Informasjon om skadevaren og hvordan du kan beskytte deg
Viktig informasjon til våre kunder angående Ransomware bølgen - Wannacry.
En bølge med Ransomware sprer seg som ild i tørt gress over Internett. Her kommer anbefalinger for å beskytte seg. Det anbefales å se på disse anbefalingene så fort som mulig!

Infeksjonsvektor ser ut til å være primær spredning på åpen port 445 til Internett, og videre spredning lokalt på nettverket gjennom samme portene (SMB exploit, også kalt Eternal Blue). SMB Exploiten utnytter sårbarheten som ble patchet av MS17-010. Infeksjonsvektor antas å endre seg til å bruke phishing meget snart, hvor videre spredning på intern nettverket skjer via exploit.

Det vi har sett av denne "utpressingskampanjen" så langt skiller den fra mange andre kampanjer ved at den spres som en orm og at det benyttes faste bitcoin kontoer. Skadevaren spres ikke via epost eller linker, men utnytter en Microsoft sårbarhet og sannsynligheten for at offeret får tilbake sine filer etter å ha betalt utpresserne er liten da de ikke kan vite hvem som har foretatt en "innbetaling". Du kan følge innbetalinger i denne saken her: https://twitter.com/actual_ransom Dette innebærer at rådet om ikke å betale utpresserne er særlig riktig for denne kampanjen.

Her følger noen tips for å håndtere situasjonen:

Preparation / Forberedelser

• Patch MS17-010
• Disable SMBv1
• Disable kjøring av Word macroer fra Internett / evt. fjern mulighet å kjøre Word macroer som ikke er signert.
• Disable eksekvering av .JS og .HTA filer
• Segmenter vekk SMB fra risikofylte klienter.
• Klienter som mangler patch MS17-010 må IKKE få lov å kommunisere inn mot nettvekret.
• Sinkhole: hxxp://www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com . Dersom denne er ONLINE så vil ikke ransomware kjøre (kill switch)
• Blokker TOR nettverket

Identification / Identifisering av hendelser

• Filer blir kryptert
• Filer har fått ny extnesion .wncry
• Bakgrunnsbilde er endret til et bilde som ber om penger for å få tilbake filer.
• Volume Shadow Copies er disablet

Hvilke andre maskiner kan den initielle maskinen nå som er potensiet sårbar for MS17-010? Disse er i stor risiko for også å bli kompromittert og da begynne å kryptere filer.

Dersom man ser at filer blir kryptert, men man ikke finner ut hvem som står for dette, så anbefales følgende tiltak:

• Se på eieren av filene. Avslører disse brukernavnet til den som står for krypteringen?
• Om du kan aktivere et søk på hjemmemappene til brukerne så let etter krypterte filer av typen .wncry eller filer som har høy entropi, noe som tyder på krypterte filer.
• Hvem har Volume Shadow Copies deaktivert?
• På filserver, hvem har filer åpne? Bruk kommandonen «net file».
• Bruk IOC’s (Indicators of Compromise) listen lenger nede i dokumentet for å søke etter innbrudd.

Containment / Begrensening av skade / Stopp blødningen

Det er viktig å bli kvitt den som står for krypteringen, patient zero, så fort det lar seg gjøre, og også tilhørende infiserte maskiner. Disse kan isoleres f.eks. gjennom brannmur, VLAN eller rett og slett ved å trekke ut nettverkskabel på dem. Naturligvis mange andre måter å gjøre dette, men poenget er å fjerne klientene som står for infisering fra nettverket, slik at vi på den måten kan få hodet over vannet.

Filene som er kryptert må du ikke forvente å få tilbake uten å hente tilbake filer fra backup. Krypteringen ser ut til å være av det sterke kalibler, noe som ikke er enkelt å bryte for å få tilbake filer.

Indicators of Compromise (Ting å følge med på)

OTX (Open Threat Exchange) indikatorer: https://otx.alienvault.com/pulse/5915db384da2585b4feaf2f6/

NSOC følger med på mange av disse indikatorene for våre kunder, og sikrer varsling og respons.

