En ny skadelig programvare med virus kalt ransomware herjer. Den skadelige programvaren infiserer datamaskinen og låser filene dine. Bakmennene krever deretter betaling for å låse opp filene.

Hjulfirmaet Røwdehjul ble i februar rammet av ransomware-typen CryptoLocker. Det fikk store følger for dem.

– Vår regnskapsfører mottok en e-post med tittelen: «Betalingspåminnelse for faktura xxx». E-posten kom fra et vanlig norsk navn og innholdet så fornuftig ut, sier daglig leder Hans Jørgen Struksnæs.

Regnskapsføreren åpnet lenken som var i e-posten, det resulterte i at krypteringen på alle filene startet.

– Hun hadde en mistanke, men det tok et par timer før vi innså hva som hadde skjedd. Vi kuttet nettforbindelsen, men da var det for sent. Alle dokumenter på hennes datamaskin og vårt fellesarkiv ble kryptert.

Hans Jørgen Struksnæs, daglig leder for hjulfirmaet Røwdehjul. Foto: Pressebilde

Betalte løsepenger

De ansatte fikk feilmelding på datamaskinen da de prøvde å åpne office-dokumenter og PDF-filer. Så kom meldingen på datamaskinen til regnskapsføreren: «Advarsel: Vi har kryptert filene dine med Crypt0L0cker virus».

– Vi kontaktet en sikkerhetskonsulent med en gang. De rådet oss til å rense den infiserte datamaskinen, fjerne alle de krypterte filene og hente inn en sikkerhetskopi av filene. Det ville ta opptil to til tre dager. Betalte vi løsepenger for å få koden på filene, tok det kortere tid, sier Struksnæs.

Stikk i strid med det NorSIS anbefaler, valgte han å betale forbryterne løsepengene.

– Vi betalte de kriminelle cirka 4500 kroner for å spare tid og penger. Det var pengene det kostet for å kjøpe dekrypteringsverktøyet som låste opp filene våre igjen, sier han.

Med assistanse fra sikkerhetskonsulenten fikk de satt i gang dekryptering av de cirka 40.000 infiserte filene.

Ansatte bør informeres

Struksnæs’ anbefaling er at alle ansatte bør informeres om hvordan mistenkelige e-poster kan se ut, og at de lærer å aldri åpne et vedlegg eller trykke på lenker i slike e-poster.

– I etterkant ser jeg at avsenders e-postadresse er mistenkelig, og at det står «Med respekt» + navn i avslutningen på e-posten. Den formuleringen er unormal å skrive i Norge, mener Struksnæs.

– Hadde dere tatt sikkerhetskopi av filene deres?

– Vi antok det, men det var mangler i rutinen. Nå tar vi daglig back-up av filarkivet.

22 prosent lot seg lure

Utnyttelse av ansatte og lederes uvitenhet eller uforsiktighet for å skaffe seg fotfeste i virksomhetens IT-systemer, er en stor trussel, sier Fred Habberstad, administrerende direktør i datasikkerhetsselskapet Watchcom Security Group Norge.

– Det vi ser mest er e-postsvindel. Det er enten ved at man skal lure brukeren til å gi fra seg informasjon eller ved å installere skadelige programvarer på PC-en.

E-POSTSVINDEL: Watchcom Security Group Norge gjør tester på vegne av norske bedrifter. E-postene ligner på dem som inneholder virus, forteller Fred Habberstad i datasikkerhetsselskapet Watchcom Security Group Norge. Foto: Privat

Selskapet tester sikkerhetsrutinene i norske bedrifter. En metode er såkalte «phishing-tester» (nettfiske på norsk, journ.anm.). De sender ut e-poster som ligner på dem som inneholder virus til ansatte i bedrifter. Åpner de ansatte e-posten, får de så en melding om at de ville ha lastet ned virus om det hadde vært en reell situasjon.

– Vi sendte ut 6000 slike e-poster til norske virksomheter i fjor. Litt over 22 prosent lot seg lure.

Han forteller videre at i tester der de har brukt kjente navn, e-postadresser og stilling er andelen som lar seg lure enda høyere.

– Her var det 43 prosent som klikket seg på e-posten og som ville ha fått virus om det var en reell situasjon, sier han.

– Ransomware er en gammel idé fra 1994

Ransomware er veldig vanlig og flere blir berørt av det, påpeker Stefan Axelsson. Han er førsteamanuensis ved institutt for informasjonssikkerhet og kommunikasjonsteknologi på NTNU.

VANLIG: Ransomware er veldig vanlig og flere blir rammet av det skadelige virusprogrammet, forteller Stefan Axelsson som er førsteamanuensis ved institutt for informasjonssikkerhet og kommunikasjonsteknologi på NTNU. Foto: NTNU

– Ransomware er en gammel idé fra 1994. Før var det slik at du måtte spille et spill for at bakmennene skulle låse opp filene. Hvis du vant, låste de opp filene dine. Bakmennene hadde laget spillet slik at det var umulig å vinne, forklarer Axelsson.

– Var det riktig av firmaet til Struksnæs å betale bakmennene?

– Både ja og nei. Jo flere som betaler de kriminelle, desto mer utsetter vi oss for slike angrep. Men det er dessverre ofte den billigste og enkleste løsningen for enkeltpersoner, sier han.

Axelsson har ingen nøyaktig tall, men bekrefter at det skadelige virusprogrammet er blitt mer og mer vanlig.

– Det er gode penger å tjene for bakmennene, og folk velger ofte å betale fordi de ikke har råd til å miste filene sine. Det er veldig viktig å ta sikkerhetskopi av filene sine, og at du tar sikkerhetskopien offline. Kontroller at filene ikke er kryptert for da risikerer du ikke at filene du har sikkerhetskopiert blir kryptert, sier Axelsson.

IKKE BETAL: Noe av det verste du kan gjøre er å betale bakmennene penger for filene dine, mener Hans Marius Tessem. Han er seniorrådgiver i NorSIS. Foto: Jan Tore Verstad

Også seniorrådgiveren i Norsk senter for informasjonssikkerhet (NorSIS), Hans Marius Tessem, mener at det er den dårlig idé å betale bakmennene løsepenger.

– Du hjelper dem med å finansiere virksomheten. Da er jeg redd for at vi får flere slike angrep. Jeg klandrer ikke nordmenn for å gå i virus-fellen. Bakmennene sender ofte e-poster som er relatert til vår hverdag, sa Tessem da vi intervjuet ham om temaet for en uke siden.