Aggressiv runde med spredning av krypteringsvirus

De siste ukene har en bølge med krypteringsvirus (ransomware) skyllet over norske brukere.

Angrepet kommer i mange ulike varianter, men vanligst er e-post utformet som en faktura eller bestillingsbekreftelse. Hvilke firma som står som avsender og selve innholdet i meldingen varierer veldig. Svindlerne rullerer flittig mellom ulike bedriftsnavn som nordmenn kjenner til. Merk at enkelte varianter har viruset som vedlegg i stedet for som en fil. Husk også at selv om det i media ofte advares mot en e-post med et spesielt innhold fra en spesiell avsender, skal det lite til å endre innhold/avsender.

Fra: "Jorunn Myhre" <Jorunn.Myhre@invoice.no>
Emne: Faktura 375888 fra Elkjøp Norge as 
Dato: 2. mars 2017 kl. 15.30.52 CET
Til: "XXX" <XXX@XXX.XX>
Svar til: "Jorunn Myhre" <Jorunn.Myhre@invoice.no>

Kundenr       : 433116731
Faktura       : 375888
KID           : 0000457936982727352992
Betalingsfrist: 24.03.2017
Å betale      : 643,48
Betales til   : Swift: ESSE NOK 2886 /  / Iban: NO 83 2332947699

https://dl.dropboxusercontent.com/s/xxxxxxxxxxx/127-393-848.zip?dl=0

Elkjøp Norge as
Fra: Anna Iversen <99955624@meb.k12.tr>
Dato: 28. februar 2017 kl. 11:48
Emne: Elektronisk kvittering på ditt kjøp 28.02.17
Til: XXXXX <XXX@XXX.XX>


Hei Kjære Kunde,

Vedlagt finner du din kvittering som avtalt.
 
https://dl.dropboxusercontent.com/s/xxxxxxxxx/kvittering8.zip
 
Vi takker for at du valgte å handle hos oss, og håper på snarlig gjensyn.
 
Takk for at du valgte å handle hos oss.
 
Vennlig hilsen
Anna Iversen

Svindelen baserer seg på at mottakeren blir skremt/irritert over å motta faktuaer og bestillingsbekreftelser man ikke kjenner til. Dette medfører at de åpner linken i e-posten for å sjekke ut hva dette er,  uten å tenke seg om.

Følger man linken lastes det ned en fil, og når man forsøker kjøre filen starter krypteringsviruset.  Du kan lese mer om hva et krypteringsvirus gjør i denne bloggposten, men i all hovedsak gjør det filene dine utilgjengelige, og bakmennene krever betaling for å åpne de opp igjen.

Hva gjør jeg om jeg åpnet linken?

Har du åpnet linken, kjørt fila og dine data er blitt kryptert (låst) er det svært lite du kan gjøre. Du kan selvsagt betale, men dette er sterkt frarådet.

Det er ikke kjent om krypteringen starter umiddelbart, eller om den utsettes i tid. Det kan derfor være lurt å skru av maskinen og få kyndig hjelp til å hente ut filene/fjerne viruset før det er for seint, selv om du ikke har merket noe.

Det meste tyder på at varianten av krypteringsvirus som spres i denne runden kun angriper Microsoft Windows. Derfor er du mest sannsynlig trygg om du åpnet linken på en Mac eller Andorid/iOS-enhet.

Husk også at å ha en komplett backup/sikkerhetskopi av alle data er den eneste gode beskyttelsen mot krypteringsvirus.

Hvordan skulle jeg skjønt at dette var svindel?

  1. Innholdet i e-posten er en ukjent faktura eller bestillingsbekreftelse. Dette er et velkjent knep hos svindlere for å få mottakeren til å handle raskt og irrasjonelt. Får du en ukjent faktura eller bestillingsbekreftelse så kontakt avsender (ikke ved å svare på e-posten). Aldri åpne linker eller vedlegg til noe du ikke vet hva er eller hvorfor du har fått.
  2. Avsender er navnet på en person – Bedrifter ville bruke sitt firmanavn (Merk at dette er like enkelt å skrive for svindlerne som et personnavn)
  3. E-postadressene tilhører ikke (det etter @) bedriftene som det refereres til. En e-post fra Elkjøp bør slutte med @elkjop.no (Merk deg imidlertid at det er enkelt for svindlerne å forfalske avsender)
  4. Informasjonen står ikke som tekst i e-posten, men du henvises til en link (eller vedlegg). Det er generelt veldig skummelt å følge linker eller åpne vedlegg i e-post
  5. Dersom e-posten henviser til e-faktura, husk at disse vil kun sendes ut til din nettbank
  6. E-postene er enkelt utformet rent grafisk (Merk at det ikke er noen grunn til at svindlere ikke kan lage svært grafisk tiltalende e-post)
  7. Filene som skal inneholde faktura/bestillingsbekreftelse har filendelsen zip eller exe. Dette er eller inneholder programfiler. Naturlig filendelse ville vært pdf.
  8. Linken i e-posten peker ikke til avsenders webservere. Elkjøp burde hatt en adresse som starter med http://www.elkjop.no, ikke https://dl.dropboxusercontent.com. Merk deg imidlertid at hva som står på linken, og hvor den fører ikke nødvendigvis er det samme.

Vi har også samlet en del tips til hvordan svindlere opererer via e-post i denne bloggposten.

I tillegg anbefaler vi at du forsøker holde deg oppdatert på slike svindler. I over en måned har det i mange ulike fora blitt advart mot nettopp disse svindlene, men dessverre får ikke alle med seg advarslene og blir dermed nye offer. Selv om det tar litt tid å holde seg oppdatert, er det en liten investering i forhold til konsekvensene slike svindler kan medføre. Vi vil også anbefale å lære seg litt mer om datasikkerhet generelt, og ulike kjennetegn på svindler, slik at du selv vil være i stand til å oppdage slike svindelforsøk. Et tips i den anledning er denne bloggen og boka vi har skrevet.

 

 

You may also like...

Leave a Reply

Your email address will not be published. Required fields are marked *


CAPTCHA Image
Reload Image