Problemer med massive Ransomware angreb.

Kære Vitec Datamann kunde,

Som I måske har læst, set eller hørt om, så griber en særlig ondskabsfuld form for virus angreb kaldet ransomware om sig. Vi har også set eksempler på dette inden for vores egen kundekreds, og alt i alt gør dette, at vi føler det nødvendigt og rigtig at udstede en advarsel omkring ramsomware.

Hvad er ransomware?

Ransomware gør i korte træk det, at det krypterer alle vigtige personlige data på jeres PC'er og/eller Server. Det betyder, at personlige filer bliver ubrugelige. Det bagmændene forsøger at opnå er, at I betaler en løsesum (ransom) for at få krypteret data tilbage. Hvis man skulle være så uheldig at blive ramt, så anbefaler vi, at man ikke betaler denne løsesum, da der ingen garanti er for, at man får filerne tilbage. Hvis man betaler, støtter man bagmændene og dermed en fortsat udbredelse af problemet.

Der er set flere forskellige typer af angreb. Den mest almindelige er via mail, som typisk indeholder en Excel-fil. Hvis I åbner denne Excel-fil og inde i selve regnearket "trykker" på knappen, der aktiver makroer (den er som oftest gul og indeholder ordet "Macro/Makro" på den ene eller den anden måde), så er det der, at det kan gå galt. Makroen der køres er i sin enkelthed den omtalte Ransom virus.

Ovenstående er kun én måde, hvor det kan gå galt. Der er sandsynligvis allerede nu flere lignende metoder, eller også vil de komme. Så i al væsentlighed handler det om, at I selv agerer fornuftigt. Åben ikke mails som I har en fornemmelse af ikke er ok. Skulle I alligevel komme til at åbne en mail, som på de ene eller den anden måde ser lidt "mystisk" ud, så tryk ikke på links eller andre underlige knapper i mailen eller dens eventuelle vedhæftede fil. Og selv om PDF-filer betegnes som mere sikre end mange andre typer af vedhæftede filer, så vær fortsat opmærksom og agér fornuftigt – også ved PDF-filer. Brug evt. en anden PDF-reader end Adobe (f.eks. FoxIt), da Adobe har haft mange sikkerhedsproblemer, men man skal stadig ikke trykke på noget inde i en sådan, hvis det skulle komme dertil. Hellere afvise én mail for meget end én mail for lidt.

Bemærk tillige, at de pågældende mails kan se meget tilforladelige og rigtige ud. De kan oven i købet se ud til at komme fra nogen, som I måske kender og/eller har et samarbejde med. Vi er altså langt videre end det, som vi tidligere har set. Selv afsenderen kan umiddelbart se fornuftig ud, men i givet fald er det typisk en forfalskning. Denne forfalskning kan man ofte afsløre ved at trykke på "svar" i mailen, idet den rigtige modtager adresse, altså afsenderen, så vil blive synlig med sin "rigtige" adresse. På den måde kan man mange gange afgøre, om det er en "farlig" mail eller en ok mail.

En anden metode som vi har kendskab til er, at hackere får adgang til en server, via det der hedder Fjernskrivebord (f.eks. Terminal/Server el. Remote Desktop). Fjernskrivebord er det, som I typisk benytter, hvis I arbejder hjemmefra eller lign. Opkoblingen til fjernskrivebord er (forhåbentlig) kodeordsbeskyttet, men hvis kodeordet er alt for nemt og enkelt, så har disse hackere værktøjer, som automatisk kan "gætte" sig til et sådant kodeord og prøve dem af i tusindvis i løbet af ingen tid. Så her gælder det om at have en stringent holdning til at lave lidt mere komplicerede og dermed sikrere kodeord og skifte disse jævnligt – selv om det rent praktisk kan være lidt irriterende. Windows servere kan sættes op til selv at bede om kodeordsændringer efter en given periode, styre kompleksiteten af de kodeord man benytter og holde øje med, at man ikke bare bruger det eller de samme kodeord hele tiden.

Bemærk, at selv om man kører ASP/Cloud, kan man godt blive angrebet af ransomware på sine tilkoblede PC'ere, så her skal man også være meget opmærksom på, hvad man gør.

Hvad er det så, vi synes, at I bør gøre? Først og fremmest drejer det sig om, at I personligt håndterer tingene fornuftigt og med omtanke, som beskrevet i det foranstående. Men ud over dette anbefaler vi, at I får lavet et sikkerhedseftersyn af jeres netværk og servere og får forholdt jer til og implementeret følgende:

1. Password politik med stærke passwords på alle brugere i netværket.
2. Begrænsning af adgang udefra til Fjernskrivebord på serveren.
3. Begrænsning af rettigheder og gruppepolitik på server med fjernadgang.
4. Begrænsning af brugerrettigheder på filer på serveren.
5. Minimér brugen af netværksdrev tilkoblet serveren.
6. God antivirus med ransomware beskyttelse. Ikke en garanteret løsning, men kan fange noget.
7. Godt spamfilter på mail. Igen, det fanger ikke alt, men kan stoppe de mest åbenlyse spammails.
8. Få foretaget test af backup løbende.

Hvad kan man selv gøre:

1. Undlad at klikke på filer i mistænkelige mails, f.eks. Excel filer (.xlsx eller .xlsm) forklædt som faktura el. lign. Hvis ikke man forventer en faktura fra vedkommende, så lad være med at åbne den. Generelt skal fakturaer og lign. kun forekomme i .pdf format.
2. Opdager man mærkelige ting på sin PC, så frakobl med det samme PC'en fra netværket (fjern netværksstikket).
3. Kontroller mails fra backup system og følg op på eventuelle meldinger og/eller fejl. En god backup kan være guld værd, hvis uheldet er ude. Bemærk at vi i al væsentlighed kun kontrollerer dette for dem, som har en serviceaftale, der omhandler backup.
4. Tegn evt. en IT-forsikring der dækker omkostninger ved ransomware & virus.

Hvad kan vi gøre:

Hvis I ikke selv har styr på at få implementeret og gennemført de anbefalinger vi har, kan I rekvirere vores assistance til dette. Vi synes, at den forebyggende behandling er så vigtig, at vi gerne vil tilbyde 40% rabat på al forebyggende behandling i forbindelse med ransomware og virus, d.v.s. en timepris på kr. 765,-.

Hvis du/I skulle være interesseret i at benytte vore assistancer eller bare drøfte et eller andet i relation til ovenstående, så ring til vores tekniske afdeling på tlf. 39 53 75 35. De sidder parat til at hjælpe.