WannaCry: fem vanliga frågor och dess svar

Sedan WannaCry uppenbarade sig för någon månad sedan har vi har fått många frågor. Nätverksmasken som runtom i världen har nfekterat hundratusentals datorer med ransomware genom att utnyttja ("exploit") EternalBlue.

Eftersom vårt företag står för cybersäkerhet har vi på Panda Security gjort oss så tillgängliga som möjligt som informationskälla för andra säkerhetsföretag internationellt och svarat på de största frågetecken som WannaCry orsakat. Vi har sammanställt några av de viktigaste punkterna här för att dela med dig.

Kom det via e-post?

Majoriteten av medierna rapporterade att den ursprungliga attacken skickades via spam, alltså via e-post.

Här kan du se ett exempel från Financial Times, där de även ger detaljer kring hur det kom fram till en zip-fil. Det stämmer inte. Sedan första dagen har varje attack vi sett kommit genom att utnyttja EternalBlue (dvs exploit).

Är det så massivt som medierna rapporterar?

Det var verkligen en massiv attack på global nivå, det råder ingen tvekan om det. Men samtidigt, om vi kommer ihåg tidigare hot, såsom SQLSlammer eller Blaster, når WannaCry inte samma storlek. Numera har de flesta hemanvändare aktiverat Windows Updates som standard, vilket innebär att de redan skyddades. Skadan som orsakas av denna attack är dock mycket större än någon av de andra enorma hot som vi har sett hittills, eftersom ransomware kommer att kryptera all värdefull information i datorn och i delade nätverk. Ur det perspektivet är det en av de allvarligaste attackerna genom cyberhistorien.

De senaste siffrorna hävdar att det finns över 300 000 offer. Faktum är att numret är mycket högre. Det finns många datorer inom företagsnätverk som har smittats men som inte har någon anslutning ut, så vi talar förmodligen om miljontals infekterade datorer.

Varför slutade det inte när domänen för kill-switch registrerades?

En av egenskaperna hos WannaCry är att den försöker ansluta till en specifik webbadress. Om den existerar gör det ingenting, det kommer inte att sprida sig längre och kommer inte att utföra ransomware-kommandot. Under helgen då attacken genomfördes så registrerade en säkerhetsforskare den aktuella domänen. Det hindrade dock inte masken från att sprida sig. Det finns flera förklaringar för detta: företag vars datorer ansluter till Internet via proxy, vilket betyder att WannaCry inte kunde ansluta till webbadressen och fortsätter med förödelsen på lokala nätverk istället. Eller företag som har kopplats bort helt från Internet för att kunna återställa situationen. Och inte bara det - det finns varianter som har en annan domän, så att kill-switchen bara kan agera på en del av infektionerna.

Hur många varianter av WannaCry finns det?

Allt beror på hur vi definierar en variant. Sedan starten har vi sett flera olika varianter, men alla delar samma funktionalitet. Sist vi kollade fanns det över 700 olika varianter, där ändringarna skiftar från små ändringar i filen för att försöka undvika signaturdetektering, till att ändra kill-switchens domännamn, som nämnts ovan.

Kan vanligt antivirus desinfektera infektionen?

Det korta svaret är ja. Den långa är... att det beror på. Om inte din säkerhetslösning kan skydda din dator från EternalBlue-exploiten kommer din dator att bli attackerad med skadlig programvara om och om igen, och så fort antiviruset missar en ny variant eller en ny skadlig kod med samma attackvektor kommer datorn att bli smittad.

Rekommendationer

Trots att inte alla företag smittades kan vi säga att attacken påverkat inte bara smittade företag utan också företag som inte hade uppdaterat datorerna i sina nätverk. Dessa företag stoppade i stort sett allt tills patchen använts. Ur det här perspektivet måste lösningen komma genom ett fundamentalt annorlunda tillvägagångssätt för cybersäkerhet, precis som det som erbjuds med Adaptive Defense från Panda Security. Och naturligtvis bör följande metoder alltid hållas i åtanke:

• Använd adekvata skyddsåtgärder som nästa generations anti-virus / anti-malware-lösningar mot avancerade attacker och brandväggar.
• Håll datorn uppdaterad! Kom ihåg att om de drabbade datorerna hade blivit uppdaterade kunde de inte ha attackerats. Detta är avgörande för att öka systemets säkerhet, förbättra prestanda och eliminera exekveringsfel. Tänk också på att företag som behöver använda datorer med föråldrade operativsystem (till exempel Windows XP) bör ha dem tillräckligt starka och hålla dem så isolerade som möjligt.
• Öppna inte filer, bilagor eller länkar från otillförlitliga e-postmeddelanden eller svara på den här typen av e-post.
• Var försiktig när du följer länkar i e-post, snabbmeddelanden och sociala nätverk, även om de är från kända kontakter.
• Utför regelbundna säkerhetskopior, särskilt för de känsligaste eller viktigaste uppgifterna.

För mer information kan du titta på en inspelning av webbseminariet som gavs av Luis Corrons, teknisk direktör för PandaLabs, här: