Beskyttelse mot løsepengevirus/ransomware

Publisert: 15.05.2017 | Sist endret: 13.05.2017

Fredag kveld ble det kjent at løsepengeviruset kjent som ”WannaCry” er spredd til datamaskiner over hele verden. Det ondsinnede programmet utnytter kjente sårbarheter i Microsoft Windows, krypterer filene på datamaskinen, og brukerne får ikke tilgang uten å betale løsepenger.

Sist oppdatert: 15.05.17 kl.14.30

Angrep ved bruk av løsepengevirus, også kalt ”ransomware”, har i løpet av de siste årene økt i omfang og antall varianter. Løsepengevirus er derfor en risiko alle virksomheter  må ta på alvor.

Det typiske angrepsmønsteret er at virksomheten mottar en epost med infisert skadevare. Skadevaren sprer seg videre og forårsaker at tilgangen til data eller systemet blir utilgjengelig hvis ikke løsepenger utbetales. Denne skadevaren skiller seg fra tidligere kjente løsepengeviruskampanjer ved at den sprer seg automatisk i nettverket ved hjelp av en kjent sårbarhet i Microsoft SMBv1. Denne egenskapen har gjort kampanjen svært effektiv og medført at et stort antall infiserte datamaskiner på kort tid.
Kampanjen har ikke vært målrettet mot verken system, sektor eller region.

Beskyttelsesmekanismene som gjelder for løsepengevirus er i stor grad de samme som for annen god grunnsikring av IKT-systemer.  

Følgende tiltak vil kunne redusere risikoen for å bli rammet av skadevaren:

  1. Installer sikkerhetsoppdateringer raskt slik at kjente sårbarheter ikke kan utnyttes.
    En sikkerhetsoppdatering som forhindrer utnyttelse av sårbarheten WannaCry har vært tilgjengelig siden mars 2017. NSM anbefaler å implementere Microsoft Security Bulletin MS17-010 snarest.
    På grunn av den store utbredelsen av skadevaren har Microsoft publisert en sikkerhetsoppdatering til sårbare operativsystemer som ikke lenger er støttet. Dette gjelder Windows XP, Windows 8 og Windows Server 2003.
    Se lenke nederst på siden.

  2. Isoler fra nettverket eller slå av datasystemer som ikke har noen tilgjengelig sikkerhetsoppdatering for å hindre at sårbare maskiner utsettes for angrep.

  3. Virksomhetens brannmurer bør konfigureres slik at de i størst mulig grad hindrer spredning av skadevaren. Kommunikasjon fra porter som benyttes av SMB-tjenesten (137/138 UDP og 139/445 TCP) bør bare tillates internt i virksomhetens nettverk og ikke eksponeres fra Internett.
    NSM kan undersøke om en virksomhet er sårbar fra Internett via tjenesten Allvis NOR.
    Mer om tjenesten Allvis NOR.

  4. Ikke blokker domenet  www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com i virksomhetens brannmur. Tilgang til dette domenet vil kunne hindre at nye infiserte datasystemer får krypterte filer.

  5. Ha en plan for hva du skal gjøre hvis du blir rammet. Sørg for å ha sikkerhetskopier (og kontroller at disse fungerer) av data slik at du kan gjenopprette systemet. Disse bør også være på et isolert system.

 

Hvis man blir utsatt for et løsepengevirus anbefaler NSM generelt ikke at det utbetales løsepenger. Bakgrunnen for dette rådet er både bekymring for spredning av skadevaren, samt at betaling ikke er noen garanti for at man får tilbake kontroll på egne data. Beslutningen ligger allikevel hos den enkelte virksomhet.

NSM ønsker gjerne å bli informert om bedrifter som har blitt infisert.
Kontakt ved hendelser: norcert@cert.no 

NSM henviser også til britiske National Cyber Security Centre: https://www.ncsc.gov.uk/guidance/protecting-your-organisation-ransomware.

Microsoft har publisert en artikkel som adresserer angrepet. Der peker de på at denne type angrep kan utvikle seg over tid. Microsoft har også gitt ut sikkerhetsoppdatering for eldre Windows-versjoner som ikke lengre får det, som Windows XP, Windows 8 og Windows Server 2003: https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/