Tölvan var mjög skrýtin

Ekki er hægt að segja til um hvað gerist á …
Ekki er hægt að segja til um hvað gerist á morgun þegar tugþúsundir tölva fara í gang. Ljósmynd/AFP

„Það kom eitt til­felli inn á borð til okk­ar eft­ir klukk­an fimm í dag, rétt eft­ir að ég fór af skrif­stof­unni. Það er ekki staðfest, en til­tek­inn starfsmaður fyr­ir­tæk­is hafði sam­band við okk­ur og sagði að tölv­an hans væri mjög skrýt­in. Hvað það þýðir vit­um við að sjálf­sögðu ekki,“ seg­ir Hrafn­kell V. Gísla­son, for­stjóri Póst- og fjar­skipta­stofn­un­ar, í sam­tali við mbl.is.

Hvort lýs­ing­ar starfs­manns­ins á hegðun tölv­unn­ar geti bent til þess að hún hafi orðið fyr­ir tölvu­árás þeirri sem nú fer eins og eld­ur í sinu um tölv­ur heims­ins, get­ur Hrafn­kell ekki sagt til um. „Það verður að hafa í huga að þó svo að þessi gagnagíslatöku­árás hafi þessa gríðarlegu út­breiðslu núna, sem eng­in for­dæmi eru um, þá erum við við búin að horfa á gagnagíslatök­ur í mörg miss­eri. Við höf­um fjallað um gagnagíslatök­ur áður. Þannig að þetta er ekki nýtt af nál­inni og af og frá búið. Þessi óværa er rétt að byrja, held ég,“ seg­ir Hrafn­kell.

Sinna ekki ein­stak­ling­um

Rétt er að benda á að Póst- og fjar­skipta­stofn­un sinn­ir ekki ein­stak­ling­um eða al­menn­um fyr­ir­tækj­um sem kunna að verða fyr­ir árás. Henn­ar hlut­verk er að afla upp­lýs­inga um hugs­an­leg­ar árás­ir til að geta áttað sig á stöðunni í þjóðfé­lag­inu. En hvað á fólk að gera telji það sig hafa orðið fyr­ir árás? „Við bein­um fólki til þjón­ustuaðila. Þeir kunna til verka við að hreinsa vírusa, hlaða niður af­rit­um og fleira. Við tök­um ekki að okk­ur að aðstoða nema um fjar­skipta­fyr­ir­tæki sé að ræða eða þjóðhags­lega mik­il­væga innviði.“

Hrafn­kell seg­ir sér­staka ástæðu til að hafa all­an var­ann á á morg­un. „Það er al­veg ljóst að þá fara í gang tug­ir þúsunda tölva sem hafa ekki verið í gangi um helg­ina. Við vit­um í raun ekk­ert hvað ger­ist. En það er al­veg víst að þess­ar tölv­ur eru marg­ar hverj­ar í alþjóðleg­um sam­skipt­um.“

Það sem aðgrein­ir þenn­an vírus frá öðrum, að sögn Hrafn­kels, er það að hann dreif­ir sér með öðrum hætti en áður hef­ur þekkst. „Hann dreif­ir sér bæði með því að þú færð tölvu­póst sem þú smell­ir á, þá ger­ist eitt­hvað og tölv­an sýk­ist, en svo dreif­ir hann sér líka með þess­ari tækni­legu leið. Hann not­ar SMB, sem er ákveðinn sam­skipta­máti á milli tölva. Þar er ákveðinn veik­leiki sem hef­ur verið notaður og vírus­inn, eða orm­ur­inn, dreif­ir sér þá sjálf­krafa á milli tölva. Það veld­ur þess­ari ofboðslegu dreif­ingu.“ 

Leiðbein­ing­ar frá Póst- og fjar­skipta­stofn­un

Stofn­un­in hef­ur nú upp­fært upp­lýs­ing­ar á heimasíðu sinni þar sem út­skýrt er nán­ar hvað vírus­inn ger­ir, til hvaða fyr­ir­byggj­andi aðgerða sé rétt að grípa og hvað eigi að ger­ast ef vart verði sýk­ing­ar:

Hvað er að ger­ast?

Tölv­ur eru sýkt­ar með óværu sem dul­rit­ar gögn­in í tölv­unni og kem­ur þannig í veg fyr­ir að not­and­inn kom­ist í gögn sín. Hætt er við að aðrar nettengd­ar tölv­ur og gögn á nettengd­um staðarnet­um verði einnig dul­rituð.

