Utpressningsprogrammet TeslaCrypt har drabbat flera datorer

TeslaCrypt-infektionerna har ökat avsevärt under december. Det är fråga om ett utpressningsprogram som krypterar datorfiler. Alla Windows-användare uppmanas till försiktighet och uppmärksamhet då de behandlar e-postbilagor och webblänkar. Det lönar sig att säkerhetskopiera egna filer och att se till att anti-virusprogrammet är uppdaterat.

Hotet som TeslaCrypt orsakar

Utpressningsprogrammet TeslaCrypt är aktivt i PC-datorernas Microsoft Windows-operativsystem och krypterar innehållet i datorfiler med hjälp av en stark AES-krypteringsmetod.

Det kan kryptera filer även på nätverksdiskar som är anslutna till datorn, på externa hårddiskar och på DropBox-konton som anslutits som en hårddiskstation, om användaren har skrivrättigheter till dem. Programmet tar bort filernas Shadow Volume-kopior från hårddisken så att det skulle vara svårt att återställa filerna.

Det skadliga programmet ställer offret ett lösenkrav som säger att filerna dekrypteras om man betalar summan.

TeslaCrypt använder symmetrisk kryptering, dvs. dekryptering sker med samma nyckel som själva krypteringen. Vissa versioner av TeslaCrypt från våren 2015 behandlar krypteringsnyckeln så att offret kan få nyckeln utan att betala lösesumman. Den svagheten saknas dock i de nyare versionerna; det skadliga programmet överför krypteringsnyckeln till utpressaren innan man märker hur allvarligt det är.

Cybersäkerhetscentret har aktivt följt upp läget med TeslaCrypt och informerat om aktiv spridning av skadeprogrammet i början av december.

Under december har Cybersäkerhetscentret fått ta emot en hel del anmälningar om inhemska infektioner per dag, och antalet fortsätter att öka. Det är ändå osannolikt att Cybersäkerhetscentret fått veta om alla infektioner.

Målgrupp för varningen

  • Användare och administratörer av Windows-datorer
  • Ansvariga för organisationernas informationsförvaltning och informationssäkerhet

Åtgärds- och begränsningsmöjligheter

Förebyggande av infektionen och beredskap

Det viktigaste är datoranvändarnas vaksamhet. TeslaCrypt sprids på samma sätt som flera andra skadeprogram som e-postbilaga och via hackade webbsidor, där man lagt ett distributionsunderlag för skadliga program. Man ska inte öppna oväntade och misstänkta e-postmeddelanden och man ska inte klicka på länkar i misstänkta e-postmeddelanden eller i meddelanden för sociala medier.

Cybersäkerhetscentret betonar förebyggande åtgärder. Säkerhetskopiera filerna aktivt och regelbundet.

Håll anti-sabotageprogrammen uppdaterade. Anti-sabotageprogrammen identifierar och tar bort TeslaCrypt ganska bra, om signaturbasen är uppdaterad och de normala avvärjningsegenskaperna är påslagna.

Håll datorns operativsystem och applikationer uppdaterade. På webbplatser finns distributionsunderlag för skadeprogram som utnyttjar sårbarheter i programmen på offrets dator. Om de kända sårbarheterna har lappats genom installation av de nyaste programversionerna, är det mer osannolikt att datorn blir smittad.

Administratörer av e-postsystem och lokalnät kan filtrera misstänkta bilagor med hjälp av program som avvärjer skadeprogram, med intrångsförhindrande system och genom att sätta de misstänkta bilagorna i karantän.

Det är möjligt att identifiera spridning av TeslaCrypt med följande data.

Rubriker i e-postmeddelanden:

  • Unpaid Invoice from Staples Inc., Ref. numerosarja
  • Your account has a debt and is past due
  • Agri Basics invoice #<8 siffror> and <7 siffror>
  • Reference Number #<8 siffror>, Last Payment Notice
  • tidsstämpel för sändning av meddelandet i form av"11/29/2015 4:30:09 pm"
  • invoice from passion beauty supply ltd
  • your ticket order #<10 siffror> approved
  • new payment for tax refund #<8 siffror>
  • november invoice #<8 siffror>

Det kommer olika rubriker hela tiden.

Namn på e-postbilagor:

  • scan_invoice_<8 siffror>.zip
  • invoice_<8 siffror>_copy.doc
  • invoice_<8 siffror>_copy_.zip
  • invoice_<8 siffror>.zip
  • tax_refund_<8 siffror>.zip
  • "love.zip" som omfattar en fil med namnet "info.js"
  • "img.zip" som omfattar en fil med namnet "img.js"
  • doc.zip
  • live.zip
  • statement.zip
  • part1.zip
  • förnamn_resume_<fyra siffror>.zip
  • task<10 siffror>.zip
  • <10 siffror>.zip

E-postbilagan kan också ha ett annat namn. Zip-filerna omfattar alltid en skadlig .js-fil.

Nedan finns en färsk bild av ett e-postmeddelande som har spridit TeslaCrypt.


Återhämtning efter infektionen

Det finns några möjligheter att återhämta från infektionen men det kräver alltid mycket möda.

  • Om man har tillräckliga kunskaper och tillräckligt med tid, lönar det sig att stänga den smittade datorn omedelbart och göra fulla diskkopior på innehållet i hårddisken med en ren dator. Så är det möjligt att stanna krypteringsprocessen i fall av att alla filer ännu inte är krypterade och man kan i lugn och ro prova på existerande dekrypteringsmetoder eller metoder som utvecklas i framtiden.
  • Det lönar sig att köra ett uppdaterat anti-sabotageprogram på en dator som blivit smittad. Programmen identifierar och tar bort TeslaCrypt. Detta dekrypterar dock inte filerna.
  • Om säkerhetskopiorna är i ordning kan de återställas efter att skadeprogrammet avlägsnats.
  • Man kan också försöka återställa filerna från Windows Shadow Volume-kopior. TeslaCrypt försöker avlägsna Shadow Volume-kopiorna men det misslyckas ibland.
  • Man kan försöka dekryptera vissa versioner av TeslaCrypt med hjälp av gratis verktyg som utvecklats för detta ändamål. Ett av verktygen finns tillgängligt hos Cisco och ett annat hos gemenskapen BleepingComputer.

Cybersäkerhetscentret vid Kommunikationsverket rekommenderar att man inte betalar utpressarna. Om man betalar, uppehåller man kriminell verksamhet och det finns ingen garanti om dekryptering.

Det är också skäl att göra en anmälan om brott till polisen.

Mer information

Uppdateringshistorik

Ämnesord: Informationssäkerhet , Bedrägeri , Kryptering , Skadligt program , Spam , Varningar

LinkedIn Print

logo

Kommunikationsverket

Cybersäkerhetscentret

PB 313, 00181 Helsingfors


Mediekontakter per telefon: +358 295 390 248