Onderzoekers publiceren WannaCry-decryptor voor Windows 7 en andere systemen

Nadat donderdagavond een decryptieprogramma was verschenen voor Windows XP-systemen die zijn geïnfecteerd met de WannaCry-ransomware, is er inmiddels een aanvullende tool verschenen. Daarmee kunnen onder bepaalde voorwaarden onder meer Windows 7-systemen hersteld worden.

Europol laat vrijdagavond weten dat zijn Cybercrime Centre de decryptietool heeft getest en kan bevestigen dat deze onder bepaalde omstandigheden door WannaCry versleutelde bestanden kan terughalen. De tool, genaamd WanaKiwi, zoekt automatisch naar een bepaald bestand om de decryptie te starten. Dit lukt alleen als de benodigde priemgetallen zich nog in het geheugen van het besmette systeem bevinden. Het is dan ook een vereiste dat het systeem in kwestie niet ondertussen opnieuw is opgestart.

Een van de ontwikkelaars van de tool, Matt Suiche, schrijft dat er inmiddels bevestiging is dat de software werkt op geïnfecteerde Windows XP- en Windows 7-systemen. Daarbij heeft hij het over de x86-variant. Hij vermoedt dat WanaKiwi ook op besturingssystemen daartussen werkt. De tool bouwt voort op de decryptiesoftware voor Windows XP-systemen, die werd ontwikkeld door Adrien Guinet. Deze kwam donderdagavond beschikbaar onder de naam WannaKey.

Het verschil met WannaKey is dat de huidige tool in staat is om meer geïnfecteerde systemen te herstellen. De WannaCry-ransomware verspreidde zich niet naar Windows XP-systemen, hoewel de versleuteling wel werkte op dat OS. Windows 7 was wel kwetsbaar, waardoor WanaKiwi mogelijk een groter deel van de getroffen gebruikers kan helpen. Uit statistieken van beveiligingsbedrijf Kaspersky blijkt dat de 64bit-variant van Windows 7 veruit het zwaarst getroffen is door WannaCry.

Kaspersky-statistieken

WanaKiwi in werking, demo van Matt Suiche

Door Sander van Voorst

Nieuwsredacteur

Feedback • 19-05-2017 19:2468

19-05-2017 • 19:24

68 Linkedin

Lees meer

Personen achter WannaCry-ransomware legen bitcoinwallets met losgeld Nieuws van 3 augustus 2017
'Systemen van nieuw Brits vliegdekschip draaien op Windows XP' Nieuws van 27 juni 2017
Microsoft waarschuwt voor aanval en brengt noodpatch voor Windows XP uit Nieuws van 13 juni 2017
Belgische politie vraagt WannaCry-slachtoffers zich te melden Nieuws van 9 juni 2017
Kaspersky dient klacht in over Microsoft bij Europese Commissie Nieuws van 6 juni 2017
'WannaCry trof meer dan 700.000 unieke ip-adressen' Nieuws van 30 mei 2017
Beveiligingsbedrijf vindt meer aanwijzingen voor WannaCry-link met Noord-Korea Nieuws van 23 mei 2017
Examenklacht-site van LAKS lag plat door WannaCry-ransomware Nieuws van 19 mei 2017
Ontwikkelaar maakt WannaCry-decryptor voor Windows XP Nieuws van 19 mei 2017
Wetsvoorstel VS dwingt NSA om overheidsorganen te informeren over zero-days Nieuws van 18 mei 2017
'NSA meldde kwetsbaarheden aan Microsoft voor Shadowbrokers-publicatie' Nieuws van 18 mei 2017
Shadowbrokers kondigen abonnement op exploits aan Nieuws van 16 mei 2017
Meer producten en artikelen
Netwerk en systeembeheer Encryptie Ransomware Security

Reacties (68)

-Moderatie-faq
68
68
46
11
1
10
Wijzig sortering
eltweako
19 mei 2017 19:59
Laten we vooropstellen dat dit dus geen fout is in de wanacry malware, maar een "fout" danwel zoals @Fabbie schrijft, een eigenschap van het OS. Zoals beschreven door Matt Suiche in zijn blog:
as the Windows Crypt APIs on Windows XP are expecting a very strict input to work unlike Windows 10.
Als je de broncode bekijkt zie je dat het vernietigen van de sleutels in het geheugen op de juiste wijze in gang gezet wordt meteen na het genereren en exporteren van de sleutels.

