Observationer om skadliga program från Autoreporter-tjänsten | Traficom
Hoppa till huvudinnehåll
Cybersäkerhetscentret
Anmäl kränkningar
Anmäl kränkningar
Anmäl kränkningar

Observationer om skadliga program från Autoreporter-tjänsten

På den här sidan presenteras de vanligaste skadliga programmen som vårt Autoreporter-system har observerat under det senaste kvartalet.

Malware (eng. Malicious software) är skadliga program. Begreppet omfattar maskar, virus, skadliga program som laddar ner andra skadliga program och spionprogram (eng. Spyware). En del av de skadliga program som Cybersäkerhetscentret observerat hör till familjer av skadliga program, men ett skadligt program kan också vara en del eller en variant av något annat skadligt program. Det ursprungliga skadliga programmet kan ha muterat så många gånger att det gett upphov till sina egna familjer av skadliga program. Vissa kriminella organisationer erbjuder skadliga program som nättjänst (Malware-as-a-service), och den infrastruktur som de erbjuder används för att köra otaliga olika skadliga program.

Vad är Autoreporter-systemet?

Vi hjälper till att bekämpa skadliga program tillsammans med teleföretag genom Autoreporter-systemet. Autoreporter-systemet får information om trafik från skadliga program som har sitt ursprung i Finland från nästan överallt i världen. Informationen förmedlas till teleföretagen som tillhandahåller abonnemangen. De meddelar sedan sina kunder om observationerna. I den här statistiken berättar vi om de 10 vanligaste skadliga programmen som observerats och namngetts genom Autoreporter-systemet.

Den här artikeln uppdateras varje kvartal.

Vad?

Gamarue är ett särskilt elakartat skadligt program, som har fått fotfäste över hela världen. Det finns särskilt mycket av det i Asien. Gamarue som redan är flera år gammal är en av de farligaste Windows-bottarna.

Hur ser det skadliga programmet ut och vad gör det?

Gamarue gör det möjligt för hackers att ta över enskilda datorer och stjäla information och ändra på inställningar. Ett botnät är ett nät av infekterade datorer som kommunicerar med en ledningsserver (command and control servers).

Botnätet används ofta för olika cyberbrott. Målet är oftast att skapa en tillräckligt stor infrastruktur som kan användas för att leta efter känslig information. De tjänar pengar genom utpressning eller t.ex. genom att sprida skadliga program eller skräppost. Gamarue-botten säljs som ett paket med namnet ”Andromeda Builder”; beroende på priset innehåller paketet olika tilläggsdelar som gör kriminell verksamhet lättare.

Gamarue har som mål att sprida andra familjer av skadliga program. Genom att installera andra skadliga program utvidgas botnätets storlek och kapacitet. Gamarue sprider särskilt utpressningsprogram, trojaner och bakdörrar (eng. backdoor).

Hur skydda sig mot detta skadliga program?

  • Använd antivirusprogram.
  • Var försiktig med vad du klickar på, då e-postmeddelanden kan ha länkar eller bilagor som kan bidra till spridning av skadliga program.
  • Se till att du har säkerhetskopior.
  • Använd starka lösenord och i mån av möjlighet flerfaktorsautentisering.
  • Använd inte samma lösenord i flera tjänster.
  • Se till att din programvara och ditt operativsystem är uppdaterade.

Vad ska man göra om man blivit smittad?

Ett antivirusprogram kan vanligtvis radera det skadliga programmet, eller åtminstone meddela att en åtgärd utförts. Efter att du klickat på en suspekt länk rekommenderar vi att låta antivirusprogrammet skanna hela systemet. Det säkraste sättet att radera skadliga program är genom att installera hela operativsystemet på nytt. Byt också lösenorden, då de skadliga programmen kan stjäla information.

Vad?

Den kriminella gruppen Avalanche erbjuder nätfiske och spridning av skadliga program som en tjänst åt andra brottslingar. Gruppen använder och sprider flera familjer av skadliga program. Autoreporter-tjänstens observationskällor kan inte individualisera alla skadliga program som Avalanche-gruppen använder i nättrafiken, men kan identifiera när en infekterad dator kontaktar en ledningsserver som gruppen använder.

Avalanche avser ett stort globalt datanät. Datanätet upprätthåller infrastrukturen som cyberbrottslingar använder, genom vilket de till exempel utför kampanjer för nätfiske och spridning av skadliga program.

