Ansatte i virksomheter blir stadig utsatt for phishing-forsøk. Posten blir nå utnyttet i et svindelforsøk. E-post som ser ut til å inneholde hentelapp fra Posten inneholder skadevare, såkalt ransomeware.
Svindelen spres via e-poster som ser ut som bildet til venstre. Dersom du trykker på lenken i e-posten vil du bli sendt til en nettside som ser ut som bildet nedenfor.Etter å ha fylt inn “CAPTCHA” vil nettleseren laste ned en fil pakket med ZIP som inneholder skadevare (Kilde: Telenor SOC).
Det som skjer når
man trykker på vedlegget i e-posten er at 
dokumenter og bilder lokalt blir kryptert. Filene får benevnelsen .encrypted og lar seg ikke åpne uten krypteringsnøkkel som de kriminelle ønsker betaling for å utgi.
Skadevaren, som er en ny versjon av Cryptolocker, kjører lokalt på maskinen. Ved å laste ned “hentelappen” setter man manuelt igang skadevaren med den påloggede brukerens rettigheter.
Delte mapper i nettverket, inkludert lagringstjenester av typen Dropbox eller OneDrive er innen rekkevidde og kan bli rammet fra den infiserte datamaskinen.
Digi.no har omtalt et tilfelle hvor angriperne forlangte drøyt 4000 kroner i bitcoin for nøkkel til én infisert maskin.
Med mindre man betaler, eller har backup, er filene tapt. Man har imidlertid ingen garanti for at de kriminelle bakmennene gir deg nøkkelen for dekryptering hvis man betaler. Flere virksomheter har blitt rammet av skadevaren.
NorSIS anbefaler:
- Sørg for gode backuprutiner. Test jevnlig at back-up fungerer, såkalt restore
- Ha opplæring av de ansatte slik at man ikke umiddelbart trykker på lenker
- Ikke finansier kriminell virksomhet ved å betale løsepenger, ikke sikkert man får dekrypteringsnøkkel uansett