Løsepengevirus sprer seg automatisk i rekordfart

Løsepengevirus sprer seg automatisk i rekordfart

Dataangrepene som har rammet sykehus i England, mobilnett i Spania og tjenester i over 100 land har spredd seg i svært høy hastighet

 – Dersom en maskin blir infisert, sprer angrepet seg automatisk til alle sårbare maskiner som er på nettverket, sier Gunnar Ugland som er leder for Telenor Sikkerhetssenter.

Dersom skadevaren lykkes i å komme på innsiden av et nettverk i en virksomhet vil den først spre seg på innsiden av virksomheten, men den vil også søke gjennom deler av internett for å prøve å spre seg ytterligere. Spredningen av det spesifikke viruset Wannacry er foreløpig stoppet, men det advares om at nye angrepsbølger kan komme.

– Det kan oppstå nye varianter som utnytter den samme svakheten. Vi vil anbefale på det sterkeste at alle sørger for å oppdatere sine Windows-programvarer, råder Gunnar Ugland.

Kan ramme privatpersoner

Gunnar Ugland er leder for Telenor sikkerhetssenter

Selv om rapporteringene om vellykkede angrep først og fremst er knyttet til virksomheter, er det ingenting som tyder på at privatpersoner ikke vil bli rammet.

– Antakeligvis får viruset først fotfeste gjennom å lure personer til å åpne et vedlegg i en epost. Det er viktig å installere de siste oppdateringene til Windows så fort som mulig og være ekstra forsiktig med å åpne vedlegg i eposter i dagene fremover, sier han.

Slik fungerer viruset

Dersom man blir kompromittert vil svært mange filtyper bli kryptert, og gjøre videre arbeid på den aktuelle datamaskinen svært vanskelig. De som står bak krever mellom $300 og $600 for å låse opp igjen filene som blir kryptert.

Les også: Slik fungerer løsepengeviruset Locky

Ormen som sprer løsepengeviruset scanner stadig etter nye maskiner å spre seg til. Dette gjør den ved å sende ut programvare som ser etter maskiner som er sårbare. Dersom en sårbar maskin blir oppdaget, vil skadevaren bli sendt til maskinen. Hvis installeringen er vellykket, vil det åpnes opp en bakdør som igjen vil installere løsepengevirus på maskinen.

Videre har skadevaren en innebygd “kill switch”. Dersom den får kontakt med et bestemt domene vil den avslutte uten å forårsake skade. Dette domenet er nå gjort tilgjengelig av et sikkerhetsfirma, så hypotesen er at den verste spredningen er over. Usikkerhetsmomentet er om alle varianter av skadevaren benytter dette domenet som “kill switch”. Dette vil de neste dagene vise.

 

Kommentarer