Ett system som infekterats av skadliga program med anknytning till Avalanche kan vara objekt för illvillig verksamhet, såsom stöld av användarnamn och lösenord och andra känsliga uppgifter såsom bank- eller kreditkortsuppgifter. Vissa skadliga program kan kryptera filer och kräva lösen från offren för att ge dem tillgång till filerna igen. De skadliga programmen kan också möjligen öppna en distanskoppling till den infekterade datorn, och de infekterade datorerna kan användas för att utföra distribuerade överlastningsangrepp.

Hur ser det skadliga programmet ut och vad gör det?

Cyberbrottslingar använder Avalanches botnätsinfrastruktur för att upprätthålla eller sprida olika varianter av skadliga program åt sina offer. Minst 40 stora finansinstitut har utsatts för angrepp. Offrens känsliga och personliga uppgifter kan ha stulits, och de utsatta systemen kan ha använts för annan illvillig verksamhet. Till verksamheten hör till exempel distribuerade överlastningsangrepp eller att sprida varianter av skadliga program till offrens datorer. Avalanches infrastruktur har också använts för penningtvätt, och människor har lockats till att utföra bedrägerier såsom att transportera eller stjäla pengar och gods.

Avalanche använder fast-flux DNS-teknik, det vill säga en snabbflytande ledningsserverinfrastruktur som består av olika infekterade servrar. I infrastrukturen som Avalanche upprätthåller bor åtminstone följande familjer av skadliga program:

  • Windows-encryption Trojan horse (WVT) (aka Matsnu, Injector, Rannoh, Ransomlock.P)
  • URLzone (aka Bebloh)
  • Citadel
  • VM-ZeuS (aka KINS)
  • Bugat (aka Feodo, Geodo, Cridex, Dridex, Emotet)
  • newGOZ (aka GameOverZeuS)
  • Tinba (aka TinyBanker)
  • Nymaim/GozNym
  • Vawtrak (aka Neverquest)
  • Marcher
  • Pandabanker
  • Ranbyus
  • Smart App
  • TeslaCrypt
  • iBanking Trusteer App Trojan
  • Xswkit  

Avalanche används också som ett fast flux-botnät, och infrastrukturen som den erbjuder används för att möjliggöra kommunikation för åtminstone följande botnät:

  • TeslaCrypt
  • Nymaim
  • Corebot
  • GetTiny
  • Matsnu
  • Rovnix
  • Urlzone
  • QakBot (aka Qbot, PinkSlip Bot)

Hur skydda sig mot detta skadliga program?

  • Använd antivirusprogram och håll det uppdaterat.
  • Se till att uppdateringar, säkerhetsuppdateringar och operativsystemsuppdateringar är aktuella.
  • Klicka inte på länkar i e-postmeddelanden eller textmeddelanden utan att tänka efter, även länkar som verkar ha skickats av bekanta kan ha ett annat ursprung. Det är bäst att direkt ta sig till webbplatsen genom webbläsaren eller ett bokmärke.
  • Ändra regelbundet på dina lösenord, och använd inte samma lösenord i olika tjänster.

Vad ska man göra om man blivit smittad?

  • Efter att du klickat på en suspekt länk eller märkt att något underligt händer rekommenderar vi att låta antivirusprogrammet skanna hela systemet.
  • Det finns gott om verktyg på marknaden som kan hjälpa till att hitta och ta bort skadliga program.
  • Det är viktigt att ändra på lösenorden om din enhet har varit infekterad av ett skadligt program.

Vad?

Bamital är en familj av skadliga program som stjäl webbläsartrafik och förhindrar tillgång till vissa säkerhetsrelaterade webbsidor genom att ändra Hosts-filen som hänför sig till DNS-förfrågningar. Bamitalvarianterna kan också ändra vissa verkliga Windows-filer för att kunna exekvera sin utnyttjandekod. Bamital installeras ofta genom en infekterad webbsida som sprider skadliga program.

Hur ser det skadliga programmet ut och vad gör det?

Bamital har använts för klickbedrägerier (click-fraud) i anslutning till internetannonser och det huvudsakliga syftet är att stjäla webbläsarens sökresultat. Bamital skapar också användaroberoende nättrafik, till exempel besök på webbsidor. Det skadliga programmet Bamital delas ut automatiskt till besökare på webbsidor och utan att användarna vet om det samt genom skadliga filer på icke-hierarkiska nät (P2P).

