Over 300.000 maskiner i over 100 land ble utsatt for WannaCry-viruset. Angrepet infiserte Windows-maskiner i et rasende tempo, men veldig mange slapp også unna. Slik sikrer du deg mot løsepengevirus fremover!
Kort om WannaCry-viruset
WannaCry-viruset er et såkalt løsepengevirus. Et virus som krypterer alle filene på en datamaskin, og som krever løsepenger for å få tilgang til filene igjen. WannaCry-viruset utnyttet et sikkerhetshull i SMB-protokollen (Server Message Block), som blir brukt til å kommunisere med andre maskiner i samme nettverk, for blant annet fildeling og utskrifter (Microsoft leverte en oppgradering som tettet sikkerhetshullet i mars 2017).
Dette løsepengeviruset kunne spre seg uten brukerinteraksjon. Brukerne trengte altså ikke å trykke på noe for å bli infisert (sårbarheten ga tilgang til «remote code execution»).
Sikkerhetshullet gjaldt ikke alle Windows-versjoner. De som for eksempel har installert Windows 10 ble ikke smittet. Særlig utsatt var Windows XP-brukere. Microsoft stoppet å oppdatere XP-versjonen allerede i 2014, men fortsatt er det mange som bruker Windows XP. Men alle med eldre versjoner, og som ikke blir oppgradert fortløpende, var altså utsatt. Og som vi er kjent med fra før, er veldig mange ”sløve” med nettopp det å oppgradere.
”First thing first” – var datamaskinen din, eller datamaskinene på kontoret i dvale under WannaCry-angrepet sist helg, er det en stor mulighet for at du slapp unna.
Men hva kan skje hvis du begynner å bruke maskinene igjen? Det korte svaret på det er at ”kill switchen” vil forhindre at løsepengeviruset blir kjørt. Og det er mye du kan gjøre for å hindre at trusler som WannaCry vil slå til på dine maskiner i fremtiden.
Maskiner i dvale vil ikke bli smittet, så oppgrader dem umiddelbart
Trend Micro har analysert simuleringer av WannaCry-viruset og det vil ikke kunne infisere maskiner som er i dvale – selv om Transmission Control Protocol (TCP) port 445 er åpen og ikke oppgradert. TCP brukes til å sende og motta data via internett og i de fleste nettverk.
En viktig del av WannaCry-angrepet involverer det å koble seg til maskiner, og spre seg videre til andre. Forsøker WannaCry å koble seg til en maskin som er i dvale, vil den motta en feilmelding fordi den ikke klarer å koble seg til. Deretter vil den gå videre til neste maskin (IP-adresse) og forsøke å koble seg til denne.
Det betyr i praksis to ting;
- Maskiner i dvale blir ikke infisert, og kan oppgraderes før de blir det
- Maskiner som har vært i dvale, kan bli infisert når de blir tatt i bruk, og spre viruset videre til andre maskiner som også var i dvale under helgens WannaCry-angrep
Derfor er det avgjørende at samtlige maskiner blir oppgradert, slik at faren for å bli infisert elimineres.
Hva skjer når du ”vekker opp” maskinene?
WannaCry skanner nettverket det har infisert og lager en liste over alle IP-adresser i nettverket. Infiserte maskiner i et nettverk som ble listet opp i løpet av WannaCry-helgen, vil ikke infisere sårbare maskiner som var i dvale. WannaCry vil hoppe over disse maskinene. Sårbare maskiner vil våkner opp etter dvale vil med andre ord ikke bli infisert. Dette er en stor mulighet for IT-avdelingen til å oppgradere maskinene slik at de ikke kan bli infisert. Det forutsetter at brukere ikke aktiverer WannaCry-viruset.
Starter man derimot opp en infisert maskin, vil det iverksette en ny skanning av nettverket igjen. Heldigvis har WannaCry en ”kill switch” – en nødstopp. En del av WannaCry sin infeksjonsrutine innebærer å sende en forespørsel som sjekker opp om domenet fortsatt er aktivt. Bekrefter forespørselen at domenet er aktivt, vil det aktivere nødstoppen. Dermed vil ikke WannaCry-viruset fortsette å spres.
Uansett bør IT-avdelingen benytte anledningen til å oppgradere maskinen.
Hva om skaden allerede har skjedd?
Hva skjer dersom maskinen derimot allerede er infisert. Om skaden allerede har skjedd? Hvis mssecvc.exe, som er en av komponentene i WannaCry, allerede er i systemet, så vil ”kill switchen” – så lenge den er der – forhindre at sårbare maskiner blir infisert.
Oppgrader systemene, og implementer beste-praksis så raskt som mulig!
WannaCry understreker hvor viktig det er å holde systemer og nettverk jevnlig oppdatert. Trusler som WannaCry utnytter sårbarheter til å trenge inn i virksomheters systemer. Og trusselbildet forsterkes i tiden mellom når angrepet finner sted, til når det foreligger en oppgradering som eliminerer sårbarheten.
Trend Micros løsning på løsepengevirus
Virksomheter i dag bør tilnærme seg disse truslene stegvis. Det er ikke et produkt som løser alt. Trend Micros Deep Discovery™ Email Inspector og InterScan™ Web Security kan forhindre løsepengevirus å spre seg via e-post for eksempel.
Trend Micro Smart Protection Suites kan sikre ende-punktene gjennom maskinlæring, adferdsovervåking og applikasjonskontroll.
Trend Micro Deep Discovery Inspector oppdager og blokkerer løsepengevirus i selve nettverket, mens Trend Micro Deep Security™ hindrer løsepengevirus fra å nå serverne, uansett om de befinner seg på kontoret, om de er virtuelle eller i skyen.
For mindre virksomheter vil Trend Micro Worry-Free Services Advanced kunne gi tilstrekkelig sikkerhet mot løsepengevirus hvor virksomheten har e-posten sin i skyen. Endepunktene i nettverket vil beskyttes mot løsepengevirus gjennom adferds-overvåking og sanntids vurdering av nettsteder.
For hjemmebrukere og hjemmekontor vil Trend Micro Security 10 gi sterk beskyttelse mot løsepengevirus ved å blokkere skadelige nettsider, e-poster og filer tilknyttet med slike trusler.
Tirsdag 16. mai holdt vår eminente SE, Okan Kalak og BDM i Infinigate, Tommy Bergman et webinar omkring WannaCry, hvor de gikk inn på hvordan viruset fungerer og hvordan man kan beskytte seg. De så også på tidligere ransomware-bølger og utviklingen over tid, samt hvordan Trend Micros XGen-teknologi kan hjelpe organisasjoner å beskytte seg mot WannaCry og andre former for kryptovirus. Du kan se webinaret i sin helhet her.
Karianne Myrvold
Okan Kalak
