Advarer mot utbrudd av kryptovirus

Flere norske virksomheter er rammet.

CTB-Locker som skadevaren er kjent som ble første gang registrert i fjor sommer. Flere norske virksomheter er rammet den siste tiden, ifølge avdelingsdirektør Hans Christian Pretorius i NSM.
CTB-Locker som skadevaren er kjent som ble første gang registrert i fjor sommer. Flere norske virksomheter er rammet den siste tiden, ifølge avdelingsdirektør Hans Christian Pretorius i NSM. Bilde: Marius Jørgenrud
21. jan. 2015 - 11:54

Det advares om utbrudd av et såkalt kryptovirus som spres blant norske virksomheter. Bare siden i går har omfanget økt kraftig.

Flere norske virksomheter er rammet.

Det dreier seg om et kryptovirus kalt CTB-Locker som låser ned alle filene på ofrenes pc med sterk kryptering.

En systemadministrator fra Atea som digi.no har vært i kontakt med erfarer at spredningen i Norden nå er stor. Skadevaren ligger i et vedlegg til e-post.

– Viruset kommer som et vedlegg til e-post. Det spiller ingen rolle om brukeren kjører Outlook, webmail eller Notes. Så lenge brukeren klarer å starte vedlegget er uhellet ute, sier vedkommende.

Forholdet bekreftes både av Nasjonal sikkerhetsmyndighet (NSM) og Norsk senter for Informasjonssikring (NorSIS), som begge sendte ut advarsler tirsdag.

Her kan du lese advarselen og gode råd fra NorSIS.

Skadevaren gjør ofrenes filer ubrukelige. De får krav om å betale løsepenger for å låse opp innholdet. Kravet er i dette tilfellet betaling i bitcoin for tilsvarende 1500 dollar.

– Denne typen virus har eksistert i mange år i ulike varianter, som stort sett har truffet privatpersoner. CBT-Locker som dukket opp første gang i sommer og som vi nå advarer mot har sterkere kryptering. De som har blitt truffet har vært nødt til til å kjøre tilbake fra backup, sier Hans Christian Pretorius, NSMs avdelingsdirektør for operativ avdeling, til digi.no.

Ifølge ham har denne skadevaren fortsatt lav deteksjonsrate. Det betyr at det foreløpig er en del antivirus og sikkerhetsløsninger som ikke fanger den opp.

– Jeg kan ikke si hvilke virksomheter som er rammet. Foreløpig er det et fåtall, sier Pretorius.

Selv om flere antivirusprodukter ikke fanger opp trusselen, burde det være forholdsvis enkelt å ta sine forholdsregler. I dette tilfellet blir skadevaren levert som en zip-fil i et vedlegg.

– Så varierer filnavnet med litt tilfeldig valgte ord. I emnefeltet dreier det seg blant annet om fax, men vi har sett litt ulike tilfeller. Meldingen er på engelsk og ikke veldig skreddersydd. Dette er ikke et målrettet angrep, og det burde være mulig å reagere mot dette.

Selv om omfanget av infiserte virksomheter trolig ikke er veldig stort, kan NSM bekrefte at spredningen er tiltakende.

– Omfanget er ikke stort, men bare siden i går har vi sett en ganske stor økning, sier avdelingsdirektøren.

Foruten det klassiske rådet om å være forsiktig med hva man klikker på, kan det være hensiktsmessig for systemadministratorer å lage regler som stanser vedlegg av typen .exe og .zip.

    Les også:

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.