Så meget kan du prutte om løsesummen ved ransomware-angreb

Sikkerhedsfirmaet F-Secure satte sig for at undersøge kundeserviceniveauet hos fem varianter af ransomware.

Ransomware er lige nu den mest synlige type malware, men den skiller sig især ud ved den måde, bagmændene har gjort malware til en forretning. Da ofrene skal overtales til at betale en løsesum, så skal der i modsætning til trojanske bagdøre ske en interaktion mellem offer og bagmand. Hvordan det foregår, har sikkerhedsfirmaet F-Secure set nærmere på.

Ved et ransomware-angreb bliver brugerens filer krypteret af den ondsindede software. For at dekryptere filerne, skal offeret købe en nøgle af bagmændene inden for en tidsfrist. Uden nøglen vil det ikke være muligt at dekryptere filerne, medmindre bagmændene har begået fejl i deres implementering, hvilket er sket flere gange.

Læs også: Ransomware-udviklere klokker i det for tredje gang: Glemmer at vælge hash-funktion

Det skal man dog ikke forvente, hvis angrebet kommer fra én af de lige nu meget udbredte familier af ransomware. F-Secure har kigget nærmere på Cerber, Cryptomix, Shade, Jigsaw og Torrentlocker.

I modsætning til en trojansk bagdør, hvor det økonomiske motiv var at stjæle login-oplysninger eller kreditkortinformation eller misbruge pc'en til spam eller DDoS-angreb, så er det vigtigt for ransomware at gøre brugeren opmærksom på, at pc'en er ramt.

Det kan gøres meget synligt ved at skifte baggrunden på desktoppen til en meddelelse med instruktioner til offeret. Ofte er det meningen, at man skal gå ind på en hjemmeside eller skrive en mailadresse for at kontakte bagmændene.

F-Secure påpeger, at det ikke ligefrem ligner god kundeservice, når ransomware som Jigsaw tæller ned og truer med at slette fil hver time, indtil offeret betaler. Det er heller ikke særlig brugervenligt ifølge F-Secures ikke-teknisk-kyndige testperson, når Torrentlocker krævede en Tor-browser for at kunne komme ind på kontaktsiderne.

Læs også: It-sikkerhedsfolk advarer: Ransomware vokser med alarmerende fart

Den familie af ransomware, som efterlod det bedste indtryk i det første 'møde' med en ny kunde i forretningen, var Cerber, der eksempelvis understøttede 12 forskellige sprog.

Næste trin er selve kontakten, hvor offeret har mulighed for at komme i dialog med bagmændene. Her var visse af varianterne hurtige til at levere svar på spørgsmål. I F-Secures test bad 'offeret' blandt andet om et nedslag i prisen, da løsesummen for de flestes vedkommende lå på omkring 1 Bitcoin eller højere, samt om hjælp til at finde ud af at betale med Bitcoins.

I et af tilfældene fik testpersonen forhandlet prisen ned fra 3 Bitcoin til 1 Bitcoin og selvom det for en enkelt af bagmændene ikke var muligt at få nedslag, så kunne testpersonen gennem dialogen i gennemsnit få slået knapt en tredjedel af den oprindelige løsesum.

Deadlinen for at betale varierede fra fem dage ned til en enkelt dag, men det var i flere tilfælde muligt at få udsættelse, og selvom testpersonen overskred deadline, var det også muligt at genoptage dialogen med bagmændene.

For en enkelt af ransomware-familierne var det ikke muligt at komme i kontakt med bagmændene. Det var Torrentlocker, som kun kunne kontaktes via en formular og aldrig svarede.

Bagmændene er interesserede i, at ofrene betaler frem for at give fortabt og erkende, at filerne ikke kan genskabes. Derfor yder de support og vejledning. Der er dog stadig tale om kriminel aktivitet, som er sat i system i endnu højere grad end i den økonomisk motiverede malwares barndom.

Frem for at betale løsesum til ransomware-gangstere, så bør man først og fremmest sikre sig ved at tage regelmæssig backup af de dokumenter, billeder og andre filer, man ikke kan tåle at miste. Ved at betale løsesummen støtter man blot den illegale forretning og får bagmændene til at gå efter flere ofre.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (9)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Torben Jensen

Er det ikke snart feset ind ved V2s journalister at hvis de ønsker at lave den slags titler så bør de søge et andet sted hen?

Jeg tør godt antage det ikke rammer målgruppen - så tag da lige og omdøb den til noget mere seriøst som: Løsesummen til ransomware er til forhandling. Så er der ingen tvivl om det er en artikel man gider læse eller ej.

  • 0
  • 1
#3 Torben Jensen

Det gør de som sådan heller ikke, de slutter trods alt artiklen med

Frem for at betale løsesum til ransomware-gangstere, så bør man først og fremmest sikre sig ved at tage regelmæssig backup af de dokumenter, billeder og andre filer, man ikke kan tåle at miste. Ved at betale løsesummen støtter man blot den illegale forretning og får bagmændene til at gå efter flere ofre.

Men står man med håret i postkassen, og ikke kan tåle at miste sine data, så er det da fornuftigt nok vide at det er muligt at forhandle prisen.

  • 1
  • 1
#4 Michael Jensen

Nåårh, så man kan nøjes med at støtte en eller anden mafia, terrororganisation eller rockerbande med kun en bitcoin i stedet for tre, fordi man ikke havde styr på backuppen... Så lærer bagmændene samtidig, at de sagtens kan få penge ud af folk, bare kun 1 bitcoin af gangen. Det er da rigeligt fint incitament til at fortsætte sin MO. Det har man da helt sikkert også lyst til.

  • 0
  • 0
Log ind eller Opret konto for at kommentere