ransomware

Ransomware XData spredes i Ukraine

Dansk

Programmet, der kaldes XData, spredte sig i fredag tre gange hurtigere end WannaCry i Ukraine. Det vides ikke, hvordan programmet spredes.

XData bruger AES-kryptering (Advanced Encryption Standard) til at kode data på computeren, så man skal bruge en nøgle for at kunne læse dem. Filer omdøbes til at slutte på ~xdata~.

Anbefaling

Brug sikkerhedssoftware til at beskytte mod angreb fra skadelige programmer.

Dekryptering til WannaCry virker på systemer der ikke er genstartet

Dansk

Flere sikkerhedsforskere står bag Wanakiwi. Det kan dekryptere filer, som WannaCry (WanaCrypt0r) har kodet.

Metoden kræver imidlertid, at krypteringsnøglerne befinder sig arbejdslageret. Det gør de typisk, indtil systemet genstartes.

Wanakiwi ser ud til at virke på Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008 og 2008 R2, samt Windows 7.

Anbefaling

Ofre for WannaCry bør afprøve Wannakiwi, hvis de ikke har genstartet det ramte system.

WanaCrypt0r uden nødstop er observeret

Dansk

Sikkerhedsfirmaet Rendition Infosec oplyser, at de har observeret WanaCrypt0r-varianten. I den del af koden, hvor der tidligere stod et domæne, som ormen skulle forsøge at forbinde sig til, står der nu kun nuller.

Den oprindelige udgave af WanaCrypt0r brugte domænet som nødstop: Hvis domænet blev oprettet, så opkald til det blev besvaret, holdt ormen op med at køre.

Da nødstoppet nu er fjernet, er det ikke muligt at standse den nye version ved at oprette domænet.

Ny version af WanaCrypt0r er standset

Dansk

WanaCrypt0r, der også er kendt som Wannacry, spredte sig aggressivt i bededagsferien. Ormen udnytter en sårbarhed i SMB (Server Message Block) i Windows til at inficere ofrene med ransomware.

Den første version blev standset, fordi en sikkerhedsforsker registrerede et domæne, som ormen prøver at forbinde sig til. Det viste sig at fungere som en nødstopfunktion, der standsede ormeprogrammet.

Ransomware-ormen WanaCrypt0r har ramt tusindvis af computere

Dansk

Ifølge sikkerhedsfirmaet Avast har WanaCrypt0r ramt over 75.000 computere i 99 lande. Programmet krypterer filer på computeren og kræver løsesum for den nøgle, der kan dekryptere dem.

WanaCrypt0r spreder sig ved at udnytte et sikkerhedshul i Windows' behandling af SMB-protokollen (Server Message Block), der bruges til fil- og printerdeling. Microsoft lukkede hullet i marts for de versioner af Windows, firmaet fortsat understøtter.

Cerber vinder frem blandt ransomware

Dansk

Cerber havde en markedsandel på 70 procent i januar. Den steg til 87 procent i marts.

Tallene bygger på statistikker over de trusler, firmaets produkter har blokeret hos kunderne.

Locky, der tidligere var et meget udbredt ransomwareprogram, gik fra januar til marts fra 13 procent til under to procent.

Tallene tyder på en konsolidering, hvor Cerber er næsten enerådende blandt ransomware-programmer.

graf over ransomware-typer

Ofre for Dharma-ransomware kan få data tilbage

Dansk

Sikkerhedsfirmaet Kaspersky har opdateret værktøjet RakhniDecryptor, så det kan fjerne den kryptering, som Dharma anvender. Det blev muligt, efter at en ukendt person offentliggjorde de nøgler, programmet bruger til sin kryptering.

Ofre for Dharma kan genkende truslen på, at deres filer omdøbes til at ende på ".dharma".

Truslen har været kendt siden november. Dharma menes at bygge på samme kode som Crysis.

Anbefaling

Ofre for ransomware kan afprøve værktøjerne på NoMoreRansom.org.

Falsk font-opdatering installerer ransomware

Dansk

Når man besøger webstedet, vises en forvansket udgave, der ikke kan læses. En dialogboks fortæller, at man skal installere en font for at kunne se teksten. Hvis man henter og kører filen, Chrome_Font.exe, installeres et skadeligt program.

Angrebene har været kendt i nogen tid. Tidligere spredte de software, der foretager svindel med klik på annoncer. Men nu er de begyndt at sprede ransomware.

Angrebene ser ud til at være målrettede mod brugere af Chrome fra bestemte lande.

Anbefaling

Undlad at installere software fra websteder, du ikke har tillid til.

Værktøjer knækker kryptering i DeriaLock, PHP Ransomware og OpenToYou

Dansk

Sikkerhedsfirmaet Check Point har opdaget to nye familier af ransomware og udsendt værktøjer til at dekryptere de data, de krypterer.

DeriaLock dukkede op juleaften. Den kræver en løsesum på 30 dollars.

PHP Ransomware er strengt taget ikke ransomware: Programmet krypterer data på en PHP-baseret webserver, men stiller ingen krav om løsepenge.

Værktøjerne fra Check Point kan hentes på portalen NoMoreRansom.org.

Værktøj hjælper ofre for Crysis-ransomware

Dansk

Krypteringsnøglen til ransomwareprogrammet Crysis er frigivet. Dermed kan ofre for programmet få deres filer tilbage uden at betale løsepenge.

En ukendt person offentliggjorde nøglen i går med et link på webstedet BleepingComputer.

Sikkerhedsfirmaet Kaspersky har lagt Crysis ind i programmet RakhniDecryptor, som kan dekode filer fra en række ransomwareprogrammet. Det kan hentes gratis.

Anbefaling

Ofre for Crysis kan med fordel bruge gratis værktøjer til at dekryptere kodede filer.

Sider

Abonnér på RSS - ransomware