Över 250 000 datorer har drabbats av ransomware i en gigantisk utpressningattack – via ett säkerhetshål som åtgärdades för två månader sedan.

Under helgen har en massiv krypteringsattack infekterat hundratusentals datorer i över 150 länder. Attacken sprider ett krypteringsvirus (ransomware) som låser filer på en infekterad dator, med krav om betalningar på tusentals kronor för upplåsning.

Attacken påbörjades under fredagen och har under helgen infekterat datorer dels hos privatpersoner och företag, men även på sjukhus, hos flygbolag och hos statliga myndigheter. Spridningen har dämpats men förväntas fortsätta under veckan.

Sammanfattning:

  • Ett krypteringsvirus (ransomware) har drabbat över 250 000 datorer under helgen.
  • Viruset krypterar dina filer och kräver 300 – 600 dollar för upplåsning.
  • Attacken är global och har fått fäste i över 150 länder.
  • Viruset använder ett säkerhetshål som åtgärdades redan i mars.
  • Värst drabbade är företag och myndigheter som inte har uppdaterat sina system.
  • Microsoft akutuppdaterar även äldre operativsystem som Windows XP.
  • Attacken förväntas fortsätta under veckan.

Bygger på NSA-verktyg

Programmet som används i attacken sprids under ett antal namn, två av de vanligaste är WannaCry eller Wanna Decryptor. Den skadliga mjukvaran sprids som en mask, troligtvis via epost, och använder sig av ett säkerhetshål i Windows.

Säkerhetshålet har kodnamnet MS17-010, och tros ha sina rötter hos den amerikanska underrättelsetjänsten NSA. Under våren läckte flera intrångsverktyg från en grupp kallad Equation Group, en påstådd del av NSA, och har sedan dess sålts vidare till grupper som kan implementera dem i praktiska attacker.

Microsoft åtgärdade säkerhetshål MS17-010 med en uppdatering redan i mars månad, vilket har skyddat många konsumentdatorer med Windows 10. Däremot tenderar system hos företag och myndigheter att inte uppdateras lika snabbt, vilket lämnat miljontals datorer oskyddade.

Ger tillbaka dina filer för 300 dollar

Väl installerat krypterar WannaCry datorns filer och håller dem gisslan. En informationsruta gör gällande att det enda sättet att låsa upp filerna är en betalning med bitcoin för ett värde av 300 dollar. Det finns i nuläget ingen fungerande metod för att låsa upp filerna utan en nyckel från angriparen. Andra datorer kan sedan infekteras över ett lokalt nätverk via SMB-protokollet.

Användaren får tre dagar på sig att betala in lösensumman. Därefter fördubblas lösensumman till 600 dollar. Har ingen betalning inkommit inom sju dagar upphör betalningsmöjligheten och filerna förblir krypterade permanent.

Över 250 000 drabbade

I skrivande stund uppges närmare 250 000 datorer ha drabbats i över 150 länder, däribland Sverige. Bland de drabbade syns främst företag och myndigheter, där viruset har kunnat spridas via organisationernas egna lokala nätverk. Bland annat uppges det ryska inrikesministeriet ha drabbats hårt, med över 1 000 infekterade datorer.

Attacken är därmed en av de mest omfattande någonsin av sitt slag, och konsekvenserna kan i flera fall bli ödesdigra. Brittiska National Health Service (NHS) har förmedlat i ett pressmeddelande att flera brittiska sjukhus har påverkats. Organisationen meddelar att inga patientuppgifter har läckt, men att attacken har slagit ut många system och därmed allvarligt förhindrar sjukhusarbetet.

Spridningen är så pass allvarlig att Microsoft har vidtagit akutåtgärder med nya uppdateringar. Även Windows XP kommer få en ny säkerhetsuppdatering, trots att operativsystemet formellt inte längre får support från Microsoft.

Kunde ha drabbat miljoner

Medan viruset redan har gett förödande konsekvenser påpekar flera säkerhetsexperter, däribland från säkerhetsfirman Proofpoint, att attacken blev lindrig under omständigheterna. Miljontals datorer står potentiellt sårbara, men främst två faktorer tros ha begränsat spridningen hittills.

En viktig faktor var att attacken inleddes på en fredag. Det innebär mindre aktivitet på företagsnätverk med helgledig personal, och därmed dämpad spridning. Den begränsningen är dock tillfällig, och innebär att spridningen kan ta ny fart under arbetsveckan.

Den andra begränsande faktorn är att säkerhetsforskare snabbt hittade en metod för att skydda mot vissa upplagor av viruset. Detta då WannaCry innehöll en mekanism som avbryter krypteringen efter kontakt med en webbserver. Genom att simulera en sådan webbserver direkt på den infekterade datorn kan attacken avbrytas. Metoden, en så kallad kill switch, fungerar dock endast för att förebygga attacker, och kan inte användas för att låsa upp redan infekterade datorer. Dessutom uppges nya versioner av viruset redan ha dykt upp, den här gången utan kill switch.

Hur du skyddar dig

Det säkraste sättet att skydda sig mot WannaCry och liknande attacker är att installera alla säkerhetsuppdateringar till Windows så fort de finns tillgängliga. Alla datorer med nuvarande support från Microsoft, exempelvis Windows 10, Windows 8.1 och Windows 7, fick en säkerhetsuppdatering redan i mars. Har du inte installerat denna bör du göra det snarast.

Mer information om säkerhetshålet och hur du uppdaterar din dator hittar du i Microsofts pressmeddelande.

Eftersom det fortfarande inte kan fastställas exakt hur viruset har fått fäste och spritt sig ursprungligen så finns det få riktlinjer i övrigt för att skydda sig utöver vanligt “internetvett”. Det innefattar exempelvis att inte klicka på okända länkar eller öppna misstänksamma bilagor i epostmeddelanden.

Vi uppdaterar nyheten löpande med ny information.

Lägsta pris på Prisjakt.se (Affiliate)

Subscribe
Notifiera vid
0 Comments
äldsta
senaste flest röster
Inline Feedbacks
View all comments