Dankzij een medewerker van Malware Tech (in sommige bronnen student genoemd) werd verdere infectie afgeblokt. Hij vond in de code een verwijzing naar een ongeregistreerd domein, kocht prompt dit domein op voor tien dollar en creëerde zo een vuilnisbak (sinkhole) waar de ransomware doodliep. De jongeman had op dat moment echter geen idee dat hij de killswitch had gevonden.
Ondertussen waren echter al duizenden, meestal publieke netwerken besmet. En nu er een killswitch werd ingesteld op basis van de code, is het wel te verwachten dat de ransomware zal aangepast worden om verder de aanval in te zetten.
Bij de slachtoffers telt nu het afwachten op een decryptietool of, als ze geluk hebben, het terugzetten van een back-up. Er wordt vooral aangeraden om GEEN losgeld te betalen.
Voor één keer zal Microsoft ook een beveiligings update uitbrengen voor oudere Windows:
XP, XP Embedded, Windows Server 2003 en 2008. Het gaat hier om update MS17-010, hier te vinden.
Windows 10 valt tot nog toe buiten schot. Windows 7 gebruikers, die alle updates hebben binnengehaald, zouden ook veilig zitten. Vooral de update van maart moet hierin belangrijk zijn geweest en wel MS 4012212 .
Om zeker te zijn dat het lek gedicht wordt, kan je deze kritieke beveiligingsupdate ophalen op dit adres.
WanaDecryptor
De ransomware waar het om gaat, werd door NSA gebruikt om binnen te dringen in computers, hierbij gebruik makend van een lek in Windows. Het wordt kortweg WannaCry genoemd (je zou wel willen huilen als je slachtoffer bent), maar voluit heet het Wana Decrypt0r 2.0.
Meldingen kwamen massaal uit Engeland, Spanje, Nederland, België (heel weinig totnogtoe), maar vooral Rusland werd erg getroffen, maar zowat overal ter wereld vallen er nog steeds slachtoffers. Men verwacht een nieuwe golf van meldingen na het weekend, als netwerkcomputers terug worden ingeschakeld na het vrije weekend.
Een kaart van Malware Tech laat zien hoe de ransomware zich verspreidt.
WannaCry, wat is het?
Eerder dit jaar, in februari, werden de eerste meldingen gemaakt. Ook in maart doken er nieuwe besmettingen op.
Het programma is gescheven in C++ en de code staat er vrij duidelijk te lezen. Bij een infectie verandert het de extenties van bestanden naar .WNCRY. Je krijgt een pop-up te zien dat je voor $300 je bestanden terug kan kopen, maar of dat daadwerkelijk zal gebeuren, valt nog af te wachten. De pop-up is in zowat 20 talen, waaronder ook Nederlands. Het is dus niet zo dat een bepaald land wordt geviseerd, wat men aanvankelijk veronderstelde omdat vooral Britse gezondheidsdiensten getroffen werden.
Hoe raak je besmet?
De exploit die the Shadow Brokers recent publiceerden en die uitbundig werd gebruikt door NSA werd verspreid langs de Eternalblue exploit. Deze maakt gebruik van een zwakheid in het MS SMBv1 protocol, waardoor een aanvaller de controle van het systeem kan overnemen. Het gaat vooral om systemen die de SMBv1 protocol hebben ingeschakeld en dus bereikbaar zijn voor internet, bovenop hebben ze de patch van maart dit jaar niet geïnstalleerd. Maar zelfs als je de patch hebt geïnstalleerd, zal de besmetting resideren als er al een bezoekje is geweest van Eternalblue.
Het uitvoerbestand zit in een met wachtwoord beschermd zip-bestand, dat zichzelf begint uit te pakken. Het creëert nieuwe bestanden die als een worm door je systeem kruipen en alle bestanden hernoemt. Zelfs in het register worden sleutels aangepast of toegevoegd.
Het hele systeem inclusief alle aangesloten apparaten binnen het netwerk, worden afgezocht. Een lijstje van extenties die door de malware wordt aangetast en ontoegankelijk gemaakt door de encryptie:
.der, .pfx, .key, .crt, .csr, .p12, .pem, .odt, .ott, .sxw, .stw, .uot, .3ds, .max, .3dm, .ods, .ots, .sxc, .stc, .dif, .slk, .wb2, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .db, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cs, .cpp, .pas, .asm, .js, .cmd, .bat, .ps1, .vbs, .vb, .pl, .dip, .dch, .sch, .brd, .jsp, .php, .asp, .rb, .java, .jar, .class, .sh, .mp3, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mp4, .3gp, .mkv, .3g2, .flv, .wma, .mid, .m3u, .m4u, .djvu, .svg, .ai, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .7z, .gz, .tgz, .tar, .bak, .tbk, .bz2, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .602, .hwp, .snt, .onetoc2, .dwg, .pdf, .wk1, .wks, .123, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx, .doc, .c, .h
Zonder het juiste wachtwoord zal de gebruiker geen schijn van kans maken om zijn bestanden terug te krijgen.
Emsisoft publiceerde een lijst van aanpassingen die WanaCry maakt
In het register:
• HKLM\SOFTWARE\WanaCrypt0r
• HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \
• HKLM\SOFTWARE\WanaCrypt0r\wd: “
• HKU\S-1-5-21-677641349-3533616285-3951951702-1000\Control Panel\Desktop\Wallpaper: “%APPDATA%\Microsoft\Windows\Themes\TranscodedWa llpaper.jpg”
• HKU\S-1-5-21-677641349-3533616285-3951951702-1000\Control Panel\Desktop\Wallpaper: “
Systeembestanden
• @Please_Read_Me@.txt – Placed inside every folder that contains encrypted files
• @WanaDecryptor@.exe.lnk – Placed inside every folder that contains encrypted files
• %DESKTOP%\@WanaDecryptor@.bmp
• %DESKTOP%\@WanaDecryptor@.exe
• %APPDATA%\tor\cached-certs
• %APPDATA%\tor\cached-microdesc-consensus
• %APPDATA%\tor\cached-microdescs.new
• %APPDATA%\tor\lock
• %APPDATA%\tor\state
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
• C:\@WanaDecryptor@.exe
Weeral is het duidelijk dat de maandelijkse update-rondes niet altijd zomaar voor de grap gebeuren. Vooral de kritieke patches zijn noodzakelijk.
De meeste getroffen computersystemen en netwerken hebben één ding gemeen: het updaten was vooral een klus om uit te stellen en bleven uitgesteld. Met de gevolgen vandien.
Wie zijn scherm gevuld ziet met de ransommelding, kan dit melden aan het Federal Cyber Emergency Team
.
Meer info over beveiliging tegen ransomware kan je hier vinden.
Bronnen vermeld in artikel
Systeembericht