×

Help Tweakers weer winnen!

Tweakers is dit jaar weer genomineerd voor beste nieuwssite, beste prijsvergelijker en beste community! Laten we ervoor zorgen dat heel Nederland weet dat Tweakers de beste website is. Stem op Tweakers en maak kans op mooie prijzen!

Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Grote ransomwareaanval treft organisaties meerdere landen - update

Door , 370 reacties

Dinsdag zijn diverse bedrijven en organisaties in onder andere India, Oekraïne, Rusland, het Verenigd Koninkrijk en ook Nederland getroffen door ransomware, vermoedelijk de software Petya. Net als WannaCry lijkt Petya gebruik te maken van de Eternalblue-exploit bij de verspreiding.

De eerste meldingen over de verspreiding begonnen bij claims dat banken, energiemaatschappijen, tv-stations en bedrijven in Oekraïne getroffen werden door een internetaanval. Onder andere de centrale bank van het land en vliegtuigbouwer Antonov kregen met de malware te maken. De overheid van Oekraïne wees volgens de Kyiv Post met de beschuldigende vinger naar Rusland, maar ook uit dat buurland kwamen berichten van aanvallen, onder andere op de servers van oliemaatschappij Rosneft.


Getroffen supermarkt in Oekraïne, foto: liveuamap.com

Dinsdagmiddag verschenen er meer meldingen van bedrijven dat ze malwareaanvallen te duchten hadden. Het ging onder andere om het Spaanse voedselbedrijf Mondelez en de juridische onderneming DLA Piper, het Franse constructiebedrijf St Gobain en het Britse reclamebedrijf WPP, schrijft de BBC.

Ook in Nederland waren de gevolgen merkbaar. De systemen van containerbedrijf Maersk en dochteronderneming APM Terminals werden getroffen, waardoor containerterminals in de haven van Rotterdam platlagen. In de reacties op dat artikel melden meerdere tweakers dat ook het bedrijf waar zij werken, is getroffen door de ransomware. Een gebruiker spreekt van een bedrijf dat wereldwijd vijftigduizend werknemers heeft, een andere gebruiker heeft het over een bedrijf met een Fortune 50-notering. Over welke bedrijven het precies gaat, doen de tweakers geen uitlatingen. Volgens RTV Oost is ook bouwmaterialengroothandel Raab Karcher getroffen.

Meerdere beveiligingsdeskundigen en antivirusbedrijven, zoals Avira, Kaspersky en F-Secure, hebben samples van de malware onderzocht en deze herleid tot de Petya-ransomware. Petya lijkt volgens Emsisoft van de Eternalblue-exploit gebruik te maken bij de verspreiding, maar bevestigd is dit nog niet. Mocht dat wel zo zijn, dan zou het updaten van Windows besmetting moeten voorkomen. In mei wist de WannaCry-ransomware veel slachtoffers te maken door eveneens van Eternalblue gebruik te maken. Deze exploit is oorspronkelijk door de NSA ontwikkeld en misbruikt lekken in het SMB-protocol.

Update: Beveiligingsbedrijf Symantec stelt op Twitter dat de Petya-ransomeware inderdaad net als WannaCry gebruikmaakt van de Eternalblue-exploit voor de verspreiding. Beveiligingsbedrijf BitDefender bevestigt dit en gebruikt de aanduiding GoldenEye voor de ransomware. Er is inmiddels een Twitter-kanaal in het leven geroepen om betalingen aan het in de mededeling getoonde bitcoinadres te volgen.

Update 2: Kaspersky heeft de eerste statistieken over infecties per land gedeeld. Daaruit blijkt dat tot nu toe Oekraïne en Rusland het zwaarst zijn getroffen. RTL meldt op basis van eigen bronnen dat TNT eveneens is getroffen, maar het bedrijf kan dit niet bevestigen. Het farmaceutische bedrijf Merck meldt dat zijn computersystemen zijn getroffen door een 'wereldwijde hack'.

Update 3: Beveiligingsonderzoeker Rik van Duijn, van het Nederlandse DearBytes, laat desgevraagd aan Tweakers weten dat het erop lijkt dat de malware zich via psexec en het huidige gebruikersaccount via het lokale netwerk probeert te verspreiden. Daarvoor heeft de malware ongeveer een uur de tijd, waarna een reboot plaatsvindt en het bericht verschijnt dat bestanden zijn versleuteld. Hij ziet eveneens Eternalblue als verspreidingsmechanisme. Hij zegt: "Als deze malware zich naast Eternalblue ook via kwaadaardige bestanden verspreidt en daarbij gebruikmaakt van CVE-2017-0199, dan is deze variant beter opgezet dan WannaCry." Dat er daadwerkelijk van de genoemde kwetsbaarheid gebruik wordt gemaakt, is echter nog niet volledig duidelijk. Onder meer beveiligingsonderzoeker Matthew Hickey noemde deze mogelijkheid. De malware schijnt zich ook door het netwerk heen te bewegen aan de hand van wmi. Er lijkt geen killswitch in de Petya-ransomware te zitten zoals bij WannaCry het geval was.

Update 4: Reuters heeft een lijst met tot nu toe getroffen organisaties gepubliceerd. Het Duitse Posteo heeft laten weten dat het e-mailadres dat in het bericht van de ransomware wordt genoemd, sinds vanmiddag gesloten is. Daardoor kunnen geen betalingen geverifieerd worden en is decryptie na betaling niet mogelijk. Er wordt daarom aangeraden niet te betalen.

Update 5: Er bestaat onduidelijkheid over de vraag of er daadwerkelijk sprake is van de Petya-ransomware. Kaspersky claimt dat het om een nieuw soort ransomware gaat, die het zelf daarom NotPetya heeft genoemd. Onderzoeker Matthew Hickey zegt dat het idee dat er gebruikgemaakt wordt van de kwetsbaarheid met kenmerk CVE-2017-0199 mogelijk voortkomt uit het feit dat er tegelijkertijd een aanval met andere malware plaatsvond, genaamd Loki. AFP bericht dat de stralingsmetingen bij de Tsjernobyl-kerncentrale in Oekraïne handmatig moeten worden uitgevoerd omdat het op Windows draaiende controlesysteem door de internetaanval tijdelijk is uitgeschakeld.

Door Olaf van Miltenburg

Nieuwscoördinator

27-06-2017 • 17:03

370 Linkedin Google+

Lees meer

Reacties (370)

Wijzig sortering
Ze kunnen geen mails meer ontvangen.
Posteo, the German email provider, has suspended the email address i.e. wowsmith123456@posteo.net, which was behind used by the criminals to communicate with victims after getting the ransom to send the decryption keys.

[Reactie gewijzigd door wallywally op 27 juni 2017 21:23]

Ze kunnen nog steeds bitcoins ontvangen maar ze kunnen geen decrypt key meer sturen omdat ze niet meer bereikbaar zijn.
Lekker dan, mensen die bitcoins overmaken zijn dan dubbel de sjaak.
Ook zou ik zeggen dat een pakkans groter was als je de stroom van de mails eventueel inzichtelijk had gekregen. Mogelijk nog steeds onmogelijk maar nu sluit je de enige communicatiestroom uit. Ze hadden zelfs de keys kunnen uitlezen en mogelijk de encryptie algoritme kunnen ontdekken

[Reactie gewijzigd door ultimasnake op 27 juni 2017 22:25]

Als Posteo als de e-maildienst door was blijven zetten, dan kunnen zij een claim voor medeplichtigheid tegemoet zien. Hetgeen het einde van de bedrijfsvoering zou inluiden.

Nu heeft men op voorhand al de stekker uit het hele verdienmodel getrokken voordat het echt kon gaan renderen en valt alle blaam ten dele aan de "onbetrouwbare criminelen".

Ik hoop vooral dat men nu leert dat updates moeten worden geïnstalleerd en dat er altijd backups moeten worden gemaakt.
stekker uit het verdienmodel? hoezo... nu kunnen ze nog steeds verdienen, maar kunnen de gedupeerden hun bestanden helemaal niet meer terugkrijgen... en onbetrouwbare criminelen of niet, de grotere vissen zullen altijd geneigd zijn te betalen "in de hoop dat", ook als de kans statistich gezien klein is.
Nou ja, nu krijgen degene die betalen hun data niet terug, dit geeft het beeld dat betalen het niet oplost. De volgende Ransomware aanval zal dan minder geld opleveren omdat er dan opeens geen zekerheid is dat ze hun data terug krijgen. Minder bedrijven zullen dan maar gaan betalen.
Ja dat bedoelde ik dus :+
Wat een ontzettend domme actie bij posteo. Lekker dan, AL je files encrypted, en geen snelle manier om ze te decrypten. Wat zijn de mensen bij dit bedrijf denkende?

Het is niet aan Posteo om mensen en bedrijven de kans te ontnemen hun gegijzelde data terug te krijgen, al dan niet tegen betaling. Betalen is een weloverwogen keuze die je maakt. Wat schiet posteo hier mee op? Ze maken een statement over de rug van degenen die getroffen zijn, ontzettend ondoordacht & asociaal.

[Reactie gewijzigd door paradoXical op 27 juni 2017 22:16]

Dit is geen domme reactie; Dit is vanuit juridisch oogpunt de enige juiste reactie om te voorkomen dat Posteo aansprakelijk gehouden kan worden voor alle schade die een gevolg is van het in de lucht houden van het betreffende mailadres. Zodra je als service provider wetenschap hebt van illegale activiteiten via jouw service, moet je de betreffende activiteiten/content offline brengen, anders hang je als provider zelf. Als ISP zou ik niet voor deze schade op willen draaien....
Dat het juridisch juist is maakt het niet de enige juiste reactie. Nu ga je er blind van uit dat de wetgeving waterdicht is.
Daarom zeg ik ook "vanuit juridisch oogpunt"; ik zeg niet dat het praktisch en ethisch de beste oplossing is
is er een juridisch bevel geweest dan?
Ze hadden ook het password (inclusief filters/forward) van die mailbox aan kunnen passen. Komt de mail netjes binnen en hadden ze in de 'faillog' kunnen zien waar vandaan gepoogd wordt die mailbox in te zien. Er zal vast wel een overweging achter zitten die de gedane keuze het minst slecht maakt...
Goeie kans dat dit al lang gebeurd is. En dat ze het nu sluiten om de mogelijke inkomsten van deze afpersing te minimaliseren.
En als de criminele erg hongerig naar geld zijn zullen ze misschien een nieuw email adres in het leven proberen te roepen. Wat een nieuw spoor richting de daders kan opleveren.
nee, betalen om het systeem in stand te houden waardoor anderen ook de sjaak worden is sociaal 8)7
Ik zeg nergens dat ik dit 'sociaal' vind. Het is echter niet aan jou, mij of aan Posteo om deze beslissing voor een ander te maken.
Het is dus wel aan Posteo. Er zitten criminelen op hun netwerk, en worden volgens de gebruiksregels eraf getrapt. Geen geld en oprotten. Wie zegt dat ze uberhaupt alles ongedaan maken als je betaald hebt?
Geen geld en oprotten.
Wel geld dus, want dat hebben de slachtoffers dan al betaald, alvorens zij er achter komen dat ze hun betaalbewijs niet naar de criminelen kunnen sturen.

Ik snap het wel van posteo maar dit is wel EXTREEM zuur voor de slachtoffers.

Hopelijk wordt dit heel snel overal bekend en realiseren de slachtoffers zich op tijd dat betalen geen zin meer heeft.
Reageren op dit soort dingen doe je niet alleen voor de huidige situatie.

Als mensen betaald hebben, en alsnog hun bestanden niet hebben, dan horen tientallen zo niet honderden mensen dat om hun heen. Bij een volgende aanval betalen steeds minder mensen, en binnen no-time is het zinloos om dit soort aanvallen op te zetten.
Omdat zoveel slachtoffers betalen voor deze ransomware zul je zien dat deze steeds vaker terug zullen komen. Nu Posteo dat heeft geblokkeerd, kan het zijn dat het beeld van "Betalen en data terug" verdwijnt, waardoor dit soort aanvallen niet meer zo lucratief zijn...
(ook @francoski hieronder)
Ik ben het met jullie beiden eens hoor, dit is op termijn een gunstige stap omdat het het businessmodel van randomsware ondermijnt. Het is alleen heel erg zuur voor de mensen die zich dit niet op tijd realiseren en nu én hun geld, én hun bestanden kwijt zijn.
dat is zeker zo, maar er moet toch echt wat gedaan worden. Dit is een pijnlijke eerste stap, maar dit zal uiteindelijk de ransomware probleem in een later geval oplossen.
Ze hebben hem voor hunzelf gemaakt...niet op ons netwerk, lijkt me ook een zienswijze
Als mensen nu betalen doen ze het sowieso voor niks. Het is te hopen dat het bericht dat het mailadres niet meer bestaat mensen die wilden betalen doet stoppen, dan komt er tenminste nog iets goeds van.

[Reactie gewijzigd door mark-k op 28 juni 2017 09:02]

Betalingen gaan nog gewoon door... https://twitter.com/petya_payments
Natuurlijk gaan de betalingen door. Er zijn bedrijven welke miljoenen per dag mislopen door deze malware. Dan is het betalen van 300 dollar (per pc) een heel erg goed(koop) alternatief..

Want er zijn ook weer opnieuw ziekenhuizen getroffen. En als patienten komen te overlijden omdat zij niet die 300 dollar wilde betalen, dan kunnen die ziekenhuizen vaak alsnog aansprakelijk worden gesteld omdat ze niet alles hebben gedaan om hun systemen weer werkend te krijgen..
zo natuurlijk is dat niet, hoe verstuur je je key dan ? als je niemand kan communiceren kan je ook niet decypten, vanuit gaande dat je een key krijgt die werkt.
Want als nu hun e-mail word gesloten, zal de volgende hack groep geen ransomware meer maken? Dit geloof je zelf toch hopelijk ook niet? Ze zullen hooguit een andere manier gebruiken van communiceren dan een @posteo e-mail.
Kan natuurlijk ook op basis van een bevel zijn van een overheidsorganisatie :)
Misschien wil het bedrijf niet dat hun service wordt gebuikt voor criminele doeleinden? Of moeten ze dat dan zomaar toestaan?
Feit dat mensen betalen houd deze praktijk in stand. Ik vind het een prima beslissing.
Ik twijfel hier ook aan ja, was dit wel verstandig?

Goed, hopelijk heeft het bedrijf gewoon van bovenaf (lees: overheid) deze opdracht gekregen, dan schieten ze zichzelf ook niet in de voeten.
Nee, Posteo wenst geen criminelen te faciliteren.
Lijkt me een heel duidelijk statement.
Vervelend voor de getroffen bedrijven en privé personen maar door te betalen beloon je criminaliteit.
Betalen is geen weloverwogen keuze maar een gewoon chantage doordat je bestanden gegijzeld zijn.
Ik vraag me werkelijk af wanneer al je data encrypted is, en de communicatie afgesneden wordt, je hier ook zo over zou denken. Eigenlijk weet ik het antwoord al. Sorry, maar 300 USD, of mijn data. Het zou voor mij een erg eenvoudige keuze zijn, ik ben hier heel eerlijk in.
Als ik geen backups heb gemaakt dan zal ik op de blaren moeten zitten. No way dat ik criminelen ga belonen met geld voor hun daden.
Dus jouw principes zijn je meer waard dan je data? Nou dat is hier dus echt niet het geval. Mijn data is me veel meer waard dan die 300 euro. Maar goed, dit moet iedereen voor zichzelf weten.
Natuurlijk is je data meer waard dan 300 euro.
Investeer dus in een GOEDE backup, dat kost je minder dan 300 euro.
Bedrijven hebben uiteraard een andere manier om backups te maken en terug te zetten maar het principe blijft gelijk. Niet betalen en zorgen dat je eigen backup policies in orde zijn.
Ik investeer dat geld liever in goede back-ups. :) Als je data je zoveel waard is, wat ik goed kan begrijpen, dan heb je ongetwijfeld al een super back-upoplossing staan en zou dit helemaal niet zo snel voor moeten komen.

Als het zo ver komt dat je AL je data kwijt bent door een aanval als deze, dan was de data je ook niet veel waard imo. Je harde schijf kan immers ook elk moment kapot gaan...

[Reactie gewijzigd door Frietsaus op 28 juni 2017 18:15]

Beetje mosterd na de maaltijd, veel consumenten draaien nu eenmaal geen backup's, of nog niet.

