en backup om du skulle drabbas. Du kanske tappar en dags produktion av data, men du vet att det är rätt data du har. Ta för vana att testa dina återläsningsrutiner så att du vet att du kan återställa data efter en virusattack.
3. Sätt snäva behörigheter
Drömmen för en virusmakare är givetvis att en administratör ska lyckas köra viruset och därmed kunna kryptera en stor mängd filer på nätverket. Se därför till att använda ett separat konto för administration, skiljt från ditt vardagliga konto. Se också till att sätta snäva behörigheter på filservrar så att du begränsar skadan så mycket som möjligt om en användare får en infektion.
4. Ha antivirus
Eftersom den här typen av virus körs direkt efter att det hämtats ner så ger det möjlighet för virusskaparna att ganska enkelt ständigt mutera viruset och undvika upptäckt då signaturer ännu inte hunnit uppdateras. Men givetvis ska du ha ett bra virusskydd på plats.
Läs också: Expertens tre bästa knep i kampen mot ransomware
5. Använd länkomskrivning
Phishing via e-post är en mycket vanlig smittväg för Ransomware. I vissa fall kan du använda lösningar för länkomskrivning. Det betyder att din e-postleverantör ersätter länkar i mejl med en länk som går till ett ”safehouse” där länken först utvärderas. Om den bedöms som säker så släpps du vidare, annars inte. Ett exempel på detta är Advanced Threat Protecton i Microsofts molnlösning Office 365 som kollar upp alla länkar du får via e-post. Även de personer du skickar mejlet vidare till skyddas eftersom länkomskrivningen följer med i mejlet.
6. Ha en patchad dator med pop-up blocker
Även om Ransomware sällan utnyttjar tekniska svagheter för sin spridning så är det alltid en bra idé att ha en uppdaterad dator. Du bör också aktivera pop-up blocker för att minimera risken att drabbas av Ransomware via en skum webbsida.
7. Ladda aldrig ner från skumma sajter
Ransomware kan ibland dölja sig bland synbart godartad mjukvara. Ett exempel är Viking Horde som spridits till Androidtelefoner via Google Play. Även till Windows finns liknande smittspridning, så var försiktig med varifrån du laddar ner mjukvara.
8. Se upp med inbäddade system
I vissa maskiner finns inbäddade OS som inte är lika lätta att hålla säkra som vanliga servrar och klienter. Dessa OS är troligen inte med i din domän och hanteras ofta av maskinleverantören. Prata med din leverantör om hur säkerheten i inbäddade OS bäst ska hanteras och kolla upp att de har planer på att uppgradera så att du inte blir sittande med Windows XP eller Windows 95 i gamla maskiner.
Det är svårt att skydda sig till 100 procent mot ransomware utan att helt isolera sig från omvärlden. Om du har stenkoll på att din backup fungerar bra, utbildar dina användare, har ett uppdaterat virusskydd och använder en lösning för länkomskrivning så ligger du troligen så bra till som det är möjligt.
Artikeln är tidigare publicerad i september 2018.
