Pågående angrepsbølger med krypteringsviruset TorrentLocker

Publisert: 03.03.2017

NorCERT har i løpet av februar observert flere angrepsbølger med krypteringsviruset TorrentLocker. Dette har rammet en rekke mottakere i Norge, både bedrifter og privatpersoner.

Angrepsbølgen har gått gjennom flere iterasjoner, men det er i det siste sett at krypteringsviruset blir levert via dropbox-linker i e-post, sant som Word eller Excel-vedlegg.

Brukere blir lurt til å klikke på link eller vedlegg, som igjen kan laste ned og installerer krypteringsviruset TorrentLocker.

E-postene er utformet til å etterligne fakturaer, kvitteringer, bestillingslister eller betalingspåminnelser. Ofte er disse e-postene/vedleggene veldig godt utformet og ser ut til å komme fra legitime norske firmaer. Dette gjør det vanskelig for brukere å skille om det er uønsket e-post eller ikke.

Over kan du se et bilde med eksempel på hvordan disse e-postene kan se ut er vedlagt.

E-postenes avsenderadresse kan bli forfalsket fordi det kun er en liten del av norske domener som er beskyttet mot slik forfalskning.

Det anbefales på generelt grunnlag at bedrifter ser på muligheten for å innføre beskyttelse- og rapporteringsmekanismene SPF[1] og DMARC[2] på sine domener, også på domener som ikke benyttes for e-post.

SPF vil gjøre det vanskeligere å sende e-post som utgir seg for å komme fra en bedrift, DMARC vil varsle eventuelle forsøk til bedriften.

Hvis man får filer kryptert vil disse normalt måtte ansees som tapt, da man vanligvis må betale for en dekrypteringsnøkkel. Gode back-up rutiner er essensielt for å hindre tap av data forårsaket av TorrentLocker.

NorCERT fraråder sterkt mot å betale dersom man blir rammet. 

Vurder følgende tiltak

De følgende tiltakene vil i varierende grad kunne forhindre at systemer blir infisert:

  • Varsle ansatte om bølgen og hvordan den ser ut
  • Avinstaller Powershell fra de brukere som ikke trenger det
  • Deaktiver kjøring av *.js-filer ved å sette standardprogram til Notepad eller lignende
  • Innfør applikasjonshvitelisting
  1. http://www.openspf.org/FAQ
  2. https://www.nhn.no/tema/sikkerhet/HelseCERT/Sider/DMARC.aspx