Het is dan wel weer opmerkelijk dat de malware juist lijkt te werken onder Windows 10, een OS dat niet vatbaar was voor de SMB exploit (SMBv1 is standaard disabled). Je zou dus haast zeggen dat de malware ontwikkeld/getest is onder W10 (goed, het wissen van de sleutel uit het geheugen test je waarschijnlijk niet) en vervolgens uitgerust met een exploit voor oudere versies van Windows.

De tool is op het moment succesvol getest op de volgende besturingssystemen:
  • Windows XP x86
  • Windows Server 2003 x86
  • Windows 7 x86
Theoretisch zou de tool ook moeten werken op:
  • Windows Vista x86
  • Windows Server 2008 x86
  • Windows Server 2008 R2 x86
Op de voorwaarde dat je niet opnieuw opgestart hebt.
Het heeft geen enkele zin om de tool te proberen als je opnieuw opgestart hebt (geheugen is gewist). Tevens is de kans ook redelijk klein als je een week geleden besmet geraakt bent en de pc/server redelijk wat werkt verzet heeft (geheugen is overschreven).

[Reactie gewijzigd door eltweako op 21 mei 2017 12:03]

Blokker_1999
@eltweako19 mei 2017 20:22
De SMB exploit wordt misbruikt om de malware in een netwerk te verspreiden. Als je de malware op andere manieren op het systeem weet te krijgen is W10 even kwetsbaar. Daarnaast staat SMBv1 vandaag wel uit, maar niet in de eerste RTM van W10.
eltweako
@Blokker_199919 mei 2017 20:49
Uiteraard, als iemand de wanacry malware zou uitvoeren via een phishing mailtje oid dan wordt Windows 10 ook gewoon besmet. Waar ik op doel is dat de malware het beste lijkt te werken op een OS waarvoor de ingebouwde exploit niet werkt. Met andere woorden, het meest geschikte systeem kan de malware niet automatisch besmetten.
Fabbie
@eltweako21 mei 2017 11:32
Ik wil ook weer niet zo ver gaan als het een fout in het os te noemen. Bijna alle programmeertalen werken op die manier.
Als je een object vernietigd, wordt gewoon de pointer naar dat object verwijderd en blijft de data "zweven" in het geheugen totdat het overschreven wordt.
Wellicht dat dit er nu wel voor zorgt dat je een extra parameter of iets dergelijks aan je destroy commando kunt geven zodat het bijvoorbeeld na het vernietigen meteen overschreven wordt.
eltweako
@Fabbie21 mei 2017 12:03
Je hebt gelijk, wellicht eerder een eigenschap van het OS dan een fout. Ik heb mijn post hier op aangepast.
bommel
@eltweako20 mei 2017 06:50
Windows 2008 R2 is er enkel als 64 bit (https://msdn.microsoft.co...op/dd371688(v=vs.85).aspx)
WokeBroke
19 mei 2017 19:42
Waarom staat er in de afbeelding 0,03% bij Windows 10, als die helemaal niet kwetsbaar zouden zijn?
redfoxert
@WokeBroke19 mei 2017 19:52
Omdat Windows 10 standaard geen SMBv1 enabled heeft. Dit kan je wel aanzetten, met vulnerability als gevolg. Er zijn dus ook gewoon Windows 10 patches uitgebracht. Het statement dat Windows 10 niet vulnerable zou zijn geldt dus echt alleen maar in de "standaard" configuratie. Anderszijds is het zeker in een corporate omgeving allang niet meer nodig om SMBv1 enabled te hebben, alleen in heel heel erg specifieke gevallen.
FreshMaker
@redfoxert19 mei 2017 21:43
Omdat Windows 10 standaard geen SMBv1 enabled heeft. Dit kan je wel aanzetten, met vulnerability als gevolg. Er zijn dus ook gewoon Windows 10 patches uitgebracht. Het statement dat Windows 10 niet vulnerable zou zijn geldt dus echt alleen maar in de "standaard" configuratie. Anderszijds is het zeker in een corporate omgeving allang niet meer nodig om SMBv1 enabled te hebben, alleen in heel heel erg specifieke gevallen.
Open je powershell.exe en geef dit commando
Get-SmbServerConfiguration | Select EnableSMB1Protocol, EnableSMB2Protocol
En je zal zien dat dit NIET zo vanzelfsprekend is.

