Nytt løsepengevirus i Europa: Slik rammer det

Et nytt løsepengevirus sprer seg akkurat nå – her er det du må gjøre for å holde det unna datamaskinen.

Den såkalte ransomware-kampanjen av typen «Petya» ble tirsdag ettermiddag satt i verk mot datasystemer i blant annet Russland, Ukraina og Norge.

Oppdatering: Flere sikkerhetseksperter og selskaper innen datasikkerhet mener nå at viruset kanskje likevel ikke er av typen Petya, og omtaler det på Twitter med emneknaggen #NotPetya.

Nasjonal sikkerhetsmyndighet (NSM) bekreftet tirsdag overfor VG at to internasjonale selskap med kontorer i Norge har rapportert inn at de er rammet.

Viruset, på norsk kalt et løsepengevirus, krypterer og låser ned den infiserte datamaskinen, og ber eieren om å betale en sum penger for å få den låst opp igjen, forklarer kommunikasjonsdirektør Mona Strøm Arnøy i NSM.

– Det bør man ikke gjøre, sier Arnøy.

Les også: Hackere krever løsepenger for «Pirates»-film

NSM: – Oppdater programvare nå

NSM har så langt ikke avklart hvordan dette viruset sprer seg, selv om det normalt er via vedlegg i e-post, wordfiler eller infiserte nettsider. Oppfordringen fra NSM er likevel klar:

– Vær forsiktig med lenker og vedlegg på e-post fra avsendere som du ikke kjenner til. Og så ber vi deg innstendig om å oppdatere programvaren når du får varsel om det. Det er veldig lett å trykke på «utsett» når man får slike varsel, men gjør det umiddelbart, så er du mye mer motstandsdyktig, sier Arnøy.

Det mistenkes at infeksjonen skjer via en sårbarhet i den såkalte Server Message Block-protokollen (SMB). Dette er en nettverksprotokoll som i hovedsak brukes til å dele tilgangen til filer og printere på et nettverk, og har vært en del av Windows-maskiner siden starten av 90-tallet.

NSM om WannaCry: Tror dataangrepet er under kontroll

– Oppdater og ta backup

Den sertifiserte analytikeren og sikkerhetseksperten Håkon Olsen sier til VG at det er to tiltak som er viktigere enn alt annet for å unngå å bli rammet av denne typen virus.

For det første må man holde programvare oppdatert.

– Virus bruker sårbarheter i programvare, og i de fleste tilfeller finnes det en «patch» sin reparerer sikkerhetshullet. For den såkalt SMB-sårbarheten EternalBlue ble det sluppet en slik patch i mars, skriver Olsen i en e-post.

For det andre må man huske å ta backup jevnlig, med en såkalt «sjekksum», eller hash-funksjon, som brukes til å forsikre seg om at selve backupen ikke også er endret på. Backupen må oppbevares sikkert og offline, påpeker Olsen.

– Gjør man dette er sjansen for å bli infisert radikalt redusert, og om det skulle skje vil du likevel ikke være tvunget til å betale kriminelle for å (kanskje) få tilbake filene dine, skriver Olsen.

Ligner på WannaCry

NSM skrev i en pressemelding tirsdag ettermiddag at det trolig var snakk om et løsepengevirus av typen Petya. Viruset minner om WannaCry, som rammet over 100 land, inkludert Norge, i mai.

Her fra en infisert PC på et supermarked i Ukraina:

– Vi vet enda ikke hvordan dette sprer seg, men vær skeptisk til linker i e-poster, og spesielt bør det gå en varsellampe hvis du blir bedt om tillatelse for å installere noe etter å ha trykket på link, sier seniorrådgiver Vidar Sandland i NorSIS til E24.

Data-hjelpesiden bleepingcomputer.com skriver at forfatteren av Petya-viruset ser ut til å være inspirert av WannaCry, men at Petya til motsetning også kan spres via spam på e-post. Det skal visstnok utnytte en sårbarhet i RTF-filer i Microsoft Office, skriver nettstedet.

Forskjellen mellom Petya og WannaCry, ifølge nettstedet Malwaretech.com, er i hovedsak at mens WannaCry ble spredt til et mindre antall datamaskiner og deretter spredt raskt fra disse, ble Petya sannsynligvis sendt til et stort antall datamaskiner for deretter å bli spredt på disse maskinenes lokale nettverk, altså totalt færre enn WannaCry.

Ber om Bitcoins

Viruset instruerer dem som er rammet til å betale 300 dollar i Bitcoin til en Bitcoin-adresse, som er en serie på mellom 26 og 35 av alfanumeriske tegn. De representerer destinasjonen for den eventuelle Bitcoin-betalingen, og kan genereres gratis av alle som bruker Bitcoins.

Mona Strøm Arnøy i NSM sier de så langt ikke har forsøkt å identifisere angriperne via adressen.

– Vårt fokus er å analysere skadevaren og å hindre spredning, så får vi i etterkant se hvem som står bak, sier Arnøy.