VIRUSANGREP: Europol har registrert over 200 000 ofre i minst 150 land. Blant de mange ofrene er store selskaper, offentlige etater og konserner. Slik fungerer løsepengeviruset «Wannacry». Video: CNN Vis mer

Tror løsepengeviruset kan ha løpt løpsk: - Ikke sikkert at personene bak så for seg dette

NTNU-professor stusser over hvorfor de som står bak løsepengeviruset skal ha ønsket å infisere «hele» verden.

Hei, denne artikkelen er over ett år gammel og kan innholde utdatert informasjon

(Dagbladet): Det massive omfanget av det såkalte løsepengeviruset «Wannacry» kan ha vært utilsiktet. Det tror den norske IT-eksperten Kristian Gjøsteen, professor ved institutt for matematiske fag ved NTNU.

- Det er ikke sikkert at effekten og størrelsen på dette virusangrepet var tiltenkt. Det er ikke sikkert at personene bak så for seg dette. Det er en tabbe man kan gjøre, og som har skjedd tidligere, sier Gjøsteen til Dagbladet.

Det er spesielt to ting NTNU-professoren stusser over, og som får ham i det minste til å overveie om dataangrepets omfang var tilsiktet:

  • Den store oppmerksomheten angrepet har fått, er ikke i gjerningspersonenes interesse, ifølge Gjøsteen.
  • Virusets «stoppknapp». I koden til dataviruset var det en mulighet for å delvis stoppe dataangrepet ved hjelp av relativt enkle metoder. Mer om dette seinere.

200 000 ofre i 150 land

Han har fulgt med på det verdensomspennende dataangrepet siden det ble oppdaget fredag i forrige uke. Søndag hadde Europol registrert over 200 000 ofre i minst 150 land. Blant de mange ofrene er store selskaper, offentlige etater og konserner.

Også i Norge har løsepengeviruset «Wannacry» rammet flere virksomheter, deriblant hotellkjeden Choice.

Det viruset i praksis gjør er å ta filene på datamaskinen din som gissel og krever løsepenger av deg for å få dem tilbake. Blir en datamaskin infisert, krypterer viruset alle filene og sletter originalene. Det man betaler penger for er en nøkkel man bruker for å åpne - eller dekryptere - filene.

Såkalte løsepengevirus har blitt mer og mer vanlig de siste åra, men akkurat dette viruset skiller seg ut av flere grunner, forteller NTNU-professoren Gjøsteen.

Artikkelen fortsetter under annonsen

- Som andre løsepengevirus blir datamaskinene gjerne rammet hvis man åpner et infisert vedlegg i en e-post. Det som skiller dette viruset fra andre løsepengevirus, er at «Wannacry»-viruset kan smitte fra maskin til maskin, sier professoren.

Det kan skje gjennom delte nettverk som mange nordmenn har på sin arbeidsplass. På den måten har også viruset krevd flere ofre enn foregående løsepengevirus.

«Stoppknapp»

Den største årsaken til at NTNU-professor Gjøsteen mener at dataangrepet kan ha løpt utilsiktet løpsk, er på grunn av den innebygde «stoppknappen» til viruset. En 22 år gammel brite fant den såkalte «stoppknappen». Sammen med en amerikansk IT-ekspert i samme aldersgruppe klarte de to å begrense angrepet.

Viruset var nemlig programmert til å ta kontakt med et spesifikt domene - en nettadresse - som ikke var registrert. Så lenge domenet var uregistrert fortsatte angrepet. Det 22-åringen fra Storbritannia gjorde var ganske enkelt å registrere det aktuelle domenet.

- Da må man stille seg selv spørsmålet: Hvorfor la gjerningspersonene inn denne «stoppknappen»? Det kan jo tenkes at disse folka tenkte at det kunne bli skummelt, og hvis det gikk over alle støvelskaft så kunne de ta i bruk denne funksjonen, sier NTNU-professoren.

Eller så kan «stoppknappen» ha vært utilsiktet. Søndag ble det nemlig to oppdaget to ny nye varientar av viruset. Én av disse inneholdt ikke «stoppknappen», ifølge NRK. Om denne nye versjonen også ble utviklet av de samme personene som spredte den første utgaven, er heller ikke sikkert.

- Hver gang noen lager sånne virus, er det alltid noen som henger seg på, sier Gjøsteen.

Nasjonal sikkerhetsmyndighet (NSM) ønsker ikke å kommentere hvorvidt de tror skadeomfanget av viruset kan ha vært utilsiktet.

NSA-utviklet

Utviklerne av den første versjonen av «Wannacry»-viruset hadde et veldig godt utgangspunkt.

Svakheten i operativsystemet Windows til programvaregiganten Microsoft, ble nemlig oppdaget av den amerikanske signaletterretningsorganisasjonen NSA. De laget også angrepsprogramvare for å utnytte denne svakheten.

Så ble NSA-programvaren kompromittert, trolig gjennom et hackerangrep mot etterretningsorganisasjonen. Kodene NSA hadde skrevet ble deretter offentliggjort.

Microsoft hadde innen den tid lansert en oppdatering til operativsystemene sine som lukket dette sikkerhetshullet. De som har blitt rammet av viruset, har følgelig ikke oppdatert operativsystemet sitt.

OVERVÅKER ANGREPET: Norges nasjonale cybersenter - NorCERT sitt operasjonssenter i Oslo er den operative delen av Nasjonal sikkerhetsmyndighet (NSM). De håndterer alvorlige dataangrep mot samfunnskritisk infrastruktur og informasjon. Den siste tiden har de jobbet med dataangrepet «Wannacry». Foto: Heiko Junge / NTB scanpix
OVERVÅKER ANGREPET: Norges nasjonale cybersenter - NorCERT sitt operasjonssenter i Oslo er den operative delen av Nasjonal sikkerhetsmyndighet (NSM). De håndterer alvorlige dataangrep mot samfunnskritisk infrastruktur og informasjon. Den siste tiden har de jobbet med dataangrepet «Wannacry». Foto: Heiko Junge / NTB scanpix Vis mer

NSM tror de har kontroll

Informasjonssjef Trond Øvstedal i NSM sier til Dagbladet at de tror de nå har kontroll over angrepet.

- Vi må forholde oss til det vi vet, og det vi fryktet i helga har ikke inntruffet. Selv om viruset fortsatt sprer seg internasjonalt ser det ut som om vi har kontroll i Norge, sier han.

Øvstedal forteller at 250 000 brannmurer er gjennomgått i Norge, og at man blant disse bare har funnet to med det aktuelle Windows-systemet.

Årsaken til at Norge slipper billigere unna enn mange andre land, tror han skyldes at den «norske datahelsa» generelt er god.

- Primærgrunnen er at Norge er et velstående land, der de fleste har råd til moderne datamaskiner, der de har kjøpt programvare. Tilfanget av gratis oppdateringer er større her enn i mange andre land, sier han.

Han oppfordrer likevel alle som ikke har gjort det om å oppdatere operativsystemene sine, og følge med på råd fra myndighetene. NSM har blant annet lagt ut informasjon om viruset på sine nettsider.