Globalt betalades över 1 miljard dollar i ransomware-lösensummor under 2024. Svenska kommuner, sjukhus och företag har drabbats — Kalix kommun 2021 var Sveriges mest kända fall, där allt från löneutbetalningar till hemtjänst slutade fungera i flera veckor.
01Vad ransomware egentligen gör
Ransomware är ett program som gör exakt en sak: går igenom alla dina filer och krypterar dem med en stark algoritm (oftast AES-256 + RSA-2048). Krypterade filer är meningslös data — du behöver dekrypteringsnyckeln för att få tillbaka dem. Den nyckeln har bara angriparen.
Sen visas en lösenkrav. Modern ransomware har två versioner:
- "Vanlig" ransomware — betala för att få tillbaka filerna
- Double extortion — angriparen stal också en kopia innan krypteringen. Betalar du inte publiceras dina filer på nätet. Detta är 2026 års standard.
02Hela attack-kedjan, konkret
Från fakturabilagan till total katastrof — 12 minuter
- Du jobbar på företaget. Klockan 09:14 får du ett mejl från "ekonomi@leverantor-ab.se" — ser ut som en faktura ni väntat på. Bilaga:
Faktura_oktober_2026.docx. - Du öppnar dokumentet. Word visar en banner: "Skyddad vy — Aktivera redigering". Du klickar Aktivera redigering eftersom du litar på avsändaren.
- Dokumentet är tomt förutom texten "Aktivera makron för att visa innehåll". Du klickar Aktivera makron.
- Makrot kör PowerShell i bakgrunden. PowerShell laddar ner riktiga ransomware-payloaden (typ "LockBit" eller "Conti") från en server och kör den.
- Ransomware börjar omedelbart skanna din dator och alla mappade nätverksenheter (företagets fildelning, SharePoint, OneDrive).
- Klockan 09:21 är 240 000 filer krypterade. Excel-ark, Word-dokument, projektmaterial, kontrakt — allt har nu filändelsen
.lockbit. - På varje krypterad mapp dyker en fil upp:
!_README_!.txtmed lösenkravet. - Klockan 09:26 har samma sak hänt på 14 andra anställdas datorer — ransomware spred sig via det interna nätverket.
Så ser en lösenfil ut (förenklad version av en riktig):
~~ DINA FILER HAR KRYPTERATS ~~
Alla dina viktiga filer är låsta med AES-256.
Vi har också kopierat dem till våra servrar.
Vad du behöver göra:
1. Betala 2.4 BTC (~1 200 000 SEK) till adressen:
bc1qXX...XX
2. Skicka transaktions-ID till payment@onion.tor
3. Du får dekrypteringsnyckeln inom 24 timmar.
Om du inte betalar inom 72 timmar:
- Lösensumman fördubblas
- Vi publicerar alla era filer på vår läcksajt
- Inkluderar kontrakt, kunddata, anställdas personnummer
Försök INTE använda dekrypterings-verktyg från internet.
De kommer förstöra dina filer permanent.
ID: a8f3b9c2-44e1-...
03Varför "bara betala" inte alltid funkar
- Cirka 8% får aldrig sina filer tillbaka även efter betalning (Sophos State of Ransomware-rapport)
- De som får tillbaka filerna får ofta tillbaka 65–70% av dem — dekrypteringsverktygen är buggiga
- Du blir ett mål. Företag som betalar markeras som "betalvilliga" och attackeras igen inom 1–2 år
- Du finansierar nästa attack. Pengarna går till organiserad brottslighet, ofta kopplad till rysk eller nordkoreansk statlig verksamhet
- I vissa länder är det olagligt att betala om gruppen är sanktionerad (USA, delvis EU)
04Varför företag är primärmål, inte privatpersoner
Privatpersoner drabbas också, men företag är 95% av attackerna. Varför:
- Företaget förlorar miljoner per dag i nere-tid → har incitament att betala snabbt
- Cyberförsäkring → täcker ofta lösensumman → angriparen vet det och anpassar priset
- Personuppgifter att läcka → GDPR-böter pressar företag att betala för att undvika publicering
- Sjukhus och kommuner är mjuka mål — gammal mjukvara, knapra IT-budget, kritiska tjänster
05Hur du faktiskt skyddar dig
- Backups på en separat enhet som INTE är ständigt ansluten. En extern hårddisk du kopplar in en gång i veckan. Eller en USB-sticka du tar ut efter sync. Om ransomware når en disk som är monterad, krypteras backuperna också.
- 3-2-1-regeln: 3 kopior av varje fil, på 2 olika typer av media, varav 1 är off-site. Klassisk IT-rådgivning men träffar exakt mot ransomware.
- Slå av Office-makron. 70%+ av ransomware kommer in via makro-aktiverade Office-dokument. Inställningar → Säkerhetscenter → Inställningar för makron → Inaktivera alla.
- Visa filändelser i Windows. Då ser du att
Faktura.pdf.exeär en exe-fil, inte en PDF. - Använd inte administratörskonto till vanligt jobb. Ransomware som körs som vanlig användare kan bara skada det den användaren har åtkomst till. Som administratör — hela maskinen.
- Patcha allt. Många ransomware-grupper utnyttjar kända sårbarheter där patch fanns men inte installerats. Aktivera autopatch.
- Cloud-storage med versionshistorik. Google Drive och OneDrive sparar gamla versioner av filer i 30 dagar — du kan rulla tillbaka. Inte garanti, men en räddningslina.
06Om du drabbas — vad du gör nu
- Stäng av datorn från nätverket. Dra ut nätverkskabeln eller stäng av WiFi. Sluta sprida.
- Stäng inte av datorn helt — vissa krypteringsnycklar finns kvar i RAM och kan räddas av forensiker.
- Anmäl till polisen. Cybercrime-sektionen — det är ett riktigt brott.
- Sök på
nomoreransom.org— en gratis sajt från Europol som har dekrypteringsverktyg för ~150 ransomware-familjer. Om din variant finns där får du tillbaka filerna gratis. - Förhandla aldrig själv. Om företaget måste betala — anlita en specialist. De vet hur man förhandlar ner summan och verifierar att dekrypteringen funkar.
- Format om hela datorn. Återställning från backup är det enda sättet att veta att malwaret är borta.
07Vad du lärt dig
- Ransomware krypterar alla dina filer och kräver lösensumma
- Modern ransomware = kryptering + datastöld (double extortion)
- Vanligaste vägen in: Office-makro i en mejl-bilaga
- Företag är primärmål — 95% av attackerna; sjukhus och kommuner mjukast
- Backup på frånkopplad enhet är det enda försvar som faktiskt räddar dig
nomoreransom.orghar gratis dekrypterings-verktyg för många familjer