{"id":1920,"date":"2017-05-19T13:49:42","date_gmt":"2017-05-19T12:49:42","guid":{"rendered":"http:\/\/www.datasikkerhetsboka.no\/blogg\/?p=1920"},"modified":"2017-05-22T14:10:56","modified_gmt":"2017-05-22T13:10:56","slug":"wannacry-enkelt-forklart","status":"publish","type":"post","link":"https:\/\/www.datasikkerhetsboka.no\/blogg\/2017\/05\/19\/wannacry-enkelt-forklart\/","title":{"rendered":"WannaCry &#8211; Enkelt forklart&#8230;"},"content":{"rendered":"<div class=\"813acece54f667675f79a7bb27432ad9\" data-index=\"1\" style=\"float: none; margin:10px 0 10px 0; text-align:center;\">\n<script async src=\"\/\/pagead2.googlesyndication.com\/pagead\/js\/adsbygoogle.js\"><\/script>\r\n<!-- annonser - blogg -->\r\n<ins class=\"adsbygoogle\"\r\n     style=\"display:block\"\r\n     data-ad-client=\"ca-pub-3643033126981971\"\r\n     data-ad-slot=\"5209152447\"\r\n     data-ad-format=\"auto\"><\/ins>\r\n<script>\r\n(adsbygoogle = window.adsbygoogle || []).push({});\r\n<\/script>\n<\/div>\n<p>Fredag 12. mai kunne de fleste medier melde om &#8220;massive hackerangrep&#8221; og &#8220;det mest omfattende dataangrepet noen sinne&#8221;&#8230; Dessverre er ogs\u00e5 mange av medieoppslagene ganske vage i hva dette egentlig inneb\u00e6rer, og \u00f8nsker heller \u00e5 lage en &#8220;kriseoverskrift&#8221;.<\/p>\n<p>Mange har spurt oss om vi kan skrive en litt enklere artikkel som forklarer hva dette gikk ut p\u00e5, hva det inneb\u00e6rer for de ber\u00f8rte og hva vi vanlige brukere b\u00f8r gj\u00f8re. Dette er v\u00e5rt fors\u00f8k p\u00e5 \u00e5 forklare saken.<\/p>\n<h2>Den korte\u00a0versjonen<\/h2>\n<p>Noen har laget et dataprogram som de sprer ut til potensielle offer (i startfasen av spredningen gjennom vedlegg p\u00e5 e-post og linker for nedlasting p\u00e5 nett). Dette dataprogrammet vil dersom det blir kj\u00f8rt utf\u00f8re handlinger p\u00e5 v\u00e5r maskin som vi ikke \u00f8nsker, og blir derfor omtalt som skadevare. \u00a0Den spesielle typen skadevare det er snakk om er et s\u00e5kalt <em>ransomware<\/em> (krypteringsvirus p\u00e5 norsk). Ved kj\u00f8ring vil denne skadevaren p\u00e5 egenh\u00e5nd kryptere mange av filene p\u00e5 maskinen til offeret. At en fil blir kryptert vil si at den gj\u00f8res uleselig, og man m\u00e5 ha en spesiell n\u00f8kkel (slags passord) for \u00e5 gj\u00f8re den leselig igjen. \u00a0Etter at et forholdsvis stort antall filer p\u00e5 maskinen i det skjulte er kryptert vil skadevaren vise seg for brukeren via f\u00f8lgende skjermbilde (hentet fra Wikipedia:\u00a0<a title=\"Fair use of copyrighted material in the context of WannaCry ransomware attack\" href=\"\/\/en.wikipedia.org\/wiki\/File:Wana_Decrypt0r_screenshot.png\">Fair use<\/a>, <a href=\"https:\/\/en.wikipedia.org\/w\/index.php?curid=54032765\">Link<\/a>)<br \/>\n<a href=\"http:\/\/www.datasikkerhetsboka.no\/blogg\/wp-content\/uploads\/2017\/05\/Wana_Decrypt0r_screenshot.png\"><img loading=\"lazy\" decoding=\"async\" class=\"alignnone wp-image-1921 size-full\" src=\"http:\/\/www.datasikkerhetsboka.no\/blogg\/wp-content\/uploads\/2017\/05\/Wana_Decrypt0r_screenshot.png\" alt=\"\" width=\"600\" height=\"453\" srcset=\"https:\/\/www.datasikkerhetsboka.no\/blogg\/wp-content\/uploads\/2017\/05\/Wana_Decrypt0r_screenshot.png 600w, https:\/\/www.datasikkerhetsboka.no\/blogg\/wp-content\/uploads\/2017\/05\/Wana_Decrypt0r_screenshot-300x227.png 300w\" sizes=\"auto, (max-width: 600px) 100vw, 600px\" \/><\/a><\/p>\n<p>Skjermbildet forteller at du m\u00e5 betale 300 dollar for \u00e5 f\u00e5 tak i passordet \u00a0(n\u00f8kkelen) til \u00e5 dekryptere filene dine igjen. Disse pengene skal betales til bakmennene via bitcoins, slik at transaksjonen ikke kan spores.