Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Beveiligingsonderzoeker vindt per toeval killswitch voor ransomware - update

Door , 231 reacties, submitter: wildhagen Linkedin Google+

Een beveiligingsonderzoeker van MalwareTech heeft een killswitch gevonden in de Wana Decrypt0r 2.0-ransomware die op vrijdag zich als een lopend vuurtje over heel de wereld verspreidde. Een domeinnaamregistratie ter waarde van tien dollar bleek de sleutel.

De onderzoeker achter het Twitteraccount van MalwareTech was door de code van de ransomware heen aan het grasduinen en ontdekte de regel waar staat dat de ransomware contact zoekt met een domeinnaam bestaande uit een wirwar van tekens. Dit domein was niet geregistreerd en de onderzoeker besloot het op zijn naam te zetten. Volgens The Guardian kostte dat een tientje. Daarna pas bleek dat dit de killswitch was waardoor de ransomware zijn verspreiding stopzet. "Ik zal toegeven dat ik er niet van bewust was dat de malware zou stoppen als ik de domeinnaam registreerde, dus het was per ongeluk," stelt hij op Twitter.

De onderzoeker benadrukt dat de verantwoordelijken de aanval gewoon weer in zouden kunnen zetten door deze regel code aan te passen en de ransomware opnieuw in het wild los te laten. Het is dus nog steeds zaak om het Windows-beveiligingslek in kwestie zo snel mogelijk te dichten met de daarvoor ontwikkelde update MS17-010.

Microsoft heeft door de agressiviteit van de ransomware ook besloten om een beveiligingsupdate uit te brengen voor besturingssystemen die al langer niet meer ondersteund worden. De patch in kwestie, KB4015298, is ook beschikbaar voor Windows XP, Windows XP Embedded, Windows Server 2003 en Windows Server 2008. Windows 10 was van zichzelf al niet kwetsbaar.

De registratie van de domeinnaam, die nu dient als sinkhole, zet alleen de verdere verspreiding van 'WannaCry' stop. Computers die al geïnfecteerd zijn en waarvan de bestanden dus versleuteld zijn, komen er nog niet zo makkelijk van af. Daar is het nog steeds wachten op bijvoorbeeld een decryptietool of het terugzetten van een backup. De 300 dollar aan losgeld in Bitcoin betalen is natuurlijk ook een optie, maar deze wordt afgeraden.

De ransomwarecampagne van Wana Decrypt0r 2.0, ook wel WannaCry genoemd, gebruikt NSA-exploits die de Shadowbrokers eerder dit jaar vrijgaven. Het offensief begon op vrijdagmiddag. Aanvankelijk leek het een gerichte aanval te zijn op Engelse ziekenhuizen en verscheidene bedrijven en instellingen in Spanje. Later werd echter duidelijk dat de ransomware zich over de hele wereld verspreidde. Ook in Nederland vinden infecties plaats, zo is te zien op een kaart van MalwareTech op The New York Times. Het contactformulier op de website van Politie.nl was uit voorzorg tijdelijk buiten werking gezet.

Update, maandag: Tweaker knokki wijst uit dat MalwareTech in een onderzoeksrapport schrijft dat het mogelijk niet gaat om een killswitch, maar om een methode voor de ransomware om te detecteren of het ter analyse in een sandbox gedraaid wordt. Desalniettemin werkt de registratie van dit domein in de praktijk als killswitch.
 

Moderatie-faq Wijzig weergave

Reacties (231)

Reactiefilter:-12310217+1119+216+32Ongemodereerd56
Volgens de Malware-tech persoon zelf die de domeinnaam registreerde betreft het helemaal geen kill switch als ik het goed lees (https://www.malwaretech.c...global-cyber-attacks.html):
"The reason which was suggested is that the domain is a kill switch; in case something goes wrong, but I now believe it to be a badly thought out anti-analysis.
In certain sandbox environments traffic is intercepted by replying to all URL lookups with an IP address belonging to the sandbox rather than the real IP address the URL points to, a side effect of this is if an unregistered domain is queried it will respond as it it were registered (which should never happen).
I believe they were trying to query an intentionally unregistered domain which would appear registered in certain sandbox environments, then once they see the domain responding, they know they’re in a sandbox the malware exits to prevent further analysis. This technique isn’t unprecedented and is actually used by the Necurs trojan (they will query 5 totally random domains and if they all return the same IP, it will exit); however, because WannaCrypt used a single hardcoded domain, my registration of it caused all infections globally to believe they were inside a sandbox and exit…thus we initially unintentionally prevented the spread and and further ransoming of computers infected with this malware. Of course now that we are aware of this, we will continue to host the domain to prevent any further infections from this sample."

[Reactie gewijzigd door knokki op 14 mei 2017 00:03]

Geen bewuste kill switch aangebracht door de ontwikkelaar, maar wel een 'feature' die exact het resultaat van een kill switch opleverde.
Interessant voor mensen die nog op Windows XP, Windows 8.0 of Windows Server 2003 draaien is dat Microsoft ook voor deze versies toch nog patches tegen dit lek uitgebracht heeft: https://blogs.technet.mic...e-for-wannacrypt-attacks/

Erg netjes, als je bedenkt dat die versies soms al jarenlang out of support zijn :)
Interessant voor mensen die nog op Windows XP, Windows 8.0 of Windows Server 2003 draaien is dat Microsoft ook voor deze versies toch nog patches tegen dit lek uitgebracht heeft: https://blogs.technet.mic...e-for-wannacrypt-attacks/

Erg netjes, als je bedenkt dat die versies soms al jarenlang out of support zijn :)
Hoe dom het ook mag klinken er zijn nog legio overheidsinstellingen die deze windows versies gebruiken... Eigenlijk te gek voor woorden dat dit mogelijk is en dat blijkbaar een gemeentebestuur, wethouders of burgemeesters hier mee weg kunnen komen zonder dat zij daarvoor verantwoordelijkheid dragen.

De 'smoes' dat kosten hier het probleem vormen is dikke onzin.
Ze hebben immers vaak wel ineens geld om een nieuw gemeentehuis te bouwen of om andere infrastructurele problemen op te lossen.

Het feit dat IT voor velen zo onzichtbaar is blijkt een probleem. De gedachte 'het werkt toch' voert daarbij de boventoon. Niet beseffende dat veel van de software binnen diezelfde overheden met houtje touwtjes methodes bij elkaar gehouden wordt.

IT wordt door vele overheden en de personen die daar verantwoordelijk zijn voor 'goed' beleid domweg gezien als NIET belangrijk! Terwijl IT de hoogste prioriteit zou moeten krijgen.

[Reactie gewijzigd door p0pster op 13 mei 2017 10:12]

Het ligt vaak niet zo zeer aan kosten maar meer aan dat bepaalde software niet op nieuwere versies van Windows wil werken.
De oude programeurs zijn allang met pensioen of zelfs al overleden dus niemand die nog weet hoe het oude programma precies werkt.
Vaak is het oude programma ook nog eens in een vergeten programmeertaal geschreven
Daarnaast moet bepaalde software ook nog aan behoorlijk strenge veiligheidseisen voldoen en is het erg moeilijk om programmeurs te vinden omdat die bij andere bedrijven dan de overheid een stuk meer verdienen.

Een van de programma's die daar last van heeft is het programma om paspoorten mee te maken.
Zwaar verouderd programma maar het OS waar het op draait zijn de meeste backdoors en exploits al uitgehaald.
Beetje zoals de Space Shuttle vroeger, die hadden 3 286 PC's aan boord, toen al verouderd maar dat was omdat de fouten bekend waren en men daar dus omheen kon werken.
Het ligt vaak niet zo zeer aan kosten maar meer aan dat bepaalde software niet op nieuwere versies van Windows wil werken.
Dan had dat bij het kopen/bouwen/bestellen/maken/huren/lenen/verzinnen van de software bedacht moeten worden. Daarnaast is het echt niet zo dat software verplicht gebruikt moet worden, je kan prima migreren naar wat anders. Stel dat je van een platform komt dat nogal dichtgetimmerd is en waar de leverancier van failliet is, dan is het meteen een goede les om bij de volgende inkoop iets te kiezen waarbij je makkelijker naar een alternatief kan overstappen. Daarnaast is niet migreren om dat het 'moeilijk' of 'duur' is ook gewoon geen echte reden, want die migratie komt sowieso wel. Op z'n best is het dan uitstel van executie met steeds hogere operationele kosten en meer onoplosbare problemen totdat het daadwerkelijk opgelost wordt.

[Reactie gewijzigd door johnkeates op 13 mei 2017 22:57]

Dan had dat bij het kopen van de software bedacht moeten worden.
Deze opmerking staat haaks op de werkelijkheid. Deze software is nooit aangeschaft en dat zegt het artikel waar je op reageert ook al. Deze software is inhouse gemaakt.
[ik voel me oud gevoel on]
Jaren geleden waren er een te kort aan ICTérs en nog veel erger dan tegenwoordig. Toen kon iemand die een online cursus cobol had gedaan en voor de afdeling financiën werkte gewoon iets in elkaar krassen waarbij een excel spreadsheet werd geïmporteerd met een ODBC koppeling en daarna geprocessed werd maar dan alleen als de spreadsheet een rode achtergrond had, alle cellen een zwarte omlijning hadden en je elke 2e maandag van de maand een pentagram tekende en kaarsjes erop brandde. Dit kwam niet omdat dit noodzakelijk was maar omdat deze programmeur niet beter wist en er ook geen uren tijd aan mocht besteden.
Veel van die hobby programma's zijn gewoon in productie gegaan omdat de ICT afdeling dit gewoon te accepteren had en geen beter alternatief kon bieden. Vaak draaide het al op de afdeling voordat de ICT afdeling zich er bewust van werd.
Nu is die persoon niet meer aanwezig maar het programma doet nog een zeer belangrijk deel van de productie maar niemand weet meer hoe je een programma pentagram's laat checken op de juiste moment van de dag en de nieuwe Windows laat het niet toe.
De kosten om dit dan weer voor elkaar te krijgen met de huidige eisen is dan vaak absurd hoog of zelfs gewoon iet mogelijk.
Ik heb deze dingen vaak genoeg gezien toen ik nog bij gemeentes werkte en tot op de dag van vandaag werkt die software vaak nog gewoon zonder goede alternatieven. En als er al eentje is dan wordt deze totaal niet gedragen door de testers/gebruikers en duren projecten jaren en bloeden dood.