Als het zo ver komt dat je AL je data kwijt bent door een aanval als deze, dan was de data je ook niet veel waard imo. Je harde schijf kan immers ook elk moment kapot gaan...

Dit staat geheel los van elkaar, dit is een verkeerde aanname, dit kun jij niet voor een ander bepalen. Maar dat is mijn hele punt. Een slachtoffer moet zelf de keuze hebben in mijn ogen.
Want een beetje goede hacker kan alles decrypten? Waarom hebben we dan überhaupt nog encryptie, als het zo zinloos is?
Dag geld als ze dus geen update-service hebben geinstalleerd, of juist dag decryption keys als je dit niet weet. :P

[Reactie gewijzigd door NotCYF op 27 juni 2017 22:15]

Jazeker kunnen ze nog geld ontvangen, want dat gaat met bitcoin, niet met email.
Email word gebruikt om de decryptiesleutels terug te sturen en om te laten weten dat er betaald is.

Je betaalt dus, en stuurt een mailtje dat je betaalt hebt, maar het mailtje komt niet meer aan... rip.
Ja, ik schreef het verkeerd. Ik ben bekend in de crypto wereld ;)
Booten vanaf CD
Recovery console

bootrec /RebuildBcd
bootrec /fixMbr
bootrec /fixboot

En je PC'tje start weer, je user files zijn echter nog steeds encrypted ...
Dat werkt niet. Dit haalt het lockscreen weg maar het decrypt de MFT niet en daardoor zijn je files en Windows nog steeds niet toegankelijk! Dit biedt dus geen oplossing!

[Reactie gewijzigd door Bor op 28 juni 2017 08:39]

Dat is het probleem, de pc is een kleine kosten post om te herstellen. Maar een business shared drive kan dagen tot weken in beslag nemen om terug te zetten, mits er goede back-ups zijn.
Nu weet ik niet hoe jij je backups maakt. Maar als ik naar onze fileserver kijk, is deze binnen een halve dag wel terug gezet.
Ligt eraan hoeveel er op staat toch. Wij hebben voor legal cases tot 10 jaar terug aan bestanden. En wij gebruiken tape drives. Daar gaat wel even wat tijd in zitten.
Tapedrives? Dat heb ik in geen 30+ jaar meer gehoord.
Op dit moment is een tape nog steeds de beste disaster recovery als de storage schrijven van de tape library kapot/verbrand zijn.

Uiteraard zie je kleine mkb bedrijven naar de Cloud uitwijken, maar bij grotere bedrijven worden taps zeker nog gebruikt. Beheerde zelf een backup omgeving van 40TB+ en moet zeggen, het blijft zeer betrouwbaar.

Om weer on topic te komen. De vermoedens gaan dat de malware verspreid is om Btc en Eth een klap te geven. Wordt flink wat geld ingezet om mensen bang te maken om Bitcoints te gebruiken en ze hopen met dit soort praktijken dat te bereiken.

[Reactie gewijzigd door vali op 28 juni 2017 07:38]

In het verleden iets te vaak meegemaakt dat een tapebackup, ondanks correcte logs, tóch de backup niet hadden of gewoon niet leesbaar waren.

Hierop hebben we backup/restore checks ingepland bij alle klanten en té regelmatig bleek er toch niets te kloppen.
Nu naar NAS, én offsite én cloud en het enige wat nu naar boven komt is dat er incidenteel een mapje vergeten is aan te vinken :)

Geen tapes meer voor papa
Backup naar tape is nog steeds het meest snelle en het meest secure. Mits je met regelmaat de backup ook controleert. restore test doet. Wij maken de backups naar disk, naar tape en offsite (private cloud)replicatie. Voor ons geen backup naar public cloud. Die optie is te langzaam en te duur voor full backups.

Daarnaast. ransomware encrypt ook data shares. Dus ook online backup repositories. Een offline backup is dan juist op zo'n moment heel erg waardevol.

[Reactie gewijzigd door 0vestel0 op 28 juni 2017 08:52]

In het verleden iets te vaak meegemaakt dat een tapebackup, ondanks correcte logs, tóch de backup niet hadden of gewoon niet leesbaar waren.
Omgeving die ik beheerde werd de backup ook helemaal niet rechtstreeks op tape opgeslagen. Het wordt op harde schrijven weggeschreven en als disaster recovery naar tape. Als je meemaakte dat de backup niet uitgevoerd werd en/of niet leesbaar is, heb je echt de backup omgeving niet goed ingeregeld. Niet echt een goede excuus om tapes maar daarvoor de schuld te geven,
Vandaar de restoretests. Maar toch te vaak dat het niet betrouwbaar bleek.

Persoonlijk ga ik 10x voor disk en private cloud (geen mounts) backups dat dat ik op een medium wegschrijf wat zo gevoelig is als tape.
Rekening houdend met het feit dat je extern dienstverlener bent en je eindgebruikers moet laten sjouwen met tapes.

Gedoemd om te mislukken imho

Ben je intern en heb je zelfs nog een wisselaar/robot staan kan ik het me idd goed voorstellen dat je je disaster recovery nog extra op tape zet.
Vandaar de restoretests. Maar toch te vaak dat het niet betrouwbaar bleek.
Tja, misschien ligt het aan de persoon die de omgeving heeft opgezet? Ik heb nog nooit ervaren dat een restore niet uitgevoerd kon worden en/of dat data niet restored kon worden. Zelfs restoren van 6 jaar oude tapes ging zonder problemen. Uiteraard gaven tapes na 2 jaar bij het opnieuw herschrijven I/0 errors. Ook dit als je goed inregelt netjes opgevangen.

Als er iets belangrijk is in een IT omgeving is de backup en als dat niet op orde is kan het misschien komen dat misschien de verkeerde mensen het uitdenken en implementeren. Het is zeker niet gemakkelijk om een goede TSM omgeving op te zetten, maar als het draait is het niet kapot te krijgen.
wegschrijf wat zo gevoelig is als tape.
Gevoelig is als tape? Volgens mij snap je niet de voordelen van tapes tegenover disk als het gaat om langdurig opslaan van data. Heb ik nog niet de voordelen aangehaald die 0vestel0 ook aanhaalt.

[Reactie gewijzigd door vali op 29 juni 2017 00:29]

van de Btc en Eth, en ik moest mezelf meermaals corrigeren om de juiste spelling in de afkortingen juist te doen :) Maar backups op tapedrives, werkelijk dat was voor mij tig jaren terug! Aand we're back on topic !
Wordt nog veel gebruikt hoor, vooral bij grote dataarchieven die zelden geaccessed hoeven worden is tape een hele goede long term oplossing tegen een aantrekkelijke prijs per GB.
En tapes hebben een zeer lage datarot mits ze zo af en toe een keer worden "gespoeld"
Tape is zelfs nog prima bruikbaar als semi-active storage.
Momenteel werk ik aan een opslagsysteem waarvan maar een paar Petabyte op disk staat en de rest allemaal op tape. Gegeven dat je de infrastructuur hebt staan is tape met 10'000 euro per PB toch wel het meest betaalbare.
En het duurt ook wel even om dat te encrypten dmv. een virus ;)
Mijn excuses hoor maar tapes?

Nooit gehoord van Evault met een 2e vault op een 2e locatie of branch office?

En hoezo 40 Tb. je maakt toch niet iedere nacht een full van die volledige 40 Tb?

Net als bedrijven die VEEAM gebruiken als backup, VEEAM heeft een groot marktaandeel in de virtuele omgevingen. Maar die agent based backup werkt toch net even beter naar mijn mening.

VEEAM vind ik nog steeds een goede IR en DR functionaliteit hebben. Maar de compressie is compleet waardeloos, net als de dedup. Zelfs al zou je een 2012 R2 file instance erover heen laten gaan met een dedup. Moet je toch alweer een 2e instance erover heen laten gaan voor een knappere dedup.

Ontopic: Meestal wordt de malware verspreid via mail. een goed filter doet al wonderen. Wij draaien achter een Barracude en dat werkt echt subliem. Je zou ook kunnen kijken naar spamexperts, maar dan heb je nog steeds spam berichten.
Ga niet heel de backup omgeving hier beschrijven, maar ik beheerde tsm tivoli storage manager. Als je in de zorg werkt wil je hoe dan ook een backup hebben en ook al heb je uitwijk naar andere locatie (en die hadden wij) was het een eis dat er ook een backup op tapes plaats vindt. Ook moet vele data 10 jaar worden opgeslagen.
En hoezo 40 Tb. je maakt toch niet iedere nacht een full van die volledige 40 Tb?
TSM werkt met incremental forever principe. Dus nee, er wordt niet iedere dag een full backup gemaakt van 40 TB.

