Vad har hänt?
Tidig fredagskväll den 12 maj började viruset Wannacry spridas över världen. De första rapporterna kom från Storbritannien där många sjukhus och kliniker drabbades. Hittills har Wannacry infekterat omkring 200 000 datorer i 150 länder. Bland drabbade företag finns Nissan, Renault, Deutsche Bahn, Fedex och operatören Telefonica.
Past 24 hours #WannaCry infection map. What a bloodbath. pic.twitter.com/7hVdocObPg
— Matthieu Suiche (@msuiche) 14 maj 2017
Vad är Wannacry?
Viruset är en självspridande mask som utnyttjar ett känt säkerhetshål i Windows. Hålet kallas Eternal Blue och verktyg för att utnyttja buggen släpptes i mars av hackargruppen Shadow Brokers, som hävdar att de stulit koden från amerikanska säkerhetsmyndigheten NSA.
Wannacry infekterar drabbade datorer med ett gisslanprogram, ransomware, som låser filerna på datorn och kräver en betalning på 300 dollar i bitcoin. Utöver detta installeras också en bakdörr, Doublepulsar, som även det ska vara ett stulet verktyg från NSA.
Here is a video showing a machine on the left infected with MS17-010 worm, spreading WCry ransomware to machine on the right in real time. pic.twitter.com/cOIC06Wygf
— Hacker Fantastic (@hackerfantastic) 13 maj 2017
Hur kunde det hända?
Dåligt uppdaterade datorer, vad det verkar. Microsoft släppte en patch för hålet i april, men många organisationer har uppenbarligen inte uppdaterat sina datorer. Dessutom kör många organisationer fortfarande Windows XP, trots att Microsoft inte släpper nya säkerhetsuppdateringar för det operativsystemet längre. Trots detta valde Microsoft att på fredagen ändå släppa en patch för Windows XP, något företaget själva kallar ”mycket ovanligt”.
Vad ska den som drabbats göra?
I idealfallet har organisationer backuper att falla tillbaka på. Då räcker det med att blåsa datorn och installera från backuperna. Saknas backuper är ett icke rekommenderat men vanligt tillvägagångssätt när man drabbats av ransomware att helt enkelt betala lösensumman. I fallet Wannacry verkar det dock få valt den vägen, hittills har utpressarna fått bitcoin-betalningar på omkring 300 000 kronor.
Har någon lyckats stoppa virusets framfart?
Lite. En anonym säkerhetsexpert lyckades hindra spridningen genom att identifiera en inbyggd så kallad kill switch i virusets kod. När han gick igenom koden hittade han en domänadress som viruset innan det infekterar maskinen kollar om den är registerad eller ej. Är adressen inte registrerad, vilket den inte heller var, fortsätter viruset infektera datorn. Säkerhetsexperten registrerade domännamnet – iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com - vilket gjorde att viruset slutade sprida sig själv.
Version 1 of WannaCrypt was stoppable but version 2.0 will likely remove the flaw. You're only safe if you patch ASAP.
— MalwareTech (@MalwareTechBlog) 14 maj 2017
Så är det över nu?
Nej, experterna och myndigheterna är överens om att nya varianter av Wannacry kommer att skapas och att virusets framfart därmed kommer ta ny fart på måndagen när folk återvänder till sina jobb och startar sina datorer.
Vem ligger bakom?
Det vet vi inte. Myndigheter i både Europa och USA arbetar med fallet.
Vad gör svenska myndigheter?
MSB följer händelseen och har även publicerat en frågor och svar med grundläggande information till organisationer och privatpersoner.
