Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 67 reacties

Nadat donderdagavond een decryptieprogramma was verschenen voor Windows XP-systemen die zijn ge´nfecteerd met de WannaCry-ransomware, is er inmiddels een aanvullende tool verschenen. Daarmee kunnen onder bepaalde voorwaarden onder meer Windows 7-systemen hersteld worden.

Europol laat vrijdagavond weten dat zijn Cybercrime Centre de decryptietool heeft getest en kan bevestigen dat deze onder bepaalde omstandigheden door WannaCry versleutelde bestanden kan terughalen. De tool, genaamd WanaKiwi, zoekt automatisch naar een bepaald bestand om de decryptie te starten. Dit lukt alleen als de benodigde priemgetallen zich nog in het geheugen van het besmette systeem bevinden. Het is dan ook een vereiste dat het systeem in kwestie niet ondertussen opnieuw is opgestart.

Een van de ontwikkelaars van de tool, Matt Suiche, schrijft dat er inmiddels bevestiging is dat de software werkt op geïnfecteerde Windows XP- en Windows 7-systemen. Daarbij heeft hij het over de x86-variant. Hij vermoedt dat WanaKiwi ook op besturingssystemen daartussen werkt. De tool bouwt voort op de decryptiesoftware voor Windows XP-systemen, die werd ontwikkeld door Adrien Guinet. Deze kwam donderdagavond beschikbaar onder de naam WannaKey.

Het verschil met WannaKey is dat de huidige tool in staat is om meer geïnfecteerde systemen te herstellen. De WannaCry-ransomware verspreidde zich niet naar Windows XP-systemen, hoewel de versleuteling wel werkte op dat OS. Windows 7 was wel kwetsbaar, waardoor WanaKiwi mogelijk een groter deel van de getroffen gebruikers kan helpen. Uit statistieken van beveiligingsbedrijf Kaspersky blijkt dat de 64bit-variant van Windows 7 veruit het zwaarst getroffen is door WannaCry.

WannaCry infecties statistieken

 Kaspersky-statistieken

WanaKiwi in werking, demo van Matt Suiche

Moderatie-faq Wijzig weergave

Reacties (67)

Laten we vooropstellen dat dit dus geen fout is in de wanacry malware, maar een "fout" danwel zoals @Fabbie schrijft, een eigenschap van het OS. Zoals beschreven door Matt Suiche in zijn blog:
as the Windows Crypt APIs on Windows XP are expecting a very strict input to work unlike Windows 10.
Als je de broncode bekijkt zie je dat het vernietigen van de sleutels in het geheugen op de juiste wijze in gang gezet wordt meteen na het genereren en exporteren van de sleutels.

Het is dan wel weer opmerkelijk dat de malware juist lijkt te werken onder Windows 10, een OS dat niet vatbaar was voor de SMB exploit (SMBv1 is standaard disabled). Je zou dus haast zeggen dat de malware ontwikkeld/getest is onder W10 (goed, het wissen van de sleutel uit het geheugen test je waarschijnlijk niet) en vervolgens uitgerust met een exploit voor oudere versies van Windows.

De tool is op het moment succesvol getest op de volgende besturingssystemen:
  • Windows XP x86
  • Windows Server 2003 x86
  • Windows 7 x86
Theoretisch zou de tool ook moeten werken op:
  • Windows Vista x86
  • Windows Server 2008 x86
  • Windows Server 2008 R2 x86
Op de voorwaarde dat je niet opnieuw opgestart hebt.
Het heeft geen enkele zin om de tool te proberen als je opnieuw opgestart hebt (geheugen is gewist). Tevens is de kans ook redelijk klein als je een week geleden besmet geraakt bent en de pc/server redelijk wat werkt verzet heeft (geheugen is overschreven).

[Reactie gewijzigd door eltweako op 21 mei 2017 12:03]

De SMB exploit wordt misbruikt om de malware in een netwerk te verspreiden. Als je de malware op andere manieren op het systeem weet te krijgen is W10 even kwetsbaar. Daarnaast staat SMBv1 vandaag wel uit, maar niet in de eerste RTM van W10.
Uiteraard, als iemand de wanacry malware zou uitvoeren via een phishing mailtje oid dan wordt Windows 10 ook gewoon besmet. Waar ik op doel is dat de malware het beste lijkt te werken op een OS waarvoor de ingebouwde exploit niet werkt. Met andere woorden, het meest geschikte systeem kan de malware niet automatisch besmetten.
Ik wil ook weer niet zo ver gaan als het een fout in het os te noemen. Bijna alle programmeertalen werken op die manier.
Als je een object vernietigd, wordt gewoon de pointer naar dat object verwijderd en blijft de data "zweven" in het geheugen totdat het overschreven wordt.
Wellicht dat dit er nu wel voor zorgt dat je een extra parameter of iets dergelijks aan je destroy commando kunt geven zodat het bijvoorbeeld na het vernietigen meteen overschreven wordt.
Je hebt gelijk, wellicht eerder een eigenschap van het OS dan een fout. Ik heb mijn post hier op aangepast.
Waarom staat er in de afbeelding 0,03% bij Windows 10, als die helemaal niet kwetsbaar zouden zijn?
Omdat Windows 10 standaard geen SMBv1 enabled heeft. Dit kan je wel aanzetten, met vulnerability als gevolg. Er zijn dus ook gewoon Windows 10 patches uitgebracht. Het statement dat Windows 10 niet vulnerable zou zijn geldt dus echt alleen maar in de "standaard" configuratie. Anderszijds is het zeker in een corporate omgeving allang niet meer nodig om SMBv1 enabled te hebben, alleen in heel heel erg specifieke gevallen.
Omdat Windows 10 standaard geen SMBv1 enabled heeft. Dit kan je wel aanzetten, met vulnerability als gevolg. Er zijn dus ook gewoon Windows 10 patches uitgebracht. Het statement dat Windows 10 niet vulnerable zou zijn geldt dus echt alleen maar in de "standaard" configuratie. Anderszijds is het zeker in een corporate omgeving allang niet meer nodig om SMBv1 enabled te hebben, alleen in heel heel erg specifieke gevallen.
Open je powershell.exe en geef dit commando
Get-SmbServerConfiguration | Select EnableSMB1Protocol, EnableSMB2Protocol
En je zal zien dat dit NIET zo vanzelfsprekend is.

Voor de volledigheid, zo zet je het uit
Set-SmbServerConfiguration -EnableSMB1Protocol $false

[Reactie gewijzigd door FreshMaker op 19 mei 2017 21:45]

[...]


Open je powershell.exe en geef dit commando

[...]


En je zal zien dat dit NIET zo vanzelfsprekend is.

Voor de volledigheid, zo zet je het uit

[...]
Oei bij mij stond ie nog aan (win 10 pro) thanks man.

Dus goed controleren die handel ook al heb je win10!
Ik bij mij stond het default aan. De standaard MS upgrade vanaf Win8 Pro.
|:(
WTF. Het stond inderdaad nog aan, zelfs terwijl mijn OS compleet geupdate is. Weliswaar heb ik software die ongewenste toegang ervan zeker kan blocken, maar nog steeds...
Als je OS geupdate is kan je dit gewoon aan laten, je bent dan niet meer vatbaar voor deze exploit.

Tenzij er nog een exploit inzit natuurlijk, maar de volgende wereldwijd misbruikte exploit hoeft natuurlijk niet perse in SMB te zitten.
Hoe kom je daar nou weer bij? Ik heb het gisteren nog op 3 Windows 10 apparaten uitgeschakeld, het stond toch echt aan..

Ging hierbij om een Home, Pro en Education installatie.

Microsoft legt hier netjes uit hoe je het kan uitschakelen: https://support.microsoft...,-and-windows-server-2012

[Reactie gewijzigd door NSG op 19 mei 2017 21:24]

Yep, hier stond deze optie ook standaard ingeschakeld op mijn enige Windows systeem (Windows 10 x64).
p.s. Enige wat vervelend is, is dat ik mijn D-Link DNS325 NASsen niet langer kan bereiken via Windows Verkenner nadat ik SMBv1 heb uitgeschakeld ... Daar moet ik nog wat op zien te verzinnen.
De eerste versie van windows 10 was wel kwetsbaar. De nieuwste versies niet.
Correct, dus een logischere verklaring van het lage percentage getroffen Windows 10 apparaten, is de nogal geforceerde automatische updates ik Windows 10.