Voor de volledigheid, zo zet je het uit
Set-SmbServerConfiguration -EnableSMB1Protocol $false

[Reactie gewijzigd door FreshMaker op 19 mei 2017 21:45]

rickboy333
@FreshMaker20 mei 2017 00:00
[...]


Open je powershell.exe en geef dit commando

[...]


En je zal zien dat dit NIET zo vanzelfsprekend is.

Voor de volledigheid, zo zet je het uit

[...]
Oei bij mij stond ie nog aan (win 10 pro) thanks man.

Dus goed controleren die handel ook al heb je win10!
JDDD
@rickboy33320 mei 2017 14:56
Ik bij mij stond het default aan. De standaard MS upgrade vanaf Win8 Pro.
|:(
MicBenSte
@FreshMaker22 mei 2017 10:01
WTF. Het stond inderdaad nog aan, zelfs terwijl mijn OS compleet geupdate is. Weliswaar heb ik software die ongewenste toegang ervan zeker kan blocken, maar nog steeds...
Oerdond3r
@MicBenSte22 mei 2017 12:39
Als je OS geupdate is kan je dit gewoon aan laten, je bent dan niet meer vatbaar voor deze exploit.

Tenzij er nog een exploit inzit natuurlijk, maar de volgende wereldwijd misbruikte exploit hoeft natuurlijk niet perse in SMB te zitten.
NSG
@redfoxert19 mei 2017 19:59
Hoe kom je daar nou weer bij? Ik heb het gisteren nog op 3 Windows 10 apparaten uitgeschakeld, het stond toch echt aan..

Ging hierbij om een Home, Pro en Education installatie.

Microsoft legt hier netjes uit hoe je het kan uitschakelen: https://support.microsoft...,-and-windows-server-2012

[Reactie gewijzigd door NSG op 19 mei 2017 21:24]

Titan_Fox
@NSG19 mei 2017 21:14
Yep, hier stond deze optie ook standaard ingeschakeld op mijn enige Windows systeem (Windows 10 x64).
Titan_Fox
@Titan_Fox22 mei 2017 12:33
p.s. Enige wat vervelend is, is dat ik mijn D-Link DNS325 NASsen niet langer kan bereiken via Windows Verkenner nadat ik SMBv1 heb uitgeschakeld ... Daar moet ik nog wat op zien te verzinnen.
Luchtbakker
@WokeBroke19 mei 2017 20:05
De eerste versie van windows 10 was wel kwetsbaar. De nieuwste versies niet.
NSG
@Luchtbakker19 mei 2017 21:23
Correct, dus een logischere verklaring van het lage percentage getroffen Windows 10 apparaten, is de nogal geforceerde automatische updates ik Windows 10.

