Wannacry ransomware attack: 3 avgörande saker att veta

Ransomware-attacker, med namnet WannaCry, rapporterades över hela världen av cybersäkerhetsexperter på fredag ​​och flera varningar har utfärdats för att innebära ökade säkerhetsåtgärder över nätanslutna enheter eftersom en andra våg av attacker förväntas denna vecka.

Ransomware-attackerna - ett decennium-gammalt hacker-trick - har i hög grad drabbat Ryssland, Ukraina, Spanien, Storbritannien och Indien.

Andra länder, inklusive USA, Brasilien, Kina, bland andra från Nordamerika, Latinamerika, Europa och Asien har drabbats av ransomware-attacken.

Ransomware krypterar filer på en enhet med ".wcry" -tillägget och startas via en SMBv2 (Server Message Block Version 2) exekvering av extern kod.

Läs också: Vad är Ransomware och hur skyddas det? och är Smartphone sårbara för WannaCry Ransomware Attack?

Kaspersky Labs globala forsknings- och analysteam påpekade att "oöverträffade Windows-datorer som exponerar deras SMB-tjänster kan fjärr angripas" och "denna sårbarhet verkar vara den viktigaste faktorn som orsakade utbrottet".

Hackinggruppen Shadow Brokers rapporteras vara ansvarig för att göra den skadliga programvaran för att utföra denna attack tillgänglig på internet den 14 april.

Hur utbredd är attacken?

Den fullständiga effekten av denna attack är fortfarande okänd eftersom cybersäkerhetsexperter förväntar sig att ytterligare vågor av attacken kommer att träffa fler system.

Enligt en rapport i New York Times har attacken tagit över kontrollen av över 200 000 datorer i över 150 länder.

Företag och myndigheter inklusive ryska ministerier, FedEx, Deutsche Bahn (Tyskland), Telefonica (Spanien), Renault (franska), Qihoo (Kina) och Storbritanniens nationella hälsovård har påverkats.

Spanska datorns beredskapsteam (CCN-CERT) har också begärt en hög varning i landet eftersom det säger att organisationer kan ha drabbats av ransomware.

”Den skadliga WannaCrypt-programvaran sprids snabbt över hela världen och hämtas från de exploater som stulits från NSA i USA. Microsoft hade släppt en säkerhetsuppdatering för att korrigera denna sårbarhet men många datorer förblev oöverträffade globalt, ”uttalade Microsoft.

Följande programvara har hittills påverkats:

• Windows Server 2008 för 32-bitars system
• Windows Server 2008 för 32-bitars servicepack 2
• Windows Server 2008 för Itanium-baserade system
• Windows Server 2008 för Itanium-baserade system servicepack 2
• Windows Server 2008 för x64-baserade system
• Windows Server 2008 för x64-baserade system servicepack 2
• Windows Vista
• Windows Vista Service Pack 1
• Windows Vista servicepack 2
• Windows Vista x64 Edition
• Servicepack för Windows Vista x64 Edition 1
• Service Pack 2 för Windows Vista x64 Edition
• Windows 7
• Windows 8.1
• Windows RT 8.1
• Windows Server 2012 och R2
• Windows 10
• Windows Server 2016

Hur påverkar det systemen?

Den skadliga programvaran krypterar filer som innehåller kontorstillägg, arkiv, mediefiler, e-postdatabaser och e-postmeddelanden, källkod för projekt och projektfiler, grafik- och bildfiler och mycket mer.

Ett dekrypteringsverktyg installeras också tillsammans med den skadliga programvaran som hjälper till att tjäna de lösningsvärden på 300 USD som krävs i Bitcoins samt dekryptera filerna när betalningen har gjorts.

Avkrypteringsverktyget kör två nedräkningstimrar - en 3-dagars timer, varefter det indikeras att lösen kommer att öka och en 7-dagars timer som anger hur lång tid som finns kvar innan filerna förloras för alltid.

Med tanke på att mjukvaruverktyget har förmågan att översätta sin text till flera språk är det uppenbart att attacken riktas globalt.

För att säkerställa att dekrypteringsverktyget hittas av användaren, ändrar skadlig programvara också bakgrundsbilden på den drabbade datorn.

Hur ska man vara säker?

• Se till att antivirusprogramvarans databas uppdateras och att den skyddar ditt system i realtid och kör en skanning.
• Om skadlig kod: Trojan.Win64.EquationDrug.gen upptäcks, se till att det blir karantänerat och raderat och starta om systemet.
• Om du inte redan har rekommenderat det att du installerar Microsofts officiella patch - MS17-010 - vilket mildrar SMB-sårbarheten som utnyttjas i attacken.
• Du kan också inaktivera SMB på din dator med hjälp av denna guide från Microsoft.
• Organisationer kan isolera kommunikationsportar 137 och 138 UDP och portar 139 och 445 TCP.

USA-baserade system skyddades oavsiktligt

En 22-årig brittisk säkerhetsforskare stängde av misstag skadlig programvara från att spridas till nätverk i USA när han köpte skadedomens domän för skadlig kod som ännu inte var registrerad.

Så snart platsen var aktiv stängdes attacken. Du kan läsa hans fullständiga rapport här om hur han avslöjade dödsbrytaren för skadlig programvara och så småningom stängde av den.

Läs också: Denna kritiska Android-säkerhetsfel kvarstår oförändrad av Google.

”Det har redan funnits en annan variant av ransomware som inte har en kill-switch, vilket gör det svårt att innehålla. Det har redan börjat infektera länder i Europa, säger Sharda Tickoo, teknisk chef, Trend Micro India.

Det är fortfarande oklart vem som är ansvarig för attacken och spekulationer har pekat på Shadow Brokers - som också är ansvariga för att släppa skadlig programvara online - eller flera hackingorganisationer.

Se GT Hindi's video för Wannacry / Wannacrypt Ransomware nedan.