Of misschien is het aantal Windows 10 apparaten dat door Adylkuzz getroffen is juist hoger? https://www.bleepingcompu...-the-wannacry-ransomware/

Edit: of http://thehackernews.com/...rnalblue-smb-exploit.html

[Reactie gewijzigd door NSG op 19 mei 2017 22:11]

Ik heb de nieuwste versie (Creators Update), maar SMB1 stond gewoon aan...
Als ik kijk naar welke patches Microsoft uitbracht was alleen Windows 10 versie 1703 niet kwetsbaar, voor de andere was er in maart een patch.
Enterprise LTSB 1607 en ik moest het zelf uitzetten. Strange... :/
Omdat altijd iemand het voor elkaar krijgt om z'n pc te slopen. »\_(ツ)_/»
Misschien een oude preview versie van win10, maar dit zijn alleen de statistieken van kaspersky.
De patch zou alleen het smbv1 issue dichten en niet je systeem immuun maken voor infectie.
Niet kwetsbaar voor directe verspreiding m.b.v. de exploit die word gebruikt. (waar Windows nu dus een patch voor heeft)
Het direct opstarten van de executable werkt dus gewoon wel.
Hoe ze aan de executable zijn gekomen, geen idee, phishing wellicht.
"Het is dan ook een vereiste dat het systeem in kwestie niet ondertussen opnieuw is opgestart"

De eerste reactie van mensen die dit mee maken is het systeem herstarten lijkt mij, dus denk dat er maar weinig mensen profijt van kunnen hebben.
Standaard regel bij gecompromitteerde systemen is ze van het netwerk halen en vooral niet herstarten. Maar inderdaad... niet iedereen heeft een security achtergrond...
vooral niet herstarten.
.. maar kijken hoe je bestanden een voor een versleuteld worden. Weinig mensen zijn zo dapper.
Dat komt omdat de meeste gebruikers geen degelijke backup hebben van hun bestanden en ze vrezen alles kwijt te raken.
ze vrezen alles kwijt te raken.
En dat risico zit er ook in. De meesten hebben logischerwijs liever 20.000 bestanden versleuteld dan alle 500.000.

Ik laat ook mijn huis niet helemaal afbranden als ik het tussentijds kan stoppen.
Meestal toont de malware zich maar nadat alles al versleuteld is.
Niet altijd. TeslaCrypt bijvoorbeeld, meldde zich na de herstart en slechts een deel van de mappen was versleuteld. Mijn zwager had het ding uitgezet voordat het een total loss was. Wederom uitgezet en een backup terug gezet.

edit: bijvoorbeeld

[Reactie gewijzigd door stresstak op 19 mei 2017 20:26]

[...]

.. maar kijken hoe je bestanden een voor een versleuteld worden. Weinig mensen zijn zo dapper.
Dat zie je niet want het gaat werkelijk razendsnel. Seconden.
Misschien bij andere virussen en wormen, maar bij TeslaCrypt was slechts een deel geraakt dankzij het afbreken..
Grappig, dat was precies mijn advies aan een goede vriend van me die mij ooit eens belde terwijl hij op een andere telefoon een zogenaamd MS medewerker aan de lijn had.

Hij was dus gebeld door "MS" met de mededeling dat ze zagen dat zijn computer een virus had, en dat ze hem wilde helpen dat te verwijderen. Daarvoor moest hij eerst een tool installeren, wat hij gedaan had. Toen bleek dat hij ervoor moest gaan betalen kreeg hij argwaan en belde hij mij voor advies.

Ik had natuurlijk meteen door dat het bullshit was, en in een plotseling heel helder moment zei ik: de lui aan de lijn houden, netwerkkabel eruit trekken, computer aan laten staan. Dan even controleren of je nog bij je persoonlijke bestanden kunt, en zo ja dan kun je ophangen en als de wiedeweerga een backup gaan maken (liefst vanaf het netwerk). Uiteindelijk bleek niets versleuteld bij het opnieuw opstarten, maar desalniettemin adviseerde ik hem om zijn Windows opnieuw te installeren.

Ze hebben hem in de komende periode nog regelmatig teruggebeld, en dat ging dan van gewoon direct ophangen tot scheldkannonades, maar het hield uiteindelijk op toen hij maar zei dat hij een Mac had :Y)
Tja, en toen het in volle gang was riepen de experts in de media dat je direct je computer uit moest zetten.
Kan me dat goed voorstellen, dan is het proces van encryptie ten minste gestopt. Weet niet zo goed hoe dit soort malware werkt, maar... als je zo'n HDD in een andere PC steekt, dan kun je denk ik redelijk veilig je bestanden recoveren toch? Ik bedoel, het is niet dat als er ergens een kwaadaardig stuk software opstaat het ook automatisch uitgevoerd wordt als proces... Of mis ik nu iets heel triviaals?

Als het inderdaad werkt zoals ik denk, dan is het inderdaad het beste advies 'm z.s.m. uit te zetten.
Ik heb geen idee hoe het werkt maar als ik t moest ontwerpen ging ik eerst op de achtergrond alles encrypten en zodra dat klaar is pas de melding tonen.

Misschien ben ik wel een crimineel mastermind :Y)
Klopt echter is het zo dat je diskusage en cpu verbruik omhoog gaan, dit kan opgemerkt worden
Er staat me bij dat een eerdere ransomware inderdaad zo werkte.
Eerst alles lekker rustig versleutelen zodat de gebruiker niks merkt qua vertraging, en als de gebruiker ondertussen iets reeds versleutelds wil hebben, on the fly ontsleutelen.
En als na een paar weken je backups door rotatie ook allemaal versleuteld zijn, de sleutel wissen en om geld vragen.
Maar goed het fijne (ahum) ervan ben ik vergeten.

[Reactie gewijzigd door N8w8 op 19 mei 2017 21:07]

Kan me dat goed voorstellen, dan is het proces van encryptie ten minste gestopt. Weet niet zo goed hoe dit soort malware werkt, maar... als je zo'n HDD in een andere PC steekt, dan kun je denk ik redelijk veilig je bestanden recoveren toch?
Ik weet niet of het met WannaCry zo werkt, maar als ik zoiets zou maken dan zou ik daar op zijn minst een soort MachineID gebruiken icm de encryptie. Dus dan zou in een andere PC steken niet veel helpen...
Yup, en daar komt bij dat de meeste ransomware pas melding geeft als het encrypten klaar is, wat vaak een tijdje duurt. Bij de gemiddelde thuis-PC is de kans groot dat de PC tijdens het encrypten uit wordt gezet voor de nacht / de werkdag / etc. Grote kans dus dat heel veel systemen helaas niets hebben aan deze tool.
Volgens mij heb je dat encrypteren direct door. Bij dat soort bewerkingen gaan de fans toch lekker blazen... Als ik dat merk op raar moment gluur ik vaak even in taakbeheer wat de oorzaak is.
Ligt er aan of je het als ransomware throttled of niet.
Als je het niet op een laag pitje zet, dan kunnen fans gaan blazen ja. Maar bin desktops valt dat niet heel erg op. Bij laptops en mobiele apparaten (Surface bijv) veel meer.

Maar als je het encrypten op een laag pitje zet en gewoon rustig aan door gaat, kan het prima zijn dat het niet opgemerkt wordt...
En juist volle bak encrypten als de gebruiker toch al met wat intensievere taken bezig is; CPU en Disk state zijn prima uit te lezen.

Als je Úcht wilt, is het mogelijk onopgemerkt te blijven. Het is wel flink lastig, maar niet onmogelijk :)
Jij, ik en waarschijnlijk iedereen die op deze site komt.
Maar lijkt me niet dat de, laat me nu zo noemen, gewone gebruiker dit ook gaat doen. De meeste weten nog niet eens wat taakbeheer is en/of inhoud
Dat hangt zeer sterk af van het systeem. Bij mij gaan de fans echt alleen hoorbaar draaien als FanXpert weer eens zit te prutsen. Aan de andere kant zijn er zat PCs die helemaal niet stil zijn; de fans hoor je sowieso. Ik kan me ook goed voorstellen dat het encrypten bewust op low prio wordt gedaan, juist om niet opgemerkt te worden.
Klein gokje: Run and RunOnce?
Misschien ook handig om te weten: Het grootste deel van consumenten in Nederland zitten op het netwerk van Ziggo. Laat nou net zijn dat Ziggo smb poort 445 standaard blokkeert.

Ik heb een tijdje geleden een SMB share opgezet op mijn VPS en bij mijn ouders werkte dit prima omdat zij op het netwerk van Kabel Noord (Friesland) zitten. Toen ik echter thuis kwam (Ziggo/Amsterdam) werkte de boel niet meer.