Dus goedkoper is dan gewoon de pc's te laten draaien in plaats van een LCM programma. Een gemeente is niet zoals een bedrijf waar 1 richting is maar bestaat uit 10 of meer kleine bedrijven die moeten samenwerken en meester zijn geworden in hun zin door dramen bij gebrek aan goede sturing. Mits de hele "raad van bestuur" wordt elke 4 jaar vervangen.
[ik voel me oud gevoel off]

[Reactie gewijzigd door COW_Koetje op 13 mei 2017 22:36]

Dat is nog steeds geen reden om er niet wat aan te doen. Hier komt 'wie niet horen wil moet voelen' om de hoek kijken. Neem een keer ransomware en je bent wel wakker. Nu is het vaak na een keer nog niet duidelijk dat IT niet een 'bijzaak' is, dus we kunnen rustig afwachten tot de tweede keer, en misschien dat daarna duidelijk is dat je een bedrijf of overheid niet op rommel en bestuur, politiek of tegenstrijdige wensen kan laten draaien.
Dat is wel een reden, maar misschien niet een hele goede reden. Reken er ook maar op dat niet veel gemeentes zitten te wachten op verhogen van ICT budgetten om alle software up to date te houden. Geen idee hoeveel dat ook zou kosten en of er überhaupt voldoende icters zijn om dat even uit te voeren.
Zitten gemeenten daar niet op te wachten...? Besef je wel, gemeentebeleid valt onder politieke besluiten. De landelijke politiek heeft onze privacy en veiligheid op een te laag pitje staan, anders was dit niet mogelijk.
Ict is niet core busnis voor veel bedrijven dus een bijzaak. Boehoe boehoe roepen de icters... laten we eens duidelijk zijn. Hangt een computer niet aan het internet dan heb je veel van die beveiligingen niet nodig. En kan een computer nog jaren zijn werk doen ook al draait die niet het nieuwste os en is de browser zo lek als een mandje . Het programma blijft prima werken. Nu moet je hem wel afschermen vam de buiten wereld achter een dikke fire wall weg van de rest van het net werk .
Wij hebben div stock oude database programmas draaien . Bedoeld voor alfa servers draaien nu virtueel onder linux. En dat is prima want de server hangt niet aan de buiten wereld. En kun je er niet zo maar bij komen via het bedrijfs netwerk. We hebben ook div xp en 98 laptops om onze machines te programeren . Die software werkt niet onder 7 8 of 10. Ook dat is niet erg omdat deze machines en de laptops niet aan het internet hangen 2 achter een dikke firewal zitten weg van de res van het netwerk. Dus je kunt weldegelijk prima oude machines gebruiken zo lang je het maar verstandig doet em beveiligingen toe past
Een hoop van deze software is niet zomaar kant en klaar gekocht bij een studio, maar bedrijfsspecifiek geprogrammeerd, waardoor migratie niet zo simpel is te realiseren.
En met zo'n insteek kan malware als WannaCry een compleet bedrijf, overheidsonderdeel of land platleggen, om dat mensen vinden dat als het niet simpel is er maar met software uit 2003 gewerkt moet worden.
De regering kan toch wel een team samenstellen om centraal aan software te werken voor gemeenten en overheidsdiensten?
ICT en overheid? Behalve als er echte specialisten worden aangesteld om dit goed te doen (en niet de goedkoopste aanbesteder meteen pakken, maar echt nadenken), zie ik dit niet gebeuren helaas.
Helaas denken veel besluitnemers zo, als iets niet simpel is , dan doen we het maar niet.. rare redenering. Het lijkt mij veel erger als er opeens gegevens op straat liggen of alle systemen onbruikbaar kunnen worden gemaakt door een virus.
Dus het ligt wel aan de kosten ;)
een gemeentebestuur, wethouder of burgemeester persoonlijk verantwoordelijk kan worden gehouden voor dergelijk achterstallig onderhoud.
Je kunt het geld maar 1x uitgeven. Het gemeente bestuur moet de sportvelden, het zwembad, de speeltereinen, de straten, de stoepen, de straatverlichting etc. onderhouden. Ergens is het zelfs lovenswaardig dat ze die dingen die voor hun burgers nuttig zijn prioriteit geven boven hun eigen IT infrastructuur. Maar het moet natuurlijk niet tot datalekken gaan komen.
Ik heb in 2012 een jaar lang stage gelopen bij een kleine gemeente en daar was geld geen probleem.
Ik heb de implementatie van VDI mee mogen maken en daar was de grootste uitdaging om de honderden verschillenden applicaties werkend te krijgen en de stok oude vingerprintscanners, pinapparaten en labelprinters.
Ik denk eerder dat het bij sommige gemeenten zo'n grote puinhoop is dat de systeembeheerders er niet eens aan willen of kunnen beginnen. En als de systeembeheerder zegt dat het niet nodig is dan is er niemand bovenaan die dat tegen zal spreken.
was de grootste uitdaging om de honderden verschillenden applicaties werkend te krijgen en de stok oude vingerprintscanners, pinapparaten en labelprinters.
En DAT is dus het gevolg van puur wanbeleid. Als je een ICT-oplossing kiest dien je rekening te houden met de reeds aanwezige ICT, met alle betrokken systemen waarmee gecommunicaard moet worden en met de toekomst. Dus geen klein bedrijfje wat een aantrekkelijk produkt heeft maar over 5 jaar niet meer bestaat, maar mainstream produkten gebruiken van gevestigde bedrijven of opensource-oplossingen. Met de laatste kun je in het uiterste geval zelf nog aan de slag.
De aanwezige it wordt pas aangesproken bij implementatie. Nadat de uitbesteding heeft gesproken met het management en gekozen heeft voor een bepaalde oplossing omdat deze "zeggen" dat ze zoveel mogelijk eisen van het pakket leveren tegen een zo,n laag mogelijk prijs.
Klopt, maar een goede IT infrastructuur die wordt aangestuurd door mensen die WEL verstand van zaken hebben kan juist heel veel kosten besparen. Waardoor dat alles wat je opnoemt gewoon mogelijk blijft.

Het aantal interim managers en adviseurs dat over de werkvloer rondloopt is ronduit schandalig. Veelal gedreven om te rapporteren naar wat het bestuur uiteindelijk graag wil horen in plaats van wat vaak noodzakelijk is.

Het probleem binnen veel overheden is dat iedereen zijn plasje over een voorstel wil doen en dat er daarna nog beknibbeld moet worden op de kosten.

Niet omdat het kan. Maar omdat gemeentebesturen bestaan uit amateurs die van toeten noch blazen weten. Wethouders en burgemeesters halen bovendien liever een wit voetje bij het publiek, dan dat ze zich hard maken voor het goed laten functioneren van hun eigen toko.

Bovenstaande klinkt misschien heel populistisch, maar het is in een notendop beschreven hoe het er binnen veel overheidsinstellingen aan toe gaat. Daarbij komt nog eens dat niemand zich echt verantwoordelijk voelt voor het budget.

Helaas uit eigen ervaring geleerd...

[Reactie gewijzigd door p0pster op 13 mei 2017 10:22]

Dat de burgers tevreden zijn lijkt me ook wel een stuk belangrijker voor een gemeente dan tevreden systeembeheerders.
Dat de burgers tevreden zijn lijkt me ook wel een stuk belangrijker voor een gemeente dan tevreden systeembeheerders.
Misschien is het je nog niet opgevallen, maar alles wat die 'burger' aanvraagt of nodig heeft gaat wel door complexe administratieve systemen.

Ik ben benieuwd hoe lang die 'burger' tevreden blijft als blijkt dat zijn aanvraag of document ineens niet uitgeleverd kan worden omdat het systeem wekenlang platligt door verwaarlozing.

Datzelfde gaat ook op voor die weg, het riool, de bekabeling in de wijk of alle andere infrastructurele projecten en procedures die niet kunnen worden uitgevoerd omdat diezelfde overheid te laks is geweest om te investeren in zijn eigen infrastructuur.

Alles, maar dan ook alles wat er gebouwd, gepland of uitgevoerd wordt zit allemaal vastgelegd in die IT infrastructuur als document, aanvraag, plan, vergunning of (bouw)tekening.

Zonder goede IT kan er tegenwoordig helemaal niets meer gedaan worden.

Dus het is niet alleen voor een tevreden systeembeheerder, maar uiteindelijk voor een tevreden bevolking dat de IT infrastructuur op orde blijft.

Het is alleen niet zichtbaar en niet sexy en daarom wordt er vaak beknibbeld op IT projecten. IT wordt vaak vooral gezien als kostenpost en niet als investering op het goed en gestroomlijnd functioneren van een bedrijf of overheid.

[Reactie gewijzigd door p0pster op 13 mei 2017 10:51]

Maar zoals mashell hierboven al schreef kan elke euro maar 1 keer uitgegeven worden. Bij elk incident, op welk vlak dan ook wordt de overheid altijd verweten dat ergens te weinig aan gedaan is of in geïnvesteerd wordt. IT is niet altijd de achtergestelde calimero. Er is nu eenmaal nooit onbeperkt budget dus moeten er ALTIJD keuzes gemaakt worden. Achteraf is het bij een crisis altijd maken aanwijzen dat datgene wat fout ging meer investering nodig had. Ik zeg niet dat de keuzes allemaal goed zijn, maar dat het niet zo eenvoudig ligt. Dat er in al die ziekenhuizen geld is gegaan naar levensreddende middelen of een gemeente een levensgevaarlijk kruispunt heeft aangepakt is de andere kant van het verhaal.

