Ponera att du jobbar med ett viktigt dokument som snart ska redovisas, när ett nytt fönster plötsligt uppenbarar sig på datorskärmen. Du gör allt för att stänga ned fönstret, men förgäves. Fönstret visar ett meddelande som verkar komma från den ”internationella cyberpolisen” och du anklagas för brott mot upphovsrättslagen, exempelvis nedladdning av filmer. Du blir även varse om att samtliga filer på din dator har konfiskerats som straff och för att återfå kontrollen över dessa krävs en lösensumma.

Wannacry: Det här behöver du veta om den massiva attacken

Men innan du sätter kaffet i halsen; nej, meddelandet härstammar inte från polisen. Däremot har du precis drabbats av en av vår tids största it-hot – gisslanprogram.

Denna typ av skadlig programvara går även under benämningar som utpressningstrojan eller ransomware. Precis som namnen antyder håller programmet dina datorfiler som ”gisslan” tills du betalat förövaren. Attackerna har på senare tid blivit alltmer uppmärksammande och dess framfart visar inga tecken på att stanna av.

Vi får ständigt rapporter om attacker mot allt från enstaka datoranvändare och småföretag till samhällsbärande funktioner som sjukhus och kollektivtrafik. Attacker som lämnar samtliga av de drabbade helt inkapabla att kommunicera med sina datorsystem. Till råga på allt har denna typ av cyberbrottslighet även visat sig vara rena guldgruvan för kriminella.

Men hur fungerar egentligen gisslanprogram och vilka är det som sprider dessa? Och viktigast av allt: Hur skyddar du dig mot eventuella attacker?

ransomware

Vad är gisslanprogram?

Själva idén som lade grunden till dagens gisslanprogram har existerat sedan 1996. På en konferens vid universitetet i Columbia presenterades den allra första ”kryptovirala utpressningsmetoden”, signerad Adam L. Young och Moti Yung. Tanken var att visa hur kryptering av filer kunde användas för utpressning, genom att även ta ifrån användarens möjligheter att komma åt dessa.

Gisslanprogram tillhör det som kallas för malware, alltså skadlig programvara, och förklaras enligt följande:

  1. Förövaren skapar den skadliga programvaran som distribueras vidare via olika metoder. Allra vanligast är som bilagor i suspekta e-postmeddelanden eller nedladdningar från bluffsidor. Oftast har filerna konstiga namn och ändelser. Det finns även rapporterade fall av skadlig programvara i skrud, som alltså utger sig för att vara något annat program. 
     
  2. När mottagaren väl öppnar den skadliga filen påbörjas processen. Exakt vilka åtgärder programmet utför först varierar. Som exempel kan vi nämna Cryptowall 3, som först skapar ett unikt identifieringssystem för den drabbade datorn. Därefter ser den bland annat till att infektera uppstartsprocessen, stoppa Windows olika inbyggda säkerhetsprogram samt förhindra alla typer av återställningar.  
     
  3. Programmet påbörjar sedan kommunikation med en specifik server och hämtar informationen som behövs för att kryptera användarens filer. All servertrafik emellan är i sin tur krypterad och skyddad av designerade algoritmer.
     
  4. Det är nu programmet påbörjar låsningen av filer. Allra vanligast är att programmet söker efter filer som kan tänkas vara viktiga för användaren, exempelvis bilder eller textdokument. När de väl lokaliserats döps filernas namn om och flyttas runt, och blir därmed helt oåtkomliga för användaren.
     
  5. Slutligen har vi kravet på lösensumma mot upplåsning av de drabbade filerna. Ibland dyker dessa upp som fönster, andra gånger täcker de hela skärmen. I vissa fall finns även en timer med i bilden, som hotar användaren med att radera filerna permanent ifall pengarna uteblir.

Vilka tjänar på attackerna?

Förövarna kan utge sig för att representera ”cyberpolisen”, den amerikanska underrättelsetjänsten eller liknande, men i själva verket döljer sig oftast organiserad brottslighet bakom attackerna.

Förr krävdes det viss kompetens inom datorsäkerhet och programmering för att sammanställa gisslanprogrammen. På senare tid har hackarna dock hittat olika sätt att komma runt problemet. Enligt uppgifter finns det fall där erfarna hackare delar med sig av informationen till nybörjare, som då utför själva attacken. När lösensumman väl betalats delar parterna på vinsten.

Det finns även rapporter om en ny sorts marknad för hackare, kallad ”gisslanprogram som tjänst”. Kort förklarat erbjuder hackare ett gränssnitt där förövare utan programmeringskunskaper kan modifiera sitt alldeles egna gisslanprogram, komplett med alla önskade egenskaper, för att sedan sprida det vidare. Även här delas alla eventuella vinster mellan hackaren och förövaren.   

Hackare

Hur undviker jag gisslanprogram?

  • Öppna inte e-postmeddelanden som lovar guld och gröna skogar. Är det för bra för att vara sant kan du vara säker på att det finns gisslanprogram eller andra skadeprogram bland bilagorna och länkarna.
     
  • Detsamma gäller så kallade ”pop up”-webbsidor på nätet eller suspekta program som laddas ned automatiskt. Installera inte program från okända källor.
     
  • Se till att alltid ha backup på dina viktigaste filer. I regel rekommenderar vi både fysisk backup på extern hårddisk och via molntjänster. Se bara till att säkra ditt lösenord ordentligt för det sistnämnda.
     
  • Skaffa ett bra antiviruspaket för hemmabruk. De flesta säkerhetsföretagen erbjuder olika lösningar beroende på ditt behov.
     
  • Många gisslanprogram utnyttjar sårbarheter i andra program och operativsystem. Se därför till att alltid ha de senaste versionerna installerade. Det gäller även webbläsartillägg från Java, Adobe och liknande.
     
  • Stäng av eventuella Office-makron när du öppnar textdokument som levererats via e-post. Vissa gisslanprogram sprider sig nämligen på detta sätt.