Det skadliga programmet sprids via skadliga webbsidor (expoit kit). Den skadliga webbplatsen använder en hel del sårbarheter som man försöker utnyttja i angreppet mot offrets webbläsare för att installera det skadliga programmet.

Efter att Bamitals trojan blivit installerad börjar det skadliga programmet stjäla information från offrets enhet eller förhindra enhetens normala funktion. Det är också möjligt att det skadliga programmet ställer offret ett lösenkrav som man ska betala för att uppgifterna eller filerna kan användas normalt igen.

Hur skydda sig mot detta skadliga program?

  • Använd en brandvägg och slå den på.
  • Se till att operativsystemet, program och antivirusprogram är uppdaterade.
  • Begränsa behörigheter för användarnas användarkonton.
  • Var försiktig när du öppnar e-postbilagor och överför filer.
  • Klicka inte vårdslöst på länkar till e-post eller webbsidor.
  • Överväg noggrant om det lönar sig att ladda ned gratisprogram på enheten.
  • Använd bra lösenord, återanvänd inte lösenord och använd flerfaktorsautentisering, om möjligt.

Vad ska man göra om man blivit smittad?

Ett antivirusprogram kan vanligtvis radera det skadliga programmet, eller åtminstone meddela att en åtgärd utförts. Efter att du klickat på en suspekt länk rekommenderar vi att låta antivirusprogrammet skanna hela systemet. Det säkraste sättet att radera skadliga program är genom att installera hela operativsystemet på nytt. Byt också lösenorden då de skadliga programmen kan stjäla information.

Vad?

Hummer är ett spökprogram (rootkit) vilket betyder att det är väldigt svårt att radera det. Efter att ha gjort intrång i enheten tar Hummer över administratörsrollen, visar reklam åt användaren och börjar ladda ner appar som kan vara skadliga eller som snabbt tömmer batteriet. Hummer samlar också in personuppgifter, särskilt användarnamn och lösenord för bankkonton.

Detta skadliga program är utvecklat för operativsystemet Android, så iPhone-användare behöver inte oroa sig för Hummer. Även om en version av Hummer inte hittills har utvecklats för iOS-operativsystemet för iPhone, lönar det sig ändå att följa anvisningarna nedan även om man använder en iPhone.

Hur ser det skadliga programmet ut och vad gör det?

Hummer fungerar genom att ge sig själv administratörsrättigheter. Efteråt börjar programmet visa otaliga popup-reklamer och installera icke-önskade appar, spel, pornografiska appar och skadliga program. Om användaren försöker radera apparna installerar Hummers trojan dem på nytt om och om igen.

Enligt de senaste uppgifterna har Hummer-familjen över 18 olika root-metoder. Informationssäkerhetsforskare har uppskattat att Hummer kan vara en av de mest utbredda trojanerna i världen, som kan ha påverkat miljontals telefoner.

Hur skydda sig mot detta skadliga program?

  • Ladda aldrig ner appar utanför de officiella app-butikerna.
  • Klicka inte på länkar i textmeddelanden utan att tänka efter.
  • Ha ett antivirusprogram installerat också på telefonen.
  • Håll ett öga på telefonens funktion, till exempel om den plötsligt blir långsammare eller börjar bete sig underligt.
  • Är du bekant med apparna i din telefon; vilka appar behöver du och vilka behöver du inte? Kanske det finns en suspekt app i din lista över installerade appar som du inte själv installerat?
  • Skydda dina lösenord, och förvara dem inte i skriven form i till exempel telefonens anteckningsbok eller sparade som en kontaktuppgift.
  • Ge inte dina lösenord/din telefon till personer du inte känner.
  • Dela inte dina användarnamn eller lösenord i meddelanden eller per telefon.

Vad ska man göra om man blivit smittad?

Det är ytterst svårt att radera det skadliga programmet Hummer. Hummer tar över enheten till den grad att vanliga antivirusverktyg inte kan radera det helt. Situationen förvärras av att det inte ens räcker att återställa enheten till fabriksinställningarna. Enheten måste återställas genom en ren systemkopia, inga andra åtgärder räcker till.

Vad?