Of misschien is het aantal Windows 10 apparaten dat door Adylkuzz getroffen is juist hoger? https://www.bleepingcompu...-the-wannacry-ransomware/

Edit: of http://thehackernews.com/...rnalblue-smb-exploit.html

[Reactie gewijzigd door NSG op 19 mei 2017 22:11]

ATS
@Luchtbakker20 mei 2017 11:16
Ik heb de nieuwste versie (Creators Update), maar SMB1 stond gewoon aan...
Ge Someone
@Luchtbakker20 mei 2017 15:11
Als ik kijk naar welke patches Microsoft uitbracht was alleen Windows 10 versie 1703 niet kwetsbaar, voor de andere was er in maart een patch.
YangWenli
@Luchtbakker20 mei 2017 23:12
Enterprise LTSB 1607 en ik moest het zelf uitzetten. Strange... :/
lukjah
@WokeBroke19 mei 2017 19:46
Omdat altijd iemand het voor elkaar krijgt om z'n pc te slopen. ¯\_(ツ)_/¯
nicodier
@WokeBroke19 mei 2017 19:51
Misschien een oude preview versie van win10, maar dit zijn alleen de statistieken van kaspersky.
Cergorach
@WokeBroke19 mei 2017 19:51
De patch zou alleen het smbv1 issue dichten en niet je systeem immuun maken voor infectie.
Yaminike
@WokeBroke19 mei 2017 19:55
Niet kwetsbaar voor directe verspreiding m.b.v. de exploit die word gebruikt. (waar Windows nu dus een patch voor heeft)
Het direct opstarten van de executable werkt dus gewoon wel.
Hoe ze aan de executable zijn gekomen, geen idee, phishing wellicht.
fragbastard
19 mei 2017 19:30
"Het is dan ook een vereiste dat het systeem in kwestie niet ondertussen opnieuw is opgestart"

De eerste reactie van mensen die dit mee maken is het systeem herstarten lijkt mij, dus denk dat er maar weinig mensen profijt van kunnen hebben.
elsinga
@fragbastard19 mei 2017 19:50
Standaard regel bij gecompromitteerde systemen is ze van het netwerk halen en vooral niet herstarten. Maar inderdaad... niet iedereen heeft een security achtergrond...
stresstak
@elsinga19 mei 2017 20:00
vooral niet herstarten.
.. maar kijken hoe je bestanden een voor een versleuteld worden. Weinig mensen zijn zo dapper.
SH4D3H
@stresstak19 mei 2017 20:04
Dat komt omdat de meeste gebruikers geen degelijke backup hebben van hun bestanden en ze vrezen alles kwijt te raken.
stresstak
@SH4D3H19 mei 2017 20:19
ze vrezen alles kwijt te raken.
En dat risico zit er ook in. De meesten hebben logischerwijs liever 20.000 bestanden versleuteld dan alle 500.000.

Ik laat ook mijn huis niet helemaal afbranden als ik het tussentijds kan stoppen.
Blokker_1999
@stresstak19 mei 2017 20:19
Meestal toont de malware zich maar nadat alles al versleuteld is.
stresstak
@Blokker_199919 mei 2017 20:25
Niet altijd. TeslaCrypt bijvoorbeeld, meldde zich na de herstart en slechts een deel van de mappen was versleuteld. Mijn zwager had het ding uitgezet voordat het een total loss was. Wederom uitgezet en een backup terug gezet.

edit: bijvoorbeeld

[Reactie gewijzigd door stresstak op 19 mei 2017 20:26]

Anoniem: 310408
@stresstak21 mei 2017 10:00
[...]

.. maar kijken hoe je bestanden een voor een versleuteld worden. Weinig mensen zijn zo dapper.
Dat zie je niet want het gaat werkelijk razendsnel. Seconden.
stresstak
@Anoniem: 31040821 mei 2017 13:14
Misschien bij andere virussen en wormen, maar bij TeslaCrypt was slechts een deel geraakt dankzij het afbreken..
.oisyn
@elsinga20 mei 2017 10:30
Grappig, dat was precies mijn advies aan een goede vriend van me die mij ooit eens belde terwijl hij op een andere telefoon een zogenaamd MS medewerker aan de lijn had.

Hij was dus gebeld door "MS" met de mededeling dat ze zagen dat zijn computer een virus had, en dat ze hem wilde helpen dat te verwijderen. Daarvoor moest hij eerst een tool installeren, wat hij gedaan had. Toen bleek dat hij ervoor moest gaan betalen kreeg hij argwaan en belde hij mij voor advies.