We hadden netzogoed bijdehand kunnen doen over doden bij een spoorwegovergang die niet was uitgefaseerd, doordat het geld gebruikt was voor een Windows-migratie.
Tja of dat achterlijke bedrag dat weer aan voetbal is besteed.

Bepaalde zaken, waar de IT infrastructuur er één van is, moet niet dermate op beknopt worden. Met de vereniging van gemeenten moet het toch best lukken een centrale goede ICT voorziening voor gemeenten op te zetten lijkt me. Paspoorten moeten ze allemaal uitgeven.
Opdrachten van zulke grote bedragen zoals de IT van een gemeente moeten waarschijnlijk openbaar aanbesteed worden. Zou me ook niets verbazen als afspreken met tig gemeenten dat je met één leverancier in zee gaat niet zomaar mag omdat dat dan weer onder concurrentievervalsing valt.

Maar goed stel dat lukt, dan is er het weer risico dat deze leverancier een monopolie krijgt of er een duopolie ontstaat. Even overstappen naar wat anders heeft veel voeten in de aarde want het is veel data, vaak gevoelig en het moet van dag tot dag actueel en beschikbaar blijven. Helemaal zelf iets laten ontwikkelen is te duur. Als gemeente heb je dan feitelijk geen keus meer dan een abonnement te nemen op een bestaand product, maar wat misschien helemaal niet goed aansluit op je behoeften. Want paspoorten uitgeven moeten ze allemaal, maar een stad heeft andere behoeften dan een plattelandsgemeente.

Anderzijds hoor ik wel eens dat onze gemeente feitelijk geen andere keuze heeft dan de inkoop van medische hulpmiddellen samen met een paar grote buurgemeenten te doen omdat het anders te duur wordt. Vervolgens bepalen die grote buurgemeenten het inkoopbeleid, wat niet altijd praktisch uitpakt voor onze burgers.
Daar heb je meer gelijk in inderdaad. Bij ons in de gemeente is de VVD het grootst, die wil een kleine overheid. Dus geen nieuwe ambtenaren meer. Er zijn echter wel meer mensen nodig (uitbreiding taken) en dus worden mensen extern ingehuurd (payrolling, uitzending en adviseurs). Dit is ongeveer 30-50% duurder dan zelf in dienst nemen maar officieel is het aantal ambtenaren lekker laag.

Ze komen hiermee weg om onduidelijke redenen. En het kost handenvol geld (wat niet naar ICT of zwembad of straten kan....)
Als er wat mis loopt, kan je ook wel bij de externen terecht. Stel dat je jouw IT outsourced en er is zo'n lek, kan je ze dagvaarden en een schadevergoeding eisen. IT is altijd te duur. Als je goede mensen op de werkplek hebt, vindt iedereen het raar dat die zo veel betaald worden voor zo weinig te doen. Als je foute mensen op de werkplek hebt, vindt iedereen het raar dat die zo veel betaald worden voor zo weinig te doen.
Sorry, maar mensen met verstand van zaken? Je weet toch wel dat de meeste (eigenlijk alle) overheids IT projecten gedaan worden door de grote IT bedrijven, en we weten allemaal wat voor puinhoop de meeste overheidssoftware is, dus moet ik dan nog meer zeggen over 'die mensen met verstand' die ingehuurd waren vanwege hun expertise....
Een groot IT bedrijf houd niet in dat de mensen die de keuzes maken er verstand van hebben.
Juist dat is wat ik duidelijk wil maken, als leek ga je 'experts' in huren, die vragen er veel geld voor, maar uiteindelijk blijken die 'experts' ook maar een stel prutsers, wat dus veelvuldig voor komt bij de grote IT bedrijven, en dat weten ze goed, maar ondertussen wel lekker veel uren schrijven..
Ah ja, en jij bent zeker die expert die de gemeente wel even kan inhuren en de oude software hoogstpersoonlijk wel even overzet naar Windows 10 en en passant hun leveranciers ook overhaalt om hun Windows XP Embedded systeempjes even te migreren naar iets moderners?

Bizar he dat al die (interim)managers en adviseurs geen bal verstand van software en veiligheid hebben en jij wel? Ik wil jou nog wel eens horen als jij over 15 jaar in hun rol zit, de cijfers en contracten kent, en je je standpunt moet zien over te brengen naar je stakeholders.
Daarbij komt nog eens dat niemand zich echt verantwoordelijk voelt voor het budget.
Vroeger, toen we nog groener waren dan nu, heb ik nooit een antwoord gekregen op de vraag "Waarom moet een budget ieder jaar altijd op ?".
Omdat als het budget niet op gaat, er het jaar daarop gekort wordt.
Raar maar waar.
Ergens is het zelfs lovenswaardig dat ze die dingen die voor hun burgers nuttig zijn prioriteit geven boven hun eigen IT infrastructuur.
Ik moest even heel hard lachen. We zitten hier op t.net, dan verwacht je deze niet meer.

Bezuinigen op IT is van dezelfde orde als bezuinigen op onderhoud. Het klinkt een paar jaar leuk, totdat 'de buffer' weg is en de kosten gewoon de pan uitrijzen. En dit zijn allemaal 'verborgen' kosten. Een systeembeheerder die elke week een paar dagen brandjes aan het blussen is. Of een paar medewerkers die een halve dag werk kwijt raken of een paar dagen per maand in Excel aan het rommelen zijn omdat het oude systeem niet meer klopt.

En wat blijkt. Als je 10 jaar achter loopt is het ook heel moeilijk om te innoveren en te verbeteren. En DAAR zit nu net die kostenbesparing van de toekomst.
Een App om gaten in de weg door te geven klinkt 'nice to have'. Maar anders moet iemand dat doen die 'per uur' wordt betaald. (Of je bent als gemeente aansprakelijk voor schade)
En een volle prullenbak is in 5 minuten geleegd, 5 dagen later heb je 3 man een ochtend nodig om het weer 'te prikken'.

Ik hoef geen prestige IT projecten (dat doen gemeentes al genoeg in andere gebieden) maar bij blijven is toch niet teveel gevraagd?
Sorry maar het draaien op Winds XP heeft niets te maken met een oude Excel. Het heeft eerder te maken met heel specifiek geschreven software. Die niet meer te krijgen is doordat de ontwikkelaar dat om welke reden dan ook niet meer doet. En er veelal niet meer zulke specifieke software wordt gemaakt. Grote probleem is dat dit soort software vaak windows XP vereist!
Dat valt ook onder onderhoud. Zulke specifieke software moet gewoon vervangen worden door modernere software waar nog wel ondersteuning voor is.
Ik kan ook niet geloven dat zo'n verouderd systeem tegenwoordig niet veel beter sneller en eenvoudiger gemaakt kan worden, waardoor je weer met minder man uren dezelfde of betere resultaten uit dat systeem kan krijgen.
Flauw, maar dat jij dat niet kan geloven, wil natuurlijk niets zeggen.
Ik zie juist veel ICT projecten volkomen uit de klauwen escaleren :) Logisch dan dat veel bestuurders niet op vernieuwing zitten te wachten. Gaat alleen maar veel geld kosten en voor je het weet heb je zo'n roze microfoon onder je neus.
@lapppro "vroeger" werd er nog wel eens echt geprogrammeerd! Tegenwoordig kan het bedrijf zich aanpassen aan de (gestandaardiseerde)software en dat wil niet elk bedrijf/gemeente.
Maar die zou je eventueel nog in een aparte omgeving kunnen draaien die zelf geen internetconnectie heeft bijvoorbeeld. Dat zou al kunnen schelen.
Toen mijn pa nog een bedrijf had waarvoor 1 cliënt pc nodig was wilde de leverancier van het software pakket natuurlijk de pc leveren. (dan waren we zeker dat het (CMS) pakket goed zou draaien (toen nog op een NT4 machine). Dat moest wel een dikke pc worden met SCSCI want anders zou het langzaam zijn...

Het hele installeren (van het programma de groote van een 200mb) het voor installeren van NT4(wat toch wel 8 uur duurde volgens hen) en daarna aansluiten van de pc, voorijkosten a la 250/eur uur (2 uur heen 2 terug, teller draait vanaf dat die knakker wegrijd). totaalplaatje 10k euro's (of guldens toen)

Door dit soort voorbeelden gaan mensen bezuinigen op "IT" en als je een beetje handig bent zet je zelf een pc in elkaar voor 1/5 van de kosten. Het zou me niets verbazen als de gemeente ook zo redeneert.

