Pågående ransomware-kampanj (WannaCry/Wcry/WannaCrypt0r)

Just nu pågår en omfattande ransomware-kampanj. Ett flertal länder är drabbade och däribland även Sverige.

Mer information om ransomware

Vad har hänt?

I detta fall är det en ny variant av WannaCry (benämns även Wcry eller WanaCrypt0r) som infekterar Windows-system och krypterar filer lokalt och möjligen även på fillagringsytor delade över nätverket. Efter en infektion så uppmanas den drabbade att betala en lösensumma för att få tillgång till de krypterade filerna[1].

Vi har inte kunna verifiera den initiala infektionsvektorn ännu.

Den här versionen av WannaCry har enligt uppgift från flera källor[1][2][7] maskliknande funktionalitet för att sprida sig och infektera andra nätverksanslutna system via en sårbarhet i SMB-protokollet version 1. Sårbarheten i fråga rättades av Microsoft den 14 mars 2017[3] och det har för en tid sedan dykt upp exempelkod som utnyttjar sårbarheten i ännu icke uppdaterade system.

Det här medför att WannaCry potentiellt kan sprida sig vidare väldigt snabbt på ett nätverk med sårbara nätverksanslutna datorer. Det är viktigt att rättningar för MS17-010[3] samt att även övriga säkerhetsuppdateringar från Microsoft installeras så snart som möjligt. Detta är det enskilt bästa sättet att skydda sig mot infektion.

Om det inte går att installera rättningar av någon anledning så är det viktigt att slå av stöd för SMBv1 på samtliga datorer som kör Windows. Det är även viktigt att inte tillåta åtkomst med SMB-protokollet (445/tcp) över internet.

Microsoft har publicerat information om hur deras kunder kan skydda sig mot WannaCry[6]. Microsoft har även släppt rättningar för ett antal operativsystem som inte får säkerhetsuppdateringar längre, såsom Windows 8, XP och Server 2003, så att även dessa kan installera en rättning för MS17-010[5].

Vi har tidigare skrivit generellt om ransomware och hur det går att minimera effekterna samt hur en organisation kan förbereda sig[4].

CERT-SE avråder från att betala lösensumman då det bidrar till att finansiera vidareutveckling av skadlig kod, samt att det inte finns garantier för informationen blir upplåst.

Preventiva skyddsåtgärder för WannaCry

• Installera säkerhetsuppdateringar för Windows och speciellt viktigt är uppdateringen MS17-010[8].
• Stäng av SMBv1.
• Säkerställ att processen för säkerhetsuppdateringar fungerar både för operativsystem och övrig mjukvara.
• Tillåt inte åtkomst via SMB-protokollet direkt från internet, dvs stäng i brandväggar för inkommande 445/tcp.
• Även 139/tcp kan vara värt att stänga då det finns indikationer på att även denna utnyttjas.
• Använd istället VPN-anslutning för åtkomst till sådana tjänster.
• Säkerställ att ni har fungerade säkerhetskopierings- och återställningsrutiner genom att öva dessa.
• Segmentera nätet. Genom att inte tillåta klienter att kommunicera med andra klienter så minimeras skadeverkningarna.

Indikatorer

Microsoft anger en lista på de filer som skapas vid infektionstillfället som man även kan använda för att identifiera ett smittat system[6].

Ytterligare läsning

[1] http://blog.talosintelligence.com/2017/05/wannacry.html
[2] https://blog.malwarebytes.com/threat-analysis/2017/05/the-worm-that-spreads-wanacrypt0r/
[3] https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
[4] https://www.cert.se/2015/11/cert-se-informerar-med-anledning-av-mangden-aokade-ransomware-attacker
[5] https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
[6] https://blogs.technet.microsoft.com/mmpc/2017/05/12/wannacrypt-ransomware-worm-targets-out-of-date-systems/
[7] https://blog.malwarebytes.com/threat-analysis/2017/05/the-worm-that-spreads-wanacrypt0r/
[8] https://support.microsoft.com/en-us/help/4013389/title