Wannacry ransomware-angreb: 3 vigtige ting at vide

Ransomware-angreb, der kaldes WannaCry, blev rapporteret over hele verden af ​​cybersikkerhedseksperter fredag, og flere advarsler er blevet udsendt for at indebære øgede sikkerhedsforanstaltninger på tværs af internetforbundne enheder, da der forventes en anden bølge af angreb denne uge.

Ransomware-angrebene - et tiår gammelt hacker-trick - har hårdt ramt Rusland, Ukraine, Spanien, Storbritannien og Indien.

Andre lande, herunder USA, Brasilien, Kina, blandt andre fra Nordamerika, Latinamerika, Europa og Asien, er blevet ramt af ransomware-angrebet.

Ransomware krypterer filer på en enhed ved hjælp af '.wcry'-udvidelsen og startes via en SMBv2 (Server Message Block Version 2) fjernudførelse af kode.

Læs også: Hvad er Ransomware, og hvordan kan man beskytte imod det? og Er Smartphone sårbare for WannaCry Ransomware Attack?

Kaspersky Labs globale forsknings- og analyseteam påpegede, at 'upatchede Windows-computere, der udsætter deres SMB-tjenester, kan fjernes angrebet', og 'denne sårbarhed ser ud til at være den mest betydningsfulde faktor, der har forårsaget udbruddet'.

Hackinggruppen Shadow Brokers rapporteres at være ansvarlig for at gøre den ondsindede software til at udføre dette angreb tilgængelig på internettet den 14. april.

Hvor udbredt er angrebet?

Den fulde virkning af dette angreb er stadig ukendt, da cybersikkerhedseksperter forventer, at yderligere bølger af angrebet rammer flere systemer.

Ifølge en rapport i New York Times har angrebet overtaget kontrollen med over 200.000 computere i over 150 lande.

Virksomheder og statslige agenturer, inklusive russiske ministerier, FedEx, Deutsche Bahn (Tyskland), Telefonica (Spanien), Renault (fransk), Qihoo (Kina) og Storbritanniens nationale sundhedsvæsen er blevet berørt.

Det spanske computer-beredskabsteam (CCN-CERT) har også opfordret til en høj alarm i landet, da det siger, at organisationer måske er blevet påvirket af ransomware.

”Den ondsindede WannaCrypt-software spreder sig hurtigt globalt og er hentet fra de udnyttelser, der blev stjålet fra NSA i USA. Microsoft havde frigivet en sikkerhedsopdatering for at rette op på denne sårbarhed, men mange computere forblev upåfyldt globalt, ”udtaler Microsoft.

Følgende software er indtil videre påvirket:

• Windows Server 2008 til 32-bit-systemer
• Windows Server 2008 til 32-bit systems servicepakke 2
• Windows Server 2008 til Itanium-baserede systemer
• Windows Server 2008 til Itanium-baserede systems servicepakke 2
• Windows Server 2008 til x64-baserede systemer
• Windows Server 2008 til x64-baserede systems servicepakke 2
• Windows Vista
• Windows Vista servicepakke 1
• Windows Vista servicepakke 2
• Windows Vista x64 Edition
• Windows Vista x64 Edition servicepakke 1
• Windows Vista x64 Edition servicepakke 2
• Windows 7
• Windows 8.1
• Windows RT 8.1
• Windows Server 2012 og R2
• Windows 10
• Windows Server 2016

Hvordan påvirker det systemerne?

Malware krypterer filer, der indeholder kontorudvidelser, arkiver, mediefiler, e-mail-databaser og e-mails, udviklerkildekode og projektfiler, grafiske og billedfiler og meget mere.

Et dekrypteringsværktøj er også installeret sammen med malware, som hjælper med at skaffe løsepenge på 300 dollars, der kræves i Bitcoins, samt dekryptere filerne, når betalingen er foretaget.

Decryptor-værktøjet kører to nedtællingstimere - en 3-dages timer, hvorefter det er indikeret, at løsepenge vil stige, og en 7-dages timer, der angiver, hvor lang tid der er tilbage, før filerne går tabt for evigt.

I betragtning af at softwareværktøjet har evnen til at oversætte dens tekst til flere sprog, er det tydeligt, at angrebet rettes globalt.

For at sikre, at dekrypteringsværktøjet findes af brugeren, ændrer malware også tapetet på den berørte pc.

Hvordan forbliver jeg sikker?

• Sørg for, at databasen til din antivirus-software er opdateret, og at den beskytter dit system i realtid, og kør en scanning.
• Hvis malware: Trojan.Win64.EquationDrug.gen opdages, skal du sikre dig, at den bliver karantæne og slettet, og genstart systemet.
• Hvis du ikke allerede har gjort det, anbefales det at installere Microsofts officielle programrettelse - MS17-010 - som mindsker SMB-sårbarheden, der udnyttes i angrebet.
• Du kan også deaktivere SMB på din computer ved hjælp af denne vejledning af Microsoft.
• Organisationer kan isolere kommunikationsporte 137 og 138 UDP og porte 139 og 445 TCP.

USA-baserede systemer blev sikret ved et uheld

En 22-årig britisk sikkerhedsforsker lukkede ved en fejltagelse malware'en fra at sprede sig til netværk i USA, da han købte malware's kill-switch-domæne, som endnu ikke var registreret.

Så snart stedet var i live, blev angrebet lukket ned. Du kan læse hans fulde rapport her om, hvordan han afslørede kill-switch for malware og til sidst lukkede den.

Læs også: Denne kritiske Android-sikkerhedsfejl forbliver ukorrekt af Google.

”Der har allerede været en anden variant af ransomware, som ikke har et kill-switch, hvilket gør det vanskeligt at indeholde. Det er allerede begyndt at inficere lande i Europa, ”sagde Sharda Tickoo, teknisk chef, Trend Micro India.

Det er stadig uklart, hvem der er ansvarlig for angrebet, og spekulationer har peget på Shadow Brokers - som også er ansvarlige for at frigive malware online - eller flere hackingorganisationer.

Se GT Hindis video til Wannacry / Wannacrypt Ransomware nedenfor.