• Weekendje ransomware

    14 May 2017 16:57 door
    Vrijdag werden in tientallen landen meldingen gemaakt van computers die gegijzeld werden. Bestanden werden met een 128bit-encryptie onbereikbaar gemaakt voor de gebruiker

    Dankzij een medewerker van Malware Tech (in sommige bronnen student genoemd) werd verdere infectie afgeblokt. Hij vond in de code een verwijzing naar een ongeregistreerd domein, kocht prompt dit domein op voor tien dollar en creëerde zo een vuilnisbak (sinkhole) waar de ransomware doodliep. De jongeman had op dat moment echter geen idee dat hij de killswitch had gevonden.

    Ondertussen waren echter al duizenden, meestal publieke netwerken besmet. En nu er een killswitch werd ingesteld op basis van de code, is het wel te verwachten dat de ransomware zal aangepast worden om verder de aanval in te zetten.

    Bij de slachtoffers telt nu het afwachten op een decryptietool of, als ze geluk hebben, het terugzetten van een back-up. Er wordt vooral aangeraden om GEEN losgeld te betalen.

    Voor één keer zal Microsoft ook een beveiligings update uitbrengen voor oudere Windows:
    XP, XP Embedded, Windows Server 2003 en 2008. Het gaat hier om update MS17-010, hier te vinden.
    Windows 10 valt tot nog toe buiten schot. Windows 7 gebruikers, die alle updates hebben binnengehaald, zouden ook veilig zitten. Vooral de update van maart moet hierin belangrijk zijn geweest en wel MS 4012212 .
    Om zeker te zijn dat het lek gedicht wordt, kan je deze kritieke beveiligingsupdate ophalen op dit adres.

    WanaDecryptor

    De ransomware waar het om gaat, werd door NSA gebruikt om binnen te dringen in computers, hierbij gebruik makend van een lek in Windows. Het wordt kortweg WannaCry genoemd (je zou wel willen huilen als je slachtoffer bent), maar voluit heet het Wana Decrypt0r 2.0.

    Meldingen kwamen massaal uit Engeland, Spanje, Nederland, België (heel weinig totnogtoe), maar vooral Rusland werd erg getroffen, maar zowat overal ter wereld vallen er nog steeds slachtoffers. Men verwacht een nieuwe golf van meldingen na het weekend, als netwerkcomputers terug worden ingeschakeld na het vrije weekend.

    Een kaart van Malware Tech laat zien hoe de ransomware zich verspreidt.

    WannaCry, wat is het?
    Eerder dit jaar, in februari, werden de eerste meldingen gemaakt. Ook in maart doken er nieuwe besmettingen op.
    Het programma is gescheven in C++ en de code staat er vrij duidelijk te lezen. Bij een infectie verandert het de extenties van bestanden naar .WNCRY. Je krijgt een pop-up te zien dat je voor $300 je bestanden terug kan kopen, maar of dat daadwerkelijk zal gebeuren, valt nog af te wachten. De pop-up is in zowat 20 talen, waaronder ook Nederlands. Het is dus niet zo dat een bepaald land wordt geviseerd, wat men aanvankelijk veronderstelde omdat vooral Britse gezondheidsdiensten getroffen werden.



    Hoe raak je besmet?
    De exploit die the Shadow Brokers recent publiceerden en die uitbundig werd gebruikt door NSA werd verspreid langs de Eternalblue exploit. Deze maakt gebruik van een zwakheid in het MS SMBv1 protocol, waardoor een aanvaller de controle van het systeem kan overnemen. Het gaat vooral om systemen die de SMBv1 protocol hebben ingeschakeld en dus bereikbaar zijn voor internet, bovenop hebben ze de patch van maart dit jaar niet geïnstalleerd. Maar zelfs als je de patch hebt geïnstalleerd, zal de besmetting resideren als er al een bezoekje is geweest van Eternalblue.

    Het uitvoerbestand zit in een met wachtwoord beschermd zip-bestand, dat zichzelf begint uit te pakken. Het creëert nieuwe bestanden die als een worm door je systeem kruipen en alle bestanden hernoemt. Zelfs in het register worden sleutels aangepast of toegevoegd.
    Het hele systeem inclusief alle aangesloten apparaten binnen het netwerk, worden afgezocht. Een lijstje van extenties die door de malware wordt aangetast en ontoegankelijk gemaakt door de encryptie:
    .der, .pfx, .key, .crt, .csr, .p12, .pem, .odt, .ott, .sxw, .stw, .uot, .3ds, .max, .3dm, .ods, .ots, .sxc, .stc, .dif, .slk, .wb2, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .db, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cs, .cpp, .pas, .asm, .js, .cmd, .bat, .ps1, .vbs, .vb, .pl, .dip, .dch, .sch, .brd, .jsp, .php, .asp, .rb, .java, .jar, .class, .sh, .mp3, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mp4, .3gp, .mkv, .3g2, .flv, .wma, .mid, .m3u, .m4u, .djvu, .svg, .ai, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .7z, .gz, .tgz, .tar, .bak, .tbk, .bz2, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .602, .hwp, .snt, .onetoc2, .dwg, .pdf, .wk1, .wks, .123, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx, .doc, .c, .h

    Zonder het juiste wachtwoord zal de gebruiker geen schijn van kans maken om zijn bestanden terug te krijgen.