Prizmes är en familj trojanska skadliga program som infekterar Android-enheter. Trojanerna kör olika funktioner utan användarens samtycke. Till dessa funktioner hör till exempel fjärrkontroll, tangentloggning, insamling av systemdata, nerladdning av filer, nerladdning av andra skadliga program i det utsatta systemet, överlastningsangrepp och exekverande eller avslutande av processer.

Vad?

Mirai är ett skadligt program som kan infektera smarta enheter och routers i hemmet. Mirai skapar ett fjärrstyrt bot- eller zombienät av de smarta enheterna. Botnätet används ofta för att starta distribuerade överlastningsangrepp (DDoS). Mot slutet av år 2016 orsakade Mirais botnät driftfel i stora delar av internet, många populära tjänster saktade ner betydligt och miljontals användare påverkades.

Hur ser det skadliga programmet ut och vad gör det?

Mirai skannar nätet och letar efter IoT-enheter som använder ARC-processorer. Enheterna kan vara vad som helst, från jordbruksenheter till bevattningssystem, övervakningskameror, bilar eller smarta kylskåp. I ARC-processorer används en förenklad version av Linux-operativsystemet. Om standardanvändarnamnet och -lösenordet inte ändrats kan Mirai logga in på enheten och infektera den.

Mirais kod har med tiden modifierats till många olika varianter, såsom Okiru, Satori, Masuta eller PureMasuta. Också IoTrooper och Reaper har sitt ursprung i Mirai. Reaper kan påverka ett stort urval olika enhetstillverkare och har en mycket mer avancerad förmåga att kontrollera botnätet i delar.

Hur skydda sig mot detta skadliga program?

  • Se till att dina enheter har uppdaterats.
  • Byt ut standardlösenorden.
  • Begränsa tillgången (en offentlig IP-adress, använd hemnätet med NAT – ofta en betaltjänst för hemanvändare).

Vad ska man göra om man blivit smittad?

Det är inte lätt att själv lägga märke till en infektion, utan oftast meddelar operatören att enheten i fråga är en del av ett botnät.

Vad?

Ett skadligt program som anfaller nätverkshårddiskar (NAS) tillverkade av QNAP. Det skadliga programmet är designat för att uttryckligen anfalla enheter tillverkade av denna tillverkare, och kan vidta många olika skadliga åtgärder efter att den infekterat sitt mål. Det skadliga programmet kan raderas från enheten, och tillverkaren har en uppdatering som skyddar enheterna.

Hur ser det skadliga programmet ut och vad gör det?

Efter att ha studerat domännamnen och anropen lyckades man reda ut logiken bakom det skadliga programmets funktion. Det är inte känt hur programmet tränger in i enheten, med i samband med intrånget modifieras enhetens operativsystemskod med källkod från angriparen, som sedan exekveras som en normal del av enhetens operation. Efter detta är enheten smittad med det skadliga programmet. Det skadliga programmet hämtar sedan mer skadlig kod genom att generera DNS-adresser.

Anropet har formen:

  • "HTTP GET https://<genererad adress>/qnap_firmware.xml?t=<tidpunkt>” och tillåter mycket tillförlitlig identifiering av en smittad enhet.
  • Den hämtade koden exekveras inuti operativsystemet med systemrättigheter. I samband med det här utför det skadliga programmet bl.a. följande operationer:
  • Modifierar operativsystemets schemalagda arbetsmoment och initialiseringsoperationer (cronjob, init scripts).
  • Förhindrar att uppdateringar installeras från standardinställningarna genom att helt ersätta uppdateringskällan.
  • Förhindrar att QNAP:s MalwareRemover-funktion körs.
  • Stjäl alla användarnamn och lösenord som enheten använder och skickar dem till en ledningsserver.
  • Det skadliga programmet är också modulärt och kan ta emot nya komponenter utöver ovanstående operationer för att utföra olika åtgärder.
  • Anrop till ledningsservern körs enligt schema.

Hur skydda sig mot detta skadliga program?

  • Använd inte standardlösenord och ändra på det admin-användarnamn och lösenord som kom som standard.
  • Ändra också på QNAP ID-lösenordet.
  • Använd ett starkt lösenord för databasens root.
  • Avlägsna okända eller suspekta användarkonton.
  • Aktivera IP- och användarkontoskydd.
  • Ta bort SSH- och Telnet-anslutningarna om dessa tjänster inte är i användning.
  • Ta bort appar för Web Server, SQL server eller phpMyAdmin om de inte behövs.
  • Ta bort appar som fungerar dåligt, är okända eller verkar misstänkta.
  • Undvik att använda standardportarna (portar 22, 443, 80, 8080 och 8081).
  • Sluta använda Auto Route Configuration och Publish Services och begränsa tillgången till myQNAPcloud.

