Tölvan var mjög skrýtin

Ekki er hægt að segja til um hvað gerist á …
Ekki er hægt að segja til um hvað gerist á morgun þegar tugþúsundir tölva fara í gang. Ljósmynd/AFP

„Það kom eitt tilfelli inn á borð til okkar eftir klukkan fimm í dag, rétt eftir að ég fór af skrifstofunni. Það er ekki staðfest, en tiltekinn starfsmaður fyrirtækis hafði samband við okkur og sagði að tölvan hans væri mjög skrýtin. Hvað það þýðir vitum við að sjálfsögðu ekki,“ segir Hrafnkell V. Gíslason, forstjóri Póst- og fjarskiptastofnunar, í samtali við mbl.is.

Hvort lýsingar starfsmannsins á hegðun tölvunnar geti bent til þess að hún hafi orðið fyrir tölvuárás þeirri sem nú fer eins og eldur í sinu um tölvur heimsins, getur Hrafnkell ekki sagt til um. „Það verður að hafa í huga að þó svo að þessi gagnagíslatökuárás hafi þessa gríðarlegu útbreiðslu núna, sem engin fordæmi eru um, þá erum við við búin að horfa á gagnagíslatökur í mörg misseri. Við höfum fjallað um gagnagíslatökur áður. Þannig að þetta er ekki nýtt af nálinni og af og frá búið. Þessi óværa er rétt að byrja, held ég,“ segir Hrafnkell.

Sinna ekki einstaklingum

Rétt er að benda á að Póst- og fjarskiptastofnun sinnir ekki einstaklingum eða almennum fyrirtækjum sem kunna að verða fyrir árás. Hennar hlutverk er að afla upplýsinga um hugsanlegar árásir til að geta áttað sig á stöðunni í þjóðfélaginu. En hvað á fólk að gera telji það sig hafa orðið fyrir árás? „Við beinum fólki til þjónustuaðila. Þeir kunna til verka við að hreinsa vírusa, hlaða niður afritum og fleira. Við tökum ekki að okkur að aðstoða nema um fjarskiptafyrirtæki sé að ræða eða þjóðhagslega mikilvæga innviði.“

Hrafnkell segir sérstaka ástæðu til að hafa allan varann á á morgun. „Það er alveg ljóst að þá fara í gang tugir þúsunda tölva sem hafa ekki verið í gangi um helgina. Við vitum í raun ekkert hvað gerist. En það er alveg víst að þessar tölvur eru margar hverjar í alþjóðlegum samskiptum.“

Það sem aðgreinir þennan vírus frá öðrum, að sögn Hrafnkels, er það að hann dreifir sér með öðrum hætti en áður hefur þekkst. „Hann dreifir sér bæði með því að þú færð tölvupóst sem þú smellir á, þá gerist eitthvað og tölvan sýkist, en svo dreifir hann sér líka með þessari tæknilegu leið. Hann notar SMB, sem er ákveðinn samskiptamáti á milli tölva. Þar er ákveðinn veikleiki sem hefur verið notaður og vírusinn, eða ormurinn, dreifir sér þá sjálfkrafa á milli tölva. Það veldur þessari ofboðslegu dreifingu.“ 

Leiðbeiningar frá Póst- og fjar­skipta­stofn­un

Stofn­un­in hef­ur nú upp­fært upp­lýs­ing­ar á heimasíðu sinni þar sem út­skýrt er nán­ar hvað vírus­inn ger­ir, til hvaða fyr­ir­byggj­andi aðgerða sé rétt að grípa og hvað eigi að ger­ast ef vart verði sýk­ing­ar:

Hvað er að ger­ast?

Tölv­ur eru sýkt­ar með óværu sem dul­rit­ar gögn­in í tölv­unni og kem­ur þannig í veg fyr­ir að not­and­inn kom­ist í gögn sín. Hætt er við að aðrar nettengd­ar tölv­ur og gögn á nettengd­um staðarnet­um verði einnig dul­rituð.

