WanaCrypt0r

Sikkerhedsfirmaet Proofpoint har siden maj måned observeret et botnet ved navn Smominru eller Ismo. Botnettet har inficeret over 526.000 Windows-computere, hvoraf de fleste antages at være servere.

Andre kilder anslår ifølge Bleeping Computer botnettet til en million inficerede computere.

Smominru spreder sig blandt andet ved at bruge EternalBlue-sårbarheden, som tidligere har været brugt af ormen WannaCry. Men det ser også ud til at kunne sprede sig ved at inficere MySQL og SQL Server.

Sikkerhedsfirmaet Kaspersky har fundet flere fejl i programkoden til WannaCry. Fejlene medfører, at filer ikke altid slettes fuldstændig.

I nogle tilfælde markeres filerne kun som slettede. Derfor er det muligt at gendanne dem med et værktøj til gendannelse af slettede filer.

Det gælder blandt andet, når filerne ikke ligger i en mappe, som WannaCry opfatter som vigtig. Vigtige mapper er fx Dokumenter og Skrivebord.

Anbefaling

Afprøv værktøjer til gendannelse af slettede filer, hvis I er ramt af WannaCry.

Sikkerhedsfirmaet Dubex venter en ny bølge af WannaCry-angreb i morgen. Angrebene ventes at udnytte en sårbarhed i RDP (Remote Desktop Protocol), som bruges til fjernstyring af Windows-systemer.

Microsoft har lukket hullet, men ikke i styresystemer, firmaet ikke længere vedligeholder såsom Windows Server 2003 eller Windows XP.

Dermed kan systemer med gamle versioner af Windows være sårbare. Det samme gælder styresystemer, der ikke er opdateret med de seneste sikkerhedsrettelser fra Microsoft.

Et af værktøjerne er Eternalblue, som også ransomware-ormen Wanacrypt0r anvender. Men EternalRocks er ikke ransomware, der krypterer offerets data.

I stedet installerer den en bagdør og andre værktøjer.

Efter ormen er installeret, venter den et døgn, før den henter yderligere komponenter. Den anvender TOR til at anonymisere sin trafik.

Anbefaling

Hvis man har computere med de sårbarheder, EternalRocks udnytter, bør man undersøge dem for infektioner.

Flere sikkerhedsforskere står bag Wanakiwi. Det kan dekryptere filer, som WannaCry (WanaCrypt0r) har kodet.

Metoden kræver imidlertid, at krypteringsnøglerne befinder sig arbejdslageret. Det gør de typisk, indtil systemet genstartes.

Wanakiwi ser ud til at virke på Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008 og 2008 R2, samt Windows 7.

Anbefaling

Ofre for WannaCry bør afprøve Wannakiwi, hvis de ikke har genstartet det ramte system.

Sikkerhedsfirmaet Rendition Infosec oplyser, at de har observeret WanaCrypt0r-varianten. I den del af koden, hvor der tidligere stod et domæne, som ormen skulle forsøge at forbinde sig til, står der nu kun nuller.

Den oprindelige udgave af WanaCrypt0r brugte domænet som nødstop: Hvis domænet blev oprettet, så opkald til det blev besvaret, holdt ormen op med at køre.

Da nødstoppet nu er fjernet, er det ikke muligt at standse den nye version ved at oprette domænet.

WanaCrypt0r, der også er kendt som Wannacry, spredte sig aggressivt i bededagsferien. Ormen udnytter en sårbarhed i SMB (Server Message Block) i Windows til at inficere ofrene med ransomware.

Den første version blev standset, fordi en sikkerhedsforsker registrerede et domæne, som ormen prøver at forbinde sig til. Det viste sig at fungere som en nødstopfunktion, der standsede ormeprogrammet.

Ifølge sikkerhedsfirmaet Avast har WanaCrypt0r ramt over 75.000 computere i 99 lande. Programmet krypterer filer på computeren og kræver løsesum for den nøgle, der kan dekryptere dem.

WanaCrypt0r spreder sig ved at udnytte et sikkerhedshul i Windows' behandling af SMB-protokollen (Server Message Block), der bruges til fil- og printerdeling. Microsoft lukkede hullet i marts for de versioner af Windows, firmaet fortsat understøtter.