Vad ska man göra om man blivit smittad?

Börja med att återställa enheten till fabriksinställningar. Efteråt rekommenderar vi att uppdatera enhetens fasta program (firmware) och att kontrollera att uppdateringen verkligen lyckades. Kom ihåg att dessa åtgärder förstör både det skadliga programmet och all data som lagrats på enheten.

Vad?

Nymaim är en ”Trojan downloader”, dvs. ett skadligt program som laddar ner och kör andra skadliga program i ett system som blivit infekterat. Ofta används det här skadliga programmet för att installera utpressningsprogram. Nymaim visar en personlig låsskärm medan den laddar ner ett annat skadligt program. Nymaim sprids genom paket som utnyttjar sårbarheter (exploit kits) och genom illvillig reklam (malvertising).

Hur ser det skadliga programmet ut och vad gör det?

Nymaim förmedlas genom paket som utnyttjar sårbarheter och filer, oftast har filernas namn något att göra med populära sökord och som ofta också laddas ner från andra illvilliga källor. Nymaim syns på datorn t.ex. i form av popup-reklam. Operativsystemet kan också bli betydligt långsammare, och det kan finnas ovanligt mycket reklam i webbläsaren.

Om Nymaim exekveras på en enhet försöker den låsa skärmen eller ladda ner andra skadliga program. Om användaren är i Europa eller Nordamerika laddar det skadliga programmet ner en låsskärm som är specialanpassad för användarens hemland. På låsskärmen visas ett lösenkrav. Om användaren är i ett land utan en anpassad låsskärm laddar Nymaim ner en annan komponent för nästa skede, som senare kan användas för att ladda ner nya skadliga program.

Hur skydda sig mot detta skadliga program?

  • Fundera på var du laddar ner appar från och var omsorgsfull med säkerheten när du laddar ner något. Det skadliga programmet kan spridas genom gratisprogram.
  • Klicka inte utan att tänka efter. Länkar i e-postmeddelanden kan användas för att sprida skadligt innehåll.
  • Tänk efter innan du laddar ner bilagor till e-postmeddelanden.
  • Fundera noggrant på varifrån och vilka program du laddar ner, installerar och kör på din enhet.
  • Se till att ditt operativsystem och din programvara har uppdaterats.
  • Använd ett antivirusprogram och håll det uppdaterat.
  • Ett antivirusprogram kan vanligtvis radera det skadliga programmet, eller åtminstone meddela att en åtgärd utförts.

Vad ska man göra om man blivit smittad?

  • Efter att du klickat på en suspekt länk eller märkt att något underligt händer rekommenderar vi att låta antivirusprogrammet skanna hela systemet.
  • Det finns gott om verktyg på marknaden som kan hjälpa till att hitta och ta bort skadliga program.
  • Det är viktigt att ändra på lösenorden om din enhet har varit infekterad av ett skadligt program.

Vad?

Matsnu är ett skadligt program som kan användas av brottslingar för att köra de funktioner de vill enligt instruktioner från en fjärrserver (from a remote server). Den kan också ändra på vissa av datorns inställningar. Detta skadliga program kan ladda ner och köra kod i ett smittat system. Den nerladdade koden kan eventuellt kryptera filer eller hårddiskar och stjäla känslig information.

Hur ser det skadliga programmet ut och vad gör det?

Genom bakdörrar är det möjligt att köra olika kommandon, såsom att ladda ner och exekvera olika filer, uppdatera det skadliga programmet samt dess ledningsserver. En typisk funktion för Matsnu är förmågan att låsa eller öppna datorn genom olika kommandon i hopp om lösen.

I samband med att programmet körs modifieras vissa register som till exempel tillåter kopiering i samband med varje systemstart. Vissa processer tas också ur bruk, till exempel redigeringsverktyget för registret och task manager. Vissa register raderas helt, vilket hindrar användaren från att starta datorn i safe mode.

Hur skydda sig mot detta skadliga program?

