En gang i tiden var virus noe som var et irritasjonsmoment. Det dukket kanskje opp noen merkelige meldinger på skjermen, eller det ble brukt for å vise deg litt ekstra reklame.

De siste årene har bakmennene blitt stadig mer sofistikerte. Hovedmålet nå er som regel én av to: Enten unngå at du legger merke til at du er infisert, slik at en kan stjele kredittkortinformasjon, brukernavn og passord eller lignende - eller en ønsker å rundlure deg i et forsøk på å svindle deg.

Men noen har vært direkte ondskapsfulle. Før årtusenskiftet var det en relativt mislykket versjon kalt CIH - eller Chernobyl - som forsøkte å fysisk ødelegge PC-en din, og litt senere dukket et utrolig aggressivt virus kalt «Love Letter» eller «ILOVEYOU». I et forsøk på å spre seg selv, slettet den alt som var av bilder og Word-dokumenter du hadde liggende på PC-en din og erstattet alle dokumentene med kopier av seg selv.

Onde hensikter

Og nå ser det ut til at de mer ondskapsfulle virusformene er tilbake på full anmarsj. Sikkerhetsselskapet F-secure har nylig offentliggjort sin rapport for første halvår av 2012, og en av de største trendene for tiden er virus som enten truer med, eller lykkes med, å slette deler eller alle dokumentene dine.

Fenomenet kalles Ransomware - eller kidnappingsvirus - og er for så vidt ikke noe nytt. Vi skrev om fenomenet for første gang 2006, men har så langt vært relativt lite utbredt.

Måten viruset fungerer på er grovt sett den krypterer store deler av dine private dokumenter, og så gir deg en melding om at enten betaler du løsepenger, ellers vil du aldri få tilgang til dokumentene dine igjen.

- Ransomware har vært en lengelevende, men relativt usynlig trussel i sikkerhetsmiljøet. Men i 2012 så har vi både sett en kraftig økning i antall infeksjoner, og ikke minst måten programvaren fungerer på, skriver F-Secure i sin rapport.

To skikkelige drittsekker

Det er spesielt to virusfamilier, som har fått de klingende navnene Reveton og Ransomcrypt, som herjer for tiden. Og bakmennene legger mer jobb i produktet sitt enn mange for tiden.

Reveton liker å utgi seg for å være politiet i det landet du bor i. Som infisert bruker får du opp en stor melding på skjermen fra politiet, på en måte som beskrives som forseggjort og hele brukergrensesnittet blir låst. I meldingen får en beskjed om at PC-en er observert på ulovlige nettsider, som barnepornografi og at maskinen settes i forbindelse med terrorsnakk. PC-en er dermed fryst fram til en har betalt en bot.

Varianten er lokalisert til en lang rekke europeiske land, blant annet Sverige og Finland. Vi har så langt ikke sett en norsk variant dokumentert.

Boten kan kun betales med ikke-sporbare betalingskort.

Varianter skal ifølge F-Secure også erstatte bakgrunnsbildet på PC-en med svært eksplisitte pornobilder, som skal ha som mål at en ikke skal tørre å be om hjelp om det hele skjer.

Ikke prøv noe dumt...

Utgaven Ransomcrypt følger litt det samme sporet, men fremfor å utgi seg for å være politiet, blir PC-en låst fordi det er oppdaget piratkopiert programvare på maskinen. En må derfor betale for programmene, før en får tilgang til sine personlige filer.

Ransomcrypt er spesielt sleip, fordi den gir brukeren fem forsøk på å skrive inn korrekt passord - som oppgis hvis en betaler. Om en forsøker å gjette seg til passordet, sletter hele programmet seg fra PC-en etter de fem forsøkene, og etterlater en PC der du ikke lenger har dine private filer.

Hold PC-en oppdatert

Mange av variantene som nå spres gjennom såkalte «drive-by-download», som betyr at programvaren installeres bare ved at du besøker en infisert nettside, uten at du nødvendigvis trenger å trykke på noe. Dette skjer gjennom sårbarheter i forskjellige former for programmer på PC-en, og det er derfor utrolig viktig å holde alle programmer oppdatert og rutinemessig sjekke for oppdateringer.

Dette kan du få hjelp til med programvare som dette.

- Kontakt din ISP eller sikkerhetsleverandør for hjelp. I noen tilfeller er det verktøy tilgjengelig som kan gjenopprette filene dine. Men hvis PC-en er infisert, så bør du vurdere å formatere alt, fremfor å betale løsepengekravet, oppfordrer F-Secure.

...og ta backup!

Og kanskje viktigst av alt:

- Kjør backup av filene dine regelmessig. Hvis du blir infisert, kan du gjenopprette filer fra en backup, sier de.

Klare norske anbefalinger

Den norske rådgivningstjenesten NorSIS, kjenner godt til fenomenet med «løsepengevirus» som de kaller det.

- I tillegg til at filer på brukerens datamaskin krypteres, krypteres også filer som ligger på delte nettverkstilkoblinger som datamaskinen har tilgang til, advarer de.

Dette betyr at om PC-en som er infisert er koblet til et nettverk, noe en gjerne er i bedrifter, men også enkelte hjemmenettverk - kan alle bli utsatt for konsekvensene.

De har følgende anbefalinger:

  • NorSIS anbefaler ikke å betale løsepenger til de kriminelle for å få passordet som dekrypterer filene
  • Ta jevnlig sikkerhetskopi.
  • Slik situasjonen er i dag med dette viruset, er den enkleste måten å rydde opp i viruset på å renske opp i systemene og rulle tilbake en sikkerhetskopi.
  • Ha oppdatert antivirusprogram
  • Oppdater alle programmer på datamaskinen. I dette tilfellet trolig spesielt viktig å oppdatere nettlesere og Java.