Massive angreb med virusset WannaCry har haft store konsekvenser for virksomheder og offentlige institutioner over hele verden. Dyk ned i faktaene om angrebene, hvordan virussen har udviklet sig, og hvordan du beskytter dig mod den.

Fakta om WannaCry:

Navn: WannaCrypt, WannaCry, WanaCrypt0r, WCrypt, eller WCRY

WannaCrypt bliver ifølge Microsoft leveret via en “Dropper” dvs. et lille program, som efterfølgende henter selve ransomwaren.

WannaCrypt benytter CVE-2017-0145, som er en sårbarhed i Microsofts implementering af Server Message Block-(SMB) protokollen, specifikt version SMB 1.0.

SMB er typisk tilgængelig på port 445 internt i Windows Enterprise-miljøer, så WannaCrypt har dermed kunnet sprede sig, når SMB-servicen har været tilgængelig.

Sårbarheden gjaldt for samtlige Windows-versioner, og Microsoft udsendte den 14. marts 2017 security advisory MS17-010 og dertilhørende patch for Windows Vista og frem.

Microsoft udsendte efterfølgende den 12. maj 2017 ”Customer Guidance for WannaCrypt attacks” samt en ny patch til ellers usupporterede systemer såsom Windows XP og Windows Server 2003.

De filer, der bliver krypteret af WannaCrypt, får tilføjet endelsen .WNCRY.

Der kræves 300$ i bitcoin som løsesum.

WannaCrypt er i stand til at vise følgende sprog ved inficering:
Bulgarsk, kinesisk (forenklet), kinesisk (traditionel), kroatisk, tjekkisk, dansk, hollandsk, engelsk, filippinsk, finsk, fransk, tysk, græsk, indonesisk, italiensk, japansk, koreansk, lettisk, norsk, polsk, portugisisk, rumænsk, russisk, slovakisk, spansk, svensk, tyrkisk og vietnamesisk.

WannaCrypt blev i første omgang stoppet ved, at en sikkerhedsekspert, der undersøgte selve malwaren, fik registreret det uregistrerede domæne, som malwaren formentlig kaldte til som sand-box-beskyttelse. Dvs. når malwaren kunne kontakte selve domænet, så eksekverede selve krypteringen ikke. De domæner, som ransomwaren forsøger at kontakte, er følgende:

  • www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com
  • www[.]ifferfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com

 

Referencer:

https://blogs.technet.microsoft.com/mmpc/2017/05/12/wannacrypt-ransomware-worm-targets-out-of-date-systems/

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

https://www.malwaretech.com/2017/05/how-to-accidentally-stop-a-global-cyber-attacks.html