Ik had natuurlijk meteen door dat het bullshit was, en in een plotseling heel helder moment zei ik: de lui aan de lijn houden, netwerkkabel eruit trekken, computer aan laten staan. Dan even controleren of je nog bij je persoonlijke bestanden kunt, en zo ja dan kun je ophangen en als de wiedeweerga een backup gaan maken (liefst vanaf het netwerk). Uiteindelijk bleek niets versleuteld bij het opnieuw opstarten, maar desalniettemin adviseerde ik hem om zijn Windows opnieuw te installeren.

Ze hebben hem in de komende periode nog regelmatig teruggebeld, en dat ging dan van gewoon direct ophangen tot scheldkannonades, maar het hield uiteindelijk op toen hij maar zei dat hij een Mac had :Y)
Dennisdn
@fragbastard19 mei 2017 20:01
Tja, en toen het in volle gang was riepen de experts in de media dat je direct je computer uit moest zetten.
casparvl
@Dennisdn19 mei 2017 20:19
Kan me dat goed voorstellen, dan is het proces van encryptie ten minste gestopt. Weet niet zo goed hoe dit soort malware werkt, maar... als je zo'n HDD in een andere PC steekt, dan kun je denk ik redelijk veilig je bestanden recoveren toch? Ik bedoel, het is niet dat als er ergens een kwaadaardig stuk software opstaat het ook automatisch uitgevoerd wordt als proces... Of mis ik nu iets heel triviaals?

Als het inderdaad werkt zoals ik denk, dan is het inderdaad het beste advies 'm z.s.m. uit te zetten.
NLAnaconda
@casparvl19 mei 2017 20:30
Ik heb geen idee hoe het werkt maar als ik t moest ontwerpen ging ik eerst op de achtergrond alles encrypten en zodra dat klaar is pas de melding tonen.

Misschien ben ik wel een crimineel mastermind :Y)
xleeuwx
@NLAnaconda19 mei 2017 20:37
Klopt echter is het zo dat je diskusage en cpu verbruik omhoog gaan, dit kan opgemerkt worden
N8w8
@NLAnaconda19 mei 2017 21:07
Er staat me bij dat een eerdere ransomware inderdaad zo werkte.
Eerst alles lekker rustig versleutelen zodat de gebruiker niks merkt qua vertraging, en als de gebruiker ondertussen iets reeds versleutelds wil hebben, on the fly ontsleutelen.
En als na een paar weken je backups door rotatie ook allemaal versleuteld zijn, de sleutel wissen en om geld vragen.
Maar goed het fijne (ahum) ervan ben ik vergeten.

[Reactie gewijzigd door N8w8 op 19 mei 2017 21:07]

Cybergamer
@casparvl20 mei 2017 01:14
Kan me dat goed voorstellen, dan is het proces van encryptie ten minste gestopt. Weet niet zo goed hoe dit soort malware werkt, maar... als je zo'n HDD in een andere PC steekt, dan kun je denk ik redelijk veilig je bestanden recoveren toch?
Ik weet niet of het met WannaCry zo werkt, maar als ik zoiets zou maken dan zou ik daar op zijn minst een soort MachineID gebruiken icm de encryptie. Dus dan zou in een andere PC steken niet veel helpen...
Zarhrezz
@fragbastard19 mei 2017 20:05
Yup, en daar komt bij dat de meeste ransomware pas melding geeft als het encrypten klaar is, wat vaak een tijdje duurt. Bij de gemiddelde thuis-PC is de kans groot dat de PC tijdens het encrypten uit wordt gezet voor de nacht / de werkdag / etc. Grote kans dus dat heel veel systemen helaas niets hebben aan deze tool.
Anoniem: 498327
@Zarhrezz19 mei 2017 20:57
Volgens mij heb je dat encrypteren direct door. Bij dat soort bewerkingen gaan de fans toch lekker blazen... Als ik dat merk op raar moment gluur ik vaak even in taakbeheer wat de oorzaak is.
Raventhorn
@Anoniem: 49832720 mei 2017 01:49
Ligt er aan of je het als ransomware throttled of niet.
Als je het niet op een laag pitje zet, dan kunnen fans gaan blazen ja. Maar bin desktops valt dat niet heel erg op. Bij laptops en mobiele apparaten (Surface bijv) veel meer.

