Ransomwareinfektion betyder, at dine data er blevet krypteret, eller at dit operativsystem blokeres af cyberkriminelle. Disse kriminelle kræver normalt løsepenge til gengæld for dekryptering af dataene. Ransomware kan finde vej til en enhed på mange forskellige måder. De mest almindelige ruter omfatter infektioner fra ondsindede websteder, uønskede tilføjelsesprogrammer i downloads og spam. Både enkeltpersoner og virksomheder kan blive udsat for ransomwareangreb. Der kan træffes forskellige foranstaltninger for at beskytte mod ransomwareangreb ved at holde et vågent øje og have den rigtige software. Disse er vigtige skridt i den rigtige retning. Et ransomwareangreb betyder enten tab af data, store omkostninger eller begge dele.
Registrering af ransomware
Hvordan ved du, om din computer er inficeret? Her er nogle måder til at registrere et ransomwareangreb:
- Antivirusscanner slår alarm – hvis enheden har en virusscanner, kan den detektere ransomwareinfektion tidligt, medmindre virusscanneren er blevet omgået.
- Kontroller filtypenavnet – for eksempel er det normale filtypenavn for et billede ".jpg". Hvis denne udvidelse er ændret til en ukendt kombination af bogstaver, kan det være et tegn på ransomwareinfektion.
- Navneændring – har filerne andre navne end dem, du gav dem? Det ondsindede program ændrer ofte filnavnet, når det krypterer data. Det kan derfor også være et tegn.
- Øget CPU- og diskaktivitet – øget disk- eller processoraktivitet kan være et tegn på, at en ransomware kører i baggrunden.
- Tvivlsom netværkskommunikation – software, der interagerer med cyberkriminelle eller med angriberens server, kan resultere i mistænkelig netværkskommunikation.
- Krypterede filer – et sent tegn på ransomwareaktivitet er, at filer ikke længere kan åbnes.
Endelig bekræfter et vindue, der indeholder et krav om løsepenge, at der er en ransomwareinfektion. Jo tidligere truslen opdages, desto lettere er det at bekæmpe malwaren. Tidlig opdagelse af en trojansk krypteringsinfektion kan hjælpe med at afgøre, hvilken type ransomware der har inficeret slutenheden. Mange afpresningstrojanere sletter sig selv, når krypteringen er blevet udført, så de ikke kan undersøges og dekrypteres.
Der er sket en ransomwareinfektion – hvad er dine muligheder?
Ransomware opdeles generelt i to typer: locker-ransomware og crypto-ransomware. En virus med locker-ransomware låser hele skærmen, mens en crypto-ransomware "kun" krypterer individuelle filer. Uanset hvilken type af crypto-trojanere, der er i spil, har ofrene normalt tre muligheder:
- De kan betale løsesummen og håbe, at de cyberkriminelle holder deres ord og dekrypterer dataene.
- De kan forsøge at fjerne malwaren ved hjælp af tilgængelige værktøjer.
- De kan nulstille computeren til fabriksindstillingerne.
Fjernelse af krypteringstrojanere og dekryptering af data – sådan gør du
Både typen af ransomware og det stadium, hvor ransomwareinfektion opdages, har en væsentlig betydning i kampen mod virussen. Fjernelse af malware og gendannelse af filerne er ikke muligt med alle varianter af ransomware. Her er tre måder til at bekæmpe en infektion.
Registrering af ransomware – jo før, jo bedre!
Hvis ransomware registreres, før der kræves løsepenge, har du den fordel, at du kan slette malwaren. De data, der er blevet krypteret indtil dette tidspunkt, forbliver krypteret, men ransomwarevirussen kan stoppes. Tidlig registrering betyder, at malwaren kan forhindres i at sprede sig til andre enheder og filer.
Hvis du sikkerhedskopierer dine data eksternt eller i et cloudbaseret lager, kan du gendanne dine krypterede data. Men hvad gør man, hvis man ikke har en sikkerhedskopi af sine data? Vi anbefaler, at du kontakter udbyderen af din internetsikkerhedsløsning. De har måske allerede et dekrypteringsværktøj til den ransomware, du er blevet offer for. Du kan også besøge hjemmesiden for No More Ransom-projektet. Dette brancheinitiativ blev lanceret for at hjælpe alle ofre for ransomware.
Instruktioner til fjernelse af filkrypteringsransomware
Hvis du har været offer for et angreb med filkrypteringsransomware, kan du følge disse trin for at fjerne krypteringstrojaneren.
Trin 1: Afbryd forbindelsen til internettet
Afbryd først alle forbindelser, både virtuelle og fysiske. Dette omfatter trådløse og kablede enheder, eksterne harddiske, alle lagringsmedier og cloudbaserede konti. Dette kan forhindre spredning af ransomware inden for netværket. Hvis du har mistanke om, at andre områder er berørt, skal du også udføre følgende trin for sikkerhedskopiering for disse områder.
