DEN VERSTE FEILMELDINGEN? Flere hundre tusen PC-er er rammet av Wannacry; utpressingsskadevare som krever deg for tusenvis av kroner for å få tilgang til filene dine igjen. Foto: Ritchie B. Tongo / EPA / NTB Scanpix
DEN VERSTE FEILMELDINGEN? Flere hundre tusen PC-er er rammet av Wannacry; utpressingsskadevare som krever deg for tusenvis av kroner for å få tilgang til filene dine igjen. Foto: Ritchie B. Tongo / EPA / NTB ScanpixVis mer

Wannacry-angrepet:

Hva skjedde, hvordan skjedde det, hvem er rammet og hvordan beskytter du deg?

Her er det du trenger å vite om helgens hacker-angrep.

Du har sikkert fått det med deg på nett, i aviser, TV og radio – i helgen ble flere hundre tusen datamaskiner i over 150 land rammet av Wannacry – et gigantisk dataangrep som satte en rekke store institusjoner ute av spill.

Eksempelvis NHS (det britiske helsevesenet), FedEx, MIT og jernbaneverkene i Tyskland og Russland for å nevne noen.

Spesielt for det britiske helsevesenet er dette ganske kritisk, der en haug av datamaskiner og instrumenter har gått ned for telling. Dermed har man vært nødt til å avlyse operasjoner, og personellet har blitt nødt til å gå over til penn og papir frem til dette er rettet opp.

I denne artikkelen har vi samlet trådene slik at du raskt kan få oversikt over hva dette angrepet innebærer.

Hva innebærer det å bli rammet av Wannacry?

Wannacry er såkalt «ransomware», eller «gisselskadevare» på norsk. Dersom man blir infisert med et slikt uhumskt program, noe som for eksempel kan skje om du åpner et vedlegg i en e-post, starter det å kryptere brukerfilene på datamaskinen, som dokumenter, bildefiler, musikkfiler, videoer og lignende.

I sin krypterte form blir disse filene ubrukelige, men bakmennene kan lokke med en dekrypteringsnøkkel som gjør at man kan få filene tilbake til sin originale form igjen. For når jobben er gjort, presenteres du med et bilde på skjermen som forklarer hva som har skjedd:

Når filene er kryptert, får brukeren mulighet til å betale for å låse dem opp. I dette tilfellet 300 dollar om man er rask, eller 600 dollar om man venter i tre dager. Skjermbilde: Cisco Vis mer

Her får man altså tilbud om å kjøpe en nøkkel for 300 dollar (drøye 2.500 kroner) for å låse opp filene igjen. Beløpet dobles etter tre dager om man ikke har betalt, og brukeren advares også om at nøkkelen slettes etter en uke. Det er naturligvis noe som legger press på den som er rammet.

Som en gulrot får man også lov til å kryptere en håndfull filer for å sjekke at det faktisk er mulig å få dem tilbake.

Hvordan har dette spredt seg til så mange?

Vanlig praksis med slik skadevare er at det gjerne sprer seg videre ved at programmet i tillegg til å kryptere filene sender ut en e-post med et vedlegg til alle kontaktene på datamaskinen, i håp om at flere biter på.

Men i dette tilfellet utnytter Wannacry et sikkerhetshull i SMB-protokollen i Windows (server message block), som typisk brukes for å kommunisere med andre maskiner og servere i samme nettverk – fildeling, utskrifter og den slags.

Microsoft sendte ut en sikkerhetsoppdatering merket «kritisk» i mars i år som lappet sammen dette hullet, men som du sikkert vet – alt for mange er lite flinke til å oppdatere slike ting, og det er altså først og fremst de som ikke har lastet ned denne sikkerhetsoppdateringen som er rammet.

KRITISK: Windows-oppdateringen fra 14. mars i år ble stemplet som kritisk fra Microsoft. Det er først og fremst maskiner uten denne oppdateringen som er rammet av Wannacry. Skjermdump: Microsoft/Pål Joakim Pollen Vis mer

For – dersom én maskin i nettverket blir infisert av Wannacry (for eksempel ved å åpne et e-postvedlegg), sprer det seg som en orm i nettverket og infiserer andre maskiner som ikke er oppdaterte – helt uten interaksjon fra brukeren som eventuelt måtte sitte foran maskinen.

Og det som gjør denne situasjonen litt ekstra pikant, er at det angivelig er den amerikanske sikkerhetstjenesten, NSA, som har laget programvaren som utnytter sikkerhetshullet.

De skal ha brukt verktøyet, EternalBlue, til å infiltrere terroristnettverk og bryte seg inn på Windows-maskiner. Dette verktøyet har så blitt stjålet av hackergruppa «Shadow Brokers», som står bak Wannacry-angrepet, for et par måneder siden.

Edward Snowden, tidligere NSA-ansatt og kjent «whistleblower», gjør et poeng av dette i en tweet:

Hvilke Windows-versjoner er berørt?

Windows 10-brukere trenger ikke å bekymre seg for den omtalte smitten via nettverket, men maskiner med eldre versjoner av Windows som ikke er oppdatert siden mars, er altså spesielt i faresonen for å bli rammet av dette angrepet.