[Reactie gewijzigd door vali op 28 juni 2017 15:11]

Heb ook diverse zorg applicaties, de database houdt zelf 15 jaar alles vast binnen SQL.

Klinkt goed forever incremental, maar als je die data 10 jaar op tape moet bewaren. Tapes vergaan toch uiteindelijk ook? Heb ik al een paar keer gehad.... helaas. Niks cruciaals, want ik had de data op disk op 2 locaties en daarnaast nog een keer een tape. Maar goed..

[Reactie gewijzigd door tijgetje57 op 29 juni 2017 13:56]

Klinkt goed foverever incremental
Ik zou eerst eens inlezen wat incremental forever inhoudt. Dit is meer een methode hoe een backup wordt gemaakt. Met TSM (tegenwoordig IBM Spectrum Protect) wordt deze techniek ook op disk toegepast.
maar als je die data 10 jaar op tape moet bewaren. Tapes vergaan toch uiteindelijk ook?
Tot heden nog nooit ervaren. Ze kunnen met gemak stukken langer meegaan. Servers daar in tegen gaan niet 10 jaar meegaan. Ja, je kan met replicatie werken om data te verspreiden bij eventuele uitval, maar het onderhouden van zoveel storage 10 jaar lang is geen opgaven. Dat is ook de reden waarom in de enterprise wereld nog volop gebruikt wordt voor disaster recovery doeleinde. Het is wettelijk bepaald dat bepaalde data altijd opgevraagd kan worden en dan wil je het ook op een ander medium hebben als een grote storage bak.

[Reactie gewijzigd door vali op 29 juni 2017 16:20]

Dat ligt aan jou. :) Tapes worden nog wel degelijk gebruikt. Ik ben er qua gebruiksgemak ook geen fan van maar er zijn nog steeds scenario's waar tapeopslag een logische keuze is.
Zeer zeker dat tapes nog gebuikt worden.

Vaak een deel van het gehele backup schema. Grandfather-father-son, anyone?
Ik heb hier op mijn stage zelfs nog mee gewerkt, 2 jaar terug. Werkt nog steeds het beste volgens de ICTer daar.
Ik heb hier nog data staan op een commodore C16 met cassettebandjes
Haha dat dacht ik ook alleen jij wasme net voor!
24 uur later terugkijkend was dit eigenlijk spot-on, ik zit inderdaad al sinds 2008 niet meer in de branche, hoe zeer ik het ook mis. Tenminste niet meer in grote bedrijfsomgevingen maar meer in particuliere hulp, daar maakt geen mens meer gebruik van tapes. Sorry pindakaasman dat men je -1 gaf, maar mijn -1 was wel érg verdiend in deze :)
Haha, geeft niks, ik denk niet dat ik er wakker van ga liggen, ik werk zelf in de ICT in de healthcare en wij hebben een taperobot vol met DLT's waar we alles naartoe schrijven. Ik had zelf ook niet goed gekeken, en niet goed opgelet, wat iemand had deze opmerking al gemaakt maar dan meer onderbouwd dus misschien was de -1 zelfs terecht!!! de laatste keer dat ik thuis een tapedrive had is ook al even geleden :)
Maar die legal cases van 10 jaar terug heb je in geval van Disaster Recovery niet allemaal nu nodig. Daar kun je dus in je RTO (Recovery Time Objective) rekening mee houden: Actieve cases hebben een RTO van enkele uren, koude dossiers kunnen in een paar dagen daarna.
moet je toch mee oppassen hoor: vaak worden in legal cases verwezen naar cases in het verleden, vooral mbt uitspraken/afspraken etc...
Heb een rondleiding gehad bij de Friese zorgverzekering en die hadden dan ook backup servers die vrij snel konden terugzetten. Het zou wel moeten kunnen dat terugzetten van data.
Vergeet niet chkdsk <drivename> /r als eerste te doen.

[Reactie gewijzigd door Mastermind op 28 juni 2017 09:01]

Deze link: https://www.youtube.com/watch?v=vtDgA_aasfc (iemand anders heeft deze ook al hier gepost) lijkt de man op het einde te zeggen dat deze oplossing niet werkt voor de huidige variant...
Op Twitter circuleren berichten over een killswitch.
https://mobile.twitter.co...status/879810363088404480
Zijn de bestanden eventueel nog wel te kopieeren van uit een Herstelpunt met ShadowExplorer?

Dit heb ik ooit eens gebruikt bij een geencrypte PC. Alle data wel terug kunnen halen.
Leuk beestje, installeert de daadwerkelijk encryptende bootloader en crasht vervolgens opzettelijk het systeem. Niet automatisch herstarten na de BSOD en daarna de boot sector fixen voor ie z'n werk doet houd de boel tegen. Nasty.
Zou een TPM genoeg zijn om dit te voorkomen ?
Dat is meer Secure Boot dat dat voorkomt. Heb je niet per se een TPM voor nodig. bron. En ja, dat zou het inderdaad moeten voorkomen.

Een TPM op zichzelf doet helemaal niets op dit gebied. Het is alleen een veilige manier om private keys op te slaan. Het is de software die er gebruik van maakt en je kan het dan ook voor verschillende dingen gebruiken.

Zonder TPM is Secure Boot wel makkelijker te omzeilen maar ik weet niet of deze malware dat uberhaupt probeert.

[Reactie gewijzigd door GekkePrutser op 27 juni 2017 17:53]

Als Bitlocker met een TPM hier tegen beschermt is dat natuurlijk wel heel mooi. Het is ook nog eens niet heel duur om te doen. Een TPM kost 10 of 15 euro en verder heb je alleen de Pro versie van Windows nodig.
Bitlocker doet in dezen niets. Bitlocker versleutelt je schijf waardoor een dief bij verlies of diefstal niet bij je data kan. Dit virus kan alsnog je data vernaggelen door de encrypted data nog een keer te encrypten. Het is alleen Secure Boot dat tegen dit soort bootsector cryptovirussen beveiligt. En dat kan dus ook zonder TPM.

Het is wat moeilijker te omzeilen met TPM maar ook zonder ook niet bepaald makkelijk en hangt af van de versie en type UEFI firmware ('bios'). Het zou me verbazen als dit ding dat uberhaupt probeert.

Overigens hebben de meeste af-fabriek Windows 10 laptops Secure Boot al aan staan.

[Reactie gewijzigd door GekkePrutser op 27 juni 2017 19:04]

Met bitlocker ingeschakeld start je pc niet opnieuw op na een crash zoals veroorzaakt door deze Petya variant. Dat houdt dus in eerste instantie de encryptie van je pc tegen. Het is alleen mogelijk dat de encryptie op file niveau dan al heeft plaatsgevonden.
Volgens de video https://www.youtube.com/watch?v=vtDgA_aasfc is het geen crash maar een geschedulede reboot en vindt de encryptie pas na de reboot plaats. Dat biedt perspectieven icm bidlocker.
Yup. En als je naast Windows 10 een Ubuntu wil installeren met 3th party drivers krijg je een melding dat je Secure Boot moeten uitzetten.. wel jammer dat..
Niet per se, je kan je eigen keys maken en de gebruikte kernel signen en dan de keys toevoegen aan de TPM of de UEFI keystore.

Maar het is enorm veel gedoe om dat te doen.

[Reactie gewijzigd door GekkePrutser op 28 juni 2017 08:04]

Goede vraag, ik denk het niet. Je encrypte schijf (Bitlocker met TPM) wordt dan encrypted. Wel heel veilig ;)
Dat bedoel ik niet. De TPM word getriggert als er iets of iemand probeert iets te doen met de bootsector. Als ik bijvoorbeeld de BIOS update geeft de TPM al gelijk aan dat er mogelijk met het systeem is gepruts waardoor je de PC met Bitlocker niet kan booten zonder de recoverykey te gebruiken. Mocht er een stuk malware iets willen doen met de bootsector zal de TPM dit ook zien.

