Artikel top billede

FAQ: Her er hvad du skal vide om det kæmpestore Petya-angreb lige nu

Petya-angrebet hærger i hele Europa og store virksomheder som Maersk og Saint Groban-koncernen er låst ude af egne systemer. Her er, hvad vi ved om Petya lige nu.

Petya-ormen har siden tirsdag hærget store virksomheder i hele Europa, både Maersk og den amerikanske medicinal-gigant Merck er ramt af den destruktive malware.

Men hvad er Petya egentlig? Og hvad skal man gøre for at beskytte sig?

Computerworld har taget et kig på, hvad vi ved lige nu - og vi har samlet informationerne her.

1. Hvad går angrebet helt præcist ud på?

Petya-angrebet startede tilsyneladende i Ukraine.

Hackerne bag Petya indlejrede malwaren i en opdatering til det ukrainske regnskabssystem MeDoc, og da brugerne downloadede opdateringen, blev deres systemer inficeret med Petya.

MeDoc bruges af alle ukrainske virksomheder til blandt andet skatteindberetninger, og derfor er Ukraine også det suverænt hårdest ramte land.

Omkring 60 procent af alle registrerede Petya-infektioner findes i Ukraine.

Petya er på overfladen et ransomware-angreb: Det krypterer ofrets filer, og den ramte computer viser et skærmbillede, der kræver en løsesum for at dekryptere.

Hvis man graver et spadestik dybere, er Petya dog ikke Ransomware. Helt basalt virker betalingssystemet ikke, og kode-analyse fra flere sikkerhedsfirmaer peger på, at hackerne bag Petya slet ikke har mulighed for at dekryptere ofrenes filer

Læs mer om det her
.

2. Hvordan spreder det sig?

Ligesom maj måneds WannaCry-angreb bruger Petya et lækket NSA-exploit, der kaldes EternalBlue.

EternalBlue udnytter en sårbarhed i fildelingsprotokollen Server Message Block (SMB), og via denne inficerer og spreder Petya sig mellem ikke-patchede Windows-systemer.

Petya har dog flere esser i ærmet.

Malwaren indsamler automatisk kodeord og andre oplysninger fra inficerede maskiner i et forsøg på at opnå administrator-rettigheder. Derpå overtager den funktionerne Windows Management Instrumentation og PsExec, der gør det muligt at køre kommandoer på forbundne maskiner.

Kort sagt beder en Petya-inficeret maskine alle andre systemer, den er forbundet med, om at installere og køre malwaren.

3. Hvad kan man gøre for at beskytte mod dette angreb – og ransomware generelt?

Der er tilsyneladende ikke meget at gøre, hvis man først er blevet ramt af Petya, da data så vidt vides ikke kan dekrypteres.

Men ligesom det er tilfældet med så mange andre typer malware, er den bedste beskyttelse mod Petya at køre sund patch management.

Petya kan kun inficere ikke-opdaterede Windows-systemer, og hvis man har installeret det seneste patches fra Microsoft, bliver man ikke ramt af Petya.

Men...

Der skal som oftest kun én synder til at gøre et helt netværk sårbart. Hvis Petya først kommer ind på en maskine, kan den sprede sig til alle forbundne systemer – uanset om de er patchede eller ej.

Mere traditionelle ransomware-angreb foregår ofte via email, så der er det desuden en god idé ikke at klikke på links fra afsendere, man ikke er 100 procent sikker på.

Du kan desuden tilsyneladende snyde Petya ved at placere en lille fil på din computer. Mere om den metode her.

4. Hvem står bag angrebet?

Det er stadigvæk et åbent spørgsmål. Ransomware-angreb er traditionelt forbundet med gemene kriminelle, der udfører angrebet for at tjene penge.

Det er dog yderst tvivlsomt, at det skulle være hensigten med Petya.

Da koden tilsyneladende ikke indeholder muligheden for, at gerningsmændene rent faktisk kan dekryptere filerne, mener flere eksperter, at ransomware-æstetikken er en forklædning, der skal maskere et statsstøttet cyberangreb.

Ukrainske kilder mener, at Rusland står bag angrebet, og Ukraine har da også været udsat for adskillige alvorlige cyberangreb i de seneste år – og Rusland har været hovedmistænkt hver gang.

Som med alle cyberangreb er det dog meget svært at finde en rygende pistol, og det er indtil videre heller ikke tilfældet med Petya.