Vad gör man om man utsattas för en ransomwareattack

Att besöka en infekterad webbplats, att klicka på en skadlig länk, att stoppa in en upphittad USB-sticka i en dator – det här är bara några av de många sätt du kan råka ut för hackning eller en ransomware-attack. Det bästa är att ha arbetat proaktivt i organisationen att utbilda medarbetare, sätta upp goda rutiner och processer och att ha bra skydd installerade som antimalware-, antivirus- och brandväggsprogram och att alltid ta backup eller viktiga dokument i molnet via t.ex. Google drive, One Drive, Dropbox eller liknande. Men om ni ändå blir drabbade så kan det finnas möjlighet att lösa situationen utan att ta fram plånboken och betala lösensumman.

De flesta ransomware attacker låser filerna på de enskilda datorernas hårddiskar och på diskarna i ert nätverk. Det görs genom att filerna krypteras så de blir helt omöjliga att läsa för den som inte har den hemliga nyckeln att låsa upp dem. Nyckeln finns enbart hos angriparen och hela poängen med Ransomware är att angriparen vill få dig att betala en summa pengar för att få denna hemliga nyckel så du kan låsa upp filerna igen. Du kan se det som att en inbrottstjuv dyrkat upp ditt lås till huset hemma och har bytt ut låskolven. Nu begär denne pengar för att ge dig den nya nyckeln så du kan komma in i ditt eget hus.

Att kryptera filer tar tid så det handlar om att agera snabbt så snart attacken upptäckts. Kom ihåg att så länge minst en dator är infekterad och kör den skadliga koden så kommer alla filer den kommer över att fortsätta krypteras. Det gäller även de filer ni försöker återställa från backup, så återställ inte backuper innan ransomware programmet är borta från samtliga datorer.

Tänk även på att spara själva Ransomware meddelandet, det behövs i kommande steg.

Nu till de åtgärder du kan göra:

1. Först lås ut samtliga drabbade datorer från nätverket, ryck t.ex. nätverkskablar och stäng ned organisationens Wifi. För att vara riktigt säkra bör ni koppla ifrån samtliga datorer i organisationen från nätverket.
2. Starta sedan om datorerna i Safe mode genom att hålla ned skifttangenten medan du klickar på restart under windows-knappen
3. Gå in under startup options och klicka på Restart
4. Din dator kommer startas om och du får olika alternativ till hur datorn ska startas upp
5. Välj sedan alternativet för safemode, vanligen F4. Safe mode är ett kraftigt nedstängt Windows, endast ett minimum av funktioner aktiveras.
6. Det vi vill göra härnäst är att installera någon form av antimalware-programvara som lokaliserar RansomWare programmet och neutraliserar det. Det kommer inte dekryptera de filer som krypterats, men det stoppar Ransomware attacken från att fortsatta krypteringen. Det finns flera sådan programvaror på marknaden, några varianter är Malwarebytes anti-malware och Hitman pro.
7. Ladda ned dessa på en USB sticka och installera på datorn i Safe mode. Om du måste koppla upp datorerna mot internet så gör det i safe mode med internet anslutningsalternativet, F5. Se då till att du inte har datorn uppkopplad på organisationens nätverk utan koppla upp datorn direkt mot Internet.
8. Kör programvarorna i turordning. Det finns ingen garanti att detta kommer fungera. De kan även starta om de hittat och neutraliserat skadlig kod. Upprepa då processen med att starta om i Safe mode, köra programvarorna igen på alla diskar och även i root mode tills inget mer hot hittas.
9. Du kan nu koppla in en rensad dator på nätverket och börja skanna alla nätverksdiskar efter skadlig kod.

När ransomwareprogrammet stoppats och rensats bort överallt börjar du granska skadorna. Har filer krypterats, har du kvar den ransome note du fick, då finns möjlighet att lösa problemet utan att betala. Många ransomware krypton har knäckts och det finns lösningar att dekryptera filerna tillgängligt på nätet.

På siten id-ransomware kan du få hjälp att identifiera den ransomware du drabbats av och hitta information om det finns lösningar och instruktioner tillgängliga för att dekryptera filerna. Du laddar då upp den ransomware note du fick eller en av dina krypterade filer.

Om du får beskedet att det finns ett verktyg att dekryptera de krypterade filerna så ska du inte betala lösensumman. Följ istället instruktionerna du fick och försök dekryptera era filer.

Om den attack du utsatts för inte har en känd lösning så återstår att återställa backup. Det gör du först efter att du stoppat Ransomware programmet och sökt efter lösning att dekryptera filer. Ett sätt att göra detta på en hemma dator eller enskild arbetsdator är att först återställa datorn till en tidigare återställningspunkt. På ett större företag med många datorer lagras normalt inte filerna på de enskilda datorerna utan då återställer man backup för nätverksdiskarna.

På en enskild Windows dator gör du på följande vis:

1. Högerklicka på windows-knappen och välj “System”.
2. Välj “System protection”.
3. I dialogrutan som kommer fram väljer du “System restore”.
4. Om du har tur så finns det en återställningspunkt från innan datorn blev infekterad, välj denna.
5. Att återställa datorn tar ett tag.
6. Nu är det dags att återställa filer från din backuplösning om du har tillgång till en.

Om du inte har en backup och du bara vill få tillbaka kontrollen över ditt system så räcker det att rensa den skadliga koden, utreda hur den kom in och vidta åtgärder för att det inte händer igen.

Om det värsta händer, filerna är ovärderliga, det finns ingen backup och det finns inget känt sätt att dekryptera dem, då får du överväga att betala lösensumman. Det finns många gånger möjlighet att förhandla med angriparen. Kom ihåg att varje gång någon betalar för en ransomware attack så ökar incitamenten för angripare att fortsätta med denna typ av attacker. Det är inte heller ovanligt med en dubbel attack. När du betalt för att få tillbaka filerna så visar det sig att angriparen även kopierat dem och hotar att läcka dem om du inte betalar igen.