Ponera att du jobbar med ett viktigt dokument som snart ska redovisas, när ett nytt fönster plötsligt uppenbarar sig på datorskärmen. Du gör allt för att stänga ned fönstret, men förgäves. Fönstret visar ett meddelande som verkar komma från den ”internationella cyberpolisen” och du anklagas för brott mot upphovsrättslagen, exempelvis nedladdning av filmer. Du blir även varse om att samtliga filer på din dator har konfiskerats som straff och för att återfå kontrollen över dessa krävs en lösensumma.

Wannacry: Det här behöver du veta om den massiva attacken

Men innan du sätter kaffet i halsen; nej, meddelandet härstammar inte från polisen. Däremot har du precis drabbats av en av vår tids största it-hot – gisslanprogram.

Denna typ av skadlig programvara går även under benämningar som utpressningstrojan eller ransomware. Precis som namnen antyder håller programmet dina datorfiler som ”gisslan” tills du betalat förövaren. Attackerna har på senare tid blivit alltmer uppmärksammande och dess framfart visar inga tecken på att stanna av.

Vi får ständigt rapporter om attacker mot allt från enstaka datoranvändare och småföretag till samhällsbärande funktioner som sjukhus och kollektivtrafik. Attacker som lämnar samtliga av de drabbade helt inkapabla att kommunicera med sina datorsystem. Till råga på allt har denna typ av cyberbrottslighet även visat sig vara rena guldgruvan för kriminella.

Men hur fungerar egentligen gisslanprogram och vilka är det som sprider dessa? Och viktigast av allt: Hur skyddar du dig mot eventuella attacker?

ransomware

Vad är gisslanprogram?

Själva idén som lade grunden till dagens gisslanprogram har existerat sedan 1996. På en konferens vid universitetet i Columbia presenterades den allra första ”kryptovirala utpressningsmetoden”, signerad Adam L. Young och Moti Yung. Tanken var att visa hur kryptering av filer kunde användas för utpressning, genom att även ta ifrån användarens möjligheter att komma åt dessa.

Gisslanprogram tillhör det som kallas för malware, alltså skadlig programvara, och förklaras enligt följande:

  1. Förövaren skapar den skadliga programvaran som distribueras vidare via olika metoder. Allra vanligast är som bilagor i suspekta e-postmeddelanden eller nedladdningar från bluffsidor. Oftast har filerna konstiga namn och ändelser. Det finns även rapporterade fall av skadlig programvara i skrud, som alltså utger sig för att vara något annat program. 
     
  2. När mottagaren väl öppnar den skadliga filen påbörjas processen. Exakt vilka åtgärder programmet utför först varierar. Som exempel kan vi nämna Cryptowall 3, som först skapar ett unikt identifieringssystem för den drabbade datorn. Därefter ser den bland annat till att infektera uppstartsprocessen, stoppa Windows olika inbyggda säkerhetsprogram samt förhindra alla typer av återställningar.  
     
  3. Programmet påbörjar sedan kommunikation med en specifik server och hämtar informationen som behövs för att kryptera användarens filer. All servertrafik emellan är i sin tur krypterad och skyddad av designerade algoritmer.
     
  4. Det är nu programmet påbörjar låsningen av filer. Allra vanligast är att programmet söker efter filer som kan tänkas vara viktiga för användaren, exempelvis bilder eller textdokument. När de väl lokaliserats döps filernas namn om och flyttas runt, och blir därmed helt oåtkomliga för användaren.
     
  5. Slutligen har vi kravet på lösensumma mot upplåsning av de drabbade filerna. Ibland dyker dessa upp som fönster, andra gånger täcker de hela skärmen. I vissa fall finns även en timer med i bilden, som hotar användaren med att radera filerna permanent ifall pengarna uteblir.