Krypteringsvirus

Hur skydda sig mot krypteringsvirus

Senaste tiden har det kommit väldigt många bluffmail från vad som ser ut att vara Postnord, och de som har klickat på länkarna i dessa mail har lyckats installera cryptolocker, ett s.k. "ransomware".

Just nu är det postnord som utnyttjas för detta, men det kan se ut att komma från vilket företag som helst. Till slut, när folk är tillräckligt misstänksamma mot mail från postnord så kommer mailen att börja skickas i något annat företags namn, så det är inte bara mail från ett visst företag man skall vara försiktig med.

Det har blivit så vanligt nu så vi tycker det är dags att förklara lite allmänt hur man skall gå tillväga varje gång man får mail med länkar i för att undvika att få in denna obehagliga programvara. Vi vill också förklara allvaret i situationen och hur viktigt det är att man är försiktig med länkar i mail.

Vill du bara ha information om hur du avslöjar dessa bluffmail, gå till rubriken "Hur undviker jag detta?"

Om du misstänker att du fått in ett ransomware typ cryptolocker, dra ut nätverkskabeln om ni är kopplade via kabel eller stäng av trådlösa nätverket och stäng omedelbart av datorn. Ring oss 08-41200370 så fort som möjligt!

Allmänt om viruset

Vi börjar med att understryka hur allvarligt detta egentligen är. Normalt kanske man tänker ”ett virus kan väl inte göra så stor skada” och ”det är väl bara att rensa bort det med antivirus”.

Detta är tyvärr inte möjligt när det gäller cryptolocker och andra typer av krypteringsvirus. När krypteringsviruset aktiveras börjar det omedelbart kryptera alla filer på hårddisken och krypteringen är så kraftfull att dina filer är i princip förlorade. De som skapat viruset lägger till slut upp en ruta på skärmen där de oftast förklarar att de håller dina filer ”gisslan” och enda sättet att få tillbaka dem är att betala dem pengar.

I detta läge, om du inte har en någorlunda ny backup att återställa från, så är det tyvärr sant. Du kanske faktiskt bara kan få tillbaka filerna om du betalar. Men betalar du så stödjer du också brottslig verksamhet, så det är något man helst vill undvika.

Du tänker kanske nu att det spelar ingen roll om dina filer på din dator blir krypterade, för alla filer som är viktiga för företaget ligger på en server i nätverket, och den datorn är ju inte infekterad.

Detta är tyvärr inte heller riktigt sant. När du har en filserver i nätverket så har du den ansluten till datorn, annars kan du inte komma åt filerna. och då kommer viruset att kunna smitta filerna på servern också och vips så är hela företagets viktiga filer krypterade.

Ha en bra backup!
Har man en alltför enkel backuplösning som görs mot en ansluten hårddisk så kan även backuperna krypteras. Man bör därför se till att antingen ha flera backupenheter där man kopplar bort dem från nätverket den dag de inte används eller använda en automatisk Offsitebackup där flera versioner av alla filer sparas på en helt annan fysisk plats. Dropbox, Onedrive, Sharepoint är INTE en fullgod backuplösning eftersom filer på dessa platser också krypteras om filerna på den egna datorn krypteras.

Ett krypteringsvirus kan alltså ställa till med enorm skada för ett företag, och det kostar tid och pengar i återställning av backuper, förlorade filer, och förlorad arbetstid.

Antivirus
Det nya med krypteringsvirus är också att eftersom användaren själv ”tillåter” viruset att komma åt datorn genom att klicka på en länk så har antivirusprogram svårt att upptäcka viruset.

Missförstå oss inte, det är extremt viktigt att ha ett bra antivirus installerat, men man får inte förlita sig på detta utan man måste utöva stor försiktighet när det gäller länkar och bifogade filer i e-post. Om olyckan ändå är framme så krävs en bra backup, det är enda sättet att få tillbaka sina filer utöver att betala.

Hur undviker jag detta?

Vad kan man göra för att undvika detta då? Förutom det vanliga, att ha antivirus och bra offsitebackuper, så krävs det alltså också att man är försiktig med länkar och bifogade filer i mail.

Det man ALLTID skall göra om man får ett mail som man inte själv begärt, med länkar i är att titta var de länkarna leder INNAN man klickar på dem. Man skall vara väldigt misstänksam mot länkar som inte ser korrekta ut, och eventuella filer som är bifogade i mail.

I stort sett alla e-postprogram idag har en funktion som visar länkadresser om du för över muspekaren över dem. Ta för vana att alltid titta på den länken ordentligt innan du klickar på den.

Kontrollera att länken verkligen leder till företagets legitima sida. Detta kanske involverar att först ta reda på om det är ett legitimt företag, och vad deras riktiga webbadress är. Kontrollera då att den första delen av länken leder till den sidan, och inte någon annan sida.

Observera att ibland kan de som skickar mailet ha köpt en webbadress som är väldigt lik företagets riktiga adress, så var noga med att kontrollera bokstav för bokstav.

Här är några exempel på hur det kan se ut i olika mailprogram:

Adress som inte matchar i outlook
Rulla över muspekaren över länken i Outlook så avslöjas den riktiga länken i en popupruta. I detta fall matchar inte länken det som är skrivet i mailet. Det är alltid misstänkt.
Adress som inte matchar i thunderbird
Rulla över muspekaren över länken i Mozilla Thunderbird så avslöjas den riktiga länken i statusfältet längst ner till vänster. I detta fall matchar inte länken det som är skrivet i mailet. Det är alltid misstänkt.
Titta i statusfältet i webbläsaren
I webbgränssnittet för Office 365 så dyker länken upp i webbläsarens statusfält (längst ner till vänster) när man rullar över muspekaren. Se till att din webbläsare är inställd på att visa statusfältet.
Bluffvarning i thunderbird
Vissa mailprogram varnar när länken som står i mailet inte matchar den faktiska länken. I bilden syns Mozilla Thunderbirds varning.

Om du mot förmodan skulle klicka på en misstänkt länk så leder den oftast till en sida där du skall ladda ner en fil. Det är extremt osannolikt att ett företag gör på det här sättet. Skall du ha en fil så är den förmodligen bifogad i mailet. Du kan alltså oftast avfärda de flesta av dessa länkar som blufflänkar, och bör omedelbart stänga ner sidan.

Blir du ombedd att logga in med användarnamn och lösenord på sidan du länkas till så skall du också vara väldigt misstänksam, då det kan vara ett sätt att försöka få ditt användarnamn och lösenord till en viss sida (så kallat ”nätfiske”).

Är du det minsta osäker, kontakta oss innan ni klickar på något, så undersöker vi mailet.

Bifogade filer och filtyper

En annan sak man skall vara försiktig med är bifogade filer. Om man får ett mail med en bifogad fil så skall man alltid kontrollera vilken typ av fil det är innan man sparar eller klickar på filen. Kontrollera alltså filtillägget på filen och försäkra er om att det inte är något potentiellt farligt. Om filen slutar på ”.exe” så är det definitivt väldigt misstänkt, eftersom det är en direkt exekverbar fil.

Överhuvudtaget, filtyper som du inte känner igen bör du vara väldigt försiktig med. Var också försiktig med packade filer, typ ”.zip” eller liknande. De kan innehålla skadliga filer. Packa inte upp filerna om du inte är helt säker på att de är ofarliga.

I operativsystemen så är det också vanligt att filtyper som operativsystemet känner igen inte visas. Detta kan vara väldigt lömskt, då en fil kan ha två filtillägg efter varandra, och det sista filtillägget döljs, och man tror då att filtypen är en annan. I mailprogrammen idag så brukar fullständigt filnamn visas, men om man sparat en bifogad fil till hårddisken så kanske inte filtillägget syns.

Många mailprogram idag varnar för sådana bifogade filer, men för säkerhets skull bör man notera fullständiga filnamnet innan man sparar eller dubbelklickar på filen, för att försäkra sig om att filen verkligen är av den typen den utger sig för att vara.

En rekommendation är att alltid visa alla filtillägg i systemet, så att man är säker på att man inte öppnar osäkra filer. Vi kan naturligtvis hjälpa er att göra denna inställning.

Bifogade filer i outlook
Kontrollera filnamnet på bifogade filer innan du öppnar dem eller sparar dem. I detta fall är det en fil som försöker maskera sig som en PDF i Outlook.
Bifogade filer i Thunderbird
Kontrollera filnamnet på bifogade filer innan du öppnar dem eller sparar dem. I detta fall är det en fil som försöker maskera sig som en PDF i Mozilla Thunderbird.

Sammanfattningsvis:
1. Klicka ALDRIG på okända länkar i e-post
2. Ha ett uppdaterat antivirusskydd
3. Se till att ha en bra backuplösning för viktiga filer
4. Se till att alla klientdatorer har Windows Update påslaget

Ring oss gärna om ni är osäkra på att ni har ovan 4 punkter på plats!

Adress: itsnillet AB, Sandhamnsgatan 63A, 115 28 Stockholm. Telefon: 08 412 00 370. E-post: info@itsnillet.se
Dataskyddspolicy
© itsnillet AB 2015, OrgNr: 556672-0982

IT-support Stockholm | itsnillet
Webbyrå: Pigment AB