Ett av de senaste årens största gissel är skadliga program som går under benämningar som utpressningstrojaner, gisslanprogram eller ransomware. Nu har en grupp före detta militärer utvecklat ett motmedel som helt gratis kan användas av privatpersoner och mindre företag.

Ransomware kommer av engelskans ransom, lösensumma och ingår i en kategori skadlig kod som infekterar de drabbades datorer genom att kryptera innehållet och meddela användaren att man måste betala en viss summa för att återfå kontrollen.

Kampen mot detta otyg bedrivs på en lång rad olika håll, exempelvis via initiativet No More Ransom där ett antal stora aktörer inom it- och säkerhetsbranschen samarbetar med Europol för att hitta och stänga ner de servrar som används för distribution av gisslanprogram. I somras kunde No More Ransom meddela att man lyckats lokalisera och stänga huvudservern för Wildfire, ett snabbt växande ransomwareprogram. Även Crysis, Chimera, Teslacrypt, Shade och Coinvault är numera ute ur leken men fortfarande återstår mängder av obskyra tjänster att avslöja.

Många traditionella skyddsprogram har svårt att hänga med i den snabba förändringstakt som sker inom utpressningsprogrammens värld, något som företaget Cybereason tror sig vara bättre på.

RansomFree

Företaget grundades av ett antal personer som tidigare varit knutna till militära underrättelsetjänster och man påpekar gärna att de militära erfarenheterna är en viktig beståndsdel i de tjänster man erbjuder. Sedan tidigare tillhandahåller Cybereason kommersiella skyddspaket för större företag men nu finns även gratisprodukten RansomFree för privatpersoner och mindre företag.

I dagsläget fungerar RansomFree bara på Windowsdatorer men här ges skydd i flera olika lager. När programmet väl är installerat håller det koll på de signaturer som är typiska för gisslanprogram. Men skadlig kod av det här slaget byter ofta skepnad så RansomFree har funktioner för att vaka över alla försök som görs för att inleda krypteringsprocesser. När ett sådant försök inleds kommer programmet med en fråga om användaren har startat en legitim kryptering av sin data eller om detta sker ofrivilligt. Om det är en aktivitet från en utpressningstrojan inleds ett förfarande där man låter det ske i en helt avskild container vilket lurar angriparen att tro sig ha lyckats med sitt uppdrag. Det ger Cybereason möjlighet att studera koden i detalj och därmed bättre kunna utverka motmedel vid framtida angrepp.

– Skälet till att vi erbjuder detta som en gratistjänst är just möjligheten att kunna bygga upp en enorm kunskapsbank kring den här typen av trojaner vilket i förlängningen kan innebära ett stopp på dessa aktiviteter, säger Cybereasons forskare Uri Sternfeld till publikationen Eweek.

Enligt säkerhetsföretaget Check Points decemberrapport minskade ransomwareattacker mot företag med åtta procent under december månad. På topplistan över de tio vanligaste skadliga koderna i Sverige ligger Cryptowall i topp, ett gisslanprogram som sprids genom skadliga annonser och nätfiske. Locky hamnar på andra plats i Sverige och koden sprider sig främst via spammail med bifogade filer som installerar och krypterar användarens filer. På tredje plats hamnar spökprogrammet HackerDefender som riktar sig mot Windows där det modifierar enheter och API-funktioner för att inte upptäckas av säkerhetsprogram. HackerDefender sprids snabbt på grund av att den är så enkel att installera.