Trin 2: Foretag en undersøgelse med din internetsikkerhedssoftware
Udfør en virusscanning med den internetsikkerhedssoftware, du har installeret. Dette hjælper dig med at identificere truslerne. Hvis der findes farlige filer, kan du enten slette dem eller sætte dem i karantæne. Du kan slette ondsindede filer manuelt eller automatisk ved hjælp af antivirusprogrammet. Manuel fjernelse af malware anbefales kun til computerkyndige brugere.
Trin 3: Brug et dekrypteringsværktøj til ransomware
Hvis computeren er inficeret med ransomware, der krypterer dine data, skal du bruge et passende dekrypteringsværktøj for at få adgang igen. Hos Kaspersky undersøger vi hele tiden de nyeste typer ransomware, så vi kan levere de rette dekrypteringsværktøjer til at imødegå disse angreb.
Trin 4: Gendan din sikkerhedskopi
Hvis du har sikkerhedskopieret dine data eksternt eller på et cloudlager, skal du oprette en sikkerhedskopi af dine data, der endnu ikke er krypteret af ransomware. Hvis du ikke har nogen sikkerhedskopier, er det meget vanskeligere at rense og gendanne computeren. Vi anbefaler, at du regelmæssigt opretter sikkerhedskopier for at undgå denne situation. Hvis du har det med at glemme at gøre det, skal du bruge automatiske cloudbaserede sikkerhedskopieringstjenester eller oprette aftaler i din kalender for at minde dig om det.
Sådan fjerner du ransomware til skærmlåsning
I tilfælde af ransomware, der låser skærmen, står offeret først over for udfordringen med rent faktisk at få adgang til sikkerhedssoftwaren. Ved at starte computeren i fejlsikret tilstand er der en mulighed for, at skærmlåsningen ikke indlæses, og offeret kan bruge sit antivirusprogram til at bekæmpe malwaren.
Betale løsesummen – ja eller nej?
Det anbefales generelt ikke at betale løsesummen. Ligesom man heller ikke forhandler med gidseltageren i en gidselsituation, bør der følges en lignende fremgangsmåde, når data tages som gidsel. Betaling af løsesummen anbefales ikke, fordi der ikke er nogen garanti for, at afpresserne rent faktisk vil opfylde deres løfte og dekryptere dataene. Desuden vil betaling fremme denne form for kriminalitet, hvilket for enhver pris bør undgås.
Hvis du alligevel planlægger at betale løsesummen, bør du ikke fjerne ransomwaren fra din computer. Afhængigt af typen af ransomware eller den cyberkriminelles plan med hensyn til dekryptering kan ransomwaren faktisk være den eneste mulighed for at anvende en eventuel dekrypteringskode. For tidlig fjernelse af softwaren ville gøre den dekrypteringskode, du har købt for dyre penge, ubrugelig. Men hvis du faktisk har modtaget en dekrypteringskode, og den virker, skal du fjerne ransomwaren fra enheden så hurtigt som muligt, efter at dataene er blevet dekrypteret.
Typer af ransomware: Hvad er forskellene i forhold til den videre færd?
Der findes mange forskellige typer ransomware, hvoraf nogle kan afinstalleres med få klik. I modsætning hertil er der dog også udbredte varianter af virussen, der er betydeligt mere komplekse og tidskrævende at fjerne.
Der findes forskellige muligheder for at fjerne og dekryptere de inficerede filer, afhængigt af typen af ransomware. Der findes ikke noget universelt anvendeligt dekrypteringsværktøj, der virker på alle de mange forskellige varianter af ransomware.
Følgende spørgsmål er vigtige, når det drejer sig om korrekt fjernelse af ransomware:
- Hvilken type virus har inficeret enheden?
- Findes der et passende dekrypteringsprogram, og i bekræftende fald hvilket?
- Hvordan fandt virussen vej ind i systemet?
Ryuk kan f.eks. være kommet ind i systemet via Emotet, hvilket indebærer en forskel i den måde, problemet håndteres på. Hvis det er en Petya-infektion, er Fejlsikret tilstand en god måde at fjerne den på. Du kan se mere om de forskellige varianter af ransomware her.
Konklusion
Selv med de bedste sikkerhedsforanstaltninger kan et ransomwareangreb aldrig udelukkes med fuldstændig sikkerhed. Hvis det sker, kan en god sikkerhedssoftware, f.eks. fra Kaspersky, omhyggelig forberedelse og handling med omtanke bidrage til at afbøde konsekvenserne af angrebet. Ved at huske på advarselstegnene ved et ransomwareangreb kan du opdage og bekæmpe en infektion tidligt. Men selvom der er krævet en løsesum, har du forskellige muligheder til rådighed og kan vælge den rigtige afhængigt af din specifikke situation. Husk, at regelmæssig sikkerhedskopiering af dine data vil reducere virkningen af et angreb betydeligt.