Af Torben B. Sørensen, 13/06/17
For nogle uger siden lukkede udviklerne af Samba et alvorligt sikkerhedshul. Kort tid efter begyndte it-kriminelle at udnytte sårbarheden. Den gør det muligt at uploade en programfil til en Samba-server og derefter køre filen.
Et af de skadelige programmer udnytter sårbarheden til at blive installeret. Derefter installerer det et program til at danne digital valuta af typen Monero.
Af Torben B. Sørensen, 09/06/17
Tre forskere ved Friedrich-Alexander-Universität Erlangen-Nürnberg og Universität des Saarlandes har undersøgt, hvad der får folk til at klikke på links i phishing-mails. De sendte beskeder via mail og Facebook til over 1.200 studerende.
Beskederne kom fra en ikke-eksisterende person. De indeholdt angiveligt et link til billeder fra en nytårsfest. Hvis man klikkede på linket, kom man til en webside med en fejlmeddelelse.
20 procent af dem, der modtog beskeden via mail, klikkede på linket. Næsten 43 procent af Facebook-brugerne klikkede på det.
Af Torben B. Sørensen, 06/06/17
70 af angrebene var masseangreb, hvor flere websteder på samme IP-adresse blev overtaget på en gang.
Det største angreb fandt sted den 9. maj, hvor 17 domæner blev overtaget af den samme angriber.
Af Torben B. Sørensen, 02/06/17
Sikkerhedsfirmaet Kaspersky har fundet flere fejl i programkoden til WannaCry. Fejlene medfører, at filer ikke altid slettes fuldstændig.
I nogle tilfælde markeres filerne kun som slettede. Derfor er det muligt at gendanne dem med et værktøj til gendannelse af slettede filer.
Det gælder blandt andet, når filerne ikke ligger i en mappe, som WannaCry opfatter som vigtig. Vigtige mapper er fx Dokumenter og Skrivebord.
Afprøv værktøjer til gendannelse af slettede filer, hvis I er ramt af WannaCry.
Af Torben B. Sørensen, 31/05/17
Sikkerhedsfirmaet Dubex venter en ny bølge af WannaCry-angreb i morgen. Angrebene ventes at udnytte en sårbarhed i RDP (Remote Desktop Protocol), som bruges til fjernstyring af Windows-systemer.
Microsoft har lukket hullet, men ikke i styresystemer, firmaet ikke længere vedligeholder såsom Windows Server 2003 eller Windows XP.
Dermed kan systemer med gamle versioner af Windows være sårbare. Det samme gælder styresystemer, der ikke er opdateret med de seneste sikkerhedsrettelser fra Microsoft.
Af Torben B. Sørensen, 23/05/17
Et af værktøjerne er Eternalblue, som også ransomware-ormen Wanacrypt0r anvender. Men EternalRocks er ikke ransomware, der krypterer offerets data.
I stedet installerer den en bagdør og andre værktøjer.
Efter ormen er installeret, venter den et døgn, før den henter yderligere komponenter. Den anvender TOR til at anonymisere sin trafik.
Hvis man har computere med de sårbarheder, EternalRocks udnytter, bør man undersøge dem for infektioner.
Af Torben B. Sørensen, 22/05/17
Programmet, der kaldes XData, spredte sig i fredag tre gange hurtigere end WannaCry i Ukraine. Det vides ikke, hvordan programmet spredes.
XData bruger AES-kryptering (Advanced Encryption Standard) til at kode data på computeren, så man skal bruge en nøgle for at kunne læse dem. Filer omdøbes til at slutte på ~xdata~.
Brug sikkerhedssoftware til at beskytte mod angreb fra skadelige programmer.
Af Torben B. Sørensen, 22/05/17
Flere sikkerhedsforskere står bag Wanakiwi. Det kan dekryptere filer, som WannaCry (WanaCrypt0r) har kodet.
Metoden kræver imidlertid, at krypteringsnøglerne befinder sig arbejdslageret. Det gør de typisk, indtil systemet genstartes.
Wanakiwi ser ud til at virke på Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008 og 2008 R2, samt Windows 7.
Ofre for WannaCry bør afprøve Wannakiwi, hvis de ikke har genstartet det ramte system.
Af Torben B. Sørensen, 22/05/17
Det fremgår af årsrapporten 2017 Global Threat Intelligence Report fra sikkerhedsfirmaet NTT Security.
Tre brancher tegner sig for 54 procent af alle angreb: Finanssektoren, produktion og detailhandel.
Når det gælder angreb, der stammer fra EMEA-området, tegner IP-adresser her sig for 53 procent af alle phishing-angreb. Det skyldes især Holland, som stod for 38 procent af alle globale phishing-angreb.
Af Torben B. Sørensen, 15/05/17
Sikkerhedsfirmaet Rendition Infosec oplyser, at de har observeret WanaCrypt0r-varianten. I den del af koden, hvor der tidligere stod et domæne, som ormen skulle forsøge at forbinde sig til, står der nu kun nuller.
Den oprindelige udgave af WanaCrypt0r brugte domænet som nødstop: Hvis domænet blev oprettet, så opkald til det blev besvaret, holdt ormen op med at køre.
Da nødstoppet nu er fjernet, er det ikke muligt at standse den nye version ved at oprette domænet.