  • Ha en brandvägg på.
  • Se till att operativsystemet, programvaran och antivirusprogrammen är uppdaterade.
  • Begränsa rättigheterna i användarnas konton.
  • Var försiktig med att öppna bilagor i e-postmeddelanden och att flytta filer.
  • Klicka inte på länkar i e-postmeddelanden eller på webbplatser utan att tänka efter.
  • Fundera på om det verkligen lönar sig att ladda ner gratisprogram på datorn.
  • Använd bra lösenord, återanvänd inte lösenord, och använd flerfaktorsautentisering om möjligt.

Vad ska man göra om man blivit smittad?

  • Döda alla processer som har smittats (processer med nätverkstrafik riktad utåt).
  • Kontrollera registernycklar för att ta reda på det skadliga programmets filväg (file path) i systemet.
  • Radera filen som filvägen anger.
  • Radera vissa registernycklar.

Vad?

Ett lurendrejerimeddelande på finska eller engelska med teman kring anlända paket eller telefonsvarare, med en länk till en webbplats. I meddelandet påstås till exempel att ”Ditt paket är på väg” eller ”Du har 1 nytt meddelande i din telefonsvarare”. I meddelandet finns en länk till en webbplats som låter dig ladda ner en app. Nerladdningslänken på sidan erbjuder en .apk-fil som kan installeras på Android-enheter. Apk-paketet är inte en officiell app, utan den innehåller ett skadligt program. Paketet fungerar inte på iPhone.

Hur ser det skadliga programmet ut och vad gör det?

Webbplatsen som sprider på det skadliga programmet kan ge instruktioner att tillåta installationen av okända appar. Det här tillåter installering av appar utanför appbutikerna på Android-enheter. Man ska inte tillåta installation av okända appar, då det gör det möjligt att också skadliga program installeras på enheten utanför den officiella appbutiken.

Enheter som infekterats med skadliga program kan till exempel utsättas för stöld av lösenord eller andra uppgifter. De infekterade enheterna används också för att skicka skadliga program vidare. Det skadliga programmet kan stjäla kontaktuppgifter från den infekterade enheten, som sedan används för att sprida det skadliga programmet. Det skadliga programmet är inriktat på Android-enheter, så det egentliga skadliga programmet kan inte infektera till exempel en iPhone. Det kan dock finnas andra lurendrejeriwebbplatser bakom länken i textmeddelandet, till exempel beställningsfällor. Det lönar sig inte att öppna länkar i konstiga meddelanden överhuvudtaget, oberoende av enhet.

Hur skydda sig mot detta skadliga program?

Det skadliga programmet kan stjäla bland annat lösenord och andra uppgifter som finns på enheten. Därför är det viktigt att skydda sina konton genom att använda flerfaktorautentisering och genom att byta lösenordet för tjänsterna man använt med enheten som infekterats av det skadliga programmet (inkl. e-post och sociala mediaer) så att uppgifterna som det skadliga programmet stulit inte kan användas av bedragare.

Vad ska man göra om man blivit smittad?

  • Återställ enheten till fabriksinställningarna.
  • Om du återställer från en säkerhetskopia ska du se till att kopian som används för återställande skapades innan det skadliga programmet installerades.
  • Om du använde bankappar eller kreditkort med enheten som infekterats, kontakta din bank.
  • Om du förlorat pengar, gör en brottsanmälan.
  • Byt lösenord till tjänster du använt på din enhet. Det skadliga programmet kan ha stulit ditt lösenord, om du loggat in i tjänsterna efter att det skadliga programmet installerats.
  • Kontakta din operatör, då det kan ha skickats avgiftsbelagda meddelanden från ditt abonnemang.

Vad?

Trojanen Ranbyus kan utföra olika illvilliga funktioner, till exempel nerladdning och körning av andra skadliga program. Ranbyus tar också emot kommandon från ledningsservrar, och skickar den begärda informationen eller telemetri. Det här skadliga programmet kan också uppdatera och radera sig självt. Utöver detta kan det också stjäla inloggningsuppgifter och lösenord, logga användarens tangentbord, delta i distribuerade överlastningsangrepp och till och med låsa eller kryptera innehåll i enheten mot lösen.

Hur ser det skadliga programmet ut och vad gör det?

Ranbyus-skadeprogrammet kan ta många olika former. Du kan förhindras från att starta datorn i felsäkert läge. Det kan vara omöjligt att använda Windows registereditor eller aktivitetshanterare. Vissa registerposter kan ha ändrats och andra kan ha raderats. Nätverkstrafiken och i filsystemsverksamheten kan ha ökat märkbart. Datorn kan försöka kontakta andra kända illvilliga IP-adresser. Nya filer och mappar som fått slumpmässiga namn skapas i filhanteraren.

Hur skydda sig mot detta skadliga program?

  • Använd antivirusprogram och håll det uppdaterat.
  • Se till att uppdateringar, säkerhetsuppdateringar och operativsystemsuppdateringar är aktuella.
  • Klicka inte på länkar i e-postmeddelanden eller textmeddelanden utan att tänka efter, även länkar som verkar ha skickats av bekanta kan ha ett annat ursprung. Det är bäst att direkt ta sig till webbplatsen genom webbläsaren eller ett bokmärke.
  • Ändra regelbundet på dina lösenord, och använd inte samma lösenord i olika tjänster.

Vad ska man göra om man blivit smittad?

  • Efter att du klickat på en suspekt länk eller märkt att något underligt händer rekommenderar vi att låta antivirusprogrammet skanna hela systemet.
  • Det finns gott om verktyg på marknaden som kan hjälpa till att hitta och ta bort skadliga program.
  • Det är viktigt att ändra på lösenorden om din enhet har varit infekterad av ett skadligt program.

Vad?

Det skadliga programmet Tinba försöker infektera en terminal och göra intrång i användarens nätbank eller andra konton med pengar för att stjäla dem. Tinba eller Tiny Banker-trojanen har som fokus angrepp på nätbanker, särskilt i Ryssland.

Tinba är en av de till storleken minsta kända trojanerna. Tinbas källkod har publicerats på internet, och nya varianter av det skadliga programmet uppdagas i jämn takt.

Hur ser det skadliga programmet ut och vad gör det?

När Tinba infekterar ett system kan webbläsaren bete sig underligt eller systemet krascha. Det är typiskt att ett oväntat popup-fönster öppnas på bankens webbplats, där man ber användaren göra något ovanligt såsom att mata in känslig information.

Om Tinba har infekterat datorn och användaren försöker logga in i någon av de banker som det skadliga programmet vill angripa aktiveras Tinbas webbinjektioner. Beroende på banken som angrips visas offren felaktiga meddelanden eller nätblanketter som ber om person- eller inloggningsuppgifter eller att medel överförs. Det finns också versioner med meddelanden där användarna informeras om att pengar av misstag överförts till deras konto och att de omedelbart ska returneras.

Tinba infekterar system och webbläsare på många olika sätt och lagrar data från olika bankers webbplatser och andra webbplatser. När användaren loggar in i banken öppnas ett illvilligt popup-fönster som ber om inloggningsuppgifter och utger sig för att vara banken med bankens logo och adress.

Infekterade webbplatser kan sprida Tinba, efter att offren lockats till webbplatsen genom phishing-e-postmeddelanden eller lurendrejerireklam. När ett sårbart system kör Tinba-skadeprogrammet kopierar det sig under namnet bin.exe i %AppData%-mappen. Vissa versioner av Tinba tar sig in i andra mappar, varianterna får namn efter uppgifter i det infekterade systemet. Tinba döljer sin minnesanvändning för att inte bli fast.

I samband med att ett infekterat system startas om körs bin.exe, och Tinba befäster sitt fotfäste i systemet. Tinba kan modifiera webbläsare som Firefox och Explorer och förhindra att varningsmeddelanden syns, samt visa HTTP-innehåll på HTTPS-sidor utan anmärkningar. Tinba påverkar t.ex. på Windows processerna explorer.exe och svchost.exe.

Hur skydda sig mot detta skadliga program?

Tinba infekterar vanligen en dator via ett nerladdadnerladdat gratisprogram, genom infekterade länkar eller bilagor i phishingmeddelanden. Tinba kan också spridas om användaren klickar på ett popup-fönster eller laddar ner data från dark web eller torrent-filer.

Banktrojaner är sofistikerade skadliga program, som väntar, gömda, i ett infekterat system tills användaren loggar in i sin nätbank. Tinba använder en keylogger för att stjäla användarnamnet och lösenordet till kontot och skickar dem till brottslingar.

  • Man ska inte klicka på länkar i e-postmeddelanden utan att tänka efter, eller låta köra filer eller ladda ner bilagor utan att tänka på vad de är till för eller om de behövs.
  • Var noggrann om du får en ovanlig begäran eller ovanligt innehåll per e-post, och skicka inte oförsiktigt dina egna känsliga personuppgifter per e-post.
  • Det finns gott om verktyg på marknaden som kan hjälpa till att hitta och ta bort skadliga program.
  • Användaren bör hålla koll på ovanliga meddelanden, popup-fönster eller andra begäranden när han eller hon loggar in i sin nätbank eller andra finanstjänster.
  • Kontrollera också webbplatsens utseende eller adress för att se om de ändrats, om webbplatsen väcker misstankar.
  • Ladda enbart ner mobilappar från tillförlitliga källor, och aldrig från utanför appbutikerna.
  • Se till att du har säkerhetskopior och att de är uppdaterade, banktrojaner kan också sprida utpressningsskadeprogram.

Vad ska man göra om man blivit smittad?

Det är utmanande att avlägsna Tinban från systemet, då det injicerar illvillig kod i verkliga processer som används. Man kan vanligen avlägsna Tinban på två sätt. De flesta företag som specialiserar sig på att bekämpa skadliga program erbjuder tjänster för att avlägsna Tiny Banker-programmen. Man kan också göra en total systemåterställning från en backup, till en tid innan systemet infekterades av det skadliga programmet. Det kan vara svårt att välja tidpunkten för återställande, då Tinban-infektionen kan ha skett långt innan den aktiverades.

Vad?

Qrypter är en fjärrstyrd, Java-baserad trojan (Remote Access Trojan, dvs. RAT) som använder en TOR-baserad (The Onion Router) ledningsserverstruktur (C&C). De första observationerna av det skadliga programmet Qrypter skedde i juni 2016.

Qrypter är ett skadligt program som erbjuds som en nättjänst (Malware-as-a-Service). Det skadliga programmet är särskilt populärt i kombinationen AdWind och jRAT. Det finns flera olika varianter av Qrypter. Qrypter är också känd under namnen: Qarallax, Quaverse, QRAT och Qontroller.

Hur ser det skadliga programmet ut och vad gör det?

Det skadliga programmet är en del av den kriminella organisationen ”QUA R&D”:s Malware-as-a-Service-plattform.

Det skadliga programmet förmedlas ofta genom illvilliga e-postmeddelandekampanjer, vars storlek är några hundratal meddelanden. Mottagaren ombes öppna en bilaga som påstås ha mer information om en produkt, en tjänst, betalningsvillkor eller leveranstider.

Efter att det skadliga programmet körs installeras två VBS-filer i användarens system som exekveras i %Temp%-mappen. Filerna har slumpmässigt valda namn. Dessa skript samlar in information om brandväggar och antivirusverktyg som installerats på datorn.

Qrypter är ett instickningsprogram (plugin) som fungerar som bakdörr, och som ger angriparen gott om förmågor: fjärrkontakt, tillgång till webbkameran, möjligheten att installera nya filer och mycket mer. Den kriminella organisationen säljer fjärrkontrollerbara trojaner och erbjuder till och med stöd för deras användning. Det verkar som att ett av de viktigaste målen för den kriminella organisationen är att hålla det skadliga programmet gömt från antivirusprogram, och delvis har de också lyckats med det.

Hur skydda sig mot detta skadliga program?

  • Använd antivirusprogram.
  • Var försiktig med vad du klickar på, då e-postmeddelanden kan ha länkar eller bilagor som kan bidra till spridning av skadliga program.
  • Se till att du har säkerhetskopior.
  • Använd starka lösenord och i mån av möjlighet flerfaktorsautentisering.
  • Använd inte samma lösenord i flera tjänster.
  • Se till att din programvara, ditt antivirusprogram och ditt operativsystem är uppdaterade.
  • Användarnas dagliga datoranvändning borde ske genom ett användarkonto som inte har administratörsrättigheter.

Vad ska man göra om man blivit smittad?

Kontrollera datanät, proxyservrar och brandväggsloggar för att uppdaga misstänkt trafik eller verksamhet. Användarkonton som har använts på en infekterad dator ska återställas på en ren dator.

Sidan är senast uppdaterad