En ny typ av gisslanprogram infekterar datorer på ett nytt sätt. Normalt körs gisslanprogrammet lokalt och krypterar filerna endast på den lokala datorn. NamPoHyu Virus eller MegaLocker Virus exekveras däremot på angriparens dator men krypterar filer på andra datorer med exponerade samba-servrar över smb-protokollet.

Allt tyder på att NamPoHyu Virus och MegaLocker Virus är samma program som bara bytt namn – de uppför sig på exakt samma sätt. Programmet söker av nätverket (kan även vara internet), bryter igenom svaga lösenord, krypterar filerna på de samba-volymer det får tillgång till och skapar en textfil med instruktioner om hur offret ska betala för att kunna dekryptera sina filer, rapporterar Bleeping Computer.

Gisslanprogrammet upptäcktes i mars i år. Det är än så länge inget it-säkerhetsföretag eller någon professionell säkerhetsforskare som står bakom upptäckten, utan frågor om gisslanprogrammet har dykt upp från drabbade användare på olika forum, användare vars nas-enheter fått filerna krypterade över internet. Enstaka rapporter handlar om att infektionen kan ha kommit via ftp, men eftersom de enheter som drabbats är nas-enheter pekar det mesta på smb, men bägge protokollen bör säkras.

De första rapporterna handlar om gisslanprogrammet MegaLocker vars krypterade filer ges filändelsen .crypted och instruktionsfilen heter !DECRYPT_INSTRUCTION.TXT. Angriparna kräver 250 dollar i bitcoin om offret är privatperson (och kräver bevis för det) eller 1000 dollar om offret är ett företag.

I början av april tycks gisslanprogrammet ha begåvats med ett nytt namn, NamPoHyu Virus, och de krypterade filerna får filändelsen .NamPoHyu. Intruktionsfilen är densamma sånär som på en länk till en betalsida via tor-nätverket. Även lösensummorna är desamma.

Den goda nyheten är att bägge varianterna troligen går att dekryptera. En sökning på ”megalocker decryptor” ger flera förslag. Den tråkiga nyheten är först och främst att MegaLocker och dess omdöpta variant nu alltså har kapacitet att infektera och kryptera över ett protokoll för fjärradministration – det höjer risken att drabbas avsevärt då det inte längre krävs att gisslanprogrammet körs lokalt på den drabbade datorn. Angriparna kan istället kryptera lagringsenheter över internet från sina kammare.

Den andra tråkiga nyheten är att internet vimlar av öppna smb-servrar. En snabb sökning med sökmotorn Shodan ger vid handen att bara i Sverige finns 8070 exponerade smb-servrar, och Shodan hittar 1442 exponerade smb-servrar med ”authentication: disabled” i sin så kallade service banner. Globalt hittar vi 475 598 smb-servrar med ”authentication: disabled” och totalt 1 753 643 exponerade smb-servrar.

Det är förvisso ingen vild gissning att lejonparten av dessa är hemma-nas:ar hos hemanvändare, men det ger en fingervisning om den potentiella skalan på framtida attacker. Det är heller ingen vild gissning att framtiden kommer att bära med sig samma typ av fjärrinfekterande gisslanprogram, men med nya eller andra varianter av kryperingskomponenten, som inte låter sig dekrypteras i första taget, och förstås stöd för andra protokoll än samba/smb.

Läs också:
Gisslanattackerna som slagit hårdast – här är de sex värsta
Xwo – nytt malware skannar internet före attack


TechWorld Summit 4 juni 2019, nätverka med 300 IT-proffs och få samtidigt en heltäckande överblick av den senaste tekniken.