(en ja op een IT site zal met dit wel niet in dank afgenomen worden, maar het zal menig klein bedrijf die aan een bepaald software pakket is verbonden wel bekend voorkomen).
Als het doet wat het moet doen dan is de toegevoegde waarde van vernieuwing niet zo 1-2-3 duidelijk. De nieuwe IT componenten en applicaties zelf leveren voor de directe dienstverlening niet zoveel toegevoegde waarde. Het doet namelijk vaak niets 'extra' of beter. Zaken zoals de ransomware besmettingen zijn risicofactoren en die worden door bovenstaande redenen als mogelijk risico geaccepteerd. Een gemeente of gemeenteraad die moet uitleggen aan de kritische burger dat de functionaliteit van vernieuwde IT systemen gelijk is gebleven maar wel ettelijke miljoenen heeft gekost kan het in de huidige samenleving schudden en wordt als 'verspiller van gemeenschapsgeld' weggezet. Zo simpel is het..
Ergens is het zelfs lovenswaardig dat ze die dingen die voor hun burgers nuttig zijn prioriteit geven boven hun eigen IT infrastructuur. Maar het moet natuurlijk niet tot datalekken gaan komen.
Even flauw doen: Het is niet hun infrastructuur, maar de onze, die mensen werken voor ons. Als er daar iets mis gaat zijn het mijn gegevens die op straat liggen. Bij een luxe gemeentehuis kun je je nog afvragen of die luxe de burgers ten goede komt of alleen de bestuurders, maar een veilige IT-omgeving is in ieders belang.
Maar als je die burgers vraagt waar het geld aan besteedt moet worden, zeggen ze niet vaak: ICT. Dat is ook het lastige met democratie. In een bedrijf kun je nog iets autonomer werken in dat opzicht.
Ja, maar je zult de ook nooit horen vragen om luxe, dure gemeentehuizen. En die komen er toch.
Je moet het volk niet laten beslissen over zichzelf - dat kunnen ze toch niet :D
Wel als het verpakt wordt met termen als groen, CO2-neutraal en duurzaam.. Wat zich ook wel weer ten dele terugbetaalt..
zo flauw vind ik het niet; eerder realistisch.

Wat echter nog steeds een feit is dat de overheid/gemeente zijn geld maar één keer kan besteden. dat zwembad vs die IT infrastructure... wat zal de gedachte woorden?

Precies hetzelfde waar ze bij de gemiddelde ziekenhuizen tegenaan lopen; die nieuwe MRI scanner of de IT architectuur beveilgen..
Totdat er beseft wordt aan de top (dus niet in die ziekenhuizen maar op politiek landelijk niveau) dat het echt twee verschillende zaken zijn en je niet van een instelling mag vragen een keuze te maken, zal altijd die MRI scanner worden gekozen (of dat zwembad)
Tja, er komt wel een duur gemeentehuis in het centrum waar een goedkope kantoortoren op het industrieterein ook zou voldoen maar geen hoogwaardige IT infrastructuur. Dat heeft natuurlijk alles met de ontzichtbaarheid van IT en haar problemen te doen. Dat is in het bedrijfsleven overigens niet veel anders.
Je doet alsof gemeenten met tekorten te kampen hebben, haha.
Er wordt meer met geld gegooit dan ooit tevoren omdat het niets meer oplevert als je op-pot.
Bij voorkeur in projecten die geld op gaan leveren in plaats van IT lasten ;)

[Reactie gewijzigd door B. Olle op 13 mei 2017 12:06]

Er zijn tekorten bij gemeenten omdat er juist met geld gegooit wordt ;-)
Het gaat om de waarom die een draai geeft aan de hoe en wat ;-)
Men wilt uitgeven maar alleen als het geld opleverd, niet in "stomme (niet) verplichte dingetjes".
Als je denkt dat het bij gemeenten anders werkt dan bij de rest in de wereld dan kom je bedrogen uit aan het eind van de dag.

[Reactie gewijzigd door B. Olle op 13 mei 2017 12:11]

Er wordt meer met geld gegooit dan ooit tevoren omdat het niets meer oplevert als je op-pot.
Dat is een denkfout die veel bedrijven en particulieren ook maken. Dat je het oppotten zou doen vanwege de renteinkomsten, dat is natuurlijk níet zo, je doet dat vanwege het hebben van de buffer.
Niemand zegt dat je -alles- moet uitgeven of alles moet investeren.
De meesten houden een buffer, dat staat niet ter discussie.
En ja, 'beginners' en armen zouden blij zijn als ze eerst eens buffer hadden, maar daar heb ik het ook niet over. Een ander deel van de mensen geeft er helemaal niks om en geven centen zonder veel moeite uit en rekenen zichzelf toch niet ander de armen.

Toch wordt er meer uitgegeven dan voorheen.
Dat is de zogenaamde fix voor "de crisis" en de zogenaamde fix voor de economie.
De reden dat de ECB ging pompen. De rentes zijn daarmee omlaag gegaan zodat geld gaat rollen en ontwikkelen in plaats van stil staan.
Er wordt meer door geproduceerd, geadverteerd en verkocht, de mensen meer koopziek, en uiteindelijk verdwijnt het toch weer in de zelfde potjes van de oude beproefde fondsbeheerders en uiteindelijk bij de rijkste 1% zoals gewoonlijk.

Olie op vuur en het opbranden wacht... Maar anderen denken dat het oneindig en volmaakt is, als een soort oneindig vuur.

Maar hoeven nou niet te ver op de theorie en filosofie in te gaan.

[Reactie gewijzigd door B. Olle op 15 mei 2017 13:09]

De ECB heeft leningen bereid gesteld aan banken. Die niet afgeroepen worden omdat door de lage rente het voor banken niet rendeert om geld te gaan uitlenen. De risco versus marge berekening zegt 'nee'.
De ECB koopt vooral staatsobligaties van zuidelijke landen op en houdt daarmee de euro stabiel, dat is ook eigenlijk haar hoofdtaak.
We zitten nu inderdaad in een bijzondere tijd, hoogeconomie maar met een lage rente en een lage brandstofprijs. Dat betekent dat de volgende crisis (met een 7 jarige varkenscyclus, de laatste crisis in 2010 afgelopen en de Duitse verkiezingen in september zal die eind van het jaar ongeveer beginnen) extra heftig wordt omdat de dempingparameters nu al op maximaal staan.
Probleem is vaak de veelheid aan (speciale) applicaties of randapparatuur warvan niet met zekerheid te stellen is of het allemaal gaat werken in een nieuwere versie van Windows (of welke OS upgrade dan ook, want het is niet Windows specifiek). Bij overheden en zorginstellingen zie je vaak applicatielandschappen van 500+ specifieke toepassingen. Er moet veel getest worden om zeker te zijn dat alles goed gaat. Vervelend als je vingerafdrukscanner niet meer werkt na een ondoordachte upgrade in het weekend. "Nee, uw paspoort gaat nog even voor onbepaalde tijd op zich laten wachten", is natuurlijk compleet onacceptabel en heel wat anders dan gebruikersgeklaag over dat het startmenu anders is geworden.

En natuurlijk levert dit de (on)nodige vertragingen op door mismanagement omdat beslissingen lang op zich laten wachten. Maar een testperiode van één tot drie jaar is niets bijzonders. En dan volgt de (gefaseerde) uitrol, oplossen van onvoorziene problemen (soms weer terugspoelen) etc.
Klopt allemaal en een van de oorzaken is dat iedereen ook diegenen zonder verstand van IT graag hun plasje over de benodigde software moet doen.

Vaak ingegeven om een 'vriendje' te helpen, zodat ze later weer een wederdienst kunnen vragen.

Ik ben genoeg projecten tegengekomen waarvan voorafgaand aan aanschaf al werd gezegd dat het later problematisch zou gaan worden.

Toch wordt er vaak doorgezet omwille van prestige of vriendjespolitiek, maar niet omdat het de beste of meest toekomstbestendige oplossing is.

Daarnaast wordt er vaak veel te laat aan de bel getrokken om software te updaten, waardoor het kwaad al is geschiedt, of doordat er op dat moment geen 'budget' beschikbaar was waardoor er allerlei houtje touwtjes oplossingen moeten worden uitgedacht.

Dat is tevens de oorzaak waarom er zo lang moet worden getest.
Een systeem is zo goed als de zwakste schakel.

Daarnaast wordt er vaak niet vooruitgedacht en wordt er passief in plaats van actief opgetreden voor wat betreft de softwareontwikkeling.

Wanneer je 3 jaar moet testen voor uitrol ben je dus gewoon 'te laat', dan is er iets structureel mis met de IT infrastructuur van je organisatie. Eer je dan uit kunt rollen hol je dan alweer achter het volgende probleem aan. Eigenlijk is dat dus een typisch voorbeeld van mismanagement.

[Reactie gewijzigd door p0pster op 13 mei 2017 11:03]

De vraag is echter: kán het eigenlijk wel beter?
Ik vraag me af of het eigenlijk wel mogelijk is om een IT-structuur te ontwikkelen die
a) voldoet aan de wensen van de gebruikers
b) up to date is qua veiligheid en privacy
c) niet alle beschikbare budgetten opslurpt

Afgezien van het feit dat er veel beleidsfouten worden gemaakt, is het ook zo dat deze materie nauwelijks beheersbaar is. Er bestaan alle mogelijke standaards voor de hardwarematige verbindingen/aansluiten tussen systemen, maar als het gaat om het organiseren en opslaan van gegevens, heeft zo'n beetje elke club z'n eigen legacytroep die al zo'n beetje ten tijde van Z80 is ontstaan en die al die tijd ad hoc is uitgebreid en aangevuld.
Als je leest over de problemen bij het NHS is dat zowel tenenkrommend en beangstigend als volkomen begrijpelijk. Dat zijn 'levende' systemen waar doorlopend enorme hoeveelheden gegevens aan worden toegevoegd die continu opvraagbaar, doorzoekbaar en combineerbaar moeten zijn.
Hoe kan zoiets nou naar de huidige tijd worden getild en als het even kan ook nog een redelijke mate van future proof worden gemaakt zonder de bovengenoemde punten a, b & c uit het oog te verliezen?
Ik ben het volledig met je eens, maar een kleine voetnoot is wel op zijn plaats. Volgens mij is het zo dat met het eindigen van de support destijds dit niet geldt voor degenen die doorbetalen op basis van een contract voor beveiligingsupdates / support. Hoe lang dat voor bijvoorbeeld Windows XP mogelijk is / was weet ik niet, maar bedrijven en overheden konden / kunnen nog even door middels gewoon dokken.
IT het meest belangrijk of de hoogste prioriteit? Alleen bij hoog risicovolle IT achterstand misschien een prioriteit vanuit continuïteit oogpunt. IT blijft voor de overheid echter terecht een middel en geen doel op zich.