Maar als je het encrypten op een laag pitje zet en gewoon rustig aan door gaat, kan het prima zijn dat het niet opgemerkt wordt...
En juist volle bak encrypten als de gebruiker toch al met wat intensievere taken bezig is; CPU en Disk state zijn prima uit te lezen.

Als je écht wilt, is het mogelijk onopgemerkt te blijven. Het is wel flink lastig, maar niet onmogelijk :)
TiCop
@Anoniem: 49832720 mei 2017 06:54
Jij, ik en waarschijnlijk iedereen die op deze site komt.
Maar lijkt me niet dat de, laat me nu zo noemen, gewone gebruiker dit ook gaat doen. De meeste weten nog niet eens wat taakbeheer is en/of inhoud
Zarhrezz
@Anoniem: 49832720 mei 2017 15:06
Dat hangt zeer sterk af van het systeem. Bij mij gaan de fans echt alleen hoorbaar draaien als FanXpert weer eens zit te prutsen. Aan de andere kant zijn er zat PCs die helemaal niet stil zijn; de fans hoor je sowieso. Ik kan me ook goed voorstellen dat het encrypten bewust op low prio wordt gedaan, juist om niet opgemerkt te worden.
Ron242
@fragbastard20 mei 2017 02:02
Klein gokje: Run and RunOnce?
MokaNi
20 mei 2017 11:18
Misschien ook handig om te weten: Het grootste deel van consumenten in Nederland zitten op het netwerk van Ziggo. Laat nou net zijn dat Ziggo smb poort 445 standaard blokkeert.

Ik heb een tijdje geleden een SMB share opgezet op mijn VPS en bij mijn ouders werkte dit prima omdat zij op het netwerk van Kabel Noord (Friesland) zitten. Toen ik echter thuis kwam (Ziggo/Amsterdam) werkte de boel niet meer.

Na een tijdje googlen bleek dus dat Ziggo geen verkeer over het internet over poort 445 toestaat. Nou ben ik absoluut geen security expert, maar ik denk dat dit wel een meewegende factor is waarom het aantal infecties in Nederland relatief zo laag was ten opzichte van de rest van de getroffen landen.
satoer
20 mei 2017 12:51
Ik neem aan dat dit virus ook bekende bestanden heeft versleuteld (systeem bestanden, of plaatjes die met het besturingssysteem zijn meegeleverd). Als je het originele onversleutelde bestand hebt, en het versleutelde bestand, kan je de sleutel die gebruikt is dan niet uit rekenen?
dev10
@satoer20 mei 2017 14:56
Als er op een goede manier encryptie is toegepast, is dit niet mogelijk. Als je bijvoorbeeld iets versleuteld met AES kun je naast de sleutel ook nog een Initialization Vector gebruiken. Deze zogenaamde IV (of nonce) wordt volledig willekeurig gegenereerd en bij correct toegepaste encryptie ook maar een keer gebruikt. Dit zorgt er voor dezelfde data, die met dezelfde sleutel versleuteld er toch niet hetzelfde uitziet.
Kalief
19 mei 2017 21:57
Dit lukt alleen als de benodigde priemgetallen zich nog in het geheugen van het besmette systeem bevinden.
Gebruikt de encryptiemethode dan niet steeds dezelfde priemgetallen?
PtrO
@Kalief19 mei 2017 22:26
Nope, beetje ransomware zal voor elke werkstation een eigen primeset gebruiken.
De bestanden die daarmee worden gecodeerd worden (mag ik hopen) niet weer door een ander werkstation met eenzelfde wannacry-versie hergecodeerd.

