«Fantom ransomware» i spredning

En ny type løspengevirus er regisrert og nylig kommentrert av Europol.

Illustrasjon (Foto: Adobe Stock)

Illustrasjon (Foto: Adobe Stock)

En ny type løspengevirus er registrert av Europol og kalles for ”Fantom ransomware”. Løspengeviruset fungerer ved at den viser en falsk «Windows Update» melding på skjermen som gir inntrykk av at en ny kritisk oppdatering blir installert. Men i stedet for oppdatering, blir alle brukerens filer kryptert. Skjermen viser også en ”prosent teller” for å legitimere og forklare økt aktivitet på brukerens harddisk. Dette vinduet kan lukkes av brukeren, men kryptering fortsetter i bakgrunnen.

Når installasjonsprosessen er ferdig , dukker det opp et krav om løsepenger som viser offerets ID-nøkkel og med instruksjoner for å få filene dekryptert . Offeret blir deretter informert om å sende en epost til de nettkriminelle ved å bruke en av de to oppgitte e-postadressene.

Dette er en annerledes fremgangsmåte enn andre tidligere varianter av løspengevirus, som har krevd at brukeren betaler med tilgang til et nettsted via Tor-nettverket. Denne nye metoden kan være med formål om mer målrettede angrep for å nå brukere med mindre teknisk kompetanse. Blant annet er det svært enkelt for ofrene å kommunisere med de nettkriminelle via e-post.

Foreløpig er det ingen kjent måte å dekryptere filene og det er uklart hvor de nettkriminelle kommer fra. E-postadressene som er oppgitt til offerene, kan spores til russiske og California – baserte tjenesteleverandører. I tillegg er den engelske språkbruken svært dårlig, noe som kan tyde på at de som står bak ikke har engelsk som morsmål.

Denne nye type løspengevirus, minner oss alle om viktigheten av å sikkerhetskopiere filer regelmessig for å unngå tap av verdifulle data. Spesielt siden denne type løspengevirus i skrivende stund er i spredning og per dags dato ikke har en kjent måte for å dekryptere filene.

– Det vi sier, er at man ikke skal klikke på ting som popper opp på skjermen. Gå heller på hjemmesiden til firmaet som er avsender og sjekk om informasjonen stemmer. Når det gjelder Windows-oppdateringer, anbefaler vi at folk sjekker Windows Update i kontrollpanelet for å sjekke om det virkelig er en Windows-oppdatering som ligger og venter,  sier seniorrådgiver Vidar Sandland i NorSIS til Tv2.

Kilder og mer informasjon:

Næringslivets Sikkerhetsråd | Postboks 5493 Majorstuen | 0305 Oslo | Middelthunsgt 27, Majorstuen | nsr@nsr-org.no

Følg oss