Je zou dan een beleidsplan kunnen maken dat security patches binnen 5 weken doorgevoerd moeten zijn. Voor de IT afdeling is dat dan een prioriteit, maar niet voor het ministerie of gemeente als geheel. Hooguit het bredere besef dat je wat vaker update schermen voorbij zult zien komen of even niet in een wat ouder systeem kunt tijdens onderhoud omdat de instelling als geheel daartoe besloten heeft. Dat besef kan de IT afdeling weer helpen om die doelstelling te realiseren op een gezonde manier.
De hoogste prioriteit nog wel. Dat vindt iedereen van alles natuurlijk. Gezondheid moet de hoogste prioriteit hebben voor sommigen, of asfalt. Of het zwembad. Het is maar net wie je het vraagt.

Ik ben het met je eens dat het een hoge prioriteit moet hebben. De hoogste vind ik zwaar overdreven.
Hoezo dom? Op zich is 2003 een dijk van een server systeem, erg licht en nog steeds prima te gebruiken voor ouder software. Bij ons nog steeds aanwezig op een aantal interne en prijzige systemen, en een MULE ESB loopt er ook nog steeds op.

Zolang je je omgeving goed in de peiling hebt, de juiste beheersmaatregelen neemt, en je netwerk en beheersomgeving goed inricht hoeft er niets aan de hand te zijn. Vaak zie je juist dat het probleem licht bij goed geschoolde beheerders die het zichzelf gemakkelijk willen maken om een eventueel probleem snel en zonder gezeur op te lossen.

Geld kun je maar in een keer uitgeven, en bij de overheid maken allerlei aanbestedingsregels waar men zich aan moet houden IT beheer tot een erg complexe zaak.
Zolang je je omgeving goed in de peiling hebt, de juiste beheersmaatregelen neemt, en je netwerk en beheersomgeving goed inricht hoeft er niets aan de hand te zijn. Vaak zie je juist dat het probleem licht bij goed geschoolde beheerders die het zichzelf gemakkelijk willen maken om een eventueel probleem snel en zonder gezeur op te lossen.
Dus het is allemaal de schuld van de beheerder ? Satya als je pech hebt zit je met dat MULE ESB systeem van jouw met een 3rd party service company die remote support eist te geven en upstream die je zware netwerkbeperkingen oplegt.
Dat klopt, maar remote support kun je ook achter een muur zetten (bij ons noemen we dat de stepping stone) die alleen open gezet wordt als er toegang vereist is, en de rest van de tijd dicht staat, waarbij een leverancier alleen toegang heeft tot zijn eigen specifieke omgeving (en (applicatie) VLAN), en niet eens direct, en alleen als applicatie beheerder zonder admin rechten. Dat is duur en omslachtig om in te regelen maar voor een veilige omgeving pure noodzaak.

En ja, in veel gevallen die ik tegenkom (randsom) zijn het juist beheerders die de deur te ver open lieten (RDP direct aan internet bv), of ook een foute mail door hun vingers lieten slippen. Net als bij de overheid is bij IT bedrijven is bedrijven de beveiliging net zo goed naadje als bij klanten.
Dat is duur en omslachtig om in te regelen maar voor een veilige omgeving pure noodzaak.
Ja, we weten allemaal wel hoe het moet of hoe het beter kan maar je moet de backing hebben. Ik geloof dat de meeste onder ons vooral moeten reilen met de weinige zeilen die ze krijgen.
En ja, in veel gevallen die ik tegenkom (randsom) zijn het juist beheerders die de deur te ver open lieten (RDP direct aan internet bv),
Zonder VPN ?
of ook een foute mail door hun vingers lieten slippen.
Wat bedoel je hiermee klikt de beheerder zelf op de mail of laat je combinatie van Spamassasin, AV troep er eentje door ?
Ja, zonder VPN, en ja bij er zijn mensen die zo'n foute mail re door laten glippen. Kan de besten overkomen, want zelfs getrainde beheerders bij RSA (van de tokens weet je wel) is het overkomen.
In essentie heb je een punt maar desondanks maak je een nogal populistisch en naïef statement. Er zijn verschillende overheidsinstanties en bedrijven die wel over zouden willen stappen maar dat domweg op dit moment nog niet kunnen.
Niet alleen overheid...

Industrie en finance kan er ook wat van.

Services gaat vaak beter. MKB meestal slechter.
Ik zit zelf als ontwikkelaar in Egypte bedrijfsleven en daar is het niet anders. Zelfs bedrijven die vrijwel volledig afhankelijk zijn van IT (webshops, apps Ed.) willen niets weten van IT kosten. Beginnen over updates, beveiliging en andere verbeteringen zonder direct geld op te leveren is als praten tegen een muur. De focus ligt nog altijd op nieuwe functionaliteit en cash generatie, want als het werkt hoeft het ook niet verbeterd.
Windows 10 werkt tenslotte direct vanaf het begin feilloos met alle hardware van 3 jaar en ouder. Dus prima omdat in te voeren, al was het alleen maar omdat micro$oft dat zegt.
/sarcasm

Voor een bedrijf dat zo verschrikkelijk veel geld verdient met producten die per definitie vol met gaten zitten, is dit soort gaten dichten het minste wat je van ze mag verwachten. Anders kun je ook spreken van wurgcontracten.

En wat te denken van steden die echt weinig te besteden hebben (denk even niet aan Nederland)
Uit nieuwsgierigheid : Je gaat van Xp naar Windows 8.0. Maar niet Windows 7 dus?
Win 7 is nog gewoon ondersteund. Met 8.0 bedoelt hij ongetwijfeld 2008

2003 en 2008 zijn in nog best veel bedrijven actief, en ook XP is nog veel te vinden op dedicated machines (bijv met een lab toestel eraan gekoppeld.)

Maar je bent stom als je dat ding in het zelfde netwerk zet als je normale clients en nog stommer als je toestaat dat er andere dingen (email en surfen) op gedaan worden. (Even los van je backup-restore plan)

[Reactie gewijzigd door burnedhardware op 13 mei 2017 10:05]

Nee, 8.0 is 8.0 Windows 8 is al out of support, 8.1 word nog wel ondersteund.
Het is ook Windows 8, Windows 8.0 bestaat sowieso niet.
Sinds wanneer is 8.0 niet hetzelfde als 8?
(zonder te kijken naar bvb float en int)
Naja het is een beetje mierenneukerig maar MS noemde het Windows 7, Windows 8 en Windows 8.1 dus is het vreemd om dan Windows 7.0 en 8.0 te zeggen zeker omdat die versies juist 6.1 en 6.2 zijn. 7 en 8 is in dit geval meer de titel net als XP of 95/98.
8 zou je op kunnen vatten als "zowel 8(.0) als 8.1". Vandaar 8.0; om het onderscheid te maken. Laten we het allemaal niet moeilijker maken dan dat het is ;)
Dat "Even los van je backup-restore plan" mag je wel buiten haakjes halen hoor.

Je haalt allerlei industriële/bedrijfstoepassingen aan als voorbeelden van het werken met een ouder OS. Ik kan me nauwelijks voorstellen dat in zo'n situatie je niet dagelijks (al dan niet constant) backups maakt van alles wat ertoe doet, dat zou namelijk echt IT wanbeleid zijn.
Windows 7 is nog gewoon in support, en daarvoor waren dus in maart al patches uitgekomen (die MS17-010 patch dus). Idem voor Windows Vista, Windows 8.1 en Windows 10, en de server-varianten vanaf Windows Server 2008.
Windows 7 zit nog in extended support. De genoemde versies ontvangen officieel geen patches meer.
Windows 10 was van zichzelf al niet kwetsbaar
Volgens mij was is dat niet juist, en geldt dat alleen voor Windows 10 versie 1703 (de Creators Update).
Alleen is hij niet te downloaden.. Telkens een time-out op de downloadpagina.
Jep, de Windows Update Catalog-site lijkt even plat te liggen, wellicht een slashdot-effect :P

Zal straks vanzelf wel weer online komen, eerder vanochtend deed hij het namelijk gewoon.
Op zich helemaal met je eens dat het netjes is, maar ik vraag mij af of men dan nu niet gaat roepen: oh dan kun je deze en deze dingen ook nog wel ff patchen.
Maarja, gezien de schaal van de infectie zet Microsoft terecht het beste beentje voor.
Ze moeten wel want die systemen zijn nog vaak in gebruik bij ziekenhuizen en bancaire entiteiten. Onze overheid betaald ook nog steeds voor support op win XP. Deze exploit kan in veel gevallen komplete landen stilleggen als hij goed wordt ingezet.

Stel dat iemand express domein registratie gebruikt als timer? Iedere dag 1 request vanuit de client en op het moment dat de registratie vervalt boem shakalaka! Lijkt mij een valid strat om stil vrijwel ieder systeem te kunnen infecteren. Een netwerk firewall gaat zoiets niet tegenhouden.
Volgens mij is die support op maat voor XP ook niet meer mogelijk. Dat was een duurbetaalde dienst van MS die een jaar beschikbaar bleef nadat de officiële ondersteuning gestopt is.
Erg netjes, als je bedenkt dat die versies soms al jarenlang out of support zijn
Uit de standaard support. Maar betaalde support is er nog gewoon. Dus deze patches liggen gewoon op de plank. Door deze patch nu kostenloos vrij te geven voorkomen dat ze dat die oude XP systemen waarvan Miscrosoft vurig hoopt dat ze ooit een upgrade gaan krijgen van de ene op de andere dag onbruikbaar worden. Want dat laatste zou slecht op Microsoft afstralen. Het is dus een zakelijk gezien heel rationele beslissing die Microsoft weinig kosten veroorzaakt.
Gisteren zat ik nog naar een short news update te kijken bij de BBC.
Daarin stelde het voormalige hoofd van NCSC (UK) en een white hat hacker dat veel van de getroffen UK ziekenhuis systemen nog op Windows XP draaien, vanwege de oude 'op maat gemaakte software'. Dit wordt momenteel opnieuw ontwikkeld voor Windows 7 en 10, maar beide gaven aan dat het tijd kost.

