Het Wannacry-syndroom is de wereld nog niet uit of een nieuwe variant ransomware houdt lelijk huis in grote bedrijven in alle werelddelen.
Petya ging zwaar tekeer in Rusland, maar vooral in Oekraïne, waar de overheidsdiensten, de luchthaven, het metrostelsel en ook de energieleverancier werden geviseerd. Zelfs de centrale bank en het Tsjernobyl-complex moest eraan geloven.
Maar ook Groot-Brittanië, Frankrijk, Denemarken, de Verenigde Staten, Mexico, Iran, Brazilië, Nederland en arm België staan op de hitlijst.
Petya kon gebruikt worden dank zij de NSA exploits die eerder ook het Wannacry-virus zijn gang lieten gaan. Ondanks de dringende oproepen om computersystemen up-to-date te houden, lijken vele bedrijven hier toch laks te zijn gebleven.
Wat is Petya?
Het werd aanvakelijk verpreid einde maart vorig jaar. Het unieke eraan is dat het een eigen OS omvat dat opstart in plaats van Windows. Het hele systeem, met alle hebben en houden wordt gevangen in een encryptie bij het herstarten.
Voor een fikse som in bitcoins belooft het geboefte je systeem weer vrij te geven. Als je onderstaand scherm te zien krijgt, is het dus te laat.
Hoe gebeurt de infectie?
Oorspronkelijk zijn er sporen te vinden bij een populair Oekraïnse software verkoper, MeDoc. De hackers konden daar de servers binnendringen en zo de klanten besmetten. Van dan af was het snel begonnen op zijn wereldreis.
Het gat zit in het Microsoft SMBv1 protocol, dat dit jaar in maart werd gepatched met de MS17-010 fix.
Petya eigent zich administratieve eigenschappen toe en kan zo hele netwerken besmetten, vooral dan de systemen die de bewuste patch niet in huis hebben gehaald.
Daarna begint het in zijn eerste module 1MB aan bestanden te encrypteren, ze pikken vooral deze extenties eruit, wat eigenlijk zoveel betekent als 'alles'.
.3ds .7z .accdb .ai .asp .aspx .avhd .back .bak .c .cfg .conf .cpp .cs .ctl .dbf .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .kdbx .mail .mdb .msg .nrg .ora .ost .ova .ovf .pdf .php .pmf .ppt .pptx .pst .pvi .py .pyc .rar .rtf .sln .sql .tar .vbox .vbs .vcb .vdi .vfd .vmc .vmdk .vmsd .vmx .vsdx .vsv .work .xls .xlsx .xvd .zip
Het algoritme gebruikt een 128bit key dat op zich ook nog eens is verzegeld.
De tweede module is het installeren van het mini-OS dat de Master Boot Record (MBR) gaat beheren. En dan kan je nergens meer aan je bestanden.
Hoe kan je jezelf beschermen?
Het blijft een herhaling, maar zorg er gewoon voor dat je systeem voorzien is van de laatste updates en patches, vergeet hier ook je beveiligingssoftware niet. Het is nog nooit gezien dat Microsoft zelfs medelijden kreeg met gebruikers van oudere Windows en hen voorzag van een patch.
Tweede actie: zorg voor backups en doe dit regelmatig, bewaar ze dan ook buiten het actieve systeem.
En ik val misschien ook wel in herhaling, maar met Emsisoft heb ik al jarenlang geen enkel probleem meer ondervonden.
Bron: Emsisoft Internet Security
Systeembericht