Óvær­an nýt­ir sér þekkt­an veik­leika í Windows-stýri­kerf­inu, MS17-010, sem búið er að gefa út ör­ygg­is­leiðrétt­ingu á. Sam­kvæmt upp­lýs­ing­um frá Microsoft eru það ein­göngu tölv­ur með eldra stýri­kerfi en Windows 10 sem eru í hættu fyr­ir þess­ari árás. Netör­ygg­is­sveit­in CERT-ÍS mæl­ir engu að síður með því að upp­færa reglu­lega öll Windows-stýri­kerfi, þar með talið Windows 10.

Staðan hér á landi

Eng­ar staðfest­ar til­kynn­ing­ar hafa enn borist um að tölv­ur hér­lend­is hafi orðið fyr­ir þess­ari árás. Þó hafa komið fram vís­bend­ing­ar um sýk­ing­ar hér hjá er­lend­um upp­lýs­inga­veit­um, sjá t.d. htt­ps://​​​in­tel.malwaretech.com/​​​bot­net/​​​wcrypt.

Fyr­ir­byggj­andi aðgerðir:

  • Áður en tölvu­póst­ur eða vef­ur er ræst­ur er mik­il­vægt að at­huga hvort nýj­ustu ör­ygg­is­upp­færsl­ur á stýri­kerfi og varn­ar­búnaði, s.s. víru­svörn­um, hafi verið sett­ar inn. Sjá leiðbein­ing­ar um hvernig skal upp­færa Windows-stýri­kerfi.
  • Ekki smella á viðhengi eða hlekki sem þú færð óum­beðið, burt­séð frá því hvort þú treyst­ir send­and­an­um eða ekki. 
  • Mjög mik­il­vægt er að taka af­rit af gögn­um strax, ef þau eru ekki til. Af­rit­in skal geyma þannig að þau séu var­in og ekki tengd við tölv­ur eða net.
  • Þar sem marg­ar tölv­ur sam­nýta net, t.d. hjá fyr­ir­tækj­um og stofn­un­um, þarf að gera sér­stak­ar ráðstaf­an­ir til að koma í veg fyr­ir að vírus­inn dreifi sér. Þá þarf kerf­is­stjóri að loka á svo kölluð SMBv1-sam­skipti, a.m.k. frá IP-töl­um fyr­ir utan eigið net. Sjá nán­ar á vefsíðu Microsoft.

Ef sýk­ing finnst

Ef tölva reyn­ist sýkt skal taka hana úr sam­bandi við netið strax, bæði net­snúru og þráðlaust net. Ann­ars er hætt við að hún sýki aðrar tölv­ur.

Snúa sér til kerf­is­stjóra, þjón­ustuaðila eða ör­ygg­is­ráðgjafa til að fá aðstoð.

Hreinsa vél­ina al­veg og hlaða niður af­rit­um ef þau eru til.

Al­mennt er ekki mælt með að lausn­ar­gjald sé greitt nema ef kannað hef­ur verið til fulls hvort óbæt­an­leg gögn séu ann­ars óend­urkræf. Ef talið er rétt að greiða lausn­ar­gjaldið er mælt með að gera slíkt í sam­ráði við þjón­ustuaðila eða ör­ygg­is­ráðgjafa.

Frek­ari upp­lýs­ing­ar um gagna­töku­vírusa er að finna á www.NoMor­eR­an­som.org

Mjög mik­il­vægt að til­kynna at­vik

Til þess að fá mynd af því hve árás­in er víðtæk hér­lend­is ósk­ar Netör­ygg­is­sveit­in CERT-ÍS eft­ir því að fá til sín til­kynn­ing­ar um all­ar sýk­ing­ar sem vart verður við. Vin­sam­lega sendið til­kynn­ing­ar á net­fangið cert@cert.is eða í fax­núm­er 510-1509.

Í til­kynn­ing­unni komi fram hver varð fyr­ir árás, hvaða stýri­kerfi er um að ræða, hvernig af­leiðing­arn­ar lýsa sér í stuttu máli og nafn, sími og tölvu­póst­ur tengiliðar.

mbl.is
Fleira áhugavert

Innlent »

Fleira áhugavert