Professor Kai A. Olsen (innfelt) gikk på ski til Skarfjellenden da filer på datamskinen hans ble kryptert sist fredag. Foto: Kai A. Olsen

IT-professor på skitur fikk datavirus

Mens professor Kai A. Olsen gikk på ski ved Trollstigen, ble filer på PC-en hans på Molde campus kryptert av utpresserviruset Locky.

– Da jeg kom på jobb mandag fikk jeg en feilmelding fra backup-programmet jeg kjører på natten. Da tok jeg en restart på maskinen, men jeg skjønte at noe var galt da problemet fortsatte tirsdag, sier Kai A. Olsen.

Et eksempel på hvordan en fil med ren tekst på Kai Olsens maskin ser ut etter å ha blitt kryptert.

En nærmere undersøkelse viste at cirka 100 filer i én mappe på C-disken hans hadde blitt kryptert av utpresserviruset Locky. Krypteringen fant sted på fredag klokka 13.33. Da gikk Olsen gikk på ski til Skarfjellenden (1386 moh) i strålende solskinn.

– Vi har en oppegående IT-avdeling på høgskolen, så jeg fikk raskt hjelp til å finne ut hva som hadde skjedd, få originalfilene tilbake og forhindre at det skal skje igjen, sier Olsen.

Slik ser eposten med det aktuelle Locky-viruset ut.

Det overrasket Olsen at hans stasjonære PC kunne bli rammet av et krypteringsvirus over nettverket. Årsaken viste seg å være at en annen ansatt ved HiMolde hadde latt seg lure til å åpne et vedlegg i en epost, og at Olsens maskin hadde delt tilgang til én av sine mapper med nettverket .

– Man må være utrolig nøye med hva slags vedlegg man åpner. I verste fall kan det føre til tap av data, men det fører iallfall ofte til tak av tid, sier Olsen.

Olsen – som har vært med så lenge at han har erfart hvordan det er å miste en bunke med hullkort i gulvet – karakteriserer seg selv som «en pyse» når det kommer til å ta sikkerhetskopier.

– Jeg har har fem sikkerhetskopier på f.eks. eksterne harddisker og minnebrikker av sånt som bilder, bøker og rapporter, sier han.

Utpresserne vil ha betalt i bitcoin. I det aktuelle angrepet var kravet 0,5 bitcoin, noe som etter dagens kurs er cirka 2200 kroner.

IT-sjef Kjetil Kroknes sier at utpresserviruset Locky er hissig.

– Fredag ble en ansatt i Molde og en med internasjonal tilknytning angrepet. Vedlegget i eposten ble åpnet, og da var det gjort. Varslingsystemet vårt fortalte at maskinen på campus var angrepet, så da gikk vi og hentet den, opplyser Kroknes.

Han sier at hver dag kommer store mengder spam og eposter med virus, utpressingsvirus og phishing-forsøk til HiMolde. De siste to har antallet eposter med utpressingsvirus økt kraftig.

– 98 prosent av alle epostene til høgskolen blir blokkert, sier Kroknes.

I alt har filer på fire-fem maskiner på campus blitt kryptert etter angrep, men Kroknes sier at ingen HiMolde-ansatte så langt har mistet data.

– Backup-rutinene våre har vært gode nok, men vi har også justert rutinene for å ta bedre høyde for slike angrep, sier Kroknes.