Óvær­an nýt­ir sér þekkt­an veik­leika í Windows-stýri­kerf­inu, MS17-010, sem búið er að gefa út ör­ygg­is­leiðrétt­ingu á. Sam­kvæmt upp­lýs­ing­um frá Microsoft eru það ein­göngu tölv­ur með eldra stýri­kerfi en Windows 10 sem eru í hættu fyr­ir þess­ari árás. Netör­ygg­is­sveit­in CERT-ÍS mæl­ir engu að síður með því að upp­færa reglu­lega öll Windows-stýri­kerfi, þar með talið Windows 10.

Staðan hér á landi

Eng­ar staðfest­ar til­kynn­ing­ar hafa enn borist um að tölv­ur hér­lend­is hafi orðið fyr­ir þess­ari árás. Þó hafa komið fram vís­bend­ing­ar um sýk­ing­ar hér hjá er­lend­um upp­lýs­inga­veit­um, sjá t.d. htt­ps://​​in­tel.malwaretech.com/​​bot­net/​​wcrypt.

Fyr­ir­byggj­andi aðgerðir:

  • Áður en tölvu­póst­ur eða vef­ur er ræst­ur er mik­il­vægt að at­huga hvort nýj­ustu ör­ygg­is­upp­færsl­ur á stýri­kerfi og varn­ar­búnaði, s.s. víru­svörn­um, hafi verið sett­ar inn. Sjá leiðbein­ing­ar um hvernig skal upp­færa Windows-stýri­kerfi.
  • Ekki smella á viðhengi eða hlekki sem þú færð óum­beðið, burt­séð frá því hvort þú treyst­ir send­and­an­um eða ekki. 
  • Mjög mik­il­vægt er að taka af­rit af gögn­um strax, ef þau eru ekki til. Af­rit­in skal geyma þannig að þau séu var­in og ekki tengd við tölv­ur eða net.
  • Þar sem marg­ar tölv­ur sam­nýta net, t.d. hjá fyr­ir­tækj­um og stofn­un­um, þarf að gera sér­stak­ar ráðstaf­an­ir til að koma í veg fyr­ir að vírus­inn dreifi sér. Þá þarf kerf­is­stjóri að loka á svo kölluð SMBv1-sam­skipti, a.m.k. frá IP-töl­um fyr­ir utan eigið net. Sjá nán­ar á vefsíðu Microsoft.

Ef sýk­ing finnst

Ef tölva reyn­ist sýkt skal taka hana úr sam­bandi við netið strax, bæði net­snúru og þráðlaust net. Ann­ars er hætt við að hún sýki aðrar tölv­ur.

Snúa sér til kerf­is­stjóra, þjón­ustuaðila eða ör­ygg­is­ráðgjafa til að fá aðstoð.

Hreinsa vél­ina al­veg og hlaða niður af­rit­um ef þau eru til.

Al­mennt er ekki mælt með að lausn­ar­gjald sé greitt nema ef kannað hef­ur verið til fulls hvort óbæt­an­leg gögn séu ann­ars óend­urkræf. Ef talið er rétt að greiða lausn­ar­gjaldið er mælt með að gera slíkt í sam­ráði við þjón­ustuaðila eða ör­ygg­is­ráðgjafa.

Frek­ari upp­lýs­ing­ar um gagna­töku­vírusa er að finna á www.NoMor­eR­an­som.org

Mjög mik­il­vægt að til­kynna at­vik

Til þess að fá mynd af því hve árás­in er víðtæk hér­lend­is ósk­ar Netör­ygg­is­sveit­in CERT-ÍS eft­ir því að fá til sín til­kynn­ing­ar um all­ar sýk­ing­ar sem vart verður við. Vin­sam­lega sendið til­kynn­ing­ar á net­fangið cert@cert.is eða í fax­núm­er 510-1509.

Í til­kynn­ing­unni komi fram hver varð fyr­ir árás, hvaða stýri­kerfi er um að ræða, hvernig af­leiðing­arn­ar lýsa sér í stuttu máli og nafn, sími og tölvu­póst­ur tengiliðar.

mbl.is
Fleira áhugavert
Fleira áhugavert