Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

'Aanval met Petya-ransomware is niet bedoeld om geld te verdienen'

Door , 269 reacties

Beveiligingsonderzoeker the grugq heeft een analyse van de ransomware gepubliceerd, die dinsdag organisaties in verschillende landen trof. Daarin stelt hij dat de malware de schijn van ransomware wil ophouden, maar dat het aanrichten van schade het eigenlijke doel is.

The grugq schrijft: "Deze malware is zeker niet gemaakt om geld te verdienen. Hij is bedoeld om zich snel te verspreiden en schade aan te richten, onder het voorwendsel van ransomware". Hij voegt daaraan toe dat er buiten bepaalde overeenkomsten in de code verder weinig gelijkenis met de oorspronkelijke Petya-malware is, die wel was gemaakt om geld te verdienen. Zo worden bijvoorbeeld delen van de code hergebruikt. Kaspersky meldde dinsdag dat het om een andere malware dan Petya gaat, waardoor de namen NotPetya of Pnyetya zijn ontstaan. ICSI-onderzoeker Nicholas Weaver deelt de inschatting van the grugq, aldus Ars Technica. De ransomware maakt gebruik van een hardcoded bitcoinadres voor betaling in combinatie met een e-mailadres, dat echter dinsdagmiddag al door het bedrijf Posteo is geblokkeerd. Daarom wordt aangeraden niet te betalen.

Dinsdagavond publiceerde het Oekraïense boekhoudingsbedrijf MeDoc een bericht op zijn website dat infecties via zijn server hadden plaatsgevonden. Het betreffende bericht is inmiddels verwijderd en er bestaat nu alleen nog een Facebook-post van het bedrijf, waarin het ontkent iets met de verspreiding van de ransomware te maken te hebben. Verschillende bedrijven, waaronder MicrosoftKaspersky en ESET, zijn van mening dat aanvallers het updateproces van de MeDoc-software hebben weten te kapen en zo de malware konden verspreiden. The grugq meldt dat de internettak van Oekraïense politie deze mening deelt. Onderzoeker Rickey Gevers vond een aanwijzing dat ook het getroffen bedrijf Maersk gebruikmaakt van de software.

Dinsdagavond kwam eveneens naar buiten dat er een manier is om een systeem tegen versleuteling te beschermen, beschreven door Bleeping Computer. De methode werd ontdekt door onderzoeker Amit Serper. De methode werkt door het aanmaken van een read-only-bestand met de naam perfc en zonder bestandsextensie in de lokale Windows-map. Volgens onderzoeker Dave Kennedy zorgt het blokkeren van het bestand ervoor dat de ransomware wordt tegengehouden. In dit geval zal de ontdekking voor velen te laat komen, aangezien de infecties dinsdag plaatsvonden. Er is dan ook geen sprake van een 'killswitch', zoals bij de aanval met WannaCry het geval was.

In Nederland maakte de politie dinsdagavond bekend dat functies van zijn website gedeeltelijk niet beschikbaar zijn door 'voorzorgsmaatregelen tegen een mogelijke cyberaanval'. Zo liepen bijvoorbeeld ingevulde formulieren vertraging op. De internetaanval van dinsdag trof verschillende organisaties in Nederland, waaronder APM Terminals in Rotterdam en TNT.

Reacties (269)

Wijzig sortering
Vooral de blog post van Microsoft is erg interessant om te lezen.
Het geeft een gedetailleerde uitleg hoe de aanval werkt en ook waarom Medoc de vermoedelijke bron van de uitbraak is.
Opmerkelijk is dat als bepaalde processen draaien (met een bepaalde hash), de MBR niet aangepast wordt of de verspreiding via het netwerk niet plaats zal vinden.
Correct.
Maar wat ik nog verontrustender vind:
Hoop bedrijven geven veel aan Security uit, alleen om 3% performance te winnen zetten ze een hoop functionaliteiten uit. Waaronder behaviour scanning.
Als ze deze features gewoon draaiende houden wordt de malware gewoon tegengehouden.

Tevens noemt iedereen het Petya, terwijl verschillende security vendoren het juist NOTPETYA noemen aangezien het niet de variant is van 2016.

Leuk artikel on Forbes:
https://www.forbes.com/si...an-wannacry/#270e8f81532e
Nou, dat is wel erg kort door de bocht. Ik heb ook de maken met een IT afdeling (en managers) die zeggen dat alles gescanned moet worden, ook op de server. Het maken van lokale uitsluitingen kan niet. Ik zit als programmeur aan de andere kant van de tafel. De afgelopen jaren heb ik het volgende gehad:
  • database corrupt, omdat de virusscanner patronen vond en spullen uit de database in quarantaine zette (en niet meer terug wilde plaatsen)
  • op gloednieuwe laptops met SSD een niet vooruit te branden performance had. Wel een virusscanner die 10-tallen procenten CPU snoept
  • doordat er op zowel server als client gescanned wordt (hoe vaker hoe veiliger lijkt het adagium van IT te zijn, stel je voor als 1 systeem geen AV heeft) worden bijna alle files 2x gescanned
  • bij het ontwikkelen van C/C++ code worden header files gelezen. 10-duizenden malen. De scanner is dom. Die scant elke keer alles. 10-tallen procenten van de rekenkracht van een server verdwijnen in de virusscanner.
  • raadselachtige fouten (proces niet starten, netwerk verkeer geblocked, socket connecties die falen) die verdwijnen zodra je de virusscanner verwijderd (disable is onvoldoende).
En breekt er een nieuw virus uit, dan ben je dagen/weken verder voordat de virusscanner dit herkend. Een virusscanner loopt altijd op de feiten achter. De meerwaarde van een virusscanner zit in het feit de update voor een kortgeleden ontdekt virus eerder op je PC staat dan dat je te maken krijgt met het virus.

Daarmee is de virusscanner ook een ding voor een PC gebruiker zonder al te veel kennis. Bescherming voor dummies zeg maar (dat bedoel ik niet noodzakelijkerwijs negatief, ook mijn kinderen klikken soms maar raak). Maar het ding levert ook zoveel problemen op, dat je soms serieus af moet vragen of het middel niet erger is dan de kwaal. Format C, www.linux.org. Is ook een optie :) Al zijn er ook virussen voor Linux, maar veel minder. Maar komt dat omdat het marktaandeel voor Linux zoveel kleiner is, het OS zoveel beter is, of Linux-gebruikers minder 'dummy' zijn?
Je kan 100 redenen verzinnen waarom het allemaal niet nodig is, maar als morgen jouw bedrijf plat ligt vanwege zo iets als dit dan zijn al die 100 redenen invalide.
als een bedrijf hierdoor platligt komt dat niet door het niet gebruiken van een virusscanner maar door het niet installeren van updates. deze "ransomware" maakt gebruik van dezelfde exploit als wannacry, en zal dus neem ik aan niet vanzelf op je pc komen als alles wat op het netwerk zit gewoon netjes up to date is.
Opzich als er 1 onnozele gebruiker, met teveel rechten op fileshares, op een mail klikt, dan gaat de cryptolocker toch lekker encrypten.

Updates kun je installeren, maar voorkomt alleen verspreiding over het network. (en met een beetje pech je backup server :) met online backups )
daarom moeten updates altijd geinstalleerd worden en mag de gebruiker binnen een bedrijf dat niet zelf bepalen. en eigen laptops of andere apparaten moeten sowieso op een aparte vlan of iets dergelijks gezet worden
Als ik essentiŰle bedrijfsinformatie uit mijn database kwijt zou raken doordat de virusscanner de database corrupt maakt, of dat schade opgelopen wordt door infectie, dan zou per geval bekeken worden wat de schade is. Ik weet zo net nog niet welke schade hoger uit zou vallen.

In essentie: als je alle PCs en servers uitzet, heb je geen last van virussen. Dat is wat onpraktisch. Als je niets beveiligd, dan ben je zo besmet. Dat is ook onpraktisch. Beveiliging is altijd een balans tussen werkbaarheid (tenslotte verdien je daar je geld mee) en veiligheid. Ik zou weleens willen zien welk aandeel een virusscanner heeft in veiligheid. DMZ, zonenering en isoleren in je netwerk, firewalls, permissies en login beperkingen op systemen etc etc hebben volgens mij meer invloed.

En last but not least: tegen menselijke domheid is geen kruid gewassen. Hoe veilig je het ook maakt, er zijn altijd personen die daar creatief mee omgaan. Tussen veiligheid en gebruiksgemak zit ook een wisselwerking.

Let op dat ik niet gezegd heb dat een virusscanner niet nodig heb. Ik zei alleen dat een virusscanner soms te vaak ingezet wordt, en daarmee meer ellende oplevert dan baten. Ik vermoed dat voor de 'gewone' PC gebruiker een virusscanner zelfs een schijngevoel van veiligheid geeft (juist omdat een virusscanner altijd achter de feiten aanloopt). Ik ga hier geen negatieve reclame maken voor een bepaalde fabrikant van AV software, maar BSODs, crashes, PC staat stil bij weekly full scan. We hebben het allemaal gehad. Vandaar dat ik de negatieve aspecten van een virusscanner ook wilde noemen.
Wellicht database files uitsluiten van virusscanners zoals ook aangeraden wordt? Of bedoel je wat anders?
Yup, maar door een bug werden die steeds overruled vanuit de centrale deployment server. Of verdubbeld, iedere keer als je rebootte. Vandaar dat het advies van de AV boer was: zet lokale exclusions uit :-(.
Als dat het advies van de AV leverancier was dan wordt het tijd om een andere te zoeken LOL
Daar heb ik helaas geen invloed op. Punt is wel vanuit beheer een IT-afdeling soms net iets anders tegen een virusscanner aankijkt dan een eindgebruiker... Maar ik heb eigenlijk van alle grote AV boeren in het veld bij onze klanten wel problemen gezien. Waar de gemeenschappelijke noemer is dat het heel veel tijd kost om uit te vinden dat het AV product de boosdoener was.

Het vervelende is dat een AV product op Windows zo low-level inhaakt op het lezen/schrijven van netwerk + files, dat je best wel wat werk hebt om te achterhalen dat de rare dingen in een AV product zit. Denk aan files die niet direct gesloten zijn als het proces exit doet. Aan netwerk verbindingen naar well-known ports die onveilig geacht worden (bijv. port 512/rexec). Sockets die minder snel vrijgegeven worden en daardoor langer in de closing state zitten, waardoor onder heavy load te weinig poorten zijn (raar genoeg zijn dat er anno 2017 nog niet meer dan 65K minus een hoop gereserveerde poorten). De meeste IT beheerders hebben geen enkel benul van dit soort problemen...
Dat van dat aantal poorten is eenvoudig..., de betreffende protocollen hebben maar plaats voor 2 bytes om dat poortnummer in op te slaan.... ==> 0..65535, waarbij 0 niet gebruikt wordt.

Dat aanpassen betekent dat eerst ALLE IP gebaseerde apparatuur het daarmee eens moet zijn het moet begrijpen... denk aan routers, firewalls etc. etc. voordat dit zou kunnen werken.
We zijn niet eens in staat om in 20 jaar IPv4 naar IPv6 te brengen....
IPv6 veranderd uitsluitend de IP layer....
Zelfs een eenvoudige aanpassing als ECN (Expliciti Congestio Notification) wordt nog steeds door somige firewalls als een X-Mas attack gezien en weigert verbindingen, dat was een change die in 2001 is doorgevoerd.... waarbij de End-nodes in princiepe transparant konden door blijven werken (volledig backward compatible) en alleen de firewall hoeven hier goed mee om te kunnen gaan.

Kortom een dergelijke aanpassing is kansloos.
Ik ken de reden ook wel, het ging mij om de symptomen van een AV product, niet voor een technische oplossing.
  • database corrupt, omdat de virusscanner patronen vond en spullen uit de database in quarantaine zette (en niet meer terug wilde plaatsen)
Dat is killing.
  • op gloednieuwe laptops met SSD een niet vooruit te branden performance had. Wel een virusscanner die 10-tallen procenten CPU snoept
Dat is om de verkoop van nieuwe PC's te stimuleren.
  • doordat er op zowel server als client gescanned wordt (hoe vaker hoe veiliger lijkt het adagium van IT te zijn, stel je voor als 1 systeem geen AV heeft) worden bijna alle files 2x gescanned
Tja men wil ieder achterdeurtje kunnen afvangen. Afgezien daarvan heeft meerdere keren scannen geen enkele zin behalve dan als het is met verschillende scanners omdat soms de ene het virus nog niet kent en soms de andere.
  • bij het ontwikkelen van C/C++ code worden header files gelezen. 10-duizenden malen. De scanner is dom. Die scant elke keer alles. 10-tallen procenten van de rekenkracht van een server verdwijnen in de virusscanner.
╔Ún keer scannen als het op de server geplaatst wordt (en daarna als het bestand gewijzigd wordt) zou voldoende moeten zijn, uiteraard niet door het systeem dat de bewerking uitvoert.
En breekt er een nieuw virus uit, dan ben je dagen/weken verder voordat de virusscanner dit herkend. Een virusscanner loopt altijd op de feiten achter.
Klopt, alleen heuristisch/behavioural scannen helpt daar tegen.
De meerwaarde van een virusscanner zit in het feit de update voor een kortgeleden ontdekt virus eerder op je PC staat dan dat je te maken krijgt met het virus.
En virussen kunnen jaren actief zijn of na jaren terug komen. AV-scanner-makers halen oude virussignatures er op den duur wel weer uit omdat anders de signaturedatabase veel te groot wordt en het scannen nog trager. Daarmee ontstaat het risico dat die oude malware terug komt, zeker als die malware gebruik maakte van een beveiligingsgat dat nog steeds niet is gedicht.

Daarbij graven AV-scanners zo diep in het systeem in dat ze inderdaad
  • raadselachtige fouten (proces niet starten, netwerk verkeer geblocked, socket connecties die falen)
kunnen veroorzaken of het hele systeem zelf om zeep helpen.
Misschien omdat behaviourscanning voor problemen zorgt? Heb het zelf met trendmicro dat ik mn vb6.exe moest uitsluiten omdat als ik via runtime een database verwijder trendmicro vind dat het malware is (is ineens sinds vorige week). Heb het dan wel niet uitgezet en alleen de exe uitgesloten, maar kan me voorstellen dat er bij sommige bedrijven een productieproces is welke heel belangrijk is, maar dat een antimalware detectie dat obv behaviour dus als malware detecteert en dan er iets mee doet.

Op zo'n moment slik je natuurlijk wel even want je denkt dan dat het misschien wel geinfecteerd is, maar scannen met meerdere antimalware levert niets op, dus het probleem ligt dan bij trendmicro.. eenzelfde probleem in het verleden ook gehad met kaspersky. of dat je mappen moet uitsluiten omdat de malwarescanner de bestanden te lang in gebruik houd waardoor jouw applicatie niet meer fatsoenlijk werkt..

[Reactie gewijzigd door SuperDre op 28 juni 2017 13:47]

Iedere virusscanner kan false alarms geven. Hoe strenger je dat ding instelt, hoe groter de kans. En zeker dingen als heuristic-achtige zaken (patroonherkenning) leveren dat op (naast een berg CPU load).
Veel geld uitgeven aan beveiliging wil niet automatisch zeggen dat dat geld ook effectief besteed wordt. Daarnaast is de mens/gebruiker een zwakke schakel waar vaak weinig aandacht aan besteed wordt. Ik zie steeds meer organisaties ook aandacht besteden aan het bewust maken en "opleiden" van gebruikers op dit vlak.

[Reactie gewijzigd door Videopac op 28 juni 2017 16:33]

Indien update proces van vertrouwde applicatie gehijacked (windows update server is weleenw gehacked) is of er een sprake is van een niet gepatched lek dan kun je scannen wat je wilt.

Bij cloud behaviour scan kun je in theorie realtime detecteren dat bij verschillende organisaties een proces loopt dat verdacht is echter realtime ingrijpen kan meer schade veroorzaken.
Dat lezende lijkt het dus voorgekomen uit:
Admin update een een of ander programma uit Ukraine, waarna die server is geinfecteerd en met dezelfde admin credentials verder gaat.

Daarin zijn een paar problemen:
a) hoe komt die update aan de malware
b) gebruiken alle geinfecteerde bedrijven deze ukrainse software?
c) Waarom is admin$ door de beheerders in die grote bedrijven niet dichtgezet
d) waarom hebben diezelfde beheerders na wannacry de **** patch nog niet geinstalleerd.

Vooral A is interessant en te weten komen hoe bedrijfen in B die niet die software hebben dan zijn bespet (want deze malware scanned alleen locale ip reeksen). D is gewoon dom.
A) Bewuste aanval om schade aan te richten in Oekra´ne, zo'n update-server is misschien niet zo goed beveiligd en dus bewust getarget.
B) als bijvoorbeeld een Oekra´ense vestiging van Maersk het virus oploopt (door bv de Medoc-koppeling), dan kan het virus ook verspreid zijn via de domaincontroller en zo door sijpelen naar andere landen. Maar het is wel interessant om inderdaad de besmettingsroute te volgen.
Volgens die blogpost wordt de ransomware dus verspreid in je netwerk en met behulp van psexec op de remote computers uitgevoerd.

Weet iemand toevallig of dat ook werkt i.c.m. een linux file share? Als in; zijn mijn bestanden die ik op mijn NAS heb staan veilig voor deze vorm van ransomware?
Als jij via de verkenner als het ware bij die linux file share kunt, dan zijn ze in principe niet veilig. WEL is het zo dat je daar snel achter komt (niet dat je daar veel aan hebt waarschijnlijk) als je vanaf een schoon device een bestand wilt benaderen en dan dus de inhoud niet kunt openen (omdat die dus encrypted is).
Op de NAS elke dag via cron een backup maken en deze uiteraard buiten de share zetten. Dan is en blijft die backup veilig bij een infectie.

Op je clients gewoon geen bestanden plaatsen. Alles in de map zetten van de NAS. Dan hoef je op de cliŰnts verder niks te backupen.
Tenzij je NAS bestanden encrypt zijn, dan worden deze netjes ge-backuped. Als deze backup jouw backup van de vorige dag overschrijft dan ben je alsnog alles kwijt.
Daarom moet je dus ook een beetje je verstand gebruiken gebruiken en dat dus zo niet regelen. Alle backups van de afgelopen 14 dagen bewaren bijvoorbeeld en vervolgens na 14 dagen nog alle backups die op woensdag gemaakt zijn nog vele maanden bewaren. Wat heeft backup maken Řberhaupt voor zin als je die de volgende dag meteen overschrijft 8)7
je kunt die backup prima de volgende dag overschrijven, als je de backups maar buiten de nas nog eens opslaat, en dan van bijvoorbeeld elke week eentje bewaren voor het geval dat, mocht je dan een backup op je nas hebben die al encrypted is, en die offline opslaat, kun je altijd nog een stukje verder terug tot je eentje hebt die niet encrypted is

[Reactie gewijzigd door mjz2cool op 28 juni 2017 15:40]

"In Nederland maakte de politie dinsdagavond bekend dat functies van zijn website gedeeltelijk niet beschikbaar zijn door 'een mogelijke cyberaanval'. Zo liepen bijvoorbeeld ingevulde formulieren vertraging op."

Wellicht handig om iets duidelijker te vermelden dat de Politie niet getroffen is, maar enkel voorzorgsmaatregelen getroffen heeft.

[Reactie gewijzigd door Larcorba op 28 juni 2017 13:06]

"Toevallig" hebben ze nu wel een grote storing: http://www.nu.nl/internet...politie-in-hele-land.html

Het is onduidelijk wat de oorzaak van de storing is, maar volgens de politie is er geen verband met de ransomware Petya, die dinsdag veel bedrijven over de hele wereld trof. "Wij zijn niet gehackt. Onze systemen zijn ook niet gehackt."
Ik vind het een beetje te toevallig eigenlijk, het kan natuurlijk wel, maar toch.. Misschien dat ze niet toe willen geven/er niks over mogen zeggen dat ze zelf ook infected zijn, want dat is natuurlijk slecht nieuws voor de Nederlandse politie, aangezien bijna alles daar via het internet gaat (zoals in het artikel staat, bonnen/bekeuringen uitschrijven, kentekens opzoeken e.d.).
"Niet gehackt zijn" is ook iets anders dan "niet ge´nfecteerd zijn" :)

Is die aanval van gister eigenlijk een gerichte aanval op bepaalde bedrijven/instanties of "gewoon" een virus dat per e-mail wordt doorgestuurd en dus in principe elk bedrijf kan raken?
Zeker toevallig, maart het kan ook dat de complete boel daar in duigen is gevallen omdat ze systemen hebben uitgezet en daar nooit op getest is. M.a.w. het voorkomen van de besmetting kan ook oorzaak van de problemen zijn, met hetzelfde resultaat :D

Heb ik niet zo'n hoge hoed op van de IT bij de politie? Nee, inderdaad.
Klopt. Het lijkt erop dat ze e-mail gewoon uitgezet hebben uit angst voor infectie op die manier. Is natuurlijk een paardenmiddel.
natuurlijk een paardenmiddel.
Een politiepaarden-middel.. Het resulteert in ouderwets handwerk en dus minder bonnen schrijven.
Elk nadeel heb zn voordeel.
Engadget schrijf dat Microsoft in de nabije toekomst (Fall Creators Update) AI wil gaan gebruiken om het gevecht met Malware aan te gaan.

https://www.engadget.com/...creators-update-security/

"Microsoft has revealed how the upcoming major update will level up Windows Defender Advanced Threat Protection, a Win 10 enterprise service that flags early signs of infection."

Engadget heeft in het artikel ook een link naar een blog waarin Microsoft dit beschrijft: https://blogs.technet.mic...atp-fall-creators-update/
Ja haha microsoft is erg goed in het bestrijden van malware <cynical mode off>
Windows defender komt er meestal erg slecht vanaf als getest wordt op het onderscheppen van virussen, maar laten we wel wezen de huidige antivirus strategie op basis van het scannen van hashes werkt niet (of als mosterd na de maaltijd), omdat de virusmakers hun code relatief eenvoudig kunnen verbergen. Waarom heeft microsoft geen beveiliging van de mbr standaard in windows aanstaan, zodat dit soort petya malware kansloos is? Een applicatie heeft niets te zoeken op de mbr, vandaar dat talos al in oktober vorig jaar na ontdekking van petya met een beschermingstool voor de mbr kwam.
Mbrfilter zie: https://youtu.be/nLyOi75Wu3A ... Microsoft sliep lekker door... :(
nieuwere pc's vanaf windows 8 hebben meestal geen mbr maar gpt indeling, en gebruiken uefi met secure boot
Twee kleine puntjes:
* Dit is specifiek voor W10 Enterprise. Niet de normale versies
* Dit is niet nieuw. De AI/Machine Learning methodes worden al langer gebruikt. In de nieuwe update kijkt de AI naar meer soorten verdacht gedrag.
Ik heb een vraag met betrekking tot back-uppen. Stel dat ik mijn bestanden back-up op een Google Drive account. Ik heb de applicatie van Drive ge´nstalleerd op mijn computer, worden mijn bestanden op mijn Google Drive account dan ook versleuteld?
Ik verwacht juist van niet, de master file table wordt pas versleuteld bij reboot. Op dat moment wordt een aparte Petya-achtige kernel geladen, Windows wordt dus niet gestart. dus de Google Drive service ook niet. Er zal dus geen synchronisatie plaats vinden. (correct me if i'm wrong)
Ik verwacht juist van niet, de master file table wordt pas versleuteld bij reboot. Op dat moment wordt een aparte Petya-achtige kernel geladen, Windows wordt dus niet gestart. dus de Google Drive service ook niet. Er zal dus geen synchronisatie plaats vinden. (correct me if i'm wrong)
Dat is eigenlijk wel een heel erg simpele manier van je computer gijzelen. Elke NTFS-partitie heeft van de MFT een aantal backups, en als zelfs het hele MBR en de primaire MFT vernaggeld zijn, dan moet het zonder problemen op te lossen zijn door op te starten met een bootdisk en daarmee de backup MFT terug te zeggen.

Waarschijnlijk moet je zelfs met een Windows CD en de simpele Startup Recovery-optie al een heel eind kunnen komen dan.

Het Master Boot Record en de bootloader fixen lijken me ook een triviale taak. Als NotPetya geen feitelijke bestanden versleutelt, dan is het meer een treiterprogramma dat bedoeld is om systemen even kortstondig lam te leggen dan het ook echt schade doet. Je systeem is dus hooguit even uit de running maar je bent geen data verloren.

Als de ransomware ook daadwerkelijke gegevens encrypt dan is het een ander verhaal natuurlijk.
Hij encrypt zowel bestanden als metadata. Dat laatste ook pas wat later in het besmetting proces, als ik het allemaal goed begrepen heb.
Je hebt waarschijnlijk gelijk, er vindt geen synchronisatie plaats maar wel encryptie van je Google Drive folder.
Zodra je inlogt zal die dan wel gaan willen synchroniseren als je online komt, maar als je getroffen bent door ransomware is het sowieso verstandig je internetverbinding voorlopig niet te gebruiken.
Klopt helemaal, windows is niet gestart/ingelogd waardoor hij dus niet kan syncen naar de online dienst.

Maar er zijn ook varianten van ransomware die hun werk doen tijdens dat windows is opgestart en je ook gewoon kan inloggen. Dan worden je online files ook encrypted.
Ik verwacht juist van niet, de master file table wordt pas versleuteld bij reboot.
Op dat moment wordt een aparte Petya-achtige kernel geladen,
Was dat ook niet de belangrijkste actie van dit virus. Niet per se alles versleutelen maar totale toegang weigeren. ? Scheelt tijd en is net zo effectief.
Ik verwacht van wel. Volgens mij worden je Google Drive bestanden op een locatie op je PC (C:\Users\ [inlognaam] \Google Drive) opgeslagen. Deze ransomware past bestanden met een bepaalde extensie aan, over je gehele schijf. Dus ook je Google Drive.

Als bestanden aangepast worden - gecodeerd in dit geval- dan detect Google Drive dat en gaat de bestanden synchroniseren met eventueel andere PC's.

[Reactie gewijzigd door jandirks op 28 juni 2017 11:03]

Google Drive heeft ondersteuning voor versiebeheer en schaduwkopieŰn. Als er ÚÚn versie dus ge´nfecteerd, kan je nog terugvallen op de 'oudere' versie.
Ah, dat wist ik niet. Bedankt voor de tip!
Tip: rechtermuisknop op file > "versies beheren".

En graag gedaan :).
Maar versie beheer werkt alleen op basis van bestand en niet van folders toch, ik weet niet hoe deze ransomware of toekomstige gaan werken, maar als deze een map volledig encrypten, kan ik het dan nog herstellen?
De meeste varianten van ransomware versleutelen bestanden, geen mappen. Google Drive kan dan ook enkel bestanden terugzetten/kopiŰren etc, en dus geen mappen.
Ik mag toch verwachten dat je de hele inhoud van een map gewoon recursief terug kan zetten als de structuur nog altijd hetzelfde blijft?
Voor zover ik weet niet. Doe maar eens rechtermuis op een map.
Ik heb hierover contact gehad met Google en zij bevestigen dat dit zeer zeker mogelijk is.
Bij koppelingen waar een synchronisatie aanstaat wordt dit bij de meeste ransomware versleuteld. De data op je PC wordt encrypted, deze wijziging word opgevangen door bv OneDrive en zal die encryped files over je goede files heen schrijven.

Gelukkig heb je bij bv Stack een thrashbin, kan je de overschreven bestanden ( nadat je de sync hebt verbroken :P ) weer terugzetten.

Geen ervaring met Google Drive helaas, maar zal hetzelfde werken..

Edit: typo

[Reactie gewijzigd door ..Kevin.. op 28 juni 2017 10:49]

Ik heb een vraag met betrekking tot back-uppen. Stel dat ik mijn bestanden back-up op een Google Drive account. Ik heb de applicatie van Drive ge´nstalleerd op mijn computer, worden mijn bestanden op mijn Google Drive account dan ook versleuteld?
Als je de versleutelde bestanden daar naar toe kopieert wel.
Als de bestanden automatisch gesynchronisseerd worden, dan ja. Al zal het afhankelijk van de grootte van de bestanden en je internet snelheid natuurlijk wat langer duren dan op je lokale systeem.
Als het goed is niet. Bij Google Drive kan je instellen dat hij kopieŰn maakt van je bestanden. Het heet "versiebeheer".
En waar maakt google drive dan een kopie van? juist van het encrypted bestand.
Nee, want hij schrijft ze niet allemaal over.
Nee dat kan kloppen, maar als jij inmiddels zoveel veranderingen hebt gedaan aan een document, dan is het dus net zo zinloos (tuurlijk niet helemaal zinloos).
je kunt een aantal versies terug, dus zal dan vast wel een versie zijn die dan niet encrypted is
ja, en dan dus hopen dat die versie dus niet al teveel afwijkt van de laatste versies.
meer kun je niet doen, behalve zorgen om up to date te blijven, of een besturingssysteem gebruiken wat niet zo erg een target is voor dit soort dingen
Zodra je gemount bent wel... ik ken iemand die had echt alles gemount en destijds echt alle ge-encrypt... en nee... terug kon hij niet.
Ja, waarschijnlijk wel.
In dit geval niet. Het lijkt erop dat ze tijd hebben willen besparen en niet alle bestanden individueel encrypten maar alleen de MFT (Master File Table, ik vermoed dat wat het OS vertelt op welke fysieke plekken op de HD kan worden gevonden).

Maar andere ransomware encrypt transparant bestanden (alsof je zelf een enryptie gebruikt) en zet dan op een gegeven moment een switch om en voila, je bestanden zijn encryped OOK je dagelijkse of zelfs langere backups.

Je schrijft bijvoorbeeld text.txt naar je documenten map. Je OS is echter gekaapt en de ransomware slaat het bestand encrypted op. Je leest het weer maar de tijd is nog niet verstreken dus het bestand wordt weer gedecrypt en jij ziet niets verkeerd.

Je backup programma leest het geencrypte bestand. Jij haalt dat bestand uit je backup maar de ransomware decrypt het transparant dus je ziet niets verkeerd. Je roteert je backup bestanden (gooit oude weg) en na een maand gaat de ransomware op slot.

Deze methode van ransomware is zeer effectief maar zeer intensief.

Dus voor deze ben je veilig, voor andere wellicht niet.

Nou heb je met Google Drive een alternatieve (web) interface. Ik vermoed dat als ransomware een .doc opslaat dat encrypted is Google Drive hier heel erg op gaat hikken bij het tonen van previews en online editten.

Maar ja, er zijn in het verleden gevallen geweest waar ook backups encrypted waren.
Je backup programma leest het geencrypte bestand. Jij haalt dat bestand uit je backup maar de ransomware decrypt het transparant dus je ziet niets verkeerd. Je roteert je backup bestanden (gooit oude weg) en na een maand gaat de ransomware op slot.
Encryptie zit op filesysteem niveau dus je backupprogramma krijgt ook het gedecrypte bestand, net als jij in je textverwerker.
Het hangt er dan vanaf wat je backupprogramma vervolgens met dat bestand doet. Als hij het over het netwerk stuurt heb je kans dat het niet geencrypt wordt.
Microsoft moet gewoon een force update aanbieden aan windows gebruikers met een grote popup dat deze update ze beschermt tegen ransomware a of b moet je maar eens opletten hoe snel mensen de update installeren
Je vergeet even dat het hier vooral om bedrijven gaat die hun eigen update-server draaien en zelf bepalen wanneer welke update doorgevoerd wordt. Ook hebben bedrijven een update-beleid waarin ze updates testen voordat ze op de produktieomgeving doorgevoerd worden en dit neemt tijd in beslag. Deze uitbraken geven wel aan dat bedrijven hun updatebeleid zeker aan moeten passen, al is het maar met het doorvoeren van updates voor bugs die al door malware en virussen worden gebruikt. Wannacry was vorige maand een voorloper en hadden bedrijven alert moeten maken hun systemen te updaten voor deze bugs. Nu zie je dat genoeg grote bedrijven dit nog niet gedaan hebben, met als gevolg een veel grotere schadepost dan de mogelijke problemen bij het te snel doorvoeren van een update.

Thuisgebruikers zijn over het algemeen niet het slachtoffer, want die machines worden gewoon elke keer door windows automatisch ge-updatet en die zijn dus al geupdate voor deze bugs die gebruikt wordt.
Zelfs indien de updates niet getest worden mogen servers niet zomaar herstarten na het updaten. Als er maar eens per trimester een maintenance window is bepaald, dan ga je niet maandelijks je updates kunnen installeren en booten.
Dan ben je mijn inziens niet slim bezig en dan is het bij een besmetting een gevalletje van 'eigen schuld, dikke bult', je neemt namelijk bewust het risico niet te updaten, dat kan, maar dan moet je je ook wel bewust zijn van de risico's die je daarmee loopt. Bovendien is er meestal wel sprake van redundantie van systemen die je kan gebruiken om zonder onderbreking van de dienst toch je servers te updaten en te herstarten. En een server zonder redudantie is mijn inziens ook niet belangrijk genoeg om te kunnen verantwoorden dat je maar eens per trimester maar mag rebooten, dus die kan je meestal dan toch wel even updaten.

In de huidige IT-wereld en mogelijkheden zie ik geen reden meer om je servers zo lang zonder updates te draaien, zeker niet als je er een bepaalde verantwoordelijkheid voor hebt. Zonder een mogelijkheid tot het doorvoeren van updates kan en moet je ook geen veiligheid garanderen.

Ik kan je wel vertellen dat het updatebeleid van getroffen bedrijven nu wel aangepast gaat worden, want zo'n kostenpost door het uitvallen van een gedeelte of wellicht heel de IT-omgeving is iets wat meeste bedrijven geen tweede keer willen hebben, voor zichzelf niet, maar ook niet richting eventuele klanten.
Je gaat ervan uit dat je overal redundantie in zit. Maar je hebt gelijk, er zijn oudere of slechtere applicaties en dan is het een keuze om daarvan af te stappen of niet. Overal zijn risico's en kosten aan verbonden.
Je vergeet even dat het hier vooral om bedrijven gaat die hun eigen update-server draaien en zelf bepalen wanneer welke update doorgevoerd wordt. Ook hebben bedrijven een update-beleid waarin ze updates testen voordat ze op de produktieomgeving doorgevoerd worden en dit neemt tijd in beslag.
Eh, nee.

De primaire infectievector is de update van "MeDoc", een Oekraiens boekhoudpakket. In bedrijven die updates testen op de manier die jij beschrijft was het wel opgevallen dat de nieuwste update niet door de originele MeDoc auteurs ondertekend was.
Ja maar ik reageer op @dogan2010 :
dogan2010 in 'nieuws: 'Aanval met Petya-ransomware is niet bedoeld om geld te...
Microsoft moet gewoon een force update aanbieden aan windows gebruikers met een grote popup dat deze update ze beschermt tegen ransomware a of b moet je maar eens opletten hoe snel mensen de update installeren
We hebben het dus over microsoft updates en niet over het MEDoc update proces. :)
Met als gevalt dat bedrijven hun schade claims gaan indienen bij Microsoft omdat een update hun software heeft plat gelegd. Er is een reden dat bedrijven pas maanden later Updates uitvoeren.
Microsoft moet gewoon een force update aanbieden aan windows gebruikers met een grote popup dat deze update ze beschermt tegen ransomware a of b
Prima idee, maar ik zou dat als virusmaker ook gaan nadoen. De variant van ''U bent geinfecteerd, klik hier om veilig te geraken.'. En dat is dan weer vervelend.
Juist, want zo werken een hoop malwarewebsites al, en helaas zijn er een hoop mensen zo dom om daar in te trappen.
Niet eens alleen intrappen. De forced update waar dogan2010 aan refereert is nog makkelijker als de vertrouwde organisaties mogen updaten zonder telkens te moeten vragen om toestemming.
Nu is het een gekaapt boekhoudprogramma, morgen je virusscanner of besturingssysteem.
Het installeert een update en je bent gesjochte.
Dat zeker.. die informatie mag een stuk transparanter.
Iedere bug die ooit gevonden is kan eventueel ge-exploit worden... Dan is iedere update van vitaal belang ? Ja.
Backups maken is belangrijk, toch kan de gebruiker hierin veel betekenen. Daarmee ben ik van mening dat in organisaties waar 10 tot 15 man werken dit te voorkomen is.

De beheerder kan op de server een hoop regelen, de laatste stukje zit in het gedrag van de gebruiker welke ik tot op heden altijd goed uitleg heb kunnen geven wat wel en wat niet.

Tot op heden zijn geen van mijn klanten/systemen getroffen.
Bedrijven blijven veel kwetsbaarder wanneer de gebruiker een beetje oplet dan consumenten.
Een consument kan alle bijlages in mails van onbekenden negeren. Open alleen bijlagen in mails van goede bekenden van wie je iets verwacht en van webwinkels waar je net een bestelling hebt geplaatst en je bent al 99% veiliger.
Juist bedrijven krijgen heel veel mails met bijlagen van afzenders die bij de ontvangende werknemer niet altijd bekend hoeft te zijn. Denk aan offertes en facturen van vele leveranciers, bestellingen van vele afnemers. Bij veel van die bijlagen zal pas duidelijk worden wie de exacte afzender is en of het serieus is nß openen.
Klopt! Zo had een medewerker laatst een mailtje geopend helemaal leeg, 1 bijlagen genaamd facture_32125734.pdf met een vage naam San Jose en totaal ander email adres.

Toch maar de bijlage open want het zou zo maar een order/offerte verzoek kunnen zijn :/.

Nou kan ik werkelijk geen 1 klant die het zo zou doen 8)7 .
Je zult maar een bouwbedrijf zijn dat werkt met een legertje ZZP-ers. Ik denk dat je je facturen in meer variaties krijgt dan jij nu kunt verzinnen. Inclusief als bijlage in een verder lege mail van emailadressen als Hoeperdepoeper@gmail.com
Inclusief als bijlage in een verder lege mail
Zeker waar. Ik stuur ook wel beloofde bijlages in een lege mail. OK. prive, naar toch.
Vroeger schreef ik nog weleens ''Hierbij'' in de mail, maar waarom, ik had het toch al toegezegd ?
Die kan dan voortaan maar beter papieren facturen sturen als hij ze graag betaald wil hebben.
Dat zal dan toch wel een bijlage .pdf.zip of zijn pdf bestanden ook vatbaar
Neen gewoon .pdf waar marco en urls in zitten verwerkt
Omdat die waarschijnlijk dus geen gebruik maken van het desbetreffende boekhoudprogramma waar de malware in de update van zat.
Dan hoop ik dat dit de bedrijven eens goed wakker schudt en er sneller wordt gehandeld op nieuwe patches en dergelijke. Het is natuurlijk wachten tot dat dit als cyber wapen wordt ingezet, wat nu al eigenlijk het geval is.
Ik denk dat deze aanval een blessing in disguise is, niet alleen een soort wereldwijde vaccinatie tegen deze kwetsbaarheid, maar een algemene upgrade van de afweer. Zelfs het meest ingeslapen systeembeheerder met de meest langzame procedures zal nu toch wel wakker geworden zijn.
Plus dat er nog weer meer urgentie achter zit om bestaande systemen beter te beveiligen en bij nieuwe systemen dit aspect vanaf het begin altijd als mission critical mee te nemen. En het onderzoek op dit terrein krijgt nog weer een extra impuls.
Als het niet gemaakt is om geld aan te verdienen, zou het nog wel eens een voorbode voor iets veel groters kunnen zijn. Laten we hopen dat het hierbij blijft.
En laten we onszelf voorbereiden door te zorgen voor goede backups (andere locaties! restore getest!) en een plan voor het geval zo'n aanval ons treft.
Ik begrijp nog steeds niet hoe je "aangevallen" zou kunnen worden? Dit kan toch alleen als men een bijlage opent o.i.d. ? Dus zonder dat je iets installeert of opent dan zou je toch nooit slachtoffer van dit kunnen worden?
haha, dacht je dat echt? Hoe dacht je dat servers aangevallen worden? Daar zit echt niet iemand mail op te lezen ofzo!

Er zijn talloze mogelijkheden waarbij er geen gebruikersinteractie vereist is. Bijvoorbeeld unattended installs (met geinjecteerde malware), open porten, vanzelf ladende scripts, etc....
Ja maar dat betreft dan een "hack" toch? Is hier dan ook sprake van?
Combi van beide zover ik heb begrepen. Zowel via exploits waar geen user interactie voor nodig is als via bijlage's e.d.
Servers worden aangevallen met user credentials die op ge´nfecteerde desktops zijn gestolen. De credentials worden gestolen met een variant van Mimikatz en via Wmic ingezet tegen de server.
persoon X opent mail. heeft toegang tot sharepoint server, infecteerd daarmee de sharepoint server, slechte config want die sharepoint server zit in dezelfde DMZ als bijvoorbeeld je mailserver/webserver en zo gaat het balletje van een worm rollen..
Als je duizenden werknemers hebt dan is er altijd wel 1 die iets opent was hij/zij niet zou moeten openen.
bij 10 is dat al het geval :D Het hoeft er maar 1 te wezen.

[Reactie gewijzigd door Dylan_R op 28 juni 2017 10:35]

dus al bij 1 en we blijven allemaal mensen
Nee, die methode wordt inderdaad de laatste paar jaren vaker toegepast omdat de OS'en wel degelijk een stuk veiliger zijn geworden, maar "vroeger" werd er vaker gebruik gemaakt van exploits... dan heb je geen bijlage of wat dan ook nodig, simpel gezegd reageert het OS door een bug in de code op een externe code.
WannaCry doet het zelfde; ip + poortscan en als je een niet gepatchte machine hebt gevonden, dan de exploit triggeren en je kan zo het virus injecteren. (simpel gezegd dan :+)
Of als er dus zoals nu blijkt nog niet te detecteren malware in een update van belangrijke software die je gebruikt zit.
Stuur maar eens vanaf een externe server een mailbericht naar alle medewerkers van een groot bedrijf waarbij mensen op een externe server moeten inloggen met hun werk gebruikersnaam en wachtwoord zodat ze een cadeaubon of prijs kunnen winnen. Meer dan 10% doet dat ook.

Ongelofelijk hoe "stom" en na´ef mensen zijn, we hebben het zelfs beheerders zien doen die zowel hun dagelijks account opgaven en ook hun admin account opgaven want dan hadden ze 2 keer zo veel kans.......

Zegt genoeg lijkt mij.
En deze vulnerability is al een hele tijd geleden gefixt door windows als ik het goed heb? Wordt het dan niet eens gewoon tijd om te gaan updaten :?
Ja dit zou je denken he?

Alleen het is wat ingewikkelder dan dat, vaak grote organisaties die honderden of duizenden computers hebben updaten pas maanden later. Misschien is de rede hiervoor dat ze bang zijn dat het impact gaat hebben op hun systeem? Of wat zou hun reden zijn om pas maanden daarna te updaten?
Klopt natuurlijk! Maar na het voorbeeld van wannacry zou ik zelf als ik beheerder was sterk aandringen bij een bedrijf om toch maar eens te updaten. Nu ben ik dat natuurlijk niet en is het niet helemaal eerlijk dat ik dit zeg! Hoop dat ze goede backups hebben!
Dat is vaak het probleem als bedrijven lang wachten. Dan gaat het idd alleen maar verder achