Ransomware sletter dine filer, hvis du ikke betaler løsesummen hurtigt nok

Illustration:
Malware inspireret af gyserfilmen Saw tager ikke blot filerne som gidsler – den forsøger også at aflive dem

En ny malware-variant kaldet BitcoinBlackmailer.exe eller blot JIGSAW, rettet mod Windows, opfører sig umiddelbart, som ransomware plejer at gøre. Den krypterer computerens filer, og præsenterer brugeren for en skærm med et løsesumskrav. Det skriver webmediet The Register.

Kravet om en løsesum på 20 dollar ledsages af et billede af figuren Jigsaw fra gyserfilmserien Saw samt et ur, der stille og roligt tæller ned. For hver time der går, inden løsesummen betales, vil malwaren slette brugeren filer, ligesom løsesummen løbende sættes i vejret.

Læs også: Prisen på stjålne persondata er i bund: Derfor er ransomware nu de kriminelles yndlingsværktøj

Efter 72 timer har JIGSAW slettet samtlige filer slettet. Hvis brugeren skulle formaste sig til at slukke for computeren, vil malwaren som straf slette 1.000 filer, så snart maskinen igen tændes.

”At bruge billeder og referencer til en gyserfilm for yderligere at plage offeret, det er at synke meget lavt,” udtaler Andy Settl fra sikkerhedsfirmaet Forcepoint til The Register.

Til trods for hvor meget arbejde folkene bag JIGSAW har lagt i at gøre deres malware skræmmende, er de til gengæld ikke specielt dygtige programmører. Softwaren er skrevet i .NET, og har vist sig temmelig nem at omgås, da krypteringsnøglerne er blevet efterladt i kildekoden.

Kom gratis med til Danmarks største IT-sikkerhedsevent!

Infosecurity, Europas mest populære IT-sikkerhedsevent, afholdes for første gang i Danmark den 3. og 4. maj 2016. 50 udstillere, 5 konferencesale og mere end 60 seminarer og caseoplæg fra ind- og udland. Læs mere her.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (11)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#2 Carsten Olsen

Jeg ser ikke nogen anden (effektiv) løsning end at slette Windows og købe en Chromebook. Det skal gøres nu inden du rammes af randsomware.

Linux med separat (data) "/home" patition er osse stort skridt. (alle Llnux distroer har en default opsætning hvor bruger carsten ikke kan kryptere eller på anden måde rode med harddiskens file-system. Kun root kan gøre disse ting og carsten er ikke logget ind som root når han læser mails, eller "surfer på det der web")

  • 0
  • 0
#4 Carsten Olsen

Ja og nej. ** ''Ja:** Hvis der er en keylogger installeret på maskinen, og det er der jo hvis den kører Windows. **Nej: ** Hvis maskinen kun kører Linux med bruger "carsten" (ved kørsel af Web/mail) er der jo ingen keylogger på maskinen.

  • 1
  • 2
#5 Bjarke I. Pedersen

Vrøvl - hvis en almindelig bruger surfer ind på et site med en browser som indeholder en 0-day, som bliver udnyttet til at afvikle malware, så er du da ikke sikret, om du så kører Windows, OSX eller Linux.

Hvis brugeren er logget ind som sig selv, hvilket man jo typisk er, så har han også både læse- og skriveadgang til sin egen mappe under /home, og hvilket gør at programkode man afvikler i sin egen brugerkontekst også har.

Så root adgang er skam ikke nødvendigt for at kryptere hele brugerens home directory.

  • 3
  • 0
#6 Jørgen L. Sørensen
  • 1
  • 0
#7 Carsten Olsen

Vrøvl - hvis en almindelig bruger surfer ind på et site med en browser som indeholder en 0-day, som bliver udnyttet til at afvikle malware, så er du da ikke sikret, om du så kører Windows, OSX eller Linux.

Yay- Det kan jeg godt forstille mig f.eks. (keyloggeren er filen kaldet superapp)

Browse-browse. herunder downloade file superapp Derfter (): bjarke@Bjarkes-pc:~$ chmod +x superapp bjarke@Bjarkes-pc:~$ ./superapp

nu kører superapp i computeren men der kører ingen keylogger fordi superapp ikke har root privilegier så superapp kan ikke læse keystokes til andre programmer i maskinen. så du skal osse sætte f.eks.sudo bash foran så der står # på prompten.

  • 0
  • 2
#8 Carsten Olsen

Diske (partioner) hvor brugeren har skriveadgang (f.eks. netværksdrev) er vel stadig i farezonen?

Ja brugeren kan godt kører et program der læser en file ind og der efter skriver en krypteret file ud i samme file-navn. Men hvordan kommer programmet ind på computer ? for at kører skal det have sat x-flaget (execute). Hvis du laver et script (Windows: .bat) skal det også have sat x flaget før det kan køres. (På Linux skelner man mellem data filer og kørbare. Det gør man ikke på Windows, her skal det bare være nemt for brugeren, han har jo husket at opdatere hans virus-scanner i går. Bare ærgerligt at virussen er fra idag........ virus def file fra igår........ bang,bang )

For at slå kryptering til på filesystemet til, skal du have root privilegier (# på prompten)

  • 0
  • 3
#10 Bjarke I. Pedersen

For at slå kryptering til på filesystemet til, skal du have root privilegier (# på prompten)

Jeg tror du skal læse lidt op på hvordan ransomware virker - de slår ikke kryptering til på filsystem niveau, de læser filen, kører den igennem f.eks. AES, og skriver så resultatet tilbage i den samme fil.

En anden (nemmere- kortere )måde at svare på er: hvis der er en kæmpe-enorm sårbarhed i browseren hvilke privilegier tror du så browseren har? svar bruger, ikke root .

Det faktum at den kan køre kode i den nuværende brugerkontekst er rigeligt til at læse og overskrive brugerens filer - der er ikke behov for root for at lave den opnåede skade. Root vil være nødvendigt hvis det skal ligge sig ind som en service der f.eks. kører ved boot, men det er ikke nødvendig, da den blot med det samme kan begynde at kryptere brugerens filer.

At gemme en fil med +x på filsystemet er heller ikke nødvendig, hvis den f.eks. via en buffer overflow får held af at afvikle kode i en buffer (nu er jeg ikke 100% inde i de forskellige metoder til at få code execution kørende, men det er heller ikke nødvendigt).

  • 3
  • 0
Log ind eller Opret konto for at kommentere