• Petya ransomware valt wereldwijd aan

    28 June 2017 21:13 door
    Het Wannacry-syndroom is de wereld nog niet uit of een nieuwe variant ransomware houdt lelijk huis in grote bedrijven in alle werelddelen.


    Petya ging zwaar tekeer in Rusland, maar vooral in Oekraïne, waar de overheidsdiensten, de luchthaven, het metrostelsel en ook de energieleverancier werden geviseerd. Zelfs de centrale bank en het Tsjernobyl-complex moest eraan geloven.
    Maar ook Groot-Brittanië, Frankrijk, Denemarken, de Verenigde Staten, Mexico, Iran, Brazilië, Nederland en arm België staan op de hitlijst.


    Petya kon gebruikt worden dank zij de NSA exploits die eerder ook het Wannacry-virus zijn gang lieten gaan. Ondanks de dringende oproepen om computersystemen up-to-date te houden, lijken vele bedrijven hier toch laks te zijn gebleven.

    Wat is Petya?
    Het werd aanvakelijk verpreid einde maart vorig jaar. Het unieke eraan is dat het een eigen OS omvat dat opstart in plaats van Windows. Het hele systeem, met alle hebben en houden wordt gevangen in een encryptie bij het herstarten.
    Voor een fikse som in bitcoins belooft het geboefte je systeem weer vrij te geven. Als je onderstaand scherm te zien krijgt, is het dus te laat.


    Hoe gebeurt de infectie?
    Oorspronkelijk zijn er sporen te vinden bij een populair Oekraïnse software verkoper, MeDoc. De hackers konden daar de servers binnendringen en zo de klanten besmetten. Van dan af was het snel begonnen op zijn wereldreis.
    Het gat zit in het Microsoft SMBv1 protocol, dat dit jaar in maart werd gepatched met de MS17-010 fix.

    Petya eigent zich administratieve eigenschappen toe en kan zo hele netwerken besmetten, vooral dan de systemen die de bewuste patch niet in huis hebben gehaald.
    Daarna begint het in zijn eerste module 1MB aan bestanden te encrypteren, ze pikken vooral deze extenties eruit, wat eigenlijk zoveel betekent als 'alles'.
    .3ds .7z .accdb .ai .asp .aspx .avhd .back .bak .c .cfg .conf .cpp .cs .ctl .dbf .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .kdbx .mail .mdb .msg .nrg .ora .ost .ova .ovf .pdf .php .pmf .ppt .pptx .pst .pvi .py .pyc .rar .rtf .sln .sql .tar .vbox .vbs .vcb .vdi .vfd .vmc .vmdk .vmsd .vmx .vsdx .vsv .work .xls .xlsx .xvd .zip

    Het algoritme gebruikt een 128bit key dat op zich ook nog eens is verzegeld.

    De tweede module is het installeren van het mini-OS dat de Master Boot Record (MBR) gaat beheren. En dan kan je nergens meer aan je bestanden.

    Hoe kan je jezelf beschermen?
    Het blijft een herhaling, maar zorg er gewoon voor dat je systeem voorzien is van de laatste updates en patches, vergeet hier ook je beveiligingssoftware niet. Het is nog nooit gezien dat Microsoft zelfs medelijden kreeg met gebruikers van oudere Windows en hen voorzag van een patch.
    Tweede actie: zorg voor backups en doe dit regelmatig, bewaar ze dan ook buiten het actieve systeem.

    En ik val misschien ook wel in herhaling, maar met Emsisoft heb ik al jarenlang geen enkel probleem meer ondervonden.

    Bron: Emsisoft Internet Security
    Reacties 8 Reacties
    1. carfran's schermafbeelding
      carfran -
      Petya eigent zich administratieve eigenschappen toe en kan zo hele netwerken besmetten, vooral dan de systemen die de bewuste patch niet in huis hebben gehaald.
      Of je kan het anders citeren .
      Men gebruikt in Windows een administratorsaccount waarmee men aan een virus beheerdersrechten kan overdragen wat met een standaard gebruikers account in Windows niet kan . De zwakke schakel in Windows !
    1. vdhee's schermafbeelding
      vdhee -
      Neen.

      Petya tast de bootloader aan (via de MBR), ongeacht het gebruikte account: dat komt pas later.

