Wannacry ransomware angrep: 3 viktige ting å vite

Ransomware-angrep, under navnet WannaCry, ble rapportert over hele verden av cyber-sikkerhetseksperter på fredag, og det er gitt flere advarsler for å antyde økte sikkerhetstiltak på internett-tilkoblede enheter, ettersom en annen bølge av angrep forventes denne uken.

Ransomware-angrepene - et tiår gammelt hacker-triks - har hardt rammet Russland, Ukraina, Spania, Storbritannia og India.

Andre land, inkludert USA, Brasil, Kina, blant andre fra Nord-Amerika, Latin-Amerika, Europa og Asia, har blitt rammet av ransomware-angrepet.

Ransomware krypterer filer på en enhet ved å bruke utvidelsen '.wcry' og startes via en ekstern kjøring av SMBv2 (Server Message Block Version 2).

Les også: Hva er Ransomware og hvordan beskytte mot det? og er det en sårbar smarttelefon for WannaCry Ransomware Attack?

Kaspersky Labs globale forsknings- og analyseteam påpekte at 'unpatchede Windows-datamaskiner som utsetter SMB-tjenestene deres kan bli angrepet eksternt' og 'dette sikkerhetsproblemet ser ut til å være den viktigste faktoren som forårsaket utbruddet'.

Hackinggruppen Shadow Brokers er rapportert å være ansvarlig for å gjøre den ondsinnede programvaren for å utføre dette angrepet tilgjengelig på internett 14. april.

Hvor utbredt er angrepet?

Hele virkningen av dette angrepet er fremdeles ukjent ettersom cybersikkerhetseksperter forventer at flere bølger av angrepet skal ramme flere systemer.

I følge en rapport i New York Times har angrepet overtatt kontrollen over over 200 000 datamaskiner i over 150 land.

Bedrifter og offentlige etater inkludert russiske departementer, FedEx, Deutsche Bahn (Tyskland), Telefonica (Spania), Renault (fransk), Qihoo (Kina) og Storbritannias nasjonale helsetjeneste er blitt berørt.

Det spanske Computer Emergency Response Team (CCN-CERT) har også etterlyst et høyt varsel i landet, da det sier at organisasjoner kan ha blitt rammet av ransomware.

“Den ondsinnede WannaCrypt-programvaren spredte seg raskt globalt og er hentet fra utnyttelsene stjålet fra NSA i USA. Microsoft hadde gitt ut en sikkerhetsoppdatering for å oppdatere dette sikkerhetsproblemet, men mange datamaskiner forble uovertruffen over hele verden, uttalte Microsoft.

Følgende programvare har vært berørt til nå:

• Windows Server 2008 for 32-biters systemer
• Windows Server 2008 for 32-biters systempakke 2
• Windows Server 2008 for Itanium-baserte systemer
• Windows Server 2008 for Itanium-baserte systemtjenestepakke 2
• Windows Server 2008 for x64-baserte systemer
• Windows Server 2008 for x64-baserte systemtjenestepakke 2
• Windows Vista
• Windows Vista servicepakke 1
• Windows Vista servicepakke 2
• Windows Vista x64 Edition
• Windows Vista x64 Edition servicepakke 1
• Windows Vista x64 Edition servicepakke 2
• Windows 7
• Windows 8.1
• Windows RT 8.1
• Windows Server 2012 og R2
• Windows 10
• Windows Server 2016

Hvordan påvirker det systemene?

Den skadelige programvaren krypterer filer som inneholder kontorutvidelser, arhives, mediefiler, e-postdatabaser og e-poster, utviklerkildekode og prosjektfiler, grafiske og bildefiler og mye mer.

Et dekrypteringsverktøy er også installert sammen med skadelig programvare som hjelper med å gjøre løsepenger på 300 dollar som kreves i Bitcoins, samt dekryptere filene når betalingen er utført.

Dekrypteringsverktøyet kjører to nedtellingstimere - en 3-dagers tidtaker, hvoretter det er indikert at løsepengene vil øke og en 7-dagers tidtaker som indikerer hvor lang tid som gjenstår før filene går tapt for alltid.

Gitt programvareverktøyet har muligheten til å oversette teksten til flere språk, er det tydelig at angrepet siktes globalt.

For å sikre at dekrypteringsverktøyet blir funnet av brukeren, endrer malware også bakgrunnsbilder til den berørte PC-en.

Hvordan være trygg?

• Forsikre deg om at antivirusprogramvarens database er oppdatert, og at den beskytter systemet ditt i sanntid og kjør en skanning.
• Hvis skadelig programvare: Trojan.Win64.EquationDrug.gen blir oppdaget, må du forsikre deg om at den blir satt i karantene og slettet og start systemet på nytt.
• Hvis du ikke allerede har gjort det, anbefales det å installere Microsofts offisielle oppdatering - MS17-010 - som reduserer SMB-sårbarheten som blir utnyttet i angrepet.
• Du kan også deaktivere SMB på datamaskinen din ved å bruke denne veiledningen av Microsoft.
• Organisasjoner kan isolere kommunikasjonsportene 137 og 138 UDP og portene 139 og 445 TCP.

USA-baserte systemer ble sikret ved et uhell

En 22 år gammel britisk sikkerhetsforsker lukket ved en tilfeldighet skadelig programvare fra spredning til nettverk i USA da han kjøpte døde switch-domenet til skadelig programvare som ennå ikke var registrert.

Så snart stedet var i live, ble angrepet stengt. Du kan lese hele rapporten hans her om hvordan han avduket drepsbryteren for skadelig programvare og til slutt la den av.

Les også: Denne kritiske sikkerhetsfilen til Android forblir upasset av Google.

“Det har allerede kommet en annen variant av ransomware som ikke har en drepebryter, noe som gjør det vanskelig å inneholde. Det har allerede begynt å infisere land i Europa, sier Sharda Tickoo, teknisk sjef, Trend Micro India.

Det er fremdeles uklart hvem som er ansvarlig for angrepet og spekulasjoner har pekt mot Shadow Brokers - som også er ansvarlig for å frigjøre skadelig programvare på nettet - eller flere hackingorganisasjoner.

Se GT Hindis video for Wannacry / Wannacrypt Ransomware nedenfor.