Vi i MicroIT har flere ganger fått henvedelser om PC-er som filene ikke lengre er lesbare på, de har ofte fått det etter e-post fra Posten. Posten blir nå utnyttet i et svindelforsøk. E-post som ser ut til å inneholde hentelapp fra Posten inneholder skadevare, såkalt ransomeware.
Svindelen spres via e-poster som ser ut som bildet til venstre. Dersom du trykker på lenken i e-posten vil du bli sendt til en nettside som ser ut som bildet nedenfor.Etter å ha fylt inn “CAPTCHA” vil nettleseren laste ned en fil pakket med ZIP som inneholder skadevare (Kilde: Telenor SOC).
Det som skjer når man trykker på vedlegget i e-posten er at dokumenter og bilder lokalt blir kryptert. Filene får benevnelsen .encrypted og lar seg ikke åpne uten krypteringsnøkkel som de kriminelle ønsker betaling for å utgi.
Skadevaren, som er en ny versjon av Cryptolocker, kjører lokalt på maskinen. Ved å laste ned “hentelappen” setter man manuelt igang skadevaren med den påloggede brukerens rettigheter.
Delte mapper i nettverket, inkludert lagringstjenester av typen Dropbox eller OneDrive er innen rekkevidde og kan bli rammet fra den infiserte datamaskinen.
Digi.no har omtalt et tilfelle hvor angriperne forlangte drøyt 4000 kroner i bitcoin for nøkkel til én infisert maskin.
Med mindre man betaler, eller har backup, er filene tapt. Man har imidlertid ingen garanti for at de kriminelle bakmennene gir deg nøkkelen for dekryptering hvis man betaler. Flere virksomheter har blitt rammet av skadevaren.
Noen tips:
- Sørg for gode backuprutiner. Test jevnlig at back-up fungerer, såkalt restore. Hvis du kopierer filer til ekstern lagring, så er det viktig at man kontrollerer at alt er kopiert over.
- Lær seg selv å være litt mere skeptisk, ikke trykk umidelbart på lenker selv om det ser ut til å være pålitelig. Ofte kan man se på epostadressen at den ikke stemmer overens med for eksempel Posten.
- Ikke finansier kriminell virksomhet ved å betale løsepenger, det er ikke sikkert man får dekrypteringsnøkkel uansett.