"Daarnaast is de medische sector vaak een van de laatste die overgaat op nieuwe OS-en", aldus de hacker. Tevens vertelde hij dat het voorkomen had kunnen worden met de update van 2 maanden geleden.

Gezien de impact van deze ransomware, vind ik het toch netjes dat MS toch nog de patch gaat uitbrengen voor Win XP & Win Server 2003/2008. Aan de andere kant moeten ze wel, willen ze de naam hoog houden ;)
Alleen voor 'custom support', staat meermalen in de het document.
[quote]
we made the decision to make the Security Update for platforms in custom support only[/quote]

Dus voor bedrijven en overheden met dure contracten daarvoor.
Jan met de pet kan het gewoon vergeten.

Ik probeerde je natuurlijk alleen maar te testen :+

Ik doe wel weer gewoon :X :P

[Reactie gewijzigd door Crazy Harry op 13 mei 2017 10:48]

Nee hoor, je moet wel goed lezen, het komt voor IEDEREEN beschikbaar. Zie die site:
Additionally, we are taking the highly unusual step of providing a security update for all customers to protect Windows platforms that are in custom support only
Normaliter zitten deze versie van Windows idd in Custom/Extended-support, maar als uitzondering mag dus toch iedereen ,dus óók de mensen zonder zo'n contract, de patches downloaden.
Is puur eigenbelang. 1 rotte appel kan namelijk voor veel ellende zorgen.
Is iets wat Microsoft sowieso nog doet. Echter moeten bedrijven dik geld betalen voor deze patches.
Nu hebben ze deze patch uit het betaalde circuit gehaald en gratis beschikbaar gesteld.
Ja het is netjes maar het toont wel weer aan dat XP dus redelijk veel gebruikt wordt.
Nee hoor, heeft echt daar niets mee te maken. Heeft eerder te maken met de software/hardware die vaak op die computers draaien, even upgraden kan betekenen dat de betreffende software/hardware niet meer werkt. Ook is het vaak gewoon gebrek aan geld om de upgrade te bekostigen (testtrajecten etc) en in principe, if it ain't broke, don't fix it, maarja, zodra je een computer aan het internet/netwerk hangt wordt het wel een ander verhaal.
Euhm, de ISO'tjes kan je gratis downloaden en upgraden.. En je kan er zowat bij weglopen en af en toe kijken hoe het gaat. Het kost inderdaad een uur langer werk of korter bij het gebruik van een SSD dat je daarmee langs ieder werkplek gaat en kan gaan klonen. Uitrollen kan ook 's nachts.
Laten we even logica erbij pakken.

Microsoft is een miljarden bedrijf, ze hebben zeer intelligente mensen.

Met dan in ons achterhoofd,kunnen we er enigszins van uit gaan dat daar goed over nagedacht is. Als er geen goede redenen waren dan zou MS niet beslissen om dat te doen.

Wat denk jij?
Men wou destijds niet upgraden naar een nieuwere versie van Windows dan behalve XP. Dat had te maken met dat in Vista de boel omgegooid was. De prestaties vaak slechter waren dan die op XP (we leefde nog in een tijd waar een hoop mensen nog met minder snellere hardware als nu zat) en er keuzes waren gemaakt door MS om bepaalde dingen toch door te rammen. Ook waren drivers gewoon niet werkzaam voor het nieuwere OS. Veel printers, scanners en randapparatuur werd onbruikbaar met de komst van vista.

Beetje raar toch dat je door switch van een OS direct nieuwe hardware _moet_ gaan kopen om het draaiende te houden?

Net zoals het W10 verhaal in waarin telemetry zit ingebakken. Geen mogelijkheid dat uit te schakelen. Wel eens gezien welke gegevens hier zoal gedeeld worden? Een update morgen kan zo je voorkeursettings resetten.

[Reactie gewijzigd door Jism op 14 mei 2017 00:05]

En inmiddels zijn er ook versies opgedoken zonder deze killswitch, we zijn er dus nog lang niet vanaf:

https://twitter.com/JR0driguezB/status/863313609098756097
https://twitter.com/heathenized/status/863321813866164225

Overigens een goede factsheet die regelmatig wordt bijgewerkt over de analyse van deze ransomware: https://gist.github.com/r...a5504f378b993ee6efbc0b168

En dit wordt ook een leuke query om in de gaten te houden:
https://www.google.nl/sea...%3A"index+of"+"WNCRY"
Als je deze encrypted bestanden binnenhaalt en er een generieke manier om te ontsleutelen wordt gepubliceerd.. dan heb je zomaar ineens broncode of andere files van geinfecteerde websites te pakken :)

EDIT: Blijkt toch niet om een versie zonder killswitch te gaan, https://twitter.com/JR0driguezB/status/863313609098756097 ging om een specifieke file in de eerste versie die iets met URL checking deed.

[Reactie gewijzigd door Mathijs1 op 14 mei 2017 00:02]

Dat zou heel naar zijn.

Ook al is dit nog een 'proef' het heeft serieus huisgehouden over heel de wereld. best impressive eigenlijk. Op een vreemde manier.

Erg goed dat microsoft zo snel is om patches uit te brengen voor ook oudere systemen. Maar een kwalijke zaak is dit wel.
En dit wordt ook een leuke query om in de gaten te houden:
https://www.google.nl/sea...%3A"index+of"+"WNCRY"
Deze is ook leuk https://www.google.nl/search?q=ext:WNCRY
Via @SecGuru_otx vanaf een ander forum:

Wannacry is nog steeds actief en schadelijk.

De meeste beveiligingsproducten blokkeren sinds gisteren de verbinding naar het webadres van de gecreëerde sinckhole(op basis van de oorspronkelijke URL in de code), hierdoor faalt de verbinding en zal de payload alsnog worden uitgevoerd.

In de code staat "// if request fails, execute payload"

Blokkeer het request en vervolgens zal de payload nog steeds worden uitgevoerd. Een proxy kan er ook voor zorgen dat de payload alsnog zal worden uitgevoerd.
Sonicwall blokkeert de verbinding al sinds half april, mits je de security services hebt en aan heb staan.
https://www.sonicwall.com...lqat=1&elqCampaignId=3502

Ben ik blij dat de meeste klanten van ons een Sonicwall hebben met security services.
Als de verbinding geblokkeerd wordt, wordt de ransomware uitgevoerd. Het is dus beter als de verbinding niet geblokkeerd wordt.
Nee.
De verbinding naar de killswitch wordt niet geblokkeerd maar de verbinding naar command en control.

Security services van sonicwall is zeer uitgebreid, daar blijft het niet bij het blokkeren van een URL. Zo zit er ook een antivirus en spyware in de security services.
https://www.sonicwall.com...wall-enforced-anti-virus/

Het virus komt ergens vandaan, en juist dat word geblokkeerd. Ten tijde dat Sonicwall al begon met het blokkeren was de killswitch nog niet eens bekend.
Oh, dan is het goed. Ik was in de war omdat iDennis3D het had over de verbinding van de kill switch en jij het had over "de verbinding" zonder uit te leggen welke verbinding dat was, dus ik dacht dat je het over dezelfde verbinding had. :P
Er is dus tenminste 1 goede reden om geen antivirus programma te hebben. :)
Er is ook nog een kill switch die lokaal het encrypten voorkomt: https://twitter.com/gN3mes1s/status/863149075159543808
Als je de patch niet kan uitrollen, bescherm je jezelf dan via deze optie :

https://support.microsoft...,-and-windows-server-2012
In het screenshot van de Ida Pro disassembly in dit artikel is te zien dat de functie InternetOpen wordt aangeroepen met de waarde 1 voor de 2e parameter.

#define INTERNET_OPEN_TYPE_DIRECT 1 // direct to net

Waarom is dit belangrijk? Het betekent dat de KillSwitch Url niet geopend wordt als je een proxy gebruikt!
Wat ik me afvraag: waarom zou je als schrijver van deze code zo'n mechanisme inbouwen?

Het is toch volstrekt nutteloos, omdat je doel is om zoveel mogelijk mensen te besmetten.

Ik kan me niet voorstellen dat deze constructie gebruikt wordt om ( bijv. binnen het locale netwerk van de schrijver(s) ervan, toch een geldige respons te geven) via het "doe niets domein" jezelf te vrijwaren.
Zoals je in de blogpost van MalwareTech kan lezen, is het mogelijk gebruikt in een sandbox environment:

"The reason which was suggested is that the domain is a “kill switch” in case something goes wrong, but I now believe it to be a badly thought out anti-analysis.

In certain sandbox environments traffic is intercepted by replying to all URL lookups with an IP address belonging to the sandbox rather than the real IP address the URL points to, a side effect of this is if an unregistered domain is queried it will respond as it it were registered (which should never happen).

I believe they were trying to query an intentionally unregistered domain which would appear registered in certain sandbox environments, then once they see the domain responding, they know they’re in a sandbox the malware exits to prevent further analysis. This technique isn’t unprecedented and is actually used by the Necurs trojan (they will query 5 totally random domains and if they all return the same IP, it will exit); however, because WannaCrypt used a single hardcoded domain, my registartion of it caused all infections globally to believe they were inside a sandbox and exit…thus we initially unintentionally prevented the spread and and further ransoming of computers infected with this malware."
Sorry, zie nu pas dat je al gepost hebt, wat ik zojuist heb gepost.
Wat ik me afvraag: waarom zou je als schrijver van deze code zo'n mechanisme inbouwen?
Tsja, dat weet alleen de schrijver van de ransomware helaas.

Ik kan iig een aantal redenen bedenken:

- Je sporen uitwissen als de aarde te heet wordt onder je voeten, bijvoorbeeld omdat men je op het spoor is.
- Een andere mogelijkheid zou kunnen zijn dat die site (nu dus een sinkhole) een command&control-server is, waardoor de ransomware potentieel weer nieuwe malware (of varianten van deze ransomware) zou kunnen downloaden, installeren en verspreiden vanaf die server.

Zo zullen er nog wel wat meer mogelijkheden zijn gok ik zo.

Het is dan natuurlijk wel oliedom van die schrijver dat hij het domain nog niet geregistreerd had.
Het is dan natuurlijk wel oliedom van die schrijver dat hij het domain nog niet geregistreerd had.
Dat lijkt me juist slim. Overal ter wereld kun je zo'n naam registreren. Dus als jij er aan toe bent kun je heel gemakkelijk de killswitch activeren zonder dat je daar van te voren al wat voor hoeft te regelen.
Ja, dat klopt. Maar je loopt het risico dat, zoals nu dus gebeurd is, een analist van een beveilingstoko je code ontrafeld en hier achter komt.

In zo'n geval kan zo'n beveiligingstoko dus je hele netwerk van infecties platleggen, waardoor je als schrijver alle moeite voor niets hebt gedaan.

De gebruikers en organisaties die getroffen zijn, zijn uiteraard wel blij met deze domme actie van de schrijver. Het is alleen te hopen dat hij niet nog een truc in zijn hoedendoos heeft zitten die hij kan opentrekken. Vooralsnog is in ieder geval het ergste leed weer geleden.
Ik ben alleen bang dat dit slechts een klein begin was.. Degene die dit heeft geschreven lijkt van de infrastructuur van een andere cracker gebruik gemaakt te hebben, waaronder de host file voor verspreiding, en lijkt alleen zelf de target payload toegevoegd te hebben plus wat kleine aanpassingen.

Je kan de donder er op zeggen dat ondertussen meer professionele crackers er mee bezig zijn en dat die hogere bedragen gaan eisen.
Ik ben alleen bang dat dit slechts een klein begin was.. Degene die dit heeft geschreven lijkt van de infrastructuur van een andere cracker gebruik gemaakt te hebben, waaronder de host file voor verspreiding, en lijkt alleen zelf de target payload toegevoegd te hebben plus wat kleine aanpassingen.
Degene die dit geschreven heeft zou wel eens gelyncht kunnen worden als hij/zij de keys niet snel vrijgeeft. Dit is veel te groot geworden.
De volgende keer doet de 'killswitch' ipv stopzetten gewoon ook de bestanden verwijderen en doorgaan natuurlijk.
Een zwakke schakel in die oplossing is volgens mij dan weer dat je een dns-request moet doen. Iemand met een eigen redirecting dns-server die een log bijhoudt ziet dat er gewoon tussen staan. Ook bijv. tools die TCP-activiteit monitoren kunnen die call naar buiten gewoon tonen.
Mogelijk was het onderdeel van een 'hoger plan' waarbij de ransomware schrijver uiteindelijk een flinke som geld zou eisen om de 'verspreiding' te stoppen?

Zo van: "Als jullie mij xxx som geld betalen, dan maak ik de malware onklaar en stopt de verspreiding." (al is "verspreiding" technisch niet echt correct, want het zijn gewoon allemaal losse infecties)

Als het geld dan binnen is, registreert de malwareschrijver het domein en idd, stokt de "verspreiding". Dan zitten we in ransomware 3.0, waarbij niet de focus is dat kleine organisaties gaan betalen om hun bestanden terug te krijgen, maar grote organisaties, of zelfs gemeenten, regeringen, etc, gaan betalen om verdere "verspreiding" te voorkomen. Immers, als je betaalt stopt de "verspreiding" ook echt, zo is de gedachte dan.

Ik weet niet, wellicht kijk ik te veel televisie en draaf ik door, maar ik heb zomaar het gevoel dat ransomware alleen maar veel engere vormen gaat aannemen. :(

[Reactie gewijzigd door AmonTobin op 13 mei 2017 11:31]

Mogelijk was het onderdeel van een 'hoger plan' waarbij de ransomware schrijver uiteindelijk een flinke som geld zou eisen om de 'verspreiding' te stoppen?
Hoe zie je dat precies voor je? Het is een globale switch, voor de hele wereld in één keer. Wie zou dat losgeld dan moeten betalen..., de VN!?
Hmmja goed punt en daar ben ik ook nog niet helemaal over uit.

Maar de kill-switch is er bewust in gezet en moet toch een bepaald doel hebben. En gezien dit criminelen met geldhonger zijn, moet het motief wel nog meer geld vergaren zijn.

Wat denk jij dat het uiteindelijke doel van de kill-switch is?

Edit: Laat maar. Marcel-- geeft in zijn post de meest lvoor de hand liggende verklaring voor de kill-switch. :)

[Reactie gewijzigd door AmonTobin op 13 mei 2017 15:32]

Het is dan natuurlijk wel oliedom van die schrijver dat hij het domain nog niet geregistreerd had.
Een registratie zou mogelijk herleidbaar zijn naar de schrijver.
mwah, ik kan redelijk makkelijk anoniem een domein registreren
Stel je wordt gepakt. Dan kun je de killswitch als leverage gebruiken. "Ik geef de killswitch in ruil voor strafvermindering".

Een url als killswitch is heel slim, omdat de maker van de malware rustig kan zeggen dat er een killswitch bestaat, zonder dat die gelijk gevonden wordt. Een url is niet de eerste plek waar je de killswitch zoekt. Was ook bij toeval gevonden.

[Reactie gewijzigd door PizzaMan79 op 13 mei 2017 14:14]

Wat ik me afvraag: waarom zou je als schrijver van deze code zo'n mechanisme inbouwen?
Het is toch volstrekt nutteloos, omdat je doel is om zoveel mogelijk mensen te besmetten.
Als je gepakt wordt en de aanval kunt stoppen dan kan je dta natuurlijk strafvermindering opleveren. Ook kan het zijn dat deze persoon ook nog ergens een geweten heeft, als het doel (een x bedrag aan geld ontvangen) bereikt is de verpreiding stoppen. Daarmee zal ook de jacht op de dader wat verminderd worden.
Ik betwijfel dat de jacht op de dader verminderd gaat worden zelfs wanneer hij de killswitch gebruikt. De NHS platleggen betekent dat het complete Verenigd Koninkrijk je aan het spit wil rijgen.
Ik ben bang dat de volgende variant niet alleen een domein gebruikt, maar ook een private key gaat nodig hebben, zodat niemand behalve de maker het kan stoppen.

Maar hulde voor deze onderzoeker zeg, ook al was het per toeval! _/-\o_
Als het uit de hand begint te lopen en er doden vallen bvb
De ransomware is helemaal niet door de NSA geschreven. Deze maakt alleen gebruik van exploits die uit de NSA lekken komen om zich te kunnen verspreiden.
Maar wat als de NSA die zaken gewoon gemeld had en niet zo gevaarlijk spel speelde door dit proberen geheim te houden en voor eigen doel te gebruiken, waarna het uitlekte en al dit leed veroorzaakte? Juist, dan had ik niet tot laat vannacht bezig geweest te checken of alles wel gepatched is. Alle procedures ten spijt ik kon het niet laten gister alles na te lopen. Bedankt hè NSA. Dat vind ik er van.
Dat is de discussie die we zouden moeten hebben. Maar wat gaan we echter krijgen: een heksenjacht, beveiligingstheater en weer een paar draconische repressieve wetten/regels erbij. En ik kreeg vandaag al te horen dat ik bij het halen van m'n volgende ID-kaart het beste mijn vingerafdrukken afvijl/afbrand of afsmelt.
edit: spelling

[Reactie gewijzigd door goarilla op 15 mei 2017 01:50]

Hoe komt men aan de source code van een Ransomware? Is zoiets niet voorafgaand aan het versturen gecompiled en dus in binary?
Zo te zien is het de output van een decompiler; Een stuk software dat een binary terugzet in een benadering van de originele broncode. Deze gegenereerde benadering van de broncode is nog steeds bagger om te lezen, maar iets beter dan de kale binary.

Dit kan je zien aan het feit dat de variablen v1, v2, v3, enz heten. Je kan met de resulterende broncode vervolgens zelf uitzoeken waar de variablen voor staan door te kijken wat ermee gedaan wordt en deze hernoemen naar eigen inzicht om zo het hele plaatje te begrijpen, vergelijkbaar met een kruiswoordpuzzel of een sudoku voor mensen die van een uitdaging houden.

Simpel voorbeeld; als je bijv. een stukje code ziet dat luistert naar een muis-klik en bij iedere klik een variable genaamd `v33` +1 doet, kan je ervan uitgaan dat `v33` beter `mouse_clicks_count` genoemd kan worden.

Ander voorbeeld; Stel, je ziet een stukje code als [mono]if(v49.status == 200) exit();[/mono]. Vervolgens zoek je uit waar `v49` vandaan komt en je ziet iets als [mono]get_http_response("http://" + v31)[/mono] dan kan je ervan uitgaan dat `v49` een HTTP response bevat en die noem je dan [mono]http_response[/mono] en `v31` bevat een url; die hernoem je dan naar [mono]kill_switch_url[/mono]. Vervolgens zoek je waar [mono]kill_switch_url[/mono] gezet wordt en dan vind je [mono]kill_switch_url = "my_domain.com"[/mono]

[Reactie gewijzigd door Gamebuster op 13 mei 2017 11:31]

Wel opvallend dat de precieze url niet wordt vrijgegeven. Zou dat om veiligheidsredenen zijn? Of om te voorkomen dat iedereen ernaartoe gaat met als gevolg een onbedoelde ddos?
Xs4all heeft ook mij afgesloten - vermoedelijk omdat ik met Firefox (53.0.2 onder Android) deze Tweakers pagina las, met de volgende standaard instellingen (in about:config):

1) network.dns.disablePrefetch = false
2) network.prefetch-next = true

Die eerste leidt ertoe dat Firefox, als deze een clickable link ziet naar www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com in deze webpagina, alvast een DNS request doet. De tweede zorgt ervoor dat vervolgens ook de pagina maar vast gedownload wordt. Gemak dient de mensch?

