🔐 Ransomware
Av · · 6 min lesing

Hvis ransomware rammer: Ikke betal, gjør dette i stedet

Bedriften din er kryptert. Angriperne krever løsepenger. Hva gjør du nå? Her er den konkrete handlingsplanen alle norske bedrifter bør ha klar før angrepet skjer.

Hvorfor betaling ikke fungerer

Før vi går inn på handlingsplanen: Forstå hvorfor betaling er feil strategi. Tre grunner.

Juridisk risiko. Flere ransomware-grupper er sanksjonert av EU og USA. Betaling kan bryte sanksjonsregler, selv om du ikke visste hvem som sto bak. Norske myndigheter (NSM og Økokrim) fraråder eksplisitt å betale.

Ingen garanti. 40 prosent av bedrifter som betaler får aldri dekrypteringsnøkkelen. Andre får en nøkkel som kun delvis fungerer. Du finansierer kriminelle uten å løse problemet.

Du blir gjentakelsesmål. Angripere deler lister over betalende bedrifter. Betaler du én gang, er sjansen stor for at du rammes igjen innen tolv måneder. De vet du betaler.

Nå til det du faktisk gjør.

Steg 1: Isolér angrepet umiddelbart

Første time handler om å stoppe spredning. Gjør dette nå, ikke etter lunsj:

  • Koble fysisk fra alle maskiner som ikke er rammet. Trekk nettverkskabelen, slå av WiFi.
  • Ikke slå av krypterte servere. De kan inneholde forensisk bevis i RAM.
  • Blokker all utgående trafikk fra nettverket ditt i brannmuren (angripere eksfiltrer ofte data samtidig med kryptering).
  • Endre alle administrative passord på systemer som ikke er berørt. Angripere har sannsynligvis admin-tilgang.
  • Dokumentér alt: tidspunkt, hvilke systemer, meldinger du ser. Ta skjermbilder av løsepengekravet.

Steg 2: Varsle riktige instanser innen 72 timer

Du har tre juridiske og praktiske rapporteringspunkter:

Datatilsynet. Hvis angrepet berører personopplysninger (e-post, HR-data, kundeinfo), må du melde personvernbrudd innen 72 timer. Gjør dette via datatilsynet.no. Ikke vent på full oversikt, send foreløpig melding.

NorCERT. Ring 22 24 28 00 eller send e-post til post@norCERT.no. De gir gratis veiledning, har dekrypteringsverktøy for kjente varianter, og deler trusseldata med politiet. Gi dem hash-verdier av krypterte filer og tekst fra løsepengekravet.

Politiet. Anmeld til Økokrim eller lokalt. Du trenger saksnummer for forsikring, og politiet bygger statistikk som hjelper andre. De forventer ikke at du løser saken, bare dokumenterer den.

Steg 3: Aktiver backup (hvis du har det)

Beste scenario: Du har offline backup som ikke ble kryptert. Slik går du fram:

  • Verifiser at backupen faktisk fungerer før du sletter noe. Test gjenopprett på én maskin først.
  • Ikke restaurer til samme nettverk før du har fjernet angriperens tilgang. Ellers krypteres backupen også.
  • Bygg nytt miljø fra bunnen. Reinstallér operativsystemer, installer verktøy på nytt, deretter data fra backup.

Verste scenario: Backup ble også kryptert. Da går du til steg 4.

Steg 4: Sjekk om gratis dekryptering finnes

Noen ransomware-varianter har kjente svakheter. Før du vurderer noe annet:

Gå til nomoreransom.org (et samarbeid mellom Europol og sikkerhetsselskaper). Last opp en kryptert fil. Tjenesten sjekker om det finnes gratis dekrypteringsverktøy for akkurat din variant.

NorCERT har også tilgang til dekrypteringsverktøy. Send dem eksempelfiler.

Hvis ingenting finnes, må du akseptere tap av data som ikke var sikkerhetskopiert. Dette er vanskelig, men fortsatt bedre enn å betale.

Steg 5: Få forensisk hjelp til å forstå hvordan de kom inn

Ransomware kommer ikke av seg selv. Angriperne hadde tilgang i dager eller uker før kryptering. Du må finne inngangspunktet, ellers skjer det igjen.

Typiske innganger: phishing-e-post med makro, upatcha RDP-tilgang, kompromittert VPN uten MFA, sårbare nettapplikasjoner.

Hvis dere ikke har intern kompetanse, hent ekstern hjelp. NSM har en liste over godkjente leverandører på nsm.no. Forensikere finner loggen som viser første inntrengning, hvilke kontoer som ble brukt, og om data ble stjålet før kryptering (dobbel utpressing).

Steg 6: Kommunisér eksternt (hvis nødvendig)

Hvis angrepet berører kundedata, ansattes personopplysninger, eller stopper kritiske tjenester, må du kommunisere utad. Ikke si mer enn du vet, men vær tidlig ute:

  • Informér berørte kunder innen 72 timer hvis deres data kan være eksponert.
  • Skriv kort: Hva skjedde, hva vi gjør nå, hva du som kunde bør gjøre (f.eks. endre passord).
  • Ikke spekuler i hvem som sto bak eller omfang du ikke har bekreftet ennå.

Dårlig kommunikasjon forverrer omdømmetapet. God kommunikasjon viser kontroll selv i krise.

Steg 7: Bygg motstandsdyktighet før neste gang

Når akutt fase er over, fiks det som sviktet:

  • Implementér 3-2-1 backup: tre kopier, to ulike medier, én offsite og offline.
  • Krev multifaktorautentisering på alle administrative tilganger.
  • Patchsyklus på maksimum to uker for kritiske sårbarheter.
  • Phishing-trening hvert kvartal, ikke årlig.
  • Test incident response-planen én gang i året med rollespill.

Verktøy som hjelper før og under angrep

Sentinel kan ikke dekryptere ransomware, men flere funksjoner reduserer risiko og hjelper i etterkant:

Før angrep: Kjør URLSCAN på mistenkelige lenker ansatte mottar (oppdager phishing-sider). Bruk MAILSCAN til å sjekke om ansattes e-poster ligger i kjente lekkasjer (kompromitterte kontoer er typisk inngangsport).

Etter angrep: DATASCAN viser hvilke personopplysninger om ansatte som kan være eksponert eksternt (hjelper med GDPR-vurdering). Hvis angriperne eksfiltrer data til egen infrastruktur, kan IPSCAN og URLSCAN brukes til å analysere IP-adresser og domener fra løsepengekravet.

Lær mer om Sentinels verktøy for håndtering av sikkerhetshendelser på mustvedt.net/sentinel.

Konklusjon: Betal aldri, bygg motstandsdyktighet

Ransomware-angrep stopper ikke selv om du betaler. De stopper når du bygger forsvar som gjør det for dyrt for angripere å lykkes. Backup, forensisk innsikt, og rask respons slår løsepenger hver gang.

Det eneste du angrer på etterpå er at du ikke hadde planen klar før angrepet skjedde.

Relaterte artikler

📱
Tips
Får du SMS-koder du ikke ba om? Slik fungerer SMS-pumping
📧
E-post
MTA-STS, TLS-RPT og BIMI: e-postens neste steg etter SPF/DKIM/DMARC
🔢
Nyhet
Hvorfor spør Messenger plutselig om PIN-kode? Slik beskytter Meta chatten din nå
Få varsler i innboksen

Vil du ha varsler om nye trusler?

Mustvedt Sentinel sender deg e-post hvis e-posten din dukker opp i en lekkasje, eller hvis domenet ditt er under angrep.

Start 7 dager gratis Logg inn