Aktiv spridning av utpressningsprogram - uppdatera Windows-systemen omedelbart

Utpressningsprogrammet WanaCrypt0r har observerats även i Finland. Detta skadeprogram sprider sig mycket effektivt i en organisations interna nät om man inte installerat uppdateringar som skyddar mot de sårbarheter som programmet använder. På grund av fallet har Microsoft publicerat viktiga uppdateringar även till äldre versioner av operativsystem, Windows XP medräknat.

Utpressningskampanjen WanaCrypt0r som började den 12 maj har även drabbat Finland. Skadeprogrammet sprids antagligen via e-post med bifogade filer. Efter det att den första arbetsstationen infekterats sprider skadeprogrammet sig effektivt i lokalnät genom en SMB-sårbarhet som korrigerades vid Microsoft-uppdateringar i mars.

Det är möjligt att upptäcka skadeprogrammet genom att följa ovanliga SMB-förbindelser mot TCP-port 445 i och från lokalnätet. För tillfället saknas information om e-postmeddelanden som använts för spridningen av skadeprogrammet. Om du observerar e-post som sprider WanaCrypt0r, kontakta Cybersäkerhetscentret.

Uppdatering 15.5.2017

För tillfället finns det inte några tecken på att skadeprogrammet skulle ha spridits via en sårbarhet i Microsoft Office eller via skadliga e-postmeddelanden.

Målgrupp för varningen

  • De som administrerar arbetsstationer och servar

Åtgärds- och begränsningsmöjligheter

  • Det rekommenderas att alla arbetsstationer och servrar som använder Microsoft Windows-operativsystem förses med alla tillgängliga skyddsuppdateringar, inklusive uppdateringar av tisdag 9.5.2017, så snart som möjligt. Enligt tillgängliga uppgifter kan utpressningsprogrammet inte aktiveras eller sprida sig i organisationernas interna nät, om alla uppdateringar är installerade på behörigt sätt.
  • Microsoft har publicerat korrigeringar till SMB-sårbarheten som korrigerades redan i mars och även till andra operativsystem som inte längre stöds, bland dessa Microsoft XP. Denna uppdatering ska installeras utan dröjsmål.
  • Den fungerande och testade säkerhetskopieringen är ett effektivt sätt att säkerställa återhämtning om man blivit infekterad av ett utpressningsprogram.

Uppdatering 16.5 kl. 15:00:

Om uppdateringen av någon anledning inte är möjlig, är en begränsningsmöjlighet att ta bort SMB v1 från en sårbar dator.

Vi rekommenderar att ni hindrar trafik från organisationens brandvägg mot port 445 (SMB-tjänst). WanaCrypt0r sprider sig genom att använda en sårbarhet i SMB-protokollet.

Mer information

  • Betydande observationer av utpressningsprogrammet WanaCrypt0R i Europa
  • https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

Uppdateringshistorik

Ämnesord: Informationssäkerhet , Internet , Skadligt program , Varningar

LinkedIn Print

logo

Kommunikationsverket

Cybersäkerhetscentret

PB 313, 00181 Helsingfors


Mediekontakter per telefon: +358 295 390 248