      Voor meer info zie : https://blogs.technet.microsoft.com/...-capabilities/

      Hoe Microsoft hierop reageert : https://blogs.technet.microsoft.com/...omware-attack/

      Hier wordt het opnieuw duidelijk dat eea. niets te maken heeft met een admin. account, maar alles met de MBR : je start nu eenmaal een OS op, en geen account.

      Een bestaande oplossing - voor het geval je dit fenomeen zou voorhebben - is de volgende : vanaf wanneer je het bovenstaande MS-DOS (eigenlijk een gewijzigd ChkDsk) scherm ziet, sluit de PC/laptop onmiddellijk af. Al is het de stekker uittrekken - snelheid is hier van het grootste belang gezien Petya op de achtergrond bezig is je bestanden te versleutelen.

      Start opnieuw op via een boot-USB (Legacy of UEFI van toepassing op je systeem) in Safe Mode.
      Voer MBAM of dergelijke uit om Petya te verwijderen; naargelang je reactie-snelheid (lees : hoe vlug je je PC/laptop afgezet hebt) zal je de meeste data kunnen recupereren.

      En ik spreek - helaas - uit ervaring. Ong. 10% van mijn bestanden was versleuteld, maar gelukkig via een recente backup deze terug kunnen zetten.
    1. carfran's schermafbeelding
      carfran -
      @vdhee
      Je moet je eerste link eens goed lezen , maar dan ook alles lezen !!!
      https://blogs.technet.microsoft.com/...-capabilities/

      Hoe alles in zijn werk gegaan . De taak stond gepland om shutdown uit te voeren . Een standaard gebruiker met beperkte rechten die kan de taakplanner niet uitvoeren of de systeembeheerder moet hem hiervoor de nodige rechten geven , met de nadruk op systeembeheerder !

      En helemaal onderaan lees ik
      Only if the malware is running with highest privilege (i.e., with SeDebugPrivilege enabled), it tries to overwrite the MBR code.

      This ransomware attempts to encrypt all files with the following file name extensions in all folders in all fixed drives, except for C:\Windows:
    1. J.W.'s schermafbeelding
      J.W. -
      <<Petya ging vooral zwaar tekeer in Rusland, met name Oekraïne>>

      Ze zullen het graag horen, daar in Oekraïne
    1. berger's schermafbeelding
      berger -
      Het is maar mooi meegenomen reklame voor Emsisoft Internet Security.

      Wat mij verwondert is dat

      - de bron voor de malware is de NSA : dat is denk ik een spionagedienst in Het land van Trump
      - dat men firma's verwijt te laks te zijn is eigenlijk ongepast : firma's ontwikkelen specifieke toepassingen die werken onder bvb Windows 7 en telkens Microsoft een aanpassing doet van hun windows moeten de firma's maar volgen. Dat doen ze niet altijd en dan is het zogezegd hun schuld omdat ze de laatste update niet hebben binnen gehaald. Eigenlijk zou windows veel minder gaten moeten bevatten.
      - er moest een "fikse som" betaald worden, maar zo veel was dat toch ook niet. Ik hoop ten andere dat er niemand betaalt.
    1. vdhee's schermafbeelding
      vdhee -
      Wat mij betreft : geen verdere commentaar. Het zou ons te ver Off Topic leiden.
    1. compuchrisje's schermafbeelding
      compuchrisje -
      Het lijkt allemaal nogal goed afgelopen te zijn. Storm in een glas water.
      @JW: sorry, maar ik ben nogal traag in het volgen van politieke dingen. Toen ik nog aardrijkskunde kreeg was Oekraïne nog een deel van Rusland. Ik kan het ook niet helpen dat elke provincie denkt dat ze zelfstandig moeten zijn.
      @berger: inderdaad, maar het is niet zomaar als reclame bedoeld, ik stip het enkel aan omdat ik zelf ook ervaar wat Emsisoft betekent voor mijn systeem. NSA heeft de code van de malware op het internet losgelaten, iedereen met slechte bedoelingen kon er dus mee aan de gang gaan
      @carfran: ik denk dat vdhee gelijk heeft, bij het opstarten van de pc is nog geen gebruiker aangemeld, dus die MBR kan sowieso al worden overschreven nog voor je jezelf inlogt.
    1. J.W.'s schermafbeelding
      J.W. -
      Oekraïne heeft nooit een deel van Rusland geweest, was wel een deel van de voormalige USSR, samen met nog andere landen. Er is al jaren een "oorlog" bezig tussen Rusland en Oekraïne (bezetting door Rusland van het Krim-schiereiland, handelsembargo van de EU tegen Rusland).