Wel interessant }> trouwens om uit te proberen, Wordt een reeds gecodeerd bestand door een volgende wannacry gehercodeerd ? In theorie moet je dan voor gedeelde bestanden twee keer (of vaker) bticons betalen
Franckey
@PtrO19 mei 2017 23:30
Nope, beetje ransomware zal voor elke werkstation een eigen primeset gebruiken.
De bestanden die daarmee worden gecodeerd worden (mag ik hopen) niet weer door een ander werkstation met eenzelfde wannacry-versie hergecodeerd.

Wel interessant }> trouwens om uit te proberen, Wordt een reeds gecodeerd bestand door een volgende wannacry gehercodeerd ? In theorie moet je dan voor gedeelde bestanden twee keer (of vaker) bticons betalen
Ik begreep dat de extensie van het bestand wordt aangepast. Het zal dan niet nog een keer geencrypt worden.
Orthodroom
@Kalief20 mei 2017 10:14
Dan zou je met één gekochte unlock key alle pc's kunnen helpen.
ArtGod
20 mei 2017 06:58
Hoe komen ze er bij dat de WannaCry malware zich niet naar XP verspreidde? Dat was toch het geval bij de Engelse NHS?
Damic
19 mei 2017 19:39
Hu ik dacht dat XP juist het grootste slachtoffer was?
catwheel18
@Damic19 mei 2017 19:41
De WannaCry-ransomware verspreidde zich niet naar Windows XP-systemen, hoewel de versleuteling wel werkte op dat OS.
Blokker_1999
@catwheel1819 mei 2017 20:21
Correctie: er zijn geen gevallen bekend van geïnfecteerde XP systemen. Het OS op zich is even kwetsbaar als de recentere versies.
ATS
@catwheel1820 mei 2017 11:17
Niet vanaf XP systemen toch?
SpoekGTi
@Damic19 mei 2017 19:41
Want? XP is al jaren in de minderheid t.o.v. Windows 7.
Aphelion
20 mei 2017 07:41
Als je getroffen bent, en je pc niet uit kan zetten. Kan je dan niet bijv. met device manager je HDD uitschakelen als fysiek device om daarmee alsnog verdere encryptie te stoppen?

Is er malware die zo slim is om disabled devices in te schakelen om ze alsnog te infecteren?

[Reactie gewijzigd door Aphelion op 20 mei 2017 07:41]

WybrenPC
@Aphelion20 mei 2017 09:22
Ik ben ook wel nieuwsgierig ja :Y)
ItsNotRudy
@Aphelion20 mei 2017 10:39
Hoe ga je de schijf uitzetten waar het OS op staat? Je verwacht dat je PC dan blijft doorpruttelen?
ATS
@ItsNotRudy20 mei 2017 11:18
Je moet je belangrijke data ook niet op je systeemschijf zetten natuurlijk :+
Aphelion
@ItsNotRudy21 mei 2017 19:26
Niet. En zeker in de tijd van een SSD voor het OS en een data HDD is het niet onaannemelijk dat je daarmee je data dus wel kan uitschakelen.
WinterMute2025
20 mei 2017 15:38
MoKaNi, dank je voor de info. Ik zit zelf ook bij Ziggo. Wilde bijna dit tooltje even opstarten. Ik had vorig jaar ook ransomware op mijn XP desktop PC staan. Harde schijf eruit gehaald, op schone laptop aangesloten en ben er 3 dagen mee bezig geweest. na verschillende keren schoonmaken en opstarten verscheen het ransom scherm weer. Na de 3de dag, en diverse anti-malware /virus programmas gebruikt te hebben was de pc eindelijk weer schoon. Voor een leek is zoiets bijna niet te doen. Ikzelf werk al sind 1983 met computers.
novasurp
@WinterMute202530 mei 2017 13:38
Waarom niet gewoon een nieuw besturingssysteem installeren?
1 2

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee