Taggat med: ransomware

10 rekommenderade åtgärder gällande WannaCrypt (Wcrypt)

Uppdatering: Gentilkiwi har släppt en WannaCrypt-decryptor här, men du måste ha den privata nyckeln från exempelvis en minnesdump. 

Här följer en lista på det som är bra att tänka på när det gäller WannaCrypt/WCrypt.

  1. Patcha samtliga system, specifikt ms17-010. Stäng av SMBv1, samt så har MS även släppt patchar till EOL-system såsom Windows XP.
  2. Vid detekterad infektion: Koppla bort enheten från nätverket, gör en minnesdump samt avspegling av hårddisken och gör en ny installation av Windows. Spegelbilden kan eventuellt användas senare till att återställa filer.
  3. Se till att det finns offline-backups. Och testa regelbundet att göra återställningar
  4. Stöd aldrig de kriminellas affärsplaner genom att betala.
  5. Se över Er BYOD-policy. Infekterad enheter kan anslutas till nätverket via VPN, Wifi eller andra sätt.
  6. Se till att blockera scripts, makro-filer, exekverbara filer etc i web-gateways samt E-mail gateways
  7. Blockera portarna 139 och 445 i brandväggar
  8. Se till att användare och administratörer har så låga behörigheter som möjligt
  9. Om inte har en incidenthanteringsplan. Upprätta en nu
  10. Informera all personal generellt om ransomware samt ovan punkter

Många av ovan rekommendationer gäller även andra typer av ransomware och således ej enbart WannaCrypt.

Minst två olika nya varianter av WannaCrypt har observerats inom de senaste dygnen. Bl.a. helt utan den ”kill-switch” domän som rapporterats om, som troligtvis används för att detektera om den skadliga koden går i en sandlåda.

Kan även rekommendera CERT-EU:s skrivelse som hittas här.

Meddelande till den som blir infekterad:

Bakgrundsbilden ändras till följande:

Omfattande pågående cyberattack: WannaCry/Wcry

Flertalet nyhetsmedier samt CERT-SE varnar just nu för en ny pågående cyberattack. Detta är en ransomware-kampanj som nyttjar sårbarheten MS17-010. Ett flertal länder är drabbade och däribland även Sverige.

I detta fall är det en ny variant av WannaCry (kallas även Wcry eller WanaCrypt0r) som infekterar Windows-system och krypterar filer både lokalt och på delade nätverksytor och sedan håller dessa som gissla samt begär betalning i Bitcoin.

Sårbarheten som åtgärdas i MS17-010 som släpptes för cirka två månader sedan och har och göra med hur Windows hanterar SMBv1-paket (EternalBlue). WannaCry använder även Tor för att sköta Command and control (C&C), detta för att försvåra spårning.

Här finns en karta för den som i realtid vill se infektioner:

WannaCry

Skärmdump från meddelandet som dyker upp om du blir infekterad:

Ett år av obligatorisk it-incidentrapportering

Det har nu gått nästan ett år sedan den 1:a April 2016 då det är obligatoriskt för Sveriges (nästan) samtliga 244 myndigheter att rapportera in it-incidenter till MSB (Myndigheten för samhällsskydd och beredskap).

MSB rapporterar att det skickats in 214 incidentrapporter från 77 myndigheter och att snittet legat på 25 st per månad. Detta innebär att många myndigheter fortfarande inte skickat in en enda incidentrapport, vilket påvisar ett stort mörkertal. Men troligtvis så tar det några år innan myndigheter anpassar sig.

En annan intressant sak är att incidenter ska rapporteras inom 24h att de upptäckts men i verkligheten ser det annorlunda ut:

Vid genomgång av rapporterna visar det sig att runt 20 procent av incidenterna rapporterats mer än fem dagar efter att de upptäckts, vissa incidenter har rapporterats först efter en månad.

De incidenter som rapporteras in kategoriseras på följande sätt och antal:

Rapporten har även bilaga med sekretessbelagda uppgifter och där framgår vissa särskilda företeelser avseende it-incidentrapporteringen.

För inrapporteringen så används filkryptot KURIR 2.0.

Att loggning är viktigt är något som jag inte understryka nog och detta framkommer även i incidentrapporteringen:

I ett antal incidenter har det framkommit att myndigheter inte har någon dedikerad loggserver, något som är en viktig komponent för att kunna upprätthålla en fungerande övervakning av it-system och för att i efterhand ha möjlighet att klargöra vad som hänt i systemet.

Jag kan även utläsa att MSB använder ordet kryptotrojan återkommande gånger, vilket jag tycker är felaktigt. Utpressningsvirus eller ransomware tycker jag är mer rättvisande och något som Polisen etc använder. Och på tal om ransomware så anger rapporten att 40% av inkomna rapporter om ransomware har lett till informationsförlust. Tyvärr framgår det inte vilken typ av ransomware det rör sig om eller om antivirus-mjukvara detekterat dessa.

Här kan du läsa MSB:s årsrapport om it-incidentrapportering 2016 i sin helhet (PDF):

MSB Årsrapport IT-incidentrapportering

Ny krypto-ransomware

Krypto-ransomware är en typ av skadlig kod som krypterar dina filer och håller dem som gissla, därav ordet ransom (gissla). Ransomware har förekommit under några år men börjar på senare tid bli mer avancerade och innehåller mindre sårbarheter.

Tidigare ransomware som krypterade filer innehöll brister som gjorde det möjligt att relativt enkelt dekyptera filer som krypterats.

Senaste dagarna har Trj/RansomCrypt.B eller även känd som CTB-Locker börjat att infektera målsystem. Oklart om det var detta rasomware som infekterade Skolverket och krypterade 20 miljoner filer(?).

CTB-Locker sprids framförallt som bifogade filer i E-post där filändelsen är .scr (screensaver) och vid infektion visas nedan meddelande som hänvisar till en Tor Hidden Services adress.

 

RansomCryptBBästa sättet att skydda sig mot denna typ av skadlig kod är att se till att det finns backup men även i fallet med Skolverket så tar det tid att återställa många filer.

Se även till att hålla antivirus uppdaterat och blockera suspekta filändelser i perimeterskyddet.

 

Kryptovirus, Cryptovirology eller Kryptomalware

Kryptovirus/kryptomalware eller på engelska cryptovirology är ett uttryck som Adam L. Young, PhD samt Moti M. Yung, PhD skapat för att beskriva skadlig kod (malware) som använder sig av krypto.

Cryptovirology är ett område som studerar hur man använder kryptering för att utforma kraftfull skadlig kod”

Några exempel på skadlig kod som använder sig av kryptovirus är: Gpcode, Cryzip, samt Krotten. Dessa tre olika trojaner håller dina filer på datorn som gissla (krypterar) och begär sedan en summa pengar för att du ska få en nyckel för att dekryptera filerna.

Ett annat populärt namn för denna typ av skadlig kod är även ransomware.

Området Cryptovirology omfattar även kryptoattacker där angriparen i hemlighet stjäl privat information såsom privata nycklar. Ett exempel på den senare typen av attack är en asymmetrisk bakdörr. En asymmetrisk bakdörr är en bakdörr (t.ex. i en kryptosystem) som kan användas endast av angriparen även efter det att den eventuellt upptäckts.