Våren 2017 fick WannaCry (WannaCryptor, WannaCrypt) stor spridning och gäckade många verksamheter och företag som kliade sig i huvudet och undrade hur de ska lösa problematiken med detta nya ransomware. Enligt en ny forskning från SophosLabs är hotet fortfarande är kvar och att miljoner upptäckter av WannaCry görs varje månad – hela 4,3 miljoner under augusti.
Så vad kan vi göra?
Svaret är lika enkelt som svårt. Vi måste göra om och göra rätt. Microsofts plattform Windows innehåller merparten av allt vi behöver, men vi har krånglat till det för att komma runt vardagliga problem.
Maskar eller virus har två olika syften. Dels vill de leverera sin s.k. payload, vilket i detta fall med WannaCry är att kryptera offrets filer och kräva en lösensumma för att låsa upp dem igen, och dels vill de sprida sig till nya datorer i nätverket. För att köras på respektive dator behöver den skadliga koden access till användarens filer och för att sprida sig vidare behöver den behörigheter till nätverket.
Våra rekommendationer för att skydda sig mot ransomware-attacker
Många verksamheter har idag en stor del av användarna som lokala administratörer. En administratör är inte tänkt att begränsas och har därför full behörighet till nätverket, d.v.s. en access som den skadliga koden behöver för att sprida sig vidare och därför letar efter. Enligt Microsoft Vulnerabilities Report 2016 kan organisationer skydda sig mot 94 procent av alla kritiska sårbarheter i Microsoft genom att ta bort admin-rättigheter.
- Kontrollera er rutin och policy för backup på verksamheten.
Gäller användare, servers och Active Directory. - Lås ned alla till user
Detta kan göras med hjälp av privilege management som ger de högre behörigheterna till applikationerna och låter användarkontot vara nedlåst. Skadlig kod kan då inte spridas vidare i nätverket. - Vitlistning av applikationer
Endast godkända applikationer tillåts köras på datorerna. På så sätt kan skadlig kod inte exekvera på datorerna. Vitlistning kan idag göras med enkla medel och är inte krångligt att upprätthålla. - Snabbare patchningsrutin
WannaCry utnyttjar en sårbarhet som patchades av Microsoft den 14:e mars i år och berör därför inga som uppdaterat operativet på senare tid. Försök ha så kort cykel för uppdateringar av applikationer och operativsystem som möjligt. - Traditionellt skydd
Inget av ovanstående ersätter det traditionella skyddet. Antivirus för att hantera känd skadlig kod, brandväggar för att stoppa intrångsförsök, webfilter och spamfilter för att hantera skadlig kod som sprids den vägen etc.
Sammanfattning
Vi behöver ta ett steg tillbaka och göra saker så som de var tänkta innan vi började krångla till det med speciallösningar och workarounds. Inget av dessa råd är speciellt svårt att genomföra och tillsammans ger dessa åtgärder ett bra skydd mot skadlig kod och cyberattacker. Men även om du bara gör några saker i listan blir IT-miljön ändå mycket säkrare än att inte göra något alls.
I ett inspelat webinar kan du se hur en lösning som heter RansomCare stoppar ett ransomware-utbrott.
Uppdaterad september 2019.