Ofwel de DNS request, ofwel de http request (of beiden) hebben vermoedelijk Xs4all getriggerd om mij af te sluiten. Dat ik ben afgesloten vind ik vervelend, maar ik hoop van ganser harte dat Xs4all geen mensen met wannacry afsluit op het moment dat deze malware die killswitch pagina probeert te bereiken...
Want dan dendert wanacry natuurlijk lekker door!

Zojuist heb ik bijna een half uur aan de telefoon gehangen met Xs4all voordat ik iemand aan de lijn kreeg, maar die was niet op het niveau dat hij mij kon helpen (wel van zeer goede wil). Doorverbinden naar iemand van het abuse centre kon niet omdat die er maandag pas weer zouden zijn (lijkt me sterk, zeker in zo'n weekend als dit, maar goed).

Op zijn advies heb ik een mail naar het Abuse Centre van Xs4all gestuurd met deze vraag, maar of ik daar snel antwoord op krijg vraag ik me erg af.

Ten slotte is het aantal requests naar www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com door browsers als Firefox maar ook door menselijke geïnteresseerden natuurlijk NIET maatgevend voor het aantal wannacry besmettingen.

En last but not least een verzoek aan razorhead: kun je de link alsjeblieft non-clickable maken zodat browsers niet uit zichzelf verbinding gaan maken met de "killswitch" site en hun security-geïnteresseerde baasje wordt afgesloten? Thanks!

Edit 20170514 20:48: dank aan razorhead voor het "onherkenbaar" maken van de URL voor browsers!

[Reactie gewijzigd door Bitwiper_secu op 14 mei 2017 20:48]

De helpdesk was erg druk. Heb denk ik wel 45min moeten wachten. Heb meer dan een uur niet kunnen werken. Ik overweeg om van provider te veranderen want dit slaat nergens op. Mensen onterecht afsluiten is XS4ALL onwaardig.
Precies hetzelfde bij Zeelandnet. Ik las een blog op PCforum met als resultaat direct een blokkade. Helaas nog steeds niet terug aangesloten.
waarschwuwing: Xs4all heeft deze URL aan hun malware detectie database toegevoegd. Als je er op klikt wordt je van het internet afgesneden en in "isolatie" geplaatst omdat hun systeem denkt dat je besmet bent.

Best wel een goede zaak van xs4all, alleen jammer dat de notificatie van het feit dat je in isolatie bent geplaatst niet zo goed werkt. Het lijkt in eerste instantie op een storing bij de provider.

Edit: Xs4all heeft bevestigt dat de DNS lookup de trigger is.

[Reactie gewijzigd door locke960 op 14 mei 2017 17:52]

Die detectie deugt van geen kant. Het is mij overkomen. Ik kreeg de melding dat ik mijn windows computer eerst moest controleren. Best lastig als je alleen maar Linux computers hebt :(
Ik vind het schandalig en ik denk dat dit juridisch ook niet mag.
Door locke960:
> Xs4all heeft bevestigt dat de DNS lookup de trigger is.
Nou dat is lekker dan...

Uit het plaatje van Talos onderin het redactieartikel is duidelijk te zien dat WannaCry alleen stopt als de http request naar het kill switch domein succesvol was. Als je al afgesloten wordt op basis van de DNS request die net daarvoor plaatsvindt, lukt die http request natuurlijk niet en dendert WannaCry precies zo door als ik al vreesde!

Het zou mij niet verbazen als er onnodig infecties zijn geweest door suffe ISP's en antivirusboeren die het een goed idee vonden om je geen http toegang te geven tot het kill switch domein...
XS4ALL (en Zeelandnet) gebruiken virus detectie software die ook veel gebruikt wordt op bedrijfsnetwerken. In een bedrijfsnetwerk is het uiteraard erg nuttig om een WannaCry-infected PC zo snel mogelijk van het netwerk te isoleren.

In een ISP situatie is dat niet zo logisch, en eigenlijk contra-produktief, omdat je (op je oveirge devices) geen informatie over het virus meer kunt opzoeken.

Daarom heeft XS4ALL nu de detectie voor WannaCry via deze "kill switch" domeinen uitgeschakeld.

Overigens, ook bij klanten in quarantaine is het virus nog steeds uitgeschakeld, omdat het virus alleen controleert of de "kill switch" URL op te vragen is, de inhoud is onbelangrijk. Alleen als je in quarantaine bent ziet het virus dan de quarantaine pagina, maar dat boeit niet (in feite komt het dan dichter bij het detecteren van een sandbox :) )
Voor de mensen die er niet op durven te klikken. Het is een witte pagina met onopgemaakte tekst:

sinkhole.tech - where the bots party hard and the researchers harder.
Op de gist kun je de url zien maar dat is niet zo belangrijk en een tijdelijke oplossing. Om niet geïnfecteerd te raken moet je patchen.

https://gist.github.com/r...a5504f378b993ee6efbc0b168

[Reactie gewijzigd door Ventieldopje op 13 mei 2017 15:50]

Thx. Is idd niet de oplossing, maar zo te zien hebben de meeste bedrijven snel gepatcht.

Ik was gewoon benieuwd naar de url. Het is dus:
www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
Er zijn hele sites volgeschreven over hoe malware te reverse-engineeren is. Een aardige is bijvoorbeeld https://zeltser.com/reverse-malware-cheat-sheet/

MalwareBytes heeft er ook een goed blog over geschreven: https://blog.malwarebytes...-to-be-a-malware-analyst/

Op die manier kun je een heel eind komen.

Natuurlijk zullen anti-malware toko's nooit al hun trucs openbaar maken, om te voorkomen dat schrijvers van malware er omheen kunnen werken.
Disassembly, in dit geval met het tool Ida Pro. Er zijn natuurlijk meer disassembler maar Ida Pro is de meest gebruikte, zeker voor analyse van virussen en malware. Daarnaast is het mogelijk om plugins te gebruiken zoals de Hex Rays plugin die de disassembly kan converteren naar (pseudo) C
Geweldig nieuws! Hoop dat de ITers bij de getroffenen weer rustig kunnen slapen.
Ik zie in meer reacties dat mensen dit denken, maar dat is dus niet zo:
De registratie van de domeinnaam, die nu dient als sinkhole, zet alleen de verdere verspreiding van 'WannaCry' stop. Computers die al geïnfecteerd zijn en waarvan de bestanden dus versleuteld zijn, komen er nog niet zo makkelijk van af. Daar is het nog steeds wachten op bijvoorbeeld een decryptietool of het terugzetten van een backup. De 300 dollar aan losgeld in Bitcoin betalen is natuurlijk ook een optie, maar deze wordt afgeraden.
De ransomware heeft een functie waarmee een klein aantal bestanden 'gratis' hersteld kunnen worden. Dat wil zeggen; de sleutel zit in de ransomware of op de getroffen computer verstopt.

Nu is het dus wachten op een tool die die sleutel kan achterhalen, de bestanden herstellen en de ransomware veilig van het systeem kan halen. Met een beetje geluk zien we die binnen een paar dagen verschijnen.

[Reactie gewijzigd door Laloeka op 13 mei 2017 12:28]

Helaas...

Ik dacht inderdaad eerst ook dat dit zou werken. Werd er op Reddit echter op gewezen dat ransomware in veel gevallen een klein deel van je bestanden onversleuteld laat. Als je dan kiest voor het 'ontsleutelen' van een aantal bestanden doet hij dit niet echt (wat inderdaad de sleutel zou vereisen, die terug te vinden zou moeten zijn in het geheugen) maar laat je in plaats daarvan die paar nooit versleutelde bestanden zien.
Ik kan me ook voorstellen dat hij die gratis bestanden wel encrypt maar met een andere sleutel die anders is dan de sleutel die gebruikt wordt voor de de rest van je bestanden.
De nieuwe ransomware, ik denk dus deze ook, gebruikt per bestand een andere sleutel om te versleutelen.

Ben ze al (helaas) genoeg tegengekomen met mijn werk. Als je snel genoeg bent en de crypto stopt, dan heb je misschien een kans met 'vorige versies'

Nu zijn er al een tijdje tools beschikbaar welke deze crypto virussen/malware al tegenwerken/stoppen aan het begin.

Helaas patchen nog niet alle bedrijven bijtijds en onderzoeken ze ook dit soort mogelijkheden niet (voldoende)
Verre van lijkt mij. Ze zullen hun patchbeleid moeten hervormen, asap. Een kwetsbaarheid die twee maanden geleden is verholpen, en veelvuldig in het nieuws is geweest, is misbruikt. De impact laat duidelijk zien dat zelfs kritieke patches niet binnen twee maanden overal doorgevoerd zijn, dit moet beter.

Daarnaast zullen ze dit weekend wat overuurtjes draaien en zweet wegslaan om de backups terug te zetten - als ze die overal voor hebben. Een backup is leuk, maar als een groot deel van je bedrijf een restore nodig heeft....sjah, ik gok dat de capaciteit van dr backup-oplossing daar niet op berekend is.

De kans dat een tweede aanval komt (of meer dan twee) welke geen killswitch heeft is denk ik 100%. Is het geen copycat, dan is het wel dezelfde groep...misschien wel gebruik makend van een andere kwetsbaarheid (reeds gepatcht of niet...).

En die NSA/CIA leaks blijven maar komen dusja. Brace yourselves!

Op dit item kan niet meer gereageerd worden.


Nintendo Switch Samsung Galaxy S8+ LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True

*