Pågående ransomware attack som påverkat över 74 länder hittills

Ransomware attacken har hittills riktat in sig på att kryptera datorn det startats på och de nätverksenheter som varit

 uppkopplade på den aktuella datorn. De ransomware som sprids just nu i en rasande takt kallas ”WannaCry” (Wcry eller WanaCrypt0r) och verkar komma in samma väg som de flesta andra ransomware gjort hittills, dvs genom spam osv. Skillnaden är att när en dator innanför företagets brandvägg smittats pekar allt på att det nyttjar en svaghet i Microsofts OS för att sprida sig vidare till andra datorer och klienter på insidan. Detta har lett till snabb och förödande spridning.

 

Flera experter som övervakar situationen har länkat infektionerna till sårbarheter som släpptes av en grupp som kallar sig “The Shadow Brokers”, som nyligen hävdade att de dumpade hackningsverktygen stulna från USA: s nationella säkerhetsbyrå (NSA).

En patch för sårbarheten släpptes av Microsoft i mars, men många system kanske inte har installerat uppdateringen.

Just nu verkar Spanien, USA, Kina, Italien, Taiwan och Ryssland vara mest drabbade men även England finns bland de som drabbats hårt.

Så fortsätt att inte öppna och köra okända länkar och program som bifogats i mail. Uppdatera också era Windows system snarast möjligt med MS17-010!

Uppdatering (15-05-17):

Microsoft har under helgen släppt en akut patch (KB4012598) till sina operativsystem versioner Windows XP, 2003, Vista och 2008.

Länk till Microsoft’s artikel: https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

Länk till patchen: https://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

ransomware-kod.jpg

Tack vare Darien Huss (Länk till Darien Huss’ twitter: https://twitter.com/darienhuss) för att ha uppmärksammat om det binära som infekterar systemet så

kunde @MalwareTechBlog registrera domännamnet www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com som registrerades som en del av en kill-switch för malware, för tillfället.

Dock så är det viktigt att komma ihåg att,

  • Om ditt intranät inte har tillgång till internet, vilket är ganska vanligt (kom ihåg att infektionen kan spridas över SMB-nätverket) - Så kommer infektionen inte att kunna komma åt detta domännamn och sedan fortsätter infektera.
  • Även om det här blockerar den nuvarande versionen - har angriparna förmodligen redan skrivit och släppt varianter med en annan killswitch-mekanism.
  • Detta är bara tillfällig lättnad, de flesta av systemen är fortfarande sårbara på grund av äldre operativsystem som Windows XP - och kommer inte att kunna vara säkra tills de tillämpar MS17-010-patch vilket kräver att de uppgraderar sina O.S.

Hittills har attacken nått över 100 olika länder och har genererat mellan $300,000-$600,000.

Funderar du på hur du kan skydda dig? Se vår artikel om 10 möjliga åtgärder mot ransomware.

Det här blogginlägget är skrivet tillsammans med Kaj Annous som gör sin sista LIA-period (Lärande i arbete) hos oss på Interlan. Kaj läser sista året till IT-säkerhetstekniker - Etisk Hackare på IFTAC i Hudiksvall.

Dela inlägget

Dela på facebook
Dela på twitter
Dela på linkedin
Dela på print
Dela på email

Lämna en kommentar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *

Denna webbplats använder Akismet för att minska skräppost. Lär dig hur din kommentardata bearbetas.