Under følger en liste over potensielle indikatorer: 

• Registry:
  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\<random string> = “<malware working directory>\tasksche.exe”
  HKLM\SOFTWARE\WanaCrypt0r\\wd = “<malware working directory>”
  HKCU\Control Panel\Desktop\Wallpaper: “<malware working directory>\@WanaDecryptor@.bmp”
• Domains
  hxxp://www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com
  57g7spgrzlojinas[.]onion
  76jdd2ir2embyv47[.]onion
  cwwnhwhlz52maqm7[.]onion
  gx7ekbenv2riucmf[.]onion
  lvbrloxvriy2c5[.]onion
  r2embyv47[.]onion
  rzlojinas[.]onion
  xxlvbrloxvriy2c5[.]onion
  sqjolphimrr7jqw6[.]onion
• IP:
  128.31.0[.]39
  144.217.74[.]156
  146.0.32[.]144
  188.138.33[.]220
  188.166.23[.]127
  193.23.244[.]244
  2.3.69[.]209
  212.47.232[.]237
  213.61.66[.]116
  217.182.172[.]139
  217.79.179[.]77
  38.229.72[.]16
  50.7.161[.]218
  79.172.193[.]32
  81.30.158[.]223
  89.45.235[.]21
• Mutex:
  WNcry@2ol7
  Windows service:
  mssecsvc2.0
  Service Name: mssecsvc2.0
  Service Description: (Microsoft Security Center (2.0) Service)
  Service Parameters: “-m security”
• Files:
  mssecsvc.exe
  mssecsvc.exe.bin
  taskdl.exe
  Taskse.exe
  Tasksche.txt
  Diskpart.exe
  00000000.eky
  00000000.pky
  00000000.res
  274901494632976.bat
  @Please_Read_Me@.txt
  @WanaDecryptor@.bmp
  @WanaDecryptor@.exe
  b.wnry
  c.wnry
  f.wnry
  m.vbs
  msg\m_bulgarian.wnry
  msg\m_chinese (simplified).wnry
  msg\m_chinese (traditional).wnry
  msg\m_croatian.wnry
  msg\m_czech.wnry
  msg\m_danish.wnry
  msg\m_dutch.wnry
  msg\m_english.wnry
  msg\m_filipino.wnry
  msg\m_finnish.wnry
  msg\m_french.wnry
  msg\m_german.wnry
  msg\m_greek.wnry
  msg\m_indonesian.wnry
  msg\m_italian.wnry
  msg\m_japanese.wnry
  msg\m_korean.wnry
  msg\m_latvian.wnry
  msg\m_norwegian.wnry
  msg\m_polish.wnry
  msg\m_portuguese.wnry
  msg\m_romanian.wnry
  msg\m_russian.wnry
  msg\m_slovak.wnry
  msg\m_spanish.wnry
  msg\m_swedish.wnry
  msg\m_turkish.wnry
  msg\m_vietnamese.wnry
  r.wnry
  s.wnry
  t.wnry
  TaskData\Tor\libeay32.dll
  TaskData\Tor\libevent-2-0-5.dll
  TaskData\Tor\libevent_core-2-0-5.dll
  TaskData\Tor\libevent_extra-2-0-5.dll
  TaskData\Tor\libgcc_s_sjlj-1.dll
  TaskData\Tor\libssp-0.dll
  TaskData\Tor\ssleay32.dll
  TaskData\Tor\taskhsvc.exe
  TaskData\Tor\tor.exe
  TaskData\Tor\zlib1.dll
  taskdl.exe
  taskse.exe
  u.wnry
  %SystemRoot%\tasksche.exe
  %SystemDrive%\intel\<random directory name>\tasksche.exe
  %ProgramData%\<random directory name>\tasksche.exe
• Other:
  Volume Shadow Copies disabled
• Virus Total:
  https://www.virustotal.com/en/file/24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea04703480b1022c/analysis/
  https://www.virustotal.com/en/file/09a46b3e1be080745a6d8d88d6b5bd351b1c7586ae0dc94d0c238ee36421cafa/analysis/
  https://virustotal.com/en/file/90e80d2d34afe6887b15147ee7a2b4b68cd804b491f7af096563dfc6ab4a4eb8/analysis/
• Informasjon fra partnere:
  PaloAlto: http://researchcenter.paloaltonetworks.com/2017/05/palo-alto-networks-protections-wanacrypt0r-attacks/
  NSM: https://nsm.stat.no/aktuelt/beskyttelse-mot-ransomware/
  Microsoft: https://blogs.technet.microsoft.com/mmpc/2017/05/12/wannacrypt-ransomware-worm-targets-out-of-date-systems/?platform=hootsuite
  Alienvault: https://www.alienvault.com/blogs/labs-research/ongoing-wannacry-ransomware-spreading-through-smb-vulnerability
  Cynet: https://www.cynet.com/blog-cynet-stops-wannacry-ransomware/