Na een tijdje googlen bleek dus dat Ziggo geen verkeer over het internet over poort 445 toestaat. Nou ben ik absoluut geen security expert, maar ik denk dat dit wel een meewegende factor is waarom het aantal infecties in Nederland relatief zo laag was ten opzichte van de rest van de getroffen landen.
Ik neem aan dat dit virus ook bekende bestanden heeft versleuteld (systeem bestanden, of plaatjes die met het besturingssysteem zijn meegeleverd). Als je het originele onversleutelde bestand hebt, en het versleutelde bestand, kan je de sleutel die gebruikt is dan niet uit rekenen?
Als er op een goede manier encryptie is toegepast, is dit niet mogelijk. Als je bijvoorbeeld iets versleuteld met AES kun je naast de sleutel ook nog een Initialization Vector gebruiken. Deze zogenaamde IV (of nonce) wordt volledig willekeurig gegenereerd en bij correct toegepaste encryptie ook maar een keer gebruikt. Dit zorgt er voor dezelfde data, die met dezelfde sleutel versleuteld er toch niet hetzelfde uitziet.
Dit lukt alleen als de benodigde priemgetallen zich nog in het geheugen van het besmette systeem bevinden.
Gebruikt de encryptiemethode dan niet steeds dezelfde priemgetallen?
Nope, beetje ransomware zal voor elke werkstation een eigen primeset gebruiken.
De bestanden die daarmee worden gecodeerd worden (mag ik hopen) niet weer door een ander werkstation met eenzelfde wannacry-versie hergecodeerd.

Wel interessant }> trouwens om uit te proberen, Wordt een reeds gecodeerd bestand door een volgende wannacry gehercodeerd ? In theorie moet je dan voor gedeelde bestanden twee keer (of vaker) bticons betalen
Nope, beetje ransomware zal voor elke werkstation een eigen primeset gebruiken.
De bestanden die daarmee worden gecodeerd worden (mag ik hopen) niet weer door een ander werkstation met eenzelfde wannacry-versie hergecodeerd.

Wel interessant }> trouwens om uit te proberen, Wordt een reeds gecodeerd bestand door een volgende wannacry gehercodeerd ? In theorie moet je dan voor gedeelde bestanden twee keer (of vaker) bticons betalen
Ik begreep dat de extensie van het bestand wordt aangepast. Het zal dan niet nog een keer geencrypt worden.
Dan zou je met ÚÚn gekochte unlock key alle pc's kunnen helpen.
Hoe komen ze er bij dat de WannaCry malware zich niet naar XP verspreidde? Dat was toch het geval bij de Engelse NHS?
Hu ik dacht dat XP juist het grootste slachtoffer was?
De WannaCry-ransomware verspreidde zich niet naar Windows XP-systemen, hoewel de versleuteling wel werkte op dat OS.
Correctie: er zijn geen gevallen bekend van ge´nfecteerde XP systemen. Het OS op zich is even kwetsbaar als de recentere versies.
Niet vanaf XP systemen toch?
Want? XP is al jaren in de minderheid t.o.v. Windows 7.
Als je getroffen bent, en je pc niet uit kan zetten. Kan je dan niet bijv. met device manager je HDD uitschakelen als fysiek device om daarmee alsnog verdere encryptie te stoppen?

Is er malware die zo slim is om disabled devices in te schakelen om ze alsnog te infecteren?

[Reactie gewijzigd door Aphelion op 20 mei 2017 07:41]

Ik ben ook wel nieuwsgierig ja :Y)
Hoe ga je de schijf uitzetten waar het OS op staat? Je verwacht dat je PC dan blijft doorpruttelen?
Je moet je belangrijke data ook niet op je systeemschijf zetten natuurlijk :+
Niet. En zeker in de tijd van een SSD voor het OS en een data HDD is het niet onaannemelijk dat je daarmee je data dus wel kan uitschakelen.
MoKaNi, dank je voor de info. Ik zit zelf ook bij Ziggo. Wilde bijna dit tooltje even opstarten. Ik had vorig jaar ook ransomware op mijn XP desktop PC staan. Harde schijf eruit gehaald, op schone laptop aangesloten en ben er 3 dagen mee bezig geweest. na verschillende keren schoonmaken en opstarten verscheen het ransom scherm weer. Na de 3de dag, en diverse anti-malware /virus programmas gebruikt te hebben was de pc eindelijk weer schoon. Voor een leek is zoiets bijna niet te doen. Ikzelf werk al sind 1983 met computers.


Om te kunnen reageren moet je ingelogd zijn



Nintendo Switch Samsung Galaxy S8+ LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One (Scorpio) Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True

*