Ik vraag mij alleen af of infectie zo voorkomen kan worden als het systeem draait. Ik vermoed van wel, maar weet het niet zeker, vandaar de vraag :)
Dat bedoel ik niet. De TPM word getriggert als er iets of iemand probeert iets te doen met de bootsector.
De TPM is niet 'slim', en kan dus ook niet ingrijpen. Het ding kan alleen zaken ver/ontsleutelen en ondertekenen.
Als ik bijvoorbeeld de BIOS update geeft de TPM al gelijk aan dat er mogelijk met het systeem is gepruts waardoor je de PC met Bitlocker niet kan booten zonder de recoverykey te gebruiken.
Dat lijkt me juist omdat de TPM gewiped wordt bij een update. Er zijn maar twee kopieën van dé sleutel bij BitLocker, eentje in je TPM, de andere is de recovery key (+ evt. in AD).
Ik vraag mij alleen af of infectie zo voorkomen kan worden als het systeem draait. Ik vermoed van wel, maar weet het niet zeker, vandaar de vraag :)
Nee dus. De (MBR) code zal ook niet werken als je secure boot enabled hebt, dus dan eindig je waarschijnlijk in een UEFI prompt.

[Reactie gewijzigd door Thralas op 27 juni 2017 18:24]

Ik lees het volgende over gebruik van een TPM samen met Bitlocker.
BitLocker can use a TPM to verify the integrity of early boot components and boot configuration data. This helps ensure that BitLocker makes the encrypted drive accessible only if those components have not been tampered with and the encrypted drive is located in the original computer.

BitLocker helps ensure the integrity of the startup process by taking the following actions:

Provide a method to check that early boot file integrity has been maintained, and help ensure that there has been no adversarial modification of those files, such as with boot sector viruses or rootkits.
De vraag is dan of door gebruik van een TPM met Bitlocker aangegeven word dat er dingen veranderd zijn door de malware, of dat deze veranderingen ook echt tegengehouden worden. Dat is wat ik wou weten :)

[Reactie gewijzigd door PilatuS op 27 juni 2017 18:44]

Dat is een goede; de wereld blijkt zoals altijd net wat complexer dan deze in eerste instantie lijkt.

De TPM heeft blijkbaar ook (beperkte) ruimte voor log events en registers waar checksums in kunnen worden opgeslagen (PCR) en welke als voorwaarde kunnen worden gesteld voor het vrijgeven van sleutelmateriaal. Een aantal PCRs zijn afgeleid van je UEFI firmware.

Een UEFI-update invalideert die PCRs, dus kan BitLocker niet meer bij de sleutel en is je enige redding de recovery key.

Nu blijft het wel zo dat de essentie ongewijzigd is, de TPM kan enkel zaken bijhouden, niet zelf actie ondernemen. Het is je UEFI firmware die de eerste PCR registers vult en (uiteindelijk) de NT loader besluit te starten (en zou weigeren de Petya MBR-loader te booten met secure boot enabled), niet de TPM.

Ik vind het onderscheid in ieder geval belangrijk; je hebt immers ook ARM's TrustZone en Intel's SGX. Dat biedt werkelijk functionaliteit om code uit te voeren ipv. een 'domme' sleutelkluis/notaris.
.... Als ik bijvoorbeeld de BIOS update geeft de TPM al gelijk aan dat er mogelijk met het systeem is gepruts waardoor je de PC met Bitlocker niet kan booten zonder de recoverykey te gebruiken. ...
Dat is niet helemaal waar. Toen ik pas een BIOS update had gedaan vroeg die inderdaad om de BitLocker recovery key, maar dat kwam omdat de BIOS update Secure Boot had uitgezet (ook al stond dat volgens het BIOS scherm nog aan). Nog een keer Secure Boot uit en aan zetten loste dat op waarna Windows weer normaal kon starten, zonder de BitLocker recovery key nodig te hebben.
Als je hardwarematige root of trust zou implementeren dan ja; bitlocker gaat niets voor je doen

[Reactie gewijzigd door brittel op 27 juni 2017 23:50]

Inderdaad leuk beestje maar mijn vraag is op welk OS draaien de machine`s die geïnfecteerd zijn ?

old school w98? w7? w8.1 ?
Alle Windows versies die niet onlangs gepatched zijn.
De 'crash' is tot zover ik weet een keurige shutdown.exe /r /f , dus het herstarten na een BSOD uitschakelen zal je hierbij weinig helpen vrees ik.
Wellicht zit dit bij deze variant dan anders dan de originele petya.
Betalen heeft ook geen zin meer trouwens, de provider schijnt het mail adres afgesloten te hebben dus je kan het bewijs dat je betaald hebt ook niet meer kwijt :)

https://www.fox-it.com/nl...ws/live-ransomware-peyta/

Payment problems
[updated 20:14] The payment amount of $300, has to be paid in bitcoin, after which contact has to be made with the authors via the email address shown on the ransom screen. This email address however has been blocked by the provider, making it impossible to confirm payments to the people behind Petya.
Op de Github pagina van Vulners Team staat een korte analyse van de nieuwe variant van Petya. Daar vind je welke IP adressen gebruikt worden om het component (de dropper) van Petya te downloaden die hoogst vermoedelijk zorgt voor het versleutelen van de bestanden.

Het blokkeren van toegang tot die IP adressen in je firewall zou dus mogelijk al een begin zijn om te voorkomen dat de dropper wordt binnengehaald en dat de bestanden versleuteld wordt. Ik zeg mogelijk, want dit baseer ik op de info op de Github pagina waar ik het over had: https://gist.github.com/v...27d29d7a5de4c176baba45759.

Als iemand een concluderend antwoord heeft of dit werkt, dan hoor ik het graag. Momenteel moet ik nog starten met deze versie van Petya te analyseren.
Hier een video waarin laten zien wordt hoe de ransomware te werk gaat.

https://www.youtube.com/watch?v=vtDgA_aasfc
De ransomware lijkt zich te verspreiden d.m.v. WMIC (bron: https://twitter.com/0x09al/status/879702450038599681)

Schijnt ook misbruik te maken van een kwetsbaarheid in Office CVE-2017-0199.

[Reactie gewijzigd door Safaci op 27 juni 2017 17:19]

Vervelend weer.....

Maar deze malware lijkt zich te richten op de lokale computer. Betekend dit dat hij zich niet verspreid naar netwerk shares en deze versleuteld?
Deze ransomware verspreid zich ook via het SMB-1 protocol, wat voor netwerk shares juist wordt gebruikt. Zo snel mogelijk SMB-1 uitschakelen dus. Zie hier:In de blog van Microsoft staat ook uitgelegd hoe je dit uitschakelt.

[Reactie gewijzigd door AnonymousWP op 27 juni 2017 17:24]

Met het uitschakelen van SMB zijn je netwerkschijven toch ook niet meer bereikbaar?
Je kunt gebruik maken van bijvoorbeeld SMB versie 3.1.1, wat op het moment de nieuwste versie is: https://en.wikipedia.org/wiki/Server_Message_Block#SMB_3.1.1

https://en.wikipedia.org/wiki/Server_Message_Block#Security

Zit onder andere in Windows Server 2016: https://blogs.technet.mic...2016-technical-preview-2/

Dan werkt alles weer als het goed is. Kijk wel even of je andere software zoals bijvoorbeeld je versie van Samba ook compatible is met SMB 3.1.1.

Zie hier nog meer informatie over de combinaties van het gebruik: https://blogs.technet.mic...r-smb-3-02-are-you-using/

[Reactie gewijzigd door AnonymousWP op 27 juni 2017 18:20]

Alleen oudere systemen kunnen de shares dan volgens mij niet benaderen, dus voor sommige instanties geen optie.


Nogmaals ben ik benieuwd wat er nou precies geïnfecteerd en encrypted wordt, aangezien deze malware de MBR encrypt om toegang tot het lokale systeem te weerhouden.
Als het alleen om SMB-1 gaat, kan je verder gaan met SMB-2 en dan werken alle clients vanaf Vista (2006) er wel mee.
Dus iedereen vanaf Windows 7 zit goed?

Nevermind, mijn reactie op Larrs legt al uit hoe en wat.

[Reactie gewijzigd door Mic2000 op 27 juni 2017 18:32]

Ik zou het toch even controleren. In Windows 10 was het bij mij standaard nog ingeschakeld.

Dit was wel een upgrade van Win7 naar Win10, dus misschien hebben computers met een schone installatie van Win10 daar geen last van.
Hm ik ga even googlen wat smb-1 betekent ivt de rest van SMB, en hoe dit uit te zetten. Ik vind dit wel echt iets wat tweakers met een goed artikel op de voorpagina zou moeten uitleggen :) @Olaf


Oke stappen voor het uitzetten van SMB-1 op een Windows 10 (client / iig geen server):
- Ga naar Programma's en Onderdelen in configuratiescherm
- Links in het scherm staat Windows-onderdelen in- of uitschakelen
- Zoek in het lijstje naar SMB 1.0 of Ondersteuning voor SMB 1.0/CIFS voor het delen van bestanden
- Deze dus uiteraard uit vinken, druk vervolgens op OK en herstart de computer.

Voor client en server side uitzetten zie bron.
Bron: https://blogs.technet.mic...16/09/16/stop-using-smb1/

Edit: stappen voor SMB-1 uitzetten.

[Reactie gewijzigd door Mic2000 op 27 juni 2017 18:33]

Tweakers hoeven niet te google'en hoe je SMB 1 uitzet.
En niet Tweakers, dus consumenten doen geen server beheer.

Je geeft aan hoe consumenten op een Windows 10 Client SMB 1 uitzetten...
terwijl dit compleet onnodig is omdat het al lang door MS is gepatched
. :X

Ipv mensen onnodig SMB 1 te laten uitzetten en prutsen in de computer instellingen, adviseer ze gewoon updates te installeren!

reactie:
@Mic2000 Exact, zodra de patches zijn geïnstalleerd kan het virus zich niet verspreiden via het SMB-1 exploit
... SMB “EternalBlue” vulnerability, CVE-2017-0145, which can be triggered by sending a specially crafted packet to a targeted SMBv1 server. This vulnerability was fixed in security bulletin MS17-010, which was released on March 14, 2017...
Windows 10-gebruikers zijn niet kwetsbaar.
Bron 1 (MS)
Bron 2 (T.Net)

Link naar Microsoft patch, (voor oude systemen, XP is handmatige installatie vereist

[Reactie gewijzigd door mmjjb op 27 juni 2017 21:41]

Oke, dus ongeacht dat SMB 1 aanstaat, als het gepatched is werkt SMB 1 wel zonder de kwetsbaarheid te hebben voor de ransomware die laatste weken voorbij is gekomen? Kijk zulke dingen, of ik tweaker ben of niet, heb daar niet altijd tijd voor om dat uit te pluizen nog dat er de ene tweaker meer weet van bepaalde zaken dan de andere tweaker. In die zin lijkt het mij juist slim om een artikel te maken waarin duidelijkheid wordt geschept. Tweakers richt zich niet alleen op de hardcore-tweaker maar ook op een grotere doelgroep (de tweakers advertenties in de bushokjes vorig jaar was neem ik aan niet alleen voor Tweakers bedoeld).

[Reactie gewijzigd door Mic2000 op 27 juni 2017 21:32]

Even getest hier, geen problemen ware het niet dat ik via Total Commander mijn NAS niet meer kan vinden. Balen zulks. Zou dit dus aan Total Commander liggen. Btw, dit alles op mijn Win Pro PC.
Ik heb de PC gelukkig wel up to date, dus zo'n ramp is het niet dat SMB1 nog aan staat.

[Reactie gewijzigd door apollo13 op 27 juni 2017 20:00]

Dat weet ik niet, het zal er dan wel van afhangen of SMB-1 nog aanstaat!
Alleen zijn er nog super veel instanties die (bijvoorbeeld) Windows Server 2003 draaien.

Microsoft heeft een patch uitgebracht welk deze exploit tegen gaat, dus als je die hebt geinstalleerd zitten zelfs de Windows Server 2003 devices gebakken.

Waar het mij om gaat, en wat ik interessant vind is het volgende:

De WannaCry malware rampage van vorige maand welk dezelfde exploit gebruikte om te verspreiden als deze malware nu was zo ongelofelijk eng omdat 1 geïnfecteerd werkstation vervolgens de netwerk shares van andere stations kon encrypten en dus alle data waar een bedrijf op draait plat kon brengen.

Als deze Petya malware dat niet doet, en alleen de MBR van een lokale PC encrypt dan maakt dat de impact al een stuk minder groot.
Welk bedrijf boeit het nou dat een paar werkstations tijdelijk onbruikbaar zijn en opnieuw geimaged moeten worden?
Mocht er dan nog een bedrijf zijn welk daredevil genoeg is om hun servers op een slechte anti-virus EN zonder patches te draaien waardoor de server geïnfecteerd raakt, dan zullen ze vast wel backups hebben.


Dus in het kort: zolang het maar niet met de data kloot!
Beetje kort door de bocht, SMB is onderdeel van de technologie die je server gebruikt om bestanden te delen. Die technologie wordt ook gebruikt om te communiceren met je Samba shares zodat je bestanden van je Windows servers over kan zetten naar je Unix servers.

En nee, het is niet een slechte anti-virus die problemen geeft, een goede anti-virus heeft ook problemen met zero days exploits. Dus ja, nu had je het kunnen voorkomen maar volgende keer is het weer een zero-day exploit en dan heb je niets aan je anti-virus.

Patchen in een grote organisatie zijn een stuk lastiger als bij je thuis. Ze worden verzameld om vervolgens gebundeld uitgerold te worden naar je UAT omgevingen. Vervolgens moeten alle applicatie eigenaren alle applicaties testen op die omgevingen voordat je de patches naar produktie kan brengen. Dat proces is niet zo eenvoudig en kost veel tijd.

Kortom, zo makkelijk is het allemaal niet om een grote organisatie veilig te houden.
Fair enough wat betreft de obstakels m.b.t. grote bedrijven up-to-date te houden. Ik typte dat deel iets te snel omdat m'n focus daar niet op ligt.

Ik ben gewoon benieuwd of een enkel werkstation welk geïnfecteerd is met deze malware de mogelijkheid heeft om bestanden op het netwerk (zoals op een fileserver) te encrypten, maar ik kan daar geen recht antwoord op krijgen.

Ik vind dat geen voor de hand liggende vraag, juist omdat deze malware de MBR encrypt en zich dus lijkt te richten op de lokale computer.
Patchen in een grote organisatie zijn een stuk lastiger als bij je thuis. Ze worden verzameld om vervolgens gebundeld uitgerold te worden naar je UAT omgevingen. Vervolgens moeten alle applicatie eigenaren alle applicaties testen op die omgevingen voordat je de patches naar produktie kan brengen. Dat proces is niet zo eenvoudig en kost veel tijd.
Dat is hoe het gaat, maar als dit soort infecties gemeengoed worden dan kan je je afvragen wat de grootste is van twee kwaden. Misschien toch de patches maar up to date houden en inversteren in (waarschijnlijk nieuwe) software die niet zo patchgevoelig is
Dat een goed anti-malware pakket last heeft van zero-days dat kan ik begrijpen.
Wat ik niet kan begrijpen is dat ze nu na een maand nog deze aanvalsmethode niet kunnen detecteren. Want het is exact dezelfde aanvalsmethode als met Wannacry.

Dat patchen lastig is voor grote bedrijven is ook een non argument, zeker nu ze voor de 2e keer in een maand tijd terug bij het stenen tijdperk zijn.
Nu werkt die ouwe meuk waarom ze zogenaamd niet konden patchen toch ook niet meer?

Bij een "clubje" zoals TNT gaat het toch om zo'n slordige 40.000+ pc systemen.

Misschien dat de systeembeheerders zich nu eens achter de oren gaan krabben en het risico maar nemen dat sommige software even niet meer werkt dan dat ze weer met zo'n debacle als dit zitten.
Want software die niet meer werkt na een patch was sowieso al aan vervanging toe, en dat is vanuit een centraal punt te beheren en te herstellen indien noodzakelijk.

Maar herstellen van deze malware kun je niet vanuit centraal regelen.
Je zal al je hardware moeten ontkoppelen en vanaf nul opnieuw moeten gaan bouwen.
En je kan de hardware pas terugbrengen in je netwerk als je 100% zeker bent dat de malware is verwijdert. Één enkel besmet systeem is namelijk voldoende om in een paar tellen weer je gehele netwerk opnieuw te infecteren. En met "systeem" bedoel ik niet alleen een PC, maar ook die faxen en andere multifunctionele apparaten die besmet zouden kunnen raken door zoiets.

[Reactie gewijzigd door Alfa1970 op 27 juni 2017 23:58]

Totdat je systeem aan een nucleaire reactor hang voor monitoring purposes, boh wat maakt dat nou uit.
Ja, ok, prima.

Maarreh, Nogsteeds geen antwoord op m'n vraag. :)
Sommige Linux clients gebruiken nog SMB-1. Zoals de netwerkbrowser in Ubuntu 15.04, ontdekten wij.
Maar de kans is heel klein dat deze exploit ook op Linux systemen gaat werken. Want de SMB implementatie in Linux (Samba) is heel anders dan die van Microsoft.

Edit: @JapyDooge: Ja, inderdaad, goed punt. Nu begrijp ik het punt van Yggdrasil beter.

[Reactie gewijzigd door GekkePrutser op 27 juni 2017 18:16]

Correct, maar het zorgt er voor dat je SMB1 niet kan uitschakelen op je (Windows) fileservers, wil je je Linux users laten werken.
En dat zorgt er voor dat niemand meer kan werken op het moment dat er een cryptoinfectie ergens in het netwerk olaatsvind. Dan kan je dus beter gaan kijken naar een andere manier van sharen met linux of een andere netwerkbrowser proberen.
Of gewoon updates installeren, hoef je SMBv1 niet uit te schakelen.

Als je alle modules uit wilt zetten waar een virus ooit misbruik van heeft gemaakt kan je beter de kabel eruit trekken.
"Gewoon" updates installeren is in enterprise omgevingen veel lastiger dan men zou denken. Dat is niet knop om en gaan, maar daar zit net als bij normale software deployment tests aan vast.
"Gewoon" SMBv1 uitschakelen in enterprise omgevingen is net zo lastig.
Nee dat valt mee aangezien je weet dat er een hoeveelheid clients omvalt en dat bepaalde dingen dus niet meer werken.

Er is een reden waarom MS de patch zelfs voor XP heeft uitgerold aangezien de schade aanzienlijk is.

Een bedrijf wat gepland een deel van de clients (tijdelijk) verliest is mee te werken. Een bedrijf wat onverwachts helemaal niets meer kan doen omdat alle data wereldwijd versleuteld is en waarvan alle clients (tienduizenden) handmatig gerepareerd moeten worden is een risico wat ik never nooit zou willen nemen als ik het kan verhelpen door een klein deel tijdelijk af te sluiten.

Een aanval als dit had een aantal welen geleden al op de roadmap moeten staan voor verwachte threats.

We hebben het hier over centrale systemen in havens (waarbij een paar minuten vertraging van 1 schip al tienduizenden euro's kost), landelijke netwerken met pinautomaten waarbij het onmogelijk is dit in enkele dagen te repareren (te weinig mankracht) en bedrijfssoftware waar tienduizenden medewerkers nu niet mee kunnen werken.

Nu is de incubatietijd van dit malware pakket vrij kort (1 uur en het is klaar) had de maker er meer tijd voor gegeven dan had dit hele ernstige gevolgen kunnen hebben voor de wereld economie.

Ik weet niet of je ooit plaque inc hebt gespeeld, maar zolang je geen ernstige effevten aan je virus meegeeft kan je de hele wereld infecteren zonder dat ze er ook maar iets aan kunnen doen. Ik gebruik dit voorbeeld, omdat je met computer virussen, net als in het spel, decentraal ineens een extra threat kan toevoegen in een instant. Organ failure kan je normaal IRL niet zomaar wereldwijd uitrollen, maar met een malware applicatie kan dat wel.

Deze aanval is gericht op bedrijven die meestal wel een goede ICT opzet hebben en als zij er al vrij weinig tot niks aan kunnen doen (we hebben het over fortune 50 bedrijven hier), wat denk je dat kleinere bedrijven er dan aan kunnen doen?

Exact. Vrij weinig.

Smbv1 uitzetten is dan de minst risicovolle keuze. Met updates uitrollen kan het namelijk ook zijn dat je hele bedrijf niets meer kan. Again een klein deel gepland offline is beter dan alles mogelijk ongepland offline.
Idem voor CentOS6 en lager (en natuurlijk RHEL). De kernel bied simpelweg geen ondersteuning voor SMB versies hoger dan 1. Als je een netwerkshare mount op die machine moet je waarschijnlijk updaten naar CentOS/RHEL7.
Zie hier nog meer informatie over de combinaties van het gebruik, misschien geeft je dat wat meer duidelijkheid: https://blogs.technet.mic...r-smb-3-02-are-you-using/
Dat zijn grote woorden van Microsoft in die blog. Zeker omdat een standaard Windows 10 installatie met de laatste updates SMB 1 dus gewoon aan heeft staan. Misschien moeten ze daar iets aan doen...
Dat leggen ze uit in de comments-section. Voornamelijk vanwege third parties (problemen zouden groter zijn als ze het verwijderen dan dat deze virussen aanrichten) en zover ik weet is vanaf de update later dit jaar de hele smb1 stack verwijderd.
Dat is leuk dat ze het daar uitleggen, maar om degene die het nog aan hebben staan dan middels metaforen voor vies en vuil uit te maken is wel heel hypocriet en onbeschoft.
Tot aan windows 8.1 is het raak daarna niet meer. SMB 1 2 of 3 maakt niks uit want met een beetje aanpassing is je systeem alsnog de sjaak.
Met het uitschakelen van SMB zijn je netwerkschijven toch ook niet meer bereikbaar?
Alleen al je oude meuk hebt staan. SMB1 is al jaren niet meer nodig. Waarschijnlijk waren de kosten om SMB1 uit te faseren vele malen lager dan de schade van nu. Maar tja, gokken dat het goed gaat :)
Kan iemand duidelijk uitleggen waar de kwetsbaarheid in zit (smb? Vanaf / tot welke versie?) en met welke Windows update je alweer goed zit. Misschien een artikel voor tweakers.net ?
Probleem zit hem in SMBv1, en het (interne) lek is te dichten door én patch MS17-010 te installeren, én (indien mogelijk) het SMBv1-protocol te disablen conform deze procedure.
Zie hier wat de aanvaller tot nu heeft verdiend ontvangen:
https://blockchain.info/a...uxXTuR2R1t78mGSdzaAtNbBWX
Ik vraag mij af of mensen überhaupt hun key krijgen.
Bij bijna alle ransomware krijg je vrij netjes je key, zelfs kan je testbestanden laten decrypten, juist door daar extra aandacht op te hebben, zullen mensen eerder de neiging hebben te betalen, waarmee zo'n virus dus nóg efficiënter wordt.

De tijd van mega grote locks (10-20 bitcoins) is beetje voorbij, vaak is het gewoon verlies nemen en weer opnieuw beginnen, maar bij zulke bedragen (en daar zie je nu groot verschil, ze geven nu $-prijs ipv harde bitcoins aan) zullen mensen eerder overstag gaan.

[Reactie gewijzigd door SinergyX op 27 juni 2017 17:17]

Het scheelt ook wel dat 10-20 bitcoins toen een paar honderd tot begin duizend euro was. Tegenwoordig hebben we het dan al over een heel jaarsalaris van ca. 50K. Dat gaat natuurlijk helemaal niemand doen.
dat is niet waar. Er zijn legio voorbeelden waarbij (zelfs een ziekenhuis uit de VS) de keys niet kregen na betaling. Ook in dit geval zal je de key niet krijgen, want het mail adres werkt niet meer. Je hebt met criminelen te maken, wat had je gedacht mss?

https://www.extremetech.c...oesnt-get-files-decrypted

Ultracrypter was ook al zo'n mooi voorbeeld, daar was het zelf niet deftig gescript om uberhaupt je decrypt key te krijgen en gebruiken.

En ik geloof nooit dat met al die decrypt keys die gestuurd moeten worden, de coder zich hier nog met deze manuele zaakjes zich gaat bezig houden, een uitzondering hier en daar gelaten.

[Reactie gewijzigd door white modder op 27 juni 2017 23:14]

Tot nu toe zie je dat met de meeste attacks van dit type wel gebeuren. Je moet ook wel. Het is de enige manier om dit "verdienmodel" levend te houden. Zodra er daadwerkelijk een hele golf komt waarbij er géén keys worden opgestuurd na betaling, doet daarna niemand 't ooit nog.
Boosaardig plan:
1: Massaal ransomware verspreiden onder de naam van bestaande groeperingen :X
2: Geld vragen voor decryptie O-)
3: Geen decryptie sleutels sturen }>
Resultaat: ¤¤¤¤¤ + reputatieschade ontsleutelgarantie na betaling ransomware (=langzame dood ransomware)
Meestal wel. Als bekend wordt dat aanvallers na betaling niks releasen wordt er in de toekomst nooit meer betaald. Daarbij heeft de aanvaller in principe geen belang bij het versleuteld houden. Soms gebeurt het echter dat er na betaling toch nog meer 'losgeld' gevraagd wordt, kan het artikel hierover zo even niet vinden maar is in het verleden wel degelijk gebeurd.
Er zijn veel verschillende ransomware varianten met verschillende aanvallers die erachter zitten. Sommigen bieden een klantenservice waar de meeste bedrijven nog wat van kunnen leren, terwijl anderen helemaal niets leveren na betaling. Je weet vantevoren vaak niet waar je aan toe bent.
Daar kan je wel van uit gaan anders is het rap gedaan met dit verdienmodel.
Betwijfel het. Waarom zouden de makers of wie er achter zit uberhaupt de moeite hier voor doen. Zenders als RTL4/Z en de Nationale Politie hebben volgens bij al gerondbazuind dat het allerminst zeker is dat je je encryptie key krijgt, en adviseren zelfs om het niet eens te proberen.

Als voorbeeld.
De politie adviseert altijd om niet te betalen. Niet omdat ze het beste met je voor hebben maar omdat ze niet willen dat dit soort criminaliteit nog lonender wordt. Daar zou ik als bedrijf niet blind op varen.
Ik wel, zorg dat je een fatsoenlijke backup hebt en een plan klaar hebt liggen voor dergelijke situaties.
Natuurlijk moet je zorgen voor een backup, maar als je die niet hebt kun je beter betalen dan failliet gaan.
en dan afwachten op de volgende aanval?
uiteindelijk ga je toch failliet of aan het betalen of aan de schade.

if we going down, we go down together..................
(ohja, is veranderd de laatste jaren in: als je ene kapot ziet gaan, jat z'n geld en ren weg)

[Reactie gewijzigd door mvrhrln op 28 juni 2017 02:07]

Jij verwacht niet dat als het je 1x gebeurd je vervolgens zorgt dat je altijd een goede backup hebt?
Ik heb voor een tweetal klanten ooit een Ransomware moeten afkopen en dit is in beide gevallen succesvol geweest, was best een "net" systeem wat ze gebouwd hadden, website gehost op t tor netwerk met een script wat de bitcoin wallet monitorde om vervolgens na de transactie je een de-crypter ter beschikking te stellen, werkte die niet hadden ze een webchat support desk... :+
Ik neem aan dat deze twee klanten geen back-ups hadden? Anders had je die toch terug gezet?
1: lokaal werkstation waar geen data op mocht staan (was ook bekend) maar waar een boekhouder wel veel belangrijke meuk weggezet had, dus dat niet,
2: nachtelijke full backup en begin van de middag een snapshot, maar die 300 euro woog niet op tegen de middag productieverlies
Is dat em wel? Hele dag pas 9 transacties, neem aan dat de verschillende versies toch ook wel verschillende accounts zou hebben?
Dat kan best hoor. De meeste bedrijven hebben (hopelijk) back-ups, en blijkbaar sommige niet.
Backup van de data wellicht wel, maar bij een groot bedrijf moet je 100-en of 1000-en pc's opnieuw gaan stagen... ben je wel even zoet!

Maar betalen doen grote bedrijven niet, voor elke pc betalen is ook niet goedkoop.
Hoezo? Je kan gewoon een image terugzetten via PXE boot. :p
Als dat je build is wel ja. Dan nog moet de image wel over het netwerk geladen worden. Dit kan het netwerk aardig (over)belasten als je een beetje pech hebt....
Op het moment staat de teller op 10, relatief erg weinig gezien aantal geïnfecteerde machines.
Crimineel blij met die paar duizend dollar, handig verdiend na een avondje scripten, de rest van de wereld zit met tientallen miljoenen schade.

Op veel kleiner schaal doet me dit denken aan een rooftocht van die groep oost-Europeesche koper dieven op campings en caravan stallingen in 2015.
Knippen de trekhaak kabels van de caravan's, voor zo'n ¤0.20 opbrengst, eigenaar zit met ¤250 schade.
Vergelijk het adres maar met het adres in de screenshot. De bedragen komen ook overeen met ~300 USD.

Edit: typo

[Reactie gewijzigd door Goopher op 27 juni 2017 17:11]

Het kan zijn dat de aanvaller meerdere adressen gebruikt en dat het adres in het screenshot er slechts een van is. Dat zal pas bekend worden wanneer onderzoekers de malware hebben kunnen analyseren.
Uiteraard. Heb inmiddels meerdere foto's voorbij zien komen waarop hetzelfde adres steeds te zien is, maar wat je zegt klopt zeker.

[Reactie gewijzigd door Goopher op 27 juni 2017 17:36]

Komt ook overeen met de screenshots uit andere nieuws reports inderdaad.
http://www.bbc.com/news/technology-40416611

Dat is een andere foto (zie de reflectie op het scherm) dus er zijn in elk geval meerdere getroffen PC's met dezelfde bitcoin wallet.

[Reactie gewijzigd door GekkePrutser op 27 juni 2017 18:10]

2300 euro op het moment van schrijven, dus nog niet eens zo gek veel. Maar grote bedrijven zijn sneller bereid te betalen omdat ze anders mogelijk een probleem hebben. En zo blijft deze ellende bestaan.
Reactie per abuis op verkeerde post...

[Reactie gewijzigd door mjl op 27 juni 2017 22:41]

Dat moet je toch, want je wil niet dat deze backdoor in je systemen blijft zitten - anders zetten ze 'm gewoon over een paar maanden weer aan.
Als je het goed doet wel ja ;).

Mijn punt was vooral dat de data loss niet groot zal zijn maar vooral de recovery van de systemen veel tijd en geld zal kosten.
De meeste grote bedrijven hebben een regel dat er niet betaald word aan criminelen en zullen het voor lief nemen dat er groot aantal systemen opnieuw gestaged moeten worden.

Het zullen juist de kleine bedrijfjes zijn die betalen, of enkele werknemers van een groot bedrijf die te bang zijn hun lokaal opgeslagen data te verliezen en/of geen security incident aan hun broek willen hebben.

[Reactie gewijzigd door triflip op 27 juni 2017 18:04]

Nu zullen er wel meerdere adressen gebruikt worden, maar los van dat, voor miljoenen aan schade veroorzaken voor een paar 1000 euro aan Bitcoins.

Die eerste transactie geeft trouwens maar 25 sat/B aan fee mee. Is nog maar de vraag of die door gaat komen.
Over het algemeen is de toegebrachte schade groter dan de opbrengst. Of het nu een overval is, een ramkraak of dit. De crimineel ziet enkel de winst, niet de schade.
Dat ben ik met je eens. Alleen het verschil tussen schade en opbrengst is wel erg groot. Beetje hetzelfde als een plofkraak op een pinautomaat terwijl je weet dat er 50 euro in zit. Of een overval op een bank terwijl er 100 euro aanwezig is.

Vergeet ook niet de pakkans tegenover de schade die je veroorzaakt. Hoe meer schade je veroorzaakt hoe meer belang om je te pakken. Tot nu toe is er maar 3.3 BTC op dat adres gekomen met een totale waarde van nog geen 8.000 dollar terwijl de schade miljoenen is. De FBI zal hier vast onderzoek naar gaan doen, terwijl een kleine overval plegen en 10.000 euro buit maken niet zo snel onderzocht zat worden door de FBI en andere grote overheidsinstanties.
Klopt, nadeel is dan wel weer dat je bij dit soort zaken direct tegen regel/wet-geving aanloopt van landen buiten je eigen land.
Omg lees dat adres eens ..... is dit toeval of niet...

1FuckYouRJBmXYF29J7dp4mJdKyLyaWXW6
Verbaasd me dat er zoveel mensen 'voor de grap' geld sturen; 0.00666 btc bijvoorbeeld.
7K euro en zo veel ellende....
1 2 3 ... 7

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*