Browse By

Beskyt dig imod ransomware

Som jeg før har sagt, mener jeg ikke at der er noget som er 100% sikkert. Der er dog alligevel en del ting du kan gøre, hvis du frygter at blive ramt af ransomware. Som med alt andet sikkerhed skal du gøre op med dig selv, hvor meget arbejde du vil ligge i at beskytte din data. Nogle af de ting jeg kommer ind på, er ganske logiske og som du måske allerede gør i forvejen. Andre af tingene kan være lidt tricky at sætte op og du skal vende dig til, at udføre dit arbejde på computeren på en lidt anden måde, end du er vant til. Disse råd kan være med at til begrænse risikoen for at du bliver ramt af ransomware betragteligt.

Ransomware

Backup!!!

Det kan ikke siges tit nok, så her kommer det igen. Husk at tage backup af din vigtige data såsom billeder og dokumenter. Benyt gerne en ekstern USB disk og fjern den fra computeren når den ikke bruges. Ransomware angriber alle de diske den kan se på computeren heriblandt USB drev og netværksdrev. Online tjenester såsom Dropbox kan godt benyttes til backup. Her er det dog vigtigt ikke at oprette en folder, som automatisk synkroniserer med Dropbox. Hvis der kommer ransomware på maskinen, vil denne folder nemlig også blive krypteret. Både lokalt og hos Dropbox.

 

Benyt opdateret antivirus

Selvom der er begrænset, hvor meget de forskellige antivirus programmer stopper af nye typer angreb, er det værd at have et antivirusprogram installeret. Som jeg før har været inde på i artiklen “Undgå at din computer bliver hackernes næste offer“, er der ikke nogle antivirusprogrammer, som er meget bedre end de andre. Hvis du ikke allerede har et antivirusprogam, anbefaler jeg at benytte et af de gratis alternativer som findes. Mange af antivirusproducenterne deler det malware, som bliver opdaget med hinanden. Når der kommer en ny udgave af ransomware og en af antivirusprodukterne begynder at detektere den, vil de andre efter lidt tid typisk også begynde at fange den. Derfor er det vigtigt at benytte antivirus, men stol ikke på at det vil stoppet  det hele- Specielt ikke nye typer angreb.

 

Pas på dine mails

Mange af de angreb vi har set Danmark, er sket via mails som er blevet sendt til en masse forskellige mennesker på en gang. De er skrevet på dansk og bliver typisk ikke fanget i spamfilteret. Nogle email udbydere såsom Gmail, tillader ikke at man kan sende eksekverbare filer (programmer) via emails. Disse bliver blokeret så de aldrig kommer frem til modtageren. Undersøg om dette kan sættes op på hos din email udbyder, da det er alligevel er sjælendt, at man har behov for at modtage denne typer filer på email. Du kan også opsætte dine egne filter regler på email klienten. Hvis du ved, at der er et ransomware angreb i gang som for eksempel indholder “Post Nord”, kan der laves en regel som putter mails med denne tekst i spamfolderen, så du ikke kommer til at klikke på den.

 

Sund fornuft

Lad være med at åbne mails som kommer fra folk du ikke forventer at modtage mails fra. Hvis du ikke venter en pakke fra Post Nord så slet mailen. Det skal dog lige nævnes at det ikke er selve mailen som er farlig, det er den hjemmeside der linkes til i mailen. Her vil hackerne enten prøve at narre dig til at hente en fil som indholder ransomwaren, eller de vil prøve at inficere din maskine når du besøger siden, hvis der er en sårbarhed i browseren som de kan udnytte.

 

Din bruger

De fleste af os benytter os af en bruger, som har administratorrettigheder på vores maskiner. Det er typisk det som maskinen er sat op med fra starten af, med mindre man har ændret det manuelt efterfølgende. Denne bruger har adgang til at installere programmer, oprette nye brugere stoppe for andre programmer såsom antivirus og så videre. Hvis du får ransomware ind på maskien, vil den typisk have samme rettigheder som brugeren som er kommet til at starte den. Det vil i dette tilfælde sige som administrator. Dette kan undgås ved at oprette en bruger med standard rettigheder, som du bruger når du arbejder ved computeren.
Standard BrugerDet som du vil opleve, er at computerne kommer og spørger efter et administrator kodeord, hvis du prøver at udføre nogle handlinger som din bruger ikke har lov til. Det kan være at installere programmer eller at stoppe for antivirusen. Dette vil hjælpe med at beskytte computeren imod nogle af de ting ransomwaren forsøger at opnå.

 

Begrænsning på AppData folderen

De fleste af de ransomware angreb vi har set i Danmark, er startet i en folder som ligger et bestemt sted på maskinen. Mappen ligger under brugerens %AppData% folder. Ved at blokere for at man kan starte bestemte filtyper herfra, vil man kunne undgå at ransomwaren bliver afviklet, hvis den skulle finde ind på maskinen. Det kan være lidt forskellig, hvordan man blokere for dette, afhængigt af hvilken version af Windows man benytter, så jeg tager udgangspunkt i den danske udgave af Windows 10.

Åben Windowsmenuen og skriv mmc. Højreklik og vælg “kør som administrator”
gpo1
Vælg Snap-in
gpo2
Vælg “Editor til gruppepolitikobjekter”
gpo3Tryk “Tilføj knappen”

GPO3_5Tryk “udfør”
Vælg “Yderligere regler” ligesom i figuren

GPO4
Højreklik i højre vindue og vælg “Ny regel for sti”

GPO5

Udfyld med nedenstående og tryk ok

GPO6

Stien skal være: %localAppData%\*.exe

Tilføj ny regel på samme måde som ovenfor

Læg mærke til at der er et ekstra \* i sti feltet. Denne regel gør at begrænsningen også gælder for underfoldere til %localAppData%.

GPO7

Stien skal være. %localAppData%\*\*.exe

(hvis det også skal gælde for underfoldere til disse underfoldere, kan man tilføje endnu en regel med en ekstra \*. Dvs.  %localAppData%\*\*\*.exe)
For at teste om det virker kan du gå til C:\Users\Dit Brugernavn\AppData\Local eller skriv %AppData% i et filexplorer vindue og kopier en .exe fil til mappen, eller i en af undermapperne, for at teste at den bliver blokeret når du trykker på den.
Du burde nu blive mødt med denne besked, hvis der er en .exe fil som prøver at blive kørt herfra.

GPO8

Vær opmærksom på at .exe filer ikke er de eneste filtyper, som kan indholde ransomware.  Denne metode med at blokere for filer kan udvides efter behov, på samme måde som  jeg har beskrevet ovenfor. Exe skal bar erstattes af en anden filendelse såsom .bat eller .cmd eller hvad som kan være relevant. Hvis der bliver blokeret for nogle filer som ikke er ondartet kan de flyttes til en anden folder på maskinen og kører herfra. Dette vil typisk kunne ske hvis man downloader en fil fra internettet og vælger “åben” i stedet for at gemme den først. Så kan det ske at filen bliver kørt fra  %localAppData%\temp folderen. Det kan derfor være nødvendigt at gemme filen, før den bliver afviklet.

 

Secure DNS

For at blokere for de hjemmesider som typisk indholder ransomware, er det muligt at benytte sig af Secure DNS  . Secure DNS vedligeholder en liste over skadelige hjemmesider og blokerer for dem, så du ikke kan tilgå dem og blive inficeret. Rent teknisk foregår det ved, at du skifter dine DNS servere ud med nogle som har denne liste. Dette er dog heller ikke den gyldne løsning, da der kan gå noget tid, før der bliver fundet ud af at en hjemmeside er skadelig.
Dette er nogle af de tiltag du kan gøre for at minimere risikoen kraftigt for at blive ramt af malware. Hackerne bliver hele tiden mere opfindsomme så sørg for have en lille smule sund paranoia når det kommer til beskyttelse af dine vigtige data.

Del artiklen med andre

3 thoughts on “Beskyt dig imod ransomware”

  1. Stegemüller says:

    Hej Simpelt

    Jeg er nu i gang med din vejledning http://simpelt-sikkerhed.dk/beskyt-dig-imod-ransomware/ . Den er rigtig god og lige til at gå til, og jeg sætter dig på min blogroll, for du skriver godt.

    Jeg er i tvivl om:

    1) Hvis jeg nu opretter en ny bruger, der ikke har administratorrettigheder ved Windows så godt, at det er denne konto jeg vil bruge, når jeg starter Windows?

    2) Hvordan foregå det, hvis jeg pludselig har behov for at køre som administrator?

    Venlig hilsen
    Hanne

    1. Simpelt says:

      Når du har flere bruger på systemet, plejer man at kunne vælge imellem dem på login skærmen. Typisk husker Windows den bruger man har logget på med sidst, så man slipper for at vælge bruger hver
      gang. Hvis du har behov for at køre som administratorbrugeren af den ene eller anden årsag, så angiver du bare det brugernavn som du har givet administratorbrugeren når du logger på Windows.

  2. Pingback: Ransomware og Classic Shell – Stegemüllers vindue mod verden
  3. Trackback: Ransomware og Classic Shell – Stegemüllers vindue mod verden

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *