WannaCry ransomware er den nye og udbredte cyber-pandemi, der allerede har taget mere end 230.000 computere som gidsler. Med sin nuværende mængde af spredning nærmer WannaCry sig niveauet for andre berygtede cybertrusler såsom Cerber eller Locky.
Ikke desto mindre, hvad der adskiller WCry fra disse to sidste års farligste parasitter er brugen af nye distributionsteknikker, som gør ofre behøver ikke at klikke på de inficerede links eller tage del i ransomware erhvervelsen i nogen anden vej.
Malwaren bruger praksis og værktøjer, der bruges af den amerikanske efterretningstjeneste til at bryde ind i computere og køre det ondsindede script for at gøre brugerens data utilgængelige. Især anvender ransomware EternalBlue-udnyttelse til at målrette mod Windows-enheder med en ikke-patchet MS17-010-sårbarhed. Dette sikkerhedshul er åbent på Windows-versioner, som ikke længere understøttes og ikke modtager sikkerhedsopdateringer.
Heldigvis har Microsoft som svar på de seneste begivenheder udgivet nødpatches til Windows XP, Windows Server 2003, Windows 8 og et par andre forældede operativsystemer. Men selv softwareopdateringen er muligvis ikke nok til at forhindre ransomware-angreb.
Nedenfor vil vi give instruktioner, hvordan du deaktiverer SMB (Server Message Block) funktionalitet, som bruges til at implementere den skadelige WanaCrypt0r filer på computeren. Men før vi går til selvstudiet, vil vi give en kort definition af malwaren, og hvordan den opfører sig på den inficerede computer, for at hjælpe dig med at genkende den lettere.
Wannacry bruger forskellige udvidelser til at markere krypterede filer
Som du måske har bemærket, har vi gennem de foregående afsnit brugt forskellige navne til at henvise til WannaCry-virussen. Det er på grund af virussen, der faktisk rejser rundt i en række forskellige former og former, som sandsynligvis vil være sværere at genkende og afslutte.
Forskningen har afsløret, at virussen nu bruger fire forskellige udvidelser .wncry, .wncrytt, .wcry eller .wncryt for at markere de krypterede filer, men vi kan forvente flere variationer, efterhånden som ransomwaren tager op fart. For at droppe disse udvidelser og gendanne filer skal brugerne betale afpresserne op til 600 dollars i Bitcoin; ellers vil de krypterede data blive ødelagt. @[e-mailbeskyttet] vinduet åbner en timer, som tæller tiden ned indtil datadestruktion. Desværre findes der i øjeblikket ingen gratis dekrypteringssoftware, der kan hjælpe med at gendanne krypterede data gratis.
Så når du først er blevet inficeret, er der virkelig ikke meget du kan gøre for at rulle konsekvenserne af angrebet tilbage. Så det er meget vigtigere at handle og beskytte din enhed, før en virus sætter foden på dit system. Her er nogle trin, du bør tage for at forhindre WannaCry-infiltration.
Hvordan deaktiverer man SMB og forhindrer WannaCry-angreb?
SMB-funktionen (Server Message Block) er den største sårbarhed, der gør det muligt for ransomware at inficere computere. Da denne funktion er aktiveret på Windows som standard, kan afpressere nemt bruge den til at udføre angrebet. Derfor anbefaler vi stærkt at deaktivere det, hvis du ikke bruger det. Det er virkelig enkelt, og du kan opnå i tre grundlæggende trin:
- Klik på Windows-logoet i nederste venstre hjørne af skærmen, og skriv "Windows-funktioner" i søgefeltet
- Åbn funktionsvinduet og gå til indstillinger og se efter SMB-posten. Fjern markeringen og klik på OK
- Genstart computeren
Du kan også deaktivere SMB via PowerShell. Hvad du skal gøre er at skrive "Deaktiver-WindowsOptionalFeature -Online -FeatureName smb1protocol". Når funktionen er deaktiveret, anbefaler vi at genstarte computeren.