[SIDE3/NETTAVISEN]: Tidene forandrer seg.

I mange år var de som lagde virus og malware rene drittsekker som ønsket å gjøre mest mulig skade. Du var ikke i tvil om at du hadde fått en form for skadelig programvare når det først skjedde.

Masseutsendelse av e-post. En datamaskin som restartet seg hver gang den startet opp. Bildefiler som ble slettet. Harddisker som forsvant.

Fra drittsekk til proff

Så begynte bakmennene å bli mer proffe. Målet gikk fra å være drittsekk til å tjene penger. Plutselig ble skjermene våre fylt opp med store mengder reklame.

Men fremfor alt skjulte denne typen programvare seg i bakgrunnen. Målet var at du ikke skulle oppdage at du var infisert, slik at en kunne stjele passord, kredittkortinformasjon og andre ting det var mulig å tjene penger på. Eller bruke maskinen din i et botnet.

Antall former for ondsinnet programvare skjøt i taket, men de fleste trodde "virusenes tid" var over. Ute av syne, ute av sinn.

Nå er de proffe drittsekker

Men nå er en ny trend i ferd med å eksplodere: Såkalt utpressingsprogramvare - "ransomware".

- Ransomware, altså ren utpressing, er ikke noen ny trussel, men det er virkelig på fremmarsj, sier sikkerhetsekspert Arnfinn Strand i CheckPoint til Side3.

Årsaken er at det er en veldig effektiv måte å tjene penger på.

åten ransomware fungerer på er skremmende enkel: Programvaren "kidnapper" alle dine viktige filer ved å kryptere dem, og krever løsepenger for å dekryptere dem.

Etter at programvaren lurer seg inn på datamaskinen din, gjerne skjult i Word- og Excel-filer, krypteres alt du har av dokumenter, videoer og bilder. Er datamaskinen din koblet på et nettverk på jobb, kan også dokumenter på fellesområder krypteres.

Med mindre du har backup av filene andre steder, er den eneste måten å igjen få tilgang til dine egne filer å betale løsepenger til bakmennene - vanligvis gjennom Bitcoin-overføringer.

- Løsesummene er nå om dagen gjerne rundt 3 bitcoin, men kan gjerne øke jo lenger du venter med å betale, sier Strand.

Med dagens Bitcoin-pris er dette langt over 1200 kroner - men kan fort bli det mangedoble.

- Vanligvis er det ingenting du kan gjøre annet enn å betale hvis du ønsker å få tilgang til filene dine igjen, og sannsynligheten for å ta bakmennene er nær null. FBI har vært ute og sagt at det bare er å betale hvis det er viktig for deg, sier sikkerhetseksperten.

- Det har vært tilfeller der en har klart å knekke krypteringen, men det skjer som regel etter menneskelige feil og bakmennene blir stadig flinkere, sier Strand.

Checkpoint forteller om et selskap i Norge som ikke hadde backup av sine filer da de ble rammet, og der programvaren hadde låst tilgangen til alle data de hadde lagret om 350 kunder.

- For dem var det et være eller ikke være å få tilgang til de filene igjen.

Ifølge Strand er det nå i enkelte bedrifter så vanlig med ransomware, at IT-avdelingen ikke lenger løfter på et øyelokk når fellesområder blir kryptert.

- Backuprutinene blir etter hvert så skreddersydd for dette, at den infiserte maskinen fjernes fra nettet og backup gjenopprettes nesten med en gang. Men det krever selvsagt at man vet hvordan dette skal håndteres, sier sikkerhetseksperten.

- Antivirus hjelper ikke

Ifølge Arnfinn Strand er vanlig antivirus i ferd med å bli totalt ineffektivt mot denne typen trusler. Antivirus fungerer grovt sett på den måten at kjente skadelige filer blir lagt i en svarteliste, og antivirusprogrammene blokkerer filer hvis en gjenkjenner den samme filen et annet sted.

Men fordi antall virustyper har skutt i været de siste årene, har programmene også etter hvert til en viss grad forsøkt å gjenkjenne hvordan programmer oppfører seg.

- Problemet er at antall varianter har skutt i taket. For et år siden dukket det opp rundt 100.000 nye skadelige programvarer hver dag. Nå er det rundt én million nye hver eneste dag. Det er så enkelt å gjøre bittesmå endringer i filene som gjør at antivirus ikke oppdager dem, at det er skremmende, sier Strand.

Sammenlikner med VW-skandalen

På grunn av dette er det nå vanlig at ukjente filer som sendes i e-post og lignende, går gjennom en ganske grundig analyse før de kommer frem til mottakeren.

- Filene åpnes i virtuelle datamaskiner, for å se om de prøver å gjøre skadelige ting. Ser vi skadelig adferd kan det stoppes.

- Problemet er at de som lager programvaren blir stadig mer sofistikerte. Programmene inneholder nå koder som kan gjenkjenne om de blir testet. Hvis programvaren ser at det er i testmiljøer, så starter ikke den skadelige delen av programvaren. Dermed oppdages det aldri skadelig kode før det er for sent.

- Det er litt som VW-dieselskandalen: Der hadde de programvare som gjenkjente om bilene var på veien eller om de ble testet for utslipp.

BRUKER NAKEN DAME FOR Å AVSLØRE MENNESKER

Mange av programmene inneholder nå ganske sofistikerte funksjoner.

- Vi ser for eksempel infiserte PDF- eller Word-dokumenter, der den skadelige programvaren ikke utløses umiddelbart, men kanskje først når du har bladd deg ned til side 5. Og den gjenkjenner om det blas ujevnt nedover på siden, eller helt jevnt som en datamaskin gjerne ville gjort. Først når den er sikker på at det er et menneske som har åpnet filen, utløses den skadelige koden.

- Blant annet har vi sett eksempler på at det er lagt inn bilde av en naken dame på side fire i dokumentet. Hvis scrollingen da stopper opp, vet en ganske sikkert at filen har kommet frem til et menneske, og ikke blir testet. Først da starter den skadelige programvaren, og alle filene på harddisken din kan bli kryptert.

Ifølge CheckPoint er det i all hovedsak dokumenter av typen .doc, .zip, .xls og .exe som sendes i e-post som er problemet for tiden.

Siden "alle" er avhengig av å håndtere Office-dokumenter, er det nye nå at de mest avanserte sikkerhetsløsningene "vasker" dokumentene før de kommer frem til mottaker.

- Da hentes innholdet av dokumenter ut og kopieres inn i et nytt dokument, mens all annen kode blir liggende igjen. Og hvis man så vet med sikkerhet at dette er et dokument man faktisk trenger, så kan man eventuelt få tilgang til originalen.