WanaCrypt0r

WannaCry sjusker med sletning

Dansk

Sikkerhedsfirmaet Kaspersky har fundet flere fejl i programkoden til WannaCry. Fejlene medfører, at filer ikke altid slettes fuldstændig.

I nogle tilfælde markeres filerne kun som slettede. Derfor er det muligt at gendanne dem med et værktøj til gendannelse af slettede filer.

Det gælder blandt andet, når filerne ikke ligger i en mappe, som WannaCry opfatter som vigtig. Vigtige mapper er fx Dokumenter og Skrivebord.

Anbefaling

Afprøv værktøjer til gendannelse af slettede filer, hvis I er ramt af WannaCry.

Variant af WannaCry ventes at angribe RDP-tjenester

Dansk

Sikkerhedsfirmaet Dubex venter en ny bølge af WannaCry-angreb i morgen. Angrebene ventes at udnytte en sårbarhed i RDP (Remote Desktop Protocol), som bruges til fjernstyring af Windows-systemer.

Microsoft har lukket hullet, men ikke i styresystemer, firmaet ikke længere vedligeholder såsom Windows Server 2003 eller Windows XP.

Dermed kan systemer med gamle versioner af Windows være sårbare. Det samme gælder styresystemer, der ikke er opdateret med de seneste sikkerhedsrettelser fra Microsoft.

Ormen EternalRocks udnytter syv angrebsværktøjer

Dansk

Et af værktøjerne er Eternalblue, som også ransomware-ormen Wanacrypt0r anvender. Men EternalRocks er ikke ransomware, der krypterer offerets data.

I stedet installerer den en bagdør og andre værktøjer.

Efter ormen er installeret, venter den et døgn, før den henter yderligere komponenter. Den anvender TOR til at anonymisere sin trafik.

Anbefaling

Hvis man har computere med de sårbarheder, EternalRocks udnytter, bør man undersøge dem for infektioner.

Dekryptering til WannaCry virker på systemer der ikke er genstartet

Dansk

Flere sikkerhedsforskere står bag Wanakiwi. Det kan dekryptere filer, som WannaCry (WanaCrypt0r) har kodet.

Metoden kræver imidlertid, at krypteringsnøglerne befinder sig arbejdslageret. Det gør de typisk, indtil systemet genstartes.

Wanakiwi ser ud til at virke på Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008 og 2008 R2, samt Windows 7.

Anbefaling

Ofre for WannaCry bør afprøve Wannakiwi, hvis de ikke har genstartet det ramte system.

WanaCrypt0r uden nødstop er observeret

Dansk

Sikkerhedsfirmaet Rendition Infosec oplyser, at de har observeret WanaCrypt0r-varianten. I den del af koden, hvor der tidligere stod et domæne, som ormen skulle forsøge at forbinde sig til, står der nu kun nuller.

Den oprindelige udgave af WanaCrypt0r brugte domænet som nødstop: Hvis domænet blev oprettet, så opkald til det blev besvaret, holdt ormen op med at køre.

Da nødstoppet nu er fjernet, er det ikke muligt at standse den nye version ved at oprette domænet.

Ny version af WanaCrypt0r er standset

Dansk

WanaCrypt0r, der også er kendt som Wannacry, spredte sig aggressivt i bededagsferien. Ormen udnytter en sårbarhed i SMB (Server Message Block) i Windows til at inficere ofrene med ransomware.

Den første version blev standset, fordi en sikkerhedsforsker registrerede et domæne, som ormen prøver at forbinde sig til. Det viste sig at fungere som en nødstopfunktion, der standsede ormeprogrammet.

Ransomware-ormen WanaCrypt0r har ramt tusindvis af computere

Dansk

Ifølge sikkerhedsfirmaet Avast har WanaCrypt0r ramt over 75.000 computere i 99 lande. Programmet krypterer filer på computeren og kræver løsesum for den nøgle, der kan dekryptere dem.

WanaCrypt0r spreder sig ved at udnytte et sikkerhedshul i Windows' behandling af SMB-protokollen (Server Message Block), der bruges til fil- og printerdeling. Microsoft lukkede hullet i marts for de versioner af Windows, firmaet fortsat understøtter.

Abonnér på RSS - WanaCrypt0r