2016 års farligaste virus

2016 börjar närma sig sitt slut och 2-Spyware-gruppen är redo att ge en överblick över de farligaste virusen som har dykt upp det här året. Dessvärre är samtliga av dessa virus fortfarande utbredda och detta ser inte heller ut att ändra sig inom den snaraste framtiden. Internet är uten tvekan farligare än någonsin, med tanke på att de mest dominerande virusen i år har varit av typen ransomware, teknisk-support-bedrägeri, trojaner som stjäler data och naturligtvis de ständiga annonsprogrammen och webbläsarkaparna. Det är inte konstigt att fler och fler näthot dyker upp – tekniken utvecklas snabbt och smarta enheter spelar idag en avgörande roll i våra liv. Då vi alla lagrar mer eller mindre privat och värdefull information på våra datorer och smarta enheter, använder sociala medier och delar filer på nätet, växer nätkriminaliteten och förövarna erhåller enorma vinster utan någon större risk att bli upptäckta. Vi skulle nu vilja förse er med en lista över de mest vanliga och farliga virusen 2016, vilka med största sannolikhet kommer att vara aktiva även under 2017.

10. CrySiS ransomware. CrySiS-viruset är ett exempel på ett framgångsrikt ransomware 2016. Det har funnits hundratals olika versioner och alla har visat sig vara professionellt programmerade skadliga program som krypterar filer med en kombination av AES- och RSA-chiffer. Det är enkelt att känna igen detta virus, då det alltid namnger filerna med väldigt långa filändelser; filnamnet består [Ursprungligt filnamn].id-[Offrets ID].[angriparens e-postadress].xtbl. I början av november läckte dock en anonym person ut dekrypteringsnycklar för CrySiS på ett nätforum och ett dekrypteringsprogram var snart ett faktum. Men utvecklarna av detta virus fortsätter att lansera nya och uppdaterade ransomware-versioner.

9. Annonsprogrammet DNS Unlocker. Detta potentiellt oönskade program (PUP) är mycket aggressivt, enerverande och också svårt att ta bort. Det fyller varenda webbsida med DNS Unlocker-annonser – banners och nya flikar eller fönster med olika sponsrat innehåll. Ibland kan offren inte längre använda sina infekterade webbläsare, eftersom detta annonsprogram helt enkelt gör att de kraschar kort efter att de öppnas. Den senaste version av detta virus kan infektera Android- och OS-enheter.

8. Delta-Homes.com-viruset. Detta är en webbläsarkapare, även kallad omdirigeringsvirus. Det stödjer sökmotorn Delta-Homes.com, vilken anses som mycket suspekt. Till skillnad mot vanliga sökmotorer, kan denna tvinga dig att besöka partnersidor genom att helt enkelt omdirigera dig till dem. Detta kan hända efter att du har klickat på någon av dess sökresultat eller genvägar som finns på hemsidan. Att besöka dessa partnersidor kan medföra stora problem för användaren, eftersom dessa webbsidor högst troligen är farliga (till exempel att de marknadsför falska program eller uppdateringar). Delta-Homes.com-viruset infekterar huvudwebbläsare och gör att de går långsamt eller till och med kraschar. Till skillnad från andra webbläsare, är denna envis och svår att ta bort.

7. Trotux.com-viruset. Trotux.com är ytterligare en webbläsarkapare eller ett omdirigeringsvirus, som har spridits i hög grad på nätet under 2016. Även om det inte är lika farligt som kritiska virus såsom ransomware, är det en av de mest spridda webbläsarkaparna och det orsakar oro för många användare. Denna parasit tenderar att smyga sig in i datorsystem ihop med gratisprogram som ouppmärksammade användare installerar. Viruset ändrar den angripna webbläsarens sökmotor och inställningar för startsida och nya flikar. Precis som webbläsarkaparen Delta-Homes, orsakar det också omdirigeringar till suspekta webbsidor.

6. Viruset “Your Computer Has Been Blocked” . Det finns två virus med samma namn. Ett av dessa är ett ransomware av typen skärmlåsare, vilket blockerar åtkomsten till datorn och anklagar offret för att bryta amerikanska lagar. Viruset visar ett helskärmsmeddelande fyllt med information om överträdelser som offret till synes har begått. Den andra mer kända versionen av detta virus är ett så kallat ”teknisk-support”-virus (Eng: ”Tech Support Scam”), vilket visar ett meddelande via offrets webbläsare som lyder “Your Computer Has Been Blocked” (”Din dator har blockerats”) och uppmanar att ringa en bedräglig teknisk support. Dessa falska varningar är ofta fylla med falska rapporter om obefintliga datorinfektioner, säkerhets-brister och andra problem som endast certifierande ”tekniker” kan åtgärda.

