Ransomware-ormen WanaCrypt0r har ramt tusindvis af computere

En orm udnytter en sårbarhed i Windows' fildelingsprotokol til at sprede sig globalt. Spredningen af den første version er standset.

Ifølge sikkerhedsfirmaet Avast har WanaCrypt0r ramt over 75.000 computere i 99 lande. Programmet krypterer filer på computeren og kræver løsesum for den nøgle, der kan dekryptere dem.

WanaCrypt0r spreder sig ved at udnytte et sikkerhedshul i Windows' behandling af SMB-protokollen (Server Message Block), der bruges til fil- og printerdeling. Microsoft lukkede hullet i marts for de versioner af Windows, firmaet fortsat understøtter.

Da Windows XP ikke er understøttet længere, er sårbarheden ikke fjernet fra den. Det fik konsekvenser for britiske hospitaler, der stadig kører Windows XP: En række hospitaler blev inficeret i løbet af fredagen.

Microsoft har nu udsendt en opdatering, der fjerner sårbarheden fra ikke-understøttede styresystemer: Windows XP, Server 2003 og Windows 8.

Når ormen har inficeret en computer, undersøger den, om den kan forbinde sig til et bestemt web-domæne. Hvis det lykkes, holder programmet op med at køre.

Det har sikkerhedsforskere udnyttet ved at oprette domænet. Dermed menes spredningen af den nuværende version at være standset.

Foruden at installere sig selv installerer ormen også programmet Double Pulsar på den computer, den rammer. Det giver bagmændene mulighed for at fjernstyre den inficerede computer.

Den sårbarhed, som WanaCrypt0r udnytter, blev kendt, da programkode til flere værktøjer udviklet af NSA (National Security Agency) blev lækket på nettet i april. Den spreder sig således på samme måde som værktøjet Eternalblue. Også Double Pulsar stammer fra NSA-værktøjerne.