Særlig er Windows XP-brukere utsatt; en Windows-utgave Microsoft i utgangspunktet stoppet å oppdatere i april 2014, og som dermed ikke fikk noen slik oppdatering i mars. Det er imidlertid en Windows-versjon som fortsatt brukes noen steder – fra vår egen statistikk ser vi at en halv prosent av Windows-brukerne som har besøkt Dinside den siste uka bruker Windows XP.

Microsoft har imidlertid nå laget en sikkerhetsoppdatering for første gang på tre år til Windows XP, som hjelper til med å tette mot Wannacry.

Om du bruker en eldre versjon av Windows på jobb, bør du med andre ord sørge for at den er oppdatert, og om ikke du har rettigheter til å gjøre det selv, bør du ta kontakt med administrator. Detaljer om oppdateringen finner du her.

Merk altså at det å tette sikkerhetshullet kun beskytter mot smitte via nettverket/SMB, men ikke mot Wannacry (eller annen ransomware) i seg selv, som du selvsagt kan få på maskinen om du åpner et e-postvedlegg du ikke burde eller den slags.

Sprer det seg fortsatt?

En litt snodig del av kildekoden til Wannacry er at den først gjør et kall mot et domenenavn med mange tilfeldige bokstaver i. Dersom dette ikke finnes (noe det i utgangspunktet ikke gjorde), fortsetter programmet med sin ugagn, men dersom det finnes, avbrytes prosessen.

Altså har skaperne, av uvisst grunn, lagt inn en såkalt «kill switch»; altså en mulighet til å slå av hele greia. Så da Malwaretech registrerte akkurat dette domenenavnet, ble infeksjonen stoppet opp.

Men det gjelder akkurat denne varianten, og det går nok ikke lang tid før det kommer kopier av denne skadevaren, men uten den nevnte bryteren.

Hvis jeg blir rammet - hjelper det å ha sikkerhetskopi av filene?

Selvsagt! Har du en sikkerhetskopi av filene, kan du få dem tilbake uten å betale, men merk at Wannacry og de fleste andre ransomware-løsninger krypterer alle filer de har tilgang til. Så om du kun har en sikkerhetskopi i form av en ekstern harddisk, nettverksharddisk eller lignende som er koblet til maskinen og tilgjengelig fra filutforskeren, så blir disse filene krypterte også.

TAR ALT: Ransomware-programvare krypterer som regel alle filer den kan – også de som ikke ligger lokalt på maskinen. Skjermdump: Bjørn Eirik Loftås Vis mer

Det beste når du tar sikkerhetskopi av data er med andre ord å plugge fra sikkerhetskopien når den har kjørt ferdig, slik at den ikke til en hver tid er koblet til datamaskinen.

Og ta gjerne flere av dem, både på fysiske medier og i nettskyen. Lagringstjenester som Dropbox har for eksempel støtte for filversjoner, slik at du kan hente tilbake en gammel versjon av en fil som har blitt endret på.

Men før du eventuelt kobler til en harddisk med sikkerhetskopi, bør du sørge for at uhumskhetene er borte fra PC-en. De fleste antivirusprogrammer bør nå være oppdaterte slik at de kan fjerne Wannacry.

Bør jeg betale hvis jeg er blitt rammet av ransomware?

Her finnes det ikke noe riktig svar. Ved å betale vil du være med på å støtte oppunder en ulovlig industri og være med på å gjøre at det bare blir flere av dem. Og du har selvsagt ingen garanti for at du får det du betaler for – nøkkelen for å dekryptere filene.

Samtidig har vi full forståelse for at folk velger å betale hvis man har mistet filer man har kjær. Vi har også sett at prisen lar seg prute på om du tar kontakt med bakmennene.

Lar du være å betale, finnes det i utgangspunktet ingen mulighet for å få tilbake filene, men det har vært tilfeller der man har klart å knekke slike løsninger, der rammede brukere har fått mulighet til å dekryptere filene i etterkant – uten å betale. Det er dog neppe noe du kan regne med om du blir rammet av ransomware.

Det beste er selvsagt å være flink med sikkerhetskopiering, sørge for at maskinen alltid er oppdatert og være svært varsom med å laste ned programmer, åpne e-postvedlegg og den slags.

Hvorfor blir ikke slike folk tatt?

Det som gjør etterforskningen av slike ting vanskelig, kan egentlig oppsummeres i ett ord: Bitcoin. Dessuten bruker kriminelle gjerne Tor-nettverket for å kamuflere sin identitet når de ferdes på nett.

Der man tidligere var nødt til motta penger via sporbare banktransaksjoner, har Bitcoin blitt den absolutt foretrukne valutaen blant kriminelle. Dette er en desentralisert valuta der overføring av penger skjer helt anonymt.

Transaksjonene er imidlertid åpne, så det er fullt mulig å følge med på hvor mye bakmennene har tjent på Wannacry.

Det er tre bitcoin-adresser: 1, 2, 3. Klikker du på en av disse lenkene, får du se alle transaksjoner til disse adressene. I skrivende stund har de mottatt henholdsvis 9,76 / 10,97 / 6,7 bitcoins, og med en bitcoin-kurs på 1727 dollar, tilvsarer dette drøye 400.000 norske kroner. I alt er det kun foretatt snaue 200 transaksjoner i det dette skrives.

Kilder: Troy Hunt, Independent, Wikipedia, Malwaretech, Talos, Kaspersky