Ny løsepengevirus-kampanje i Europa


Norge er foreløpig tilnærmet uberørt.

En ny type løsepengevirus sprer seg for tiden i Europa, spesielt er Ukraina hardt rammet. Norge er kun truffet i veldig beskjeden grad, kun tre virksomheter i skrivende stund. Det er ikke forventet at Norge blir rammet i noen alvorlig grad. Vanlige folk trenger ikke bekymre seg, og kan bare fortsette å forholde seg til vanlige råd for å unngå skadevare.

Det er for tiden ikke mulig å få tilbake data som blir kryptert, uten backup.

Løsepengeviruset er en variant av Petya. Flere kilder bruker også dette navnet om skadevaren. Andre navn inkluderer Nyetya, PetrWrap og ExPetr.

Sprer seg på flere forskjellige måter

Som kjent har skadevaren mulighet til å spre seg på samme måte som WannaCry, ved å utnytte en sårbarhet i SMBv1. Denne sårbarheten er forlengst rettet av Microsoft i oppdateringen MS17-010. Alle som ikke har installert oppdateringen bør gjøre det så fort som mulig.

I tillegg benytter løsepengeviruset de legitime Windows-verktøyene psexec og WMI for å spre seg internt på nettverket. For å gjøre det, benytter den en kjent metode for å hente ut den lokale brukerens brukernavn og passord, og prøver så å få tilgang til andre maskiner på nettverket med den samme innloggingen. Klarer den det, kjører den løsepengeviruset på disse maskinene også.

Enkelte kilder har hevdet at løsepengeviruset kan mottas på e-post, men dette har vi ikke klart å bekrefte sikkert. For sikkerhets skyld bør man, som alltid, være på vakt for lureriforsøk på e-post.

Hjelper ikke å betale

Løsepengeviruset fungerer slik at de som blir rammet blir bedt om å betale Bitcoin til en gitt Bitcoin-adresse, og deretter sende e-post til angriperens e-postadresse for å få en dekrypteringsnøkkel i retur. Dette lar seg ikke lenger gjøre. Grunnen er at e-postleverandøren Posteo har stengt e-postkontoen benyttet av bakmennene, det er med andre ord ikke lenger mulig å få kontakt med bakmennene, og dermed heller ikke mulig å få en dekrypteringsnøkkel.

NorSIS anbefaler

  • Hold programvare og operativsystem oppdatert.
  • Ha gode rutiner for sikkerhetskopi av viktige filer.
  • Benytt antivirusprogram og hold det oppdatert.

Kilder og ressurser

Nettvett.no – Løsepengevirus
Digi.no – Ransomware-angrepet: Har stengt muligheten for å få gjenopprettet filene
NSM – Ny ransomware-kampanje observert
Cisco Talos – New Ransomware Variant “Nyetya” Compromises Systems Worldwide
Kaspersky Securelist – Schroedinger’s Pet(ya)