3 Avgjørende ting å vite om WannaCry Ransomware-angrepet
Ransomware-angrep, med navnet WannaCry, var rapportert verdensomspennende av cyber-sikkerhetseksperter på fredag, og flere advarsler er blitt gitt for å antyde økte sikkerhetstiltak på nett-tilkoblede enheter, ettersom en andre bølge av angrep forventes denne uken.
Ransomware-angrepene - et tiår gammelt hacker-triks - har hardt rammet Russland, Ukraina, Spania, Storbritannia og India.
Andre land, inkludert USA, Brasil, Kina, blant andre fra Nord-Amerika, Latin-Amerika, Europa og Asia, har blitt rammet av ransomware-angrepet.
Ransomware krypterer filer på en enhet ved å bruke '.wcry' -utvidelsen og startes via en SMBv2 (Server Message Block Version 2) ekstern kjøring av kode.
Les også: Hva er Ransomware og hvordan beskytte mot den? og Er det en sårbar smarttelefon for WannaCry Ransomware Attack?Kaspersky Lab's Global Research and Analyse team pekte ut at ‘uprioriterte Windows-datamaskiner som utsetter SMB-tjenestene deres kan angripes eksternt’ og ‘dette sikkerhetsproblemet ser ut til å være den viktigste faktoren som forårsaket utbruddet’.
Hackinggruppen Shadow Brokers er rapportert å være ansvarlig for å gjøre den ondsinnede programvaren for å utføre dette angrepet tilgjengelig på internett 14. april.
Hvor utbredt er angrepet?
Hele virkningen av dette angrepet er fremdeles ukjent ettersom cybersikkerhetseksperter forventer at flere bølger av angrepet skal ramme flere systemer.
I følge en rapport i New York Times, har angrepet overtatt kontrollen over over 200 000 datamaskiner i over 150 land.
Bedrifter og offentlige etater inkludert russiske departementer, FedEx, Deutsche Bahn (Tyskland), Telefonica (Spania), Renault (fransk), Qihoo (Kina) og Storbritannias nasjonale helsetjeneste er blitt berørt.
Spansk datamaskins beredskapsteam (CCN-CERT) har også bedt om et høyt varsel i landet, da det sier at organisasjoner kan ha blitt berørt av løsepengene.
“Den ondsinnede WannaCrypt-programvaren spredte seg raskt globalt og er hentet fra utnyttelsene stjålet fra NSA i USA. Microsoft hadde gitt ut en sikkerhetsoppdatering for å oppdatere dette sikkerhetsproblemet, men mange datamaskiner forble uovertruffen globalt, sier Microsoft uttalte.
Følgende programvare har vært berørt til nå:
- Windows Server 2008 for 32-biters systemer
- Windows Server 2008 for 32-biters systempakke 2
- Windows Server 2008 for Itanium-baserte systemer
- Windows Server 2008 for Itanium-baserte systemtjenestepakke 2
- Windows Server 2008 for x64-baserte systemer
- Windows Server 2008 for x64-baserte systemtjenestepakke 2
- Windows Vista
- Windows Vista servicepakke 1
- Windows Vista servicepakke 2
- Windows Vista x64 Edition
- Windows Vista x64 Edition servicepakke 1
- Windows Vista x64 Edition servicepakke 2
- Windows 7
- Windows 8.1
- Windows RT 8.1
- Windows Server 2012 og R2
- Windows 10
- Windows Server 2016
Hvordan påvirker det systemene?
Den skadelige programvaren krypterer filer som inneholder kontorutvidelser, arhives, mediefiler, e-postdatabaser og e-poster, utviklerkildekode og prosjektfiler, grafiske og bildefiler og mye mer.
Et dekrypteringsverktøy er også installert sammen med skadelig programvare som hjelper med å gjøre løsepengene på 300 dollar som kreves i Bitcoins, samt dekryptere filene når betalingen er utført.
Dekrypteringsverktøyet kjører to nedtellingstimere - en 3-dagers tidtaker, hvoretter det er indikert at løsepenger vil øke og en 7-dagers tidtaker som indikerer hvor lang tid som gjenstår før filene går tapt for alltid.
Gitt programvareverktøyet har muligheten til å oversette teksten til flere språk, er det tydelig at angrepet siktes globalt.
For å sikre at dekrypteringsverktøyet blir funnet av brukeren, endrer malware også bakgrunnsbilder til den berørte PC-en.
Hvordan være trygg?
- Forsikre deg om at antivirusprogramvarens database er oppdatert, og at den beskytter systemet ditt i sanntid og kjør en skanning.
- Hvis skadelig programvare: Trojan.Win64.EquationDrug.gen blir oppdaget, må du forsikre deg om at den blir satt i karantene og slettet og start systemet på nytt.
- Hvis du ikke allerede har gjort det, anbefales det å installere Microsofts offisielle oppdatering - MS17-010 - noe som reduserer SMB-sårbarheten som blir utnyttet i angrepet.
- Du kan også deaktivere SMB på datamaskinen din ved å bruke denne guiden av Microsoft.
- Organisasjoner kan isolere kommunikasjonsportene 137 og 138 UDP og portene 139 og 445 TCP.
USA-baserte systemer ble sikret ved et uhell
En 22 år gammel britisk sikkerhetsforsker lukket ved en tilfeldighet skadelig programvare fra spredning til nettverk i USA da han kjøpte kill switch-domenet til skadelig programvare som ennå ikke var registrert.
Så snart stedet var i live, ble angrepet stengt. Du kan lese hans fulle rapport her om hvordan han avduket drepsbryteren for skadelig programvare og til slutt la den av.
Les også: Denne kritiske sikkerhetsfeilen til Android forblir uoppfylt av Google.“Det har allerede kommet en annen variant av ransomware som ikke har en drepebryter, noe som gjør det vanskelig å inneholde. Det har allerede begynt å infisere land i Europa, sier Sharda Tickoo, teknisk sjef, Trend Micro India.
Det er fremdeles uklart hvem som er ansvarlig for angrepet og spekulasjoner har pekt mot Shadow Brokers - som også er ansvarlig for å frigjøre skadelig programvare på nettet - eller flere hackingorganisasjoner.
Se GT Hindis video for Wannacry / Wannacrypt Ransomware nedenfor.
