Vid det här laget vet vi att Wannacry är en mask som krypterar filer på användares datorer och kräver en lösensumma för att låsa upp dem, alltså ett så kallat ransomware. Men hur fungerar det?
Att Wannacry är en mask innebär att det är kod som sprider sig själv (programmet det finns i) vidare från en dator till en annan. En mask behöver inte innehålla skadlig kod utöver den för att sprida sig själv vidare. Faktum är att bara själva spridandet kan orsaka skada och leda till kostnader, även om koden till en mask inte gör något mer.
Men maskar innehåller också även ytterligare skadlig kod, i fallet Wannacry för att kryptera filer på datorer som infekteras.
Läs också: Wannacry – det här behöver du veta om den massiva ransomware-attacken
Ibland görs skillnad på virus och maskar när skadlig kod klassificeras. Men man kan med gott samvete säga att en mask är en sorts virus.
Wannacry utnyttjar ett säkerhetshål i ett protokoll som heter Server Message Block (SMB). Det används i Windows för att dela filer (volymer, mappar och enskilda filer), skrivare och serieportar i nätverk. Via SMB gör servrar de här resurserna tillgängliga för anslutna klientdatorer. Kommunikationen via SMB sker mellan servrar och klientdatorer. Informationen som genereras vid kommunikation via SMB kan användas för att felsöka problem med resursdelning.
Säkerhetshålet finns i version 1.0 av SMB. Det är en riktigt gammal version, med tanke på att version 2.0 lanserades redan 2006, tillsammans med Windows Vista. Den senaste versionen av SMB är 3.1.1, som lanserades tillsammans med Windows 10 och Windows Server 2016.
I Microsofts beskrivning av sårbarheten nämns fem specifika säkerhetshål. De har att göra med hur en server hanterar vissa typer av SMB-förfrågningar från en klientdator. En inkräktare kan utnyttja de här sårbarheterna för att köra kod på en server, till exempel för att kryptera filer. Själva intrånget görs vanligtvis genom att en inkräktare skickar ett speciellt utformat SMB-meddelande till servern.
Läs också: Microsoft riktar skarp kritik mot NSA efter Wannacry-attacken
Av numreringen av de fem säkerhetshålen att döma bör det ha funnits ett sjätte, eftersom det finns ett hål i nummerserien. Att det är så kan naturligtvis bero på att ett potentiellt säkerhetshål visade sig inte vara ett sådant vid en närmare granskning.
Att sårbarheten finns i version 1.0 av SMB som lanserades innan Windows Vista betyder inte att det bara är datorer med Windows XP och äldre versioner som är i farozonen. Så länge en dator kan skicka ett SMB-meddelande enligt version 1.0 så finns risken att sårbarheten utnyttjas. Och därför har Microsoft släppt patchar för samtliga nu aktiva versioner av Windows.
Det finns alltså patchar från Microsoft för den sårbarhet som ligger till grund för Wannacry, som släpptes redan 14 mars. Att så många drabbas nu beror helt enkelt på att många datorer är opatchade, samt att många fortfarande kör Windows XP. I fredags släppte Microsoft även en patch för Windows XP, trots att man egentligen inte supportar den versionen av Windows längre.
Ytterligare en aspekt som motverkar spridning av Wannacry och liknande skadlig kod är att ett nätverk är byggt i zoner.
