WannaCrypt Ransomware, også kendt under navnet WannaCrypt, WannaCrypt0r og Wcrypt er en særlig ransomware som er udviklet til at bruge i mod Windows operativsystemer. D. 12/05-2017 opdagende man et Wannacrypt angreb som ramte mere end 230.000 computere med Windows operativsystem i hele 150 lande.

Nogle af de virksomheder som blev ramt af dette angreb var Storbritanniens National Health Service, det spanske teleselskab Telefónica og logistikfirmaet FedEx. Opfanget af angrebet var så voldsomt, at det tilmed skabte et kaos på tværs af hospitalerne i Det Forenede Kongerige. Flere hospitaler måtte lukke ned og udsætte operationer med meget kort varsel, mens de ansatte var tvunget til at anvende papir og blyant til deres arbejde når hele systemet var blevet låst af Ransomware. Dette giver et ret godt indblik i hvad Ransomware er i stand til at gøre.

 

Hvordan får WannaCry Ransomware adgang til min computer?

WannaCry Ransomware får adgang til din computer via en vedhæftet fil som derefter spredes meget hurtigt via LAN-netværket.

Når den først har fået adgang kan den gå ind og kryptere din systemharddisk og forsøge at udnytte SMB-sårbarheden til at sprede sig selv, til en masse tilfældige computere på internettet via en TCP-port mellem computere der er på det samme netværk.

 
Hvem udviklede WannaCry?

Der er endnu ikke nogen bekræftede rapporter om hvem der har oprettet denne ransomware, selv om WanaCrypt0r 2.0 umiddelbart ser ud til at være 2. forsøg. Forgængeren Ransomware WeCry blev opdaget tilbage i februar i år 2017 og de krævede 0.1 bitcoins for at låse op for de ramte computere igen.

Hackerne anvender i øjeblikket Microsoft Windows Exploit Eternal Blue som angiveligt skulle være blevet oprettet af NASA. Disse værktøjer er blevet stjålet og lækket af en gruppe som kalder sig for Shadows Brokers. Programmet var designet specifikt til Amerikas militære efterretningsenhed for at kunne få adgang til de computere som terroristerne bruger.

 

Det fælles infektionsmønster omfatter:

  1. Får adgang via sociale e-mails som er designet til at narre brugere til at køre malware og derved aktivere orme spredning funktionen med SMB udnyttelse. Rapporter viser, at malware kommer ind på din computer via en inficeret Microsoft-fil der sendes i en e-mail som værende et jobtilbud, en faktura eller et andet relevant og ellers troværdigt dokument.
  2. Infektionen gennem SMB udnyttes når en unpatched computer kan blive adresseret i andre inficerede computere.
  3. Den sum bagmøndene forlanger for at låse din computer op igen starter på 300 Bitcoin, som stiger efter et par timer.

 

WannaCry har en hurtig spredningskapacitet:

Ormfunktionaliteten i WannaCrypt gør det muligt at inficere upatchede Windows computere i det lokale netværk. Samtidig gennemfører den også en stor scanning af interne IP-adresser for at finde og inficere sårbare computere. Dette resulterer i en stor SMB trafikdata der kommer fra den inficerede computer som hurtigt kan, og bør, spores af IT-sikkerhedspersonale.

Når WannaCrypt inficerer en sårbar computer anvender den computeren til at inficere andre computere og sådan forsætter det.


Sådan beskytter du dig i mod Wannacry:

  1. Microsoft anbefaler at du opgraderer til Windows 10, da den er udstyret med de nyeste funktioner og proaktive sikkerhedsopdateringer.
  2. Installer sikkerhedsopdateringen MS17-010 som er udgivet af Microsoft. De har også udgivet sikkerhedsrettelser til ikke-understøttede Windows-versioner som Windows XP, Windows Server 2003 osv.
  3. Windows-brugere rådes til at være yderst forsigtige og opmærksomme på phishing-e-mails, altså e-mails som virker mistænkelige, og tilmed være meget forsigtige, når de åbner e-mail-bilagene eller klikker på web-links.
  4. Lav sikkerhedskopier og gem dem et sikkert sted.
  5. Windows Defender Antivirus registrerer denne trussel som Ransom: Win32 / WannaCrypt, så aktiver, opdater og kør Windows Defender Antivirus for at få den til at registrere denne ransomware.
  6. EternalBlue Vulnerability Checker er et gratis værktøj, der kontrollerer, om din Windows-computer er sårbar over for EternalBlue-udnyttelse. Det er udviklet af ESET.
  7. Deaktiver SMB1 via de trin der er dokumenteret på KB2696547.
  8. Overvej at tilføje en regel på din router eller firewall for at blokere indgående SMB-trafik på port 445.
  9. Anvend et antivirusprogram som har en dokumenteret proaktiv blokering imod WannaCry og som fremadrettet sikrer din computer imod WannaCry, og lignende, malware infektioner. Vi anbefaler i den forbindelse BullGuards sikkerhedsløsninger.