Blog

Ny hackersoftware rammer danske virksomheder

27. januar 2015

Simone Lundager Selin

To danske kommuner og flere danske virksomheder er i den seneste tid blevet ramt af en ny ”kidnapningssoftware” kaldet ”CryptoWall”.

Kidnapningssoftwaren gennemsøger alle datafiler lokalt på pc’en og på alle tilgængelige fællesdrev/shares, og krypterer disse filer, så de ikke kan åbnes. Herefter opkræver hackerene en løsesum, for at genskabe dine data. Der er formodentlig ingen garanti for, at du får dine data tilbage, hvis du betaler løsesummen.

”Nu advarer CSIS så om, at en ny spamkampagne med Cryptowall er skudt i gang. Angrebet starter med, at en medarbejder modtager en mail med en vedhæftet fil:

"Den medfølgende zip fil, som indeholder en binær fil, vil ved kørsel kopiere sig til harddisken i mappen:

"[%brugerprofil%]Application Data[vilkårligt filnavn].exe" samt en sekundær kode som kopieres ind i startmappen," forklarer CSIS

Herefter kontakter Cryptowall-softwaren en stribe domæner (som CSIS' løsninger dog har blokeret):

"Når nøglen er genereret fra C&C serveren, så kopieres følgende fil til samtlige tilgængelige drev "HELP_DECRYPT.HTML" mens kryptering af datafiler igangsættes."

"Cryptowall binder maskinen ind i et BOTnet, som registrerer infektionen og danner en unik krypteringsnøgle der anvendes til at kryptere data på maskinen og alle tilgængelige delte drev/mapper."

CSIS skriver, at krypteringen er så kraftig, at reetablering af data stort set er umulig.

"Vi vurderer denne trussel som høj, idet kørsel af koden af en uforsigtig modtager, kan føre til alvorlige og uoprettelige skader såfremt der ikke er etableret en backup procedure," lyder det fra sikkerhedsselskabet.”
 

Sådan skal du reagere på et angreb

"Hvis uheldet er ude, er det vigtigt, at kommunen eller virksomheden får afdækket, hvordan Ransomware er kommet ind i deres system, og hvilke maskiner der er ramt."

"Disse maskiner skal straks slukkes, og en kopi af dem skal sikres med henblik på at kunne efterforske hændelsen, inden man går i gang med at udbedre skaderne efter angrebet."

"Der skal derefter skabes klarhed over, hvor mange personer og afdelinger det er gået ud over, og hvor meget data der er påvirket, så der kan lægges en plan for, hvordan driften bedst og hurtigst kan genoprettes.”

Kilde: computerworld.dk

Hos XPConsult kan vi hjælpe dig med at beskytte din virksomhed mod disse angreb.

Der findes to programmer, som i samarbejde kan blokere for disse angreb. Det er CSIS Secure DNS+ og Heimdal Corp.

Det er en grundlæggende forudsætning for it sikkerhed, at alle jeres programmer er opdaterede, at jeres antivirus/antispam løsning er ajour og at I har en firewall med relevante faciliteter. Alle disse faktorer kan vi via vores XPectTM serviceaftale automatisere for dig. En vigtig del heraf er CSIS Secure DNS+ og Heimdal Corp.

Heimdal Corp sørger for, at alle 3. parts programmer som fx Java og Adobe opdateres til nyeste version, så der ikke opstår sikkerhedshuller.

CSIS Secure DNS+ er et ekstra sikkerhedslag - en paraply som blokere for skadelig kode, når du surfer på internettet. Det skadelige indhold blokeres, således at det ikke kan inficere ikkeopdaterede programmer på dine pc’er.

Ud over disse to sikkerhedsprogrammer, er det vigtigt, at virksomheden har backup af alle data, så de kan genskabes, hvis uheldet skulle være ude. Har virksomheden ingen backup, eller virker jeres backup ikke optimalt, er der ikke noget at gøre, og alle data er mistet

Kontakt os, og hør hvordan du kan sikre din virksomhed mod disse angreb.

IT serviceaftale fra xpconsult