Gå til hovedinnhold

Spørsmål og svar knyttet til skadevaren "emotet"

Nedenfor finner du ofte stilte spørsmål og svar fra Norsk helsenett knyttet til "emotet" som vi la ut driftsmelding om den 27.08.20.

Jeg har åpnet det aktuelle dokumentet i OpenOffice/Libre Office/. Er jeg infisert?
Nei. Dokumentet benytter en VBA-makro som må kjøres for at man blir infisert, og denne typen makroer lar seg kun kjøre i programmer fra MS Office-pakken (word, excel eller powerpoint).

Jeg har åpnet det aktuelle dokumentet/vedlegget i et program i MS Office-pakken, men jeg har ikke gitt det godkjenning til å gjøre endringer på min datamaskin, er jeg infisert?
Nei. Dokumentet benytter en VBA-makro som må kjøres for at man blir infisert, og hvis makroen ikke kjøres blir viruset heller ikke installert. Dersom man tillater kjøring av makro (trykker på aktiver innhold / enable content og godtar advarselen), så vil denne kjøres automatisk og installere viruset.

E-postene ser ut til å etterligne en kjent avsender/kollega, betyr det at avsenderen er infisert? Bør jeg advare min kollega/bekjente om at de har virus?
Nei, selv om at viruset etterlikner en tilsynelatende kjent avsender, betyr det ikke at vedkommende er infisert. Dersom man ser nærmere på avsenders adresse, vil man se at det ikke er din kollega/bekjente som har sendt e-posten.

Det første viruset gjør når det infiserer en PC er å hente ut adresselisten. Det får dermed tak i mange e-postadresser som det videre etterligner.

Hvilke enheter kan bli infisert? Jeg har åpnet vedlegget på min mobiltelefon, er jeg infisert?
VBA-makro kan kun kjøres i Windows.
Mobiltelefoner: Nei disse har ikke anledning til å kjøre VBA-kode.
Printere og scannere: Ja, dersom enheten kjører Windows.
Bankterminaler: Ja, dersom enheten kjører Windows.
Terminalserver: Ja, dersom enheten kjører Windows.

Vi har hatt en eller flere infiserte enheter. Hva anbefaler NHN at IT-teknikere gjør med de infiserte enhetene?
NHN anbefaler at alle infiserte datamaskiner blir resatt/formatert.
Dersom skadevaren har fått gå over flere dager, er det tryggeste å resette alle datamaskinene på nettverket og sette dem opp på nytt igjen.

For å være på den sikre siden anbefaler vi ikke at det kun gjøres virus scan og fjerning av skadevaren, da det kan være spor igjen av skadevaren på datamaskinen.

Dersom skadevaren får jobbe ubemerket i lengre tid, hva er de verst tenkelige konsekvensene?
Dersom skadevaren ikke blir oppdaget, vil viruset spre seg til alle enhetene den når. Deretter vil viruset hente ut så mye informasjon fra hver enhet det kan. Etter å ha samlet all informasjonen vil angriperne låse alle infiserte enheter og kryptere alt innholdet slik at man ikke kan få tak i det igjen.

I det verst tenkelige scenario kan angriperne publisere pasientinformasjon som de har samlet opp, dersom de ikke får betaling.

Hvilke forebyggende tiltak anbefaler NHN at vi gjør for å unngå at vi havner i en sårbar situasjon fremover i tid?
Se våre anbefalte sikkerhetstiltak.
Av disse anbefaler vi spesielt blokkering av makroer fra internett, oppdatert antivirus på alle maskiner og applikasjonshvitelisting.

Hvilke tiltak har NHN iverksatt for å begrense skadeomfanget, slik at helsesektoren skal få situasjonen under kontroll?
Det jobbes med å blokkere samtlige makroer fra alle e-poster sendt gjennom NHN sin mailserver.


Er det flere bekreftede tilfeller av infiserte enheter i skrivende stund?
Det er for tiden flere virksomheter som er eller har vært infisert. Som man kan se i media er det flere som for tiden er truffet av dette viruset: https://www.nrk.no/innlandet/10.000-kommuneansatte-rammet-av-dataangrep-1.15143964

Hvor lang tid tar det fra jeg er infisert til jeg blir kontaktet av NHN? Ser dere om jeg blir infisert?
HelseCERT har kontinuerlig overvåking av alle linjer levert av NHN, og andre aktører i helsesektoren med sensor fra HelseCERT. Nye infeksjoner varsles fortløpende etterhvert som de blir oppdaget.

Om man bruker en annen løsning, men går via NHNs proxy for internett vil vi også kunne se infisert trafikk og varsle. Har man linje utenom dette vil vi ikke være i stand til å oppdage potensielle infeksjoner.


Hvor stammer dette viruset fra, hvem er bak?
Denne infeksjonen er gjort av en skadevare kjent som emotet. Det er ikke kjent hvem som står bak emotet, NHNs fokus er på å begrense omfanget og varsle berørte.