Af Torben B. Sørensen, 15/05/17
WanaCrypt0r, der også er kendt som Wannacry, spredte sig aggressivt i bededagsferien. Ormen udnytter en sårbarhed i SMB (Server Message Block) i Windows til at inficere ofrene med ransomware.
Den første version blev standset, fordi en sikkerhedsforsker registrerede et domæne, som ormen prøver at forbinde sig til. Det viste sig at fungere som en nødstopfunktion, der standsede ormeprogrammet.
En ny version dukkede op på nettet senere på weekenden. Søndag meldte sikkerhedsforsker Matt Suiche, at den også har et nødstopdomæne, som han har fået registreret. Dermed skulle den version også være standset.
Flere sikkerhedsforskere venter, at en version uden nødstop vil dukke op.
I marts lukkede Microsoft det sikkerhedshul i Windows, som WanaCrypt0r udnytter. Dengang blev hullet dog ikke lukket i Windows XP, da den ikke længere er understøttet. Men Microsoft har efter WanaCrypt0r-udbruddet udsendt opdateringer til ældre versioner, herunder Windows XP.
Anbefaling
- Installer opdateringer fra Microsoft.
- Bloker for SMB i firewallen.
Links
- WannaCry — New Variants Detected, blogindlæg af Matt Suiche
- EternalBlue-powered ransomware will become the new normal, blogindlæg fra Bitdefender
- Ransomware Outbreak WannaCry, analyse fra Redsocks
- Ransomware-ormen WanaCrypt0r har ramt tusindvis af computere, DKCERT, 13/5/2017
- Customer Guidance for WannaCrypt attacks, Microsoft