Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.

Publicerad - ransomware, locky, skadligkod, malware

Locky – nytt utpressningsprogram

Ett nytt utpressningsprogram (eng. ransomware) har uppmärksammats under de senaste dagarna, som installeras genom att lura användare att köra skadliga makron i Officedokument.

Programmet har fått namnet ”Locky” och återanvänder och förfinar spridningstekniken hos en annan välkänd skadlig kod, Dridex. Locky sprider sig genom e-postbaserat nätfiske (eng. phishing-mail) med en bilaga som ser ut som en räkning i word-format. Rubriken har hittills vanligen varit ”ATTN: Invoice J-11256978” eller liknande och med motsvarande numrering på en bifogad .doc-fil.

Öppnas ”räkningen” dyker det i stort sett bara upp skräptecken på skärmen. Men överst i teckenmängden finns en liten läsbar text som informerar om att dokumentet kommer att öppnas korrekt - om man bara aktiverar ordbehandlarens makrofunktion.

Sker detta börjar ett skadligt makro hämta hem "Locky" som i sin tur krypterar innehållet på datorn och anslutna nätverksenheter (även enheter som tidigare varit monterade, men som för stunden inte har en volymbeteckning). Den drabbade användaren informeras slutligen om krypteringen - och erbjuds få filerna avkrypterade, mot betalning i det elektroniska betalningsmedlet bitcoin.

Säkerhetsföretaget PaloAlto Networks rapporterade att de uppmärksammat cirka 450 000 fall av ”Locky”, spridda över världen. Ungefär hälften av fallen uppmättes i USA.

Liksom flera av sina föregångare använder sig Locky av mycket stark kryptering. Många utpressningsprogram genererar en unik krypteringsnyckel på den drabbade datorn, krypterar direkt datorns innehåll och skickar sedan nyckeln till angriparen. Locky hanterar detta direkt i datorns arbetsminne. Programmet initierar ett nyckelutbyte genom att försöka kontakta en kontrollserver (C2) på internet innan själva krypteringen sätter igång.

Råd:

Se upp för e-postbilagor som består av Officedokument, särskilt dokument som kräver att makrofunktionen kopplas på. Det har blivit allt vanligare att angripare använder denna metod för att infektera datorer med skadlig kod.

Om din organisation råkar ut för ett utpressningsprogram är det viktigt att reagera snabbt. Har den eller de som drabbats omfattande åtkomsträttigheter kan i värsta fall stora nätverksdiskar snabbt bli låsta eller krypterade. Den första åtgärden är därför att isolera. Dra ur nätverkskabeln, stäng av Wi-Fi, ta bort USB-enheter.

Det finns inga speciella sätt för att skydda sig specifikt mot ransomware utan det gäller att använda samma förebyggande åtgärder som gäller för de flesta typer av skadlig kod såsom att installera säkerhetsuppdateringar, ta backuper och testa återläsningsrutiner, använda antivirusskydd, undvika att vara inloggad med lokala administratörsrättigheter. Mer avancerade lösningar är att använda vitlistning som kontrollerar vilka program som får köras och på vissa filservrar finns det tjänster som kan larma och stoppa försök att spara ej godkända filtyper görs på fil-utrymmet. Men det absolut viktigaste är att öka medvetenheten hos användarna i organisationen så att de undviker att klicka på konstiga länkar eller öppna misstänkta filer. Och inte minst hur de ska agera om de misstänker att de har drabbats av en infektion.

Vi har tidigare skrivit om utpressningsprogram:
https://www.cert.se/2015/03/kort-om-ransomware
https://www.cert.se/2015/09/ransomware-och-phishing-mail
https://www.cert.se/2015/11/cert-se-informerar-med-anledning-av-mangden-aokade-ransomware-attacker
https://www.cert.se/2015/11/problemomrade-ransomware

Mer ingående information om Locky kan man ta del av hos:
https://www.microsoft.com/security/portal/threat/Encyclopedia/Entry.aspx?Name=Ransom:Win32/Locky.A
http://blog.fortinet.com/post/a-closer-look-at-locky-ransomware-2
http://community.hpe.com/t5/Security-Research/Feeling-Locky/ba-p/6833983#.VsXUk_IrJhH