3 Væsentlige ting at vide om WannaCry Ransomware-angrebet

Ransomware-angreb, der hedder WannaCry, blev rapporteret verden over af cybersikkerhedseksperter på fredag, og der er udsendt flere advarsler for at indebære øgede sikkerhedsforanstaltninger på tværs af internetforbundne enheder, da der forventes en anden bølge af angreb denne uge.




Ransomware-angrebene - et tiår gammelt hacker-trick - har hårdt ramt Rusland, Ukraine, Spanien, Storbritannien og Indien.

Andre lande, herunder USA, Brasilien, Kina, blandt andre fra Nordamerika, Latinamerika, Europa og Asien, er blevet ramt af ransomware-angrebet.

Ransomware krypterer filer på en enhed ved hjælp af '.wcry'-udvidelsen og startes via en SMBv2 (Server Message Block Version 2) fjernudførelse af kode.

Læs også: Hvad er Ransomware og hvordan man beskytter mod det? og Er Smartphone sårbare for WannaCry Ransomware Attack?

Kaspersky Lab's Globalt forsknings- og analyseteam pegede på ud af, at 'upatchede Windows-computere, der udsætter deres SMB-tjenester, kan fjernes angrebet', og 'denne sårbarhed ser ud til at være den mest betydningsfulde faktor, der har forårsaget udbruddet'.

Hackinggruppen Shadow Brokers rapporteres at være ansvarlig for at gøre den ondsindede software til at udføre dette angreb tilgængelig på Internettet den 14. april.





Hvor udbredt er angrebet?

Den fulde virkning af dette angreb er stadig ukendt, da cybersikkerhedseksperter forventer, at yderligere bølger af angrebet rammer flere systemer.

Ifølge en rapport i New York Times har angrebet overtaget kontrollen med over 200.000 computere i over 150 lande.

Virksomheder og myndigheder, herunder russiske ministerier, FedEx, Deutsche Bahn (Tyskland), Telefonica (Spanien), Renault (fransk), Qihoo (Kina) og Storbritanniens nationale sundhedsvæsen er blevet berørt.

Spansk computer beredskabsteam (CCN-CERT) har også opfordret til en høj alarm i landet, da det siger, at organisationer måske er blevet påvirket af løseprogrammet.

”Den ondsindede WannaCrypt-software spreder sig hurtigt globalt og er hentet fra de udnyttelser, der blev stjålet fra NSA i USA. Microsoft havde frigivet en sikkerhedsopdatering for at rette op på denne sårbarhed, men mange computere forblev upåfyldt globalt, ”Microsoft erklærede.

Følgende software er indtil videre påvirket:

  • Windows Server 2008 til 32-bit-systemer
  • Windows Server 2008 til 32-bit systems servicepakke 2
  • Windows Server 2008 til Itanium-baserede systemer
  • Windows Server 2008 til Itanium-baserede systems servicepakke 2
  • Windows Server 2008 til x64-baserede systemer
  • Windows Server 2008 til x64-baserede systems servicepakke 2
  • Windows Vista
  • Windows Vista servicepakke 1
  • Windows Vista servicepakke 2
  • Windows Vista x64 Edition
  • Windows Vista x64 Edition servicepakke 1
  • Windows Vista x64 Edition servicepakke 2
  • Windows 7
  • Windows 8.1
  • Windows RT 8.1
  • Windows Server 2012 og R2
  • Windows 10
  • Windows Server 2016




Hvordan påvirker det systemerne?

Malware krypterer filer, der indeholder kontorudvidelser, arkiver, mediefiler, e-mail-databaser og e-mails, udviklerkildekode og projektfiler, grafiske og billedfiler og meget mere.

Kilde: Kaspersky

Et dekrypteringsværktøj er også installeret sammen med malware, som hjælper med at skaffe løsepenge på 300 dollars, der kræves i Bitcoins, samt dekryptere filerne, når betalingen er foretaget.

Kilde: Kaspersky

Decryptor-værktøjet kører to nedtællingstimere - en 3-dages timer, hvorefter det er indikeret, at løsepenge vil stige, og en 7-dages timer, der angiver den mængde tid, der er tilbage, før filerne går tabt for altid.

Da softwareværktøjet har evnen til at oversætte sin tekst til flere sprog, er det tydeligt, at angrebet rettes globalt.

Kilde: Kaspersky

For at sikre, at dekrypteringsværktøjet findes af brugeren, ændrer malware også tapetet på den berørte pc.

Kilde: Kaspersky




Hvordan forbliver jeg sikker?

  • Sørg for, at databasen til din antivirus-software er opdateret, og at den beskytter dit system i realtid, og kør en scanning.
  • Hvis malware: Trojan.Win64.EquationDrug.gen opdages, skal du sikre dig, at den bliver karantæne og slettet, og genstart systemet.
  • Hvis du ikke allerede har gjort det, anbefales det at installere Microsofts officielle programrettelse - MS17-010 - hvilket mindsker SMB-sårbarheden, der udnyttes i angrebet.
  • Du kan også deaktivere SMB på din computer vha denne vejledning af Microsoft.
  • Organisationer kan isolere kommunikationsporte 137 og 138 UDP og porte 139 og 445 TCP.




USA-baserede systemer blev sikret ved et uheld

En 22-årig britisk sikkerhedsforsker lukkede ved en fejltagelse malware'en fra at sprede sig til netværk i USA, da han købte malware's kill switch-domæne, som endnu ikke var registreret.

Så snart stedet var i live, blev angrebet lukket ned. Du kan læse hans fulde rapport her om, hvordan han afslørede kill-switch for malware og til sidst lukkede den.

Læs også: Denne kritiske Android-sikkerhedsfejl forbliver ukorrekt af Google.

”Der har allerede været en anden variant af ransomware, som ikke har en kill switch, hvilket gør det vanskeligt at indeholde. Det er allerede begyndt at inficere lande i Europa, ”sagde Sharda Tickoo, teknisk chef, Trend Micro India.

Det er stadig uklart, hvem der er ansvarlig for angrebet, og spekulationer har peget på Shadow Brokers - som også er ansvarlige for at frigive malware online - eller flere hackingorganisationer.

Se GT Hindis video til Wannacry / Wannacrypt Ransomware nedenfor.