5. Tech Support Scam-viruset. ”Teknisk-support”-bedrägerier utvecklas och blir alltmer avancerade. Nuförtiden används sabotageprogram för att övertala offren att ringa den ”tekniska supporten”, istället för att dagligen ringa slumpmässiga personer. Denna typ av virus genererar påträngande varningsmeddelanden via offrets webbläsare och uppmanar att ringa “certified Microsoft technicians” (”certifierade Microsoft-tekniker”) för att få hjälp med falska datorproblem. Meddelandena försöker att skrämma offret genom att påstå att datorn är infekterad med virus såsom Zeus, att personlig data kan gå förlorad och att det finns hundratals andra säkerhetsrelaterade problem som användaren måste åtgärda omedelbart. Dessa virus tillhandahåller alltid ett avgiftsfritt telefonnummer till en ”teknisk support” och uppmanar offret att ringa denna. Sedan försöker dessa ”tekniker” att sälja värdelösa program eller övertala offret att ge dem fjärråtkomst till datorn.

4. Facebook-viruset. Denna stora sociala plattform fortsätter att vara det främsta målet för bedragare som vill lura naiva människor. Ett av de senaste Facebook-virusen infekterade konton och använde dessa för att skicka ut en mängd privata meddelanden eller publicera inlägg som innehöll en skadlig länk till en ”privat video”. Denna länk ledde till en webbsida som uppmanade offret att installera ett skadligt tilläggsprogram ”för att kunna se videon”. 2016 upptäcktes dock ett nytt Facebook-virus. Idag skapar bedragare falska Facebook-sidor som kallas ”Ads-Info, ”Team Advert” eller liknande och använder dessa för att återpublicera inlägg från slumpmässiga Facebook-användare eller -sidor. Bedragarna lägger till kommentaren: ”Your page will be unpublished!” (”Din sida kommer att stängas ner”) och uppmanar offret att verifiera sitt konto via en angiven länk. Denna länk leder till en avancerad nätfiskesida som ber offret att ange sina Facebook-inloggnings-uppgifter. När offret anger dessa uppgifter, hackar bedragarna kontot.

3. Zepto ransomware. Zepto är en av de tidigare Locky-virusen och har varit mycket framgångsrikt hittills. Detta ransomware spreds i form av en JS- eller Word-fil och lyckades enkelt att infektera oskyddade system. Viruset krypterar alla filer genom en kombination av RSA-2048- och AES-128-chiffer, lägger till filändelsen .zepto och placerar sedan ett ransom-meddelande under filnamnet _HELP_instructions.html med instruktioner om hur man kommer åt den personliga betalsidan som som erbjuder Locky Decrypter. Priset för dekrypteraren varierar mellan 0.5 BTC (bitcoins) och 4 BTC. Dessvärre finns ingen riktig dekrypterare för Zepto än.

2. Cerber ransomware. Cerber är en av de farligaste krypto-ransomwaren idag och kallas för det ”talande ransomwaret”. Medan den första och andra versionen av Cerber innehöll brister som möjliggjorde för virusforskare att utveckla gratis dekrypteringsverktyg, visade sig efterföljande versioner vara omöjliga att förinta. Utvecklarna av dessa skrämmande ransomware släpper regelbundet ut nya virusversioner och för närvarande finns nio kända versioner, varav fem är modifieringar av Cerber v4.0 ransomware. Nyligen började viruset att använda en ny spridningsmetod, genom Google- och Tor2Web-proxyservrar. Viruset sprids snabbt och utvecklarna varierar spridningsmetoder och gör regelbundet små ändringar i viruskoden för att förhindra virusforskarna att kunna utföra en ordentlig analys av de nya versionerna.

1. Locky ransomware. Detta virus chockade hela internetvärlden i början av 2016. Vi har sett utvecklingen av detta ransomware och så småningom lyckades det bli 2016 års farligaste virus. Dess utvecklare verkar vara intresserade av nordisk mytologi, då de använder namn på kända nordiska gudar för nya Locky-versioner, såsom Odin, Thor, Aesir (asar) med flera. Locky är ett virus under ständig utveckling. Det ändras över tid och får alltfler nya egenskaper. Locky började få stor uppmärksamhet då det använde en unik spridningsmetod, nämligen genom att infektera datorer via Word-dokument som krävde en aktiverad makrofunktion, vilken aktiverade den skadliga koden och laddade ner viruset. Locky-viruset har upptäckts i dolda .xlsx-, .docm-, .js- och .lnk-filer och har spridits med hjälp av exploit kits som Nemucod, Bizarro Sundown och RIG. Den senaste Locky-versionen är känd under namnet Osiris och risken är stor att det kommer fler versioner under 2017.

Om utvecklaren
Olivia Morelli
Olivia Morelli

Virusanalytiker...

Kontakta Olivia Morelli
Om företaget Esolutions

Läs på andra språk