<\/p>\n<p>I tillegg til \u00e5 infisere offerets maskin vil skadevaren ogs\u00e5 p\u00e5 egenh\u00e5nd spre seg videre til til andre maskiner knyttet til samme lokalnett (alts\u00e5 andre maskiner du har hjemme, eller kollegers maskiner p\u00e5 arbeidsplassen). Dette gj\u00f8r at skadevaren ogs\u00e5 klassifiseres som en s\u00e5kalt <em>orm<\/em>. M\u00e5ten det spredde seg p\u00e5 var imidlertid litt uvanlig\u00a0vanlig for ransomware vi har sett til n\u00e5. Det utnyttet nemlig en feil i eldre versjoner av Windows. Alle som ikke hadde en oppdatert eller nyere versjon ble dermed automatisk utsatt for WannaCry s\u00e5 lenge maskinen var skrudd p\u00e5, selv om de ikke hadde \u00e5pnet vedlegg i e-poster eller lastet ned noe fra nett. Helt spesifikt var feilen i en modul kalt <em>SMB<\/em> (Server Message Block) i operativsystemet. Selv om spredningen f\u00f8rst og fremst foregikk p\u00e5 lokalnett kunne maskinen ogs\u00e5 bli et offer om den stod \u00e5pen ut p\u00e5 nett med sin SMB-modul.<\/p>\n<p>Skadevaren har blitt omtalt med mange navn slik som <em>WannaCrypt<\/em>, <em>WanaCrypt0r<\/em>, <em>WCRY<\/em>\u00a0osv. <em>WannaCry<\/em> er imidlertid det navnet man stort sett har blitt enige om \u00e5 benytte.<\/p>\n<h2>Kan man f\u00e5 tilbake filene om man er angrepet?<\/h2>\n<p>I utgangspunktet er eneste m\u00e5te \u00e5 f\u00e5 tilbake filene p\u00e5 \u00e5 betale de som st\u00e5r bak skadevaren. Krypteringen ved ransomware er som regel sv\u00e6rt sterk, og det er ikke mulig \u00e5 knekke den selv. Det eneste man kan h\u00e5pe p\u00e5 er at bakmennene frigir n\u00f8klene selv, med overlegg eller en feiltakelse, men det skjer sjelden.<\/p>\n<p><em>Oppdatert: Det viser seg n\u00e5 at det kan\u00a0finnes en bakvei-metode for nettopp WannaCry.\u00a0I korte trekk g\u00e5r det ut p\u00e5 at dersom krypteringen nettopp er ferdig s\u00e5 kan man v\u00e6re heldig at n\u00f8klene fortsatt finnes i arbeidsminnet til maskinen. Her er det utviklet <a href=\"https:\/\/github.com\/gentilkiwi\/wanakiwi\/releases\">noen verkt\u00f8y<\/a> for \u00e5 f\u00e5 tak i disse n\u00f8klene. Skal dette fungere m\u00e5 man imidlertid v\u00e6re rask (f\u00f8r arbeidsminnet p\u00e5 maskinen rekker overskrives). Starter man maskinen p\u00e5 nytt blir arbeidsminnet t\u00f8mt. Denne metoden er derfor mer flaks enn noe annet om den skal fungere, og er basert p\u00e5 &#8220;slurv&#8221; fra de som laget skadevaren.\u00a0<\/em><\/p>\n<p>Husk imidlertid at ved \u00e5 betale finansierer du kriminelle nettverk. Du kan ogs\u00e5 bli &#8220;blinket ut&#8221; som et betalingsvillig offer som blir utsatt for mer av det samme i tiden fremover.<\/p>\n<p>Det finnes imidlertid en genial l\u00f8sning. Legg tilbake din siste backup av data. Dessverre viser det seg at alt for mange brukere er sv\u00e6rt d\u00e5rlig til \u00e5 ta backup. De som gj\u00f8r det har den ogs\u00e5 ofte plassert p\u00e5 samme maskin som de ellers bruker, og da er ogs\u00e5 den mest sannsynlig et offer for krypteringen og er uleselig. \u00a0Du m\u00e5 alts\u00e5 ha en backup p\u00e5 en separat frakoblet kilde, slik som en ekstern harddisk eller minnepenn.<\/p>\n<p><strong>Vi kan ikke f\u00e5 sagt nok ganger hvor viktig det er \u00e5 ha minst en nylig oppdatert backup av alle viktige filer. Og at denne er plassert p\u00e5 et adskilt og sikkert sted.<\/strong><\/p>\n<h2>Hvordan stoppet det?<\/h2>\n<p>Mange har f\u00e5tt med seg nyhetssaken om at en ung gutt klarte \u00e5 stoppe hele angrepet. Det som skjedde var f\u00f8lgende&#8230;<\/p>\n<p>Skadevaren var programmert til \u00e5 fortsette spredningen av seg selv og utf\u00f8re kryptering s\u00e5 lenge et forutbestemt domenenavn (typisk en nettadresse slik som http:\/\/www.wannacrystop.com) ikke var registrert og aktivt. \u00a0Det at skadevaren jevnlig sjekket dette domenet ble oppdaget av en sikkerhetsekspert,s om s\u00e5 registrerte domenet p\u00e5 seg selv, og oppdaget at angrepet stoppet.<\/p>\n<h2>Kan dette skje igjen?<\/h2>\n<p>Svaret er: <strong>JA<\/strong><\/p>\n<p>Det kommer stadig vekk nye ransomware-angrep i alle mulige former. Vi m\u00e5 ogs\u00e5 forvente en stor \u00f8kning av dette i tiden fremover, da det virker \u00e5 v\u00e6re en \u00f8konomisk innbringende virksomhet for de som st\u00e5r bak. Ferdige skadevare-kit gj\u00f8r ogs\u00e5 at personer uten spesiell stor IT-kompetanse kan lage slike virus. Det er derfor sv\u00e6rt viktig \u00e5 ta f\u00f8lgende forh\u00e5ndsregler for \u00e5 redusere sannsynligheten for \u00e5 bli neste rundes offer:<\/p>\n<ol>\n<li>V\u00e6r sv\u00e6rt kritisk til \u00e5 \u00e5pne filer du f\u00e5r som <a href=\"http:\/\/www.datasikkerhetsboka.no\/blogg\/2016\/07\/27\/farer-i-svindel-e-post\/\">vedlegg p\u00e5 e-post<\/a><\/li>\n<li>Hold maskinen oppdatert. B\u00e5de operativsystem, slik som Windows, programvare og nettlesere<\/li>\n<li>Ha minst en nylig tatt backup av alle viktige filer p\u00e5 \u00a0en frakoblet enhet.<\/li>\n<\/ol>\n<p>&nbsp;<\/p>\n<p>Husk ogs\u00e5 at du er forsiktig med \u00e5 laste ned verkt\u00f8y for \u00e5 fikse opp eller oppdage problemer. Rundt slike massive mediedekkninger er det mange slike verkt\u00f8y som bli publisert, men som i seg selv er skadevare. Bakmennene baserer seg da p\u00e5 at offer laster ned og kj\u00f8rer dette i panikk basert p\u00e5 den kraftige mediedekkningen som har v\u00e6rt.<\/p>\n<p>&nbsp;<\/p>\n<p>\u00d8nsker du \u00e5 l\u00e6re mer om ransomware har vi skrevet en\u00a0bloggpost om dette tidligere:<\/p>\n<p><a href=\"http:\/\/www.datasikkerhetsboka.no\/blogg\/2017\/03\/01\/ransomware\/\">Ransomware<\/a><\/p>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<!--CusAds0-->\n<div style=\"font-size: 0px; height: 0px; line-height: 0px; margin: 0; padding: 0; clear: both;\"><\/div>","protected":false},"excerpt":{"rendered":"<p>Fredag 12. mai kunne de fleste medier melde om &#8220;massive hackerangrep&#8221; og &#8220;det mest omfattende dataangrepet noen sinne&#8221;&#8230; Dessverre er ogs\u00e5 mange av medieoppslagene ganske vage i hva dette egentlig inneb\u00e6rer, og \u00f8nsker heller&#46;&#46;&#46;<\/p>\n","protected":false},"author":3,"featured_media":1921,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_jetpack_memberships_contains_paid_content":false,"footnotes":""},"categories":[76,4],"tags":[41],"class_list":["post-1920","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-guide","category-sikkerhetsrad","tag-ransomware"],"aioseo_notices":[],"jetpack_featured_media_url":"https:\/\/www.datasikkerhetsboka.no\/blogg\/wp-content\/uploads\/2017\/05\/Wana_Decrypt0r_screenshot.png","jetpack_sharing_enabled":true,"_links":{"self":[{"href":"https:\/\/www.datasikkerhetsboka.no\/blogg\/wp-json\/wp\/v2\/posts\/1920","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.datasikkerhetsboka.no\/blogg\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.datasikkerhetsboka.no\/blogg\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.datasikkerhetsboka.no\/blogg\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/www.datasikkerhetsboka.no\/blogg\/wp-json\/wp\/v2\/comments?post=1920"}],"version-history":[{"count":6,"href":"https:\/\/www.datasikkerhetsboka.no\/blogg\/wp-json\/wp\/v2\/posts\/1920\/revisions"}],"predecessor-version":[{"id":1927,"href":"https:\/\/www.datasikkerhetsboka.no\/blogg\/wp-json\/wp\/v2\/posts\/1920\/revisions\/1927"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.datasikkerhetsboka.no\/blogg\/wp-json\/wp\/v2\/media\/1921"}],"wp:attachment":[{"href":"https:\/\/www.datasikkerhetsboka.no\/blogg\/wp-json\/wp\/v2\/media?parent=1920"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.datasikkerhetsboka.no\/blogg\/wp-json\/wp\/v2\/categories?post=1920"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.datasikkerhetsboka.no\/blogg\/wp-json\/wp\/v2\/tags?post=1920"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}