    Emsisoft publiceerde een lijst van aanpassingen die WanaCry maakt

    In het register:
    • HKLM\SOFTWARE\WanaCrypt0r
    • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \: “”\tasksche.exe””
    • HKLM\SOFTWARE\WanaCrypt0r\wd: “
    • HKU\S-1-5-21-677641349-3533616285-3951951702-1000\Control Panel\Desktop\Wallpaper: “%APPDATA%\Microsoft\Windows\Themes\TranscodedWa llpaper.jpg”
    • HKU\S-1-5-21-677641349-3533616285-3951951702-1000\Control Panel\Desktop\Wallpaper: “\@WanaDecryptor@.bmp”

    Systeembestanden
    • @Please_Read_Me@.txt – Placed inside every folder that contains encrypted files
    • @WanaDecryptor@.exe.lnk – Placed inside every folder that contains encrypted files
    • %DESKTOP%\@WanaDecryptor@.bmp
    • %DESKTOP%\@WanaDecryptor@.exe
    • %APPDATA%\tor\cached-certs
    • %APPDATA%\tor\cached-microdesc-consensus
    • %APPDATA%\tor\cached-microdescs.new
    • %APPDATA%\tor\lock
    • %APPDATA%\tor\state
    \00000000.eky
    \00000000.pky
    \00000000.res
    \@WanaDecryptor@.bmp
    \@WanaDecryptor@.exe
    \b.wnry
    \c.wnry
    \f.wnry
    \msg\m_bulgarian.wnry
    \msg\m_chinese (simplified).wnry
    \msg\m_chinese (traditional).wnry
    \msg\m_croatian.wnry
    \msg\m_czech.wnry
    \msg\m_danish.wnry
    \msg\m_dutch.wnry
    \msg\m_english.wnry
    \msg\m_filipino.wnry
    \msg\m_finnish.wnry
    \msg\m_french.wnry
    \msg\m_german.wnry
    \msg\m_greek.wnry
    \msg\m_indonesian.wnry
    \msg\m_italian.wnry
    \msg\m_japanese.wnry
    \msg\m_korean.wnry
    \msg\m_latvian.wnry
    \msg\m_norwegian.wnry
    \msg\m_polish.wnry
    \msg\m_portuguese.wnry
    \msg\m_romanian.wnry
    \msg\m_russian.wnry
    \msg\m_slovak.wnry
    \msg\m_spanish.wnry
    \msg\m_swedish.wnry
    \msg\m_turkish.wnry
    \msg\m_vietnamese.wnry
    \r.wnry
    \s.wnry
    \t.wnry
    \TaskData\Tor\libeay32.dll
    \TaskData\Tor\libevent-2-0-5.dll
    \TaskData\Tor\libevent_core-2-0-5.dll
    \TaskData\Tor\libevent_extra-2-0-5.dll
    \TaskData\Tor\libgcc_s_sjlj-1.dll
    \TaskData\Tor\libssp-0.dll
    \TaskData\Tor\ssleay32.dll
    \TaskData\Tor\taskhsvc.exe
    \TaskData\Tor\tor.exe
    \TaskData\Tor\zlib1.dll
    \taskdl.exe
    \taskse.exe
    \u.wnry
    • C:\@WanaDecryptor@.exe

    Weeral is het duidelijk dat de maandelijkse update-rondes niet altijd zomaar voor de grap gebeuren. Vooral de kritieke patches zijn noodzakelijk.
    De meeste getroffen computersystemen en netwerken hebben één ding gemeen: het updaten was vooral een klus om uit te stellen en bleven uitgesteld. Met de gevolgen vandien.
    Wie zijn scherm gevuld ziet met de ransommelding, kan dit melden aan het Federal Cyber Emergency Team
    .
    Meer info over beveiliging tegen ransomware kan je hier vinden.

    Bronnen vermeld in artikel
    Reacties 2 Reacties
    1. berger's schermafbeelding
      berger -
      Ik vind dit toch maar een raar geval. Toch zeker als je weet dat
      - er een gaatje was in windows, gaatje gekend en gebruikt (misbruikt?) door de amerikaanse NSA voor informatieverzameling, zeg maar spionage
      - de rommel de wereld wordt ingestuurd door zogezegd een grote criminele organisatie die men natuurlijk niet kan lokaliseren. En toch vragen ze toch maar 300 euro aan meestal toch wel grote rijke organisaties verspreid een beetje in de hele wereld
      - de remedie toevallig kon ontdekt worden door één of twee jonge gasten
      - de amerikanen nogal vaak in de richting van de russen kijken bij zulke acties
      - en dat volgende week Trump de nato bezoekt waar hij overtuigd moet worden dat bestrijding van cybercriminaliteit meer geld moet krijgen.
    1. berger's schermafbeelding
      berger -
      En als ik dan zo pas op de VRT iemand hoor die zetelt in het Vlaams Parlement en die ook ondernemer is (dus toch wat verstand zou mogen hebben), gespecialiseerd in massacommunicatie, en die dan ook al eens gegijzeld geweest is omdat haar medewerker zo maar op een bijlage klikt van een mail van een onbekende afzender, dan val ik echt van verbazing van mijn stoel! Ze had haar medewerkers daarvoor niet genoeg gebrieft. En ze had dan nog betaald ook. Na consultatie van een expert!
      Hoe lang wordt dat nu al gezegd dat je zo maar niet op alles moet klikken wat je ziet. En dat je backups moet hebben en dat uw software up to date moet zijn.