Af Torben B. Sørensen, 13/05/17
Ifølge sikkerhedsfirmaet Avast har WanaCrypt0r ramt over 75.000 computere i 99 lande. Programmet krypterer filer på computeren og kræver løsesum for den nøgle, der kan dekryptere dem.
WanaCrypt0r spreder sig ved at udnytte et sikkerhedshul i Windows' behandling af SMB-protokollen (Server Message Block), der bruges til fil- og printerdeling. Microsoft lukkede hullet i marts for de versioner af Windows, firmaet fortsat understøtter.
Da Windows XP ikke er understøttet længere, er sårbarheden ikke fjernet fra den. Det fik konsekvenser for britiske hospitaler, der stadig kører Windows XP: En række hospitaler blev inficeret i løbet af fredagen.
Microsoft har nu udsendt en opdatering, der fjerner sårbarheden fra ikke-understøttede styresystemer: Windows XP, Server 2003 og Windows 8.
Når ormen har inficeret en computer, undersøger den, om den kan forbinde sig til et bestemt web-domæne. Hvis det lykkes, holder programmet op med at køre.
Det har sikkerhedsforskere udnyttet ved at oprette domænet. Dermed menes spredningen af den nuværende version at være standset.
Foruden at installere sig selv installerer ormen også programmet Double Pulsar på den computer, den rammer. Det giver bagmændene mulighed for at fjernstyre den inficerede computer.
Den sårbarhed, som WanaCrypt0r udnytter, blev kendt, da programkode til flere værktøjer udviklet af NSA (National Security Agency) blev lækket på nettet i april. Den spreder sig således på samme måde som værktøjet Eternalblue. Også Double Pulsar stammer fra NSA-værktøjerne.
Anbefaling
- Installer sikkerhedsopdateringer fra Microsoft.
- Bloker for SMB i firewallen.
- Fjern Windows XP-systemer fra netværk, hvis de ikke kan opdateres.
Links
- Ransomware that infected Telefonica and NHS hospitals is spreading aggressively, with over 50,000 attacks so far, today, blogindlæg fra Avast
- 74 countries hit by NSA-powered WannaCrypt ransomware backdoor, artikel fra The Register
- Customer Guidance for WannaCrypt attacks, Microsoft
- The worm that spreads WanaCrypt0r, analyse fra Malwarebytes Labs
- WannaCry ransomware used in widespread attacks all over the world, analyse fra Kaspersky Lab