Petya – Ett ransomware som hindrar datorns uppstart

Ransomware är ett växande hot mot både privatpersoner och företag som få kan ha missat vid det här laget. Attackerna åsamkar stor skada i och med att de krypterar filer och gör de otillgängliga för användarna. Endast ifall man betalar den lösensumma som begärs kan man få sina filer upplåsta igen.

Nu kommer nästa form av ransomware som krypterar en vital databas på Windows-datorer. Krypteringen gör att operativsystemet inte längre vet var filen finns och därför inte kan starta upp datorn.

Ransomware krypterar vanligtvis lokala filer

I tidigare attacker har ransomware primärt infekterat lokala filer och ibland delade nätverkshårddiskar vilket kan innebära stora problem för såväl privatpersoner som företag.

Vanligtvis infekteras användare genom phishing-mail, d.v.s. bluffmail som exempelvis kan innehålla en bifogad fil eller en länk till en hemsida där användaren luras att installera den skadliga koden.

I Sverige har phishing-attacker som skett i PostNords namn varit uppmärksammade. Där har användare lurats till en webbplats för att hämta sin fraktsedel. Där har de som drabbats fyllt i en captcha-kod på webbplatsen och har då fått ransomware installerat på datorn.

Eftersom ransomware är enormt lukrativt för de som skapar virusen är det här ett problem som är här för att stanna.

Petya låser datorn så att den inte kan starta upp

Nu kommer rapporter om en ny form ransomware, som har fått namnet Petya. Detta ransomware låser datorn och förhindrar uppstart vilket stänger användaren ute från sin dator. Petya skriver över datorns gemensamma startsektor (MBR) vilket gör att datorn inte vet vilken del av datorn som innehåller operativsystemet eller hur det ska startas.

I ett första skede har attackerna skett via mail som ser ut att vara jobbansökningar. Detta görs förmodligen för att de har som mål att komma i kontakt med personalavdelningen och på så vis infektera företag.

Den som klickar på länken i mailet hamnar i en delad Dropbox-mapp som innehåller ett cv och ett foto, i ett arkiv som öppnas upp automatiskt. Ifall man laddar ner arkivet och kör det installeras viruset och användaren kommer då mötas av The Blue Screen of Death (BSOD).

När Windows kör den automatiska felkontrollen efter ett sådant problem så krypteras inte filernas data i sig eftersom det skulle ta väldigt lång tid, istället krypteras databasen så att operativsystemet inte längre vet var filerna finns.

Den som har drabbats möts sedan med ett meddelande med instruktioner om hur man ska gå tillväga för att dekryptera datorn. I de fall som identifierats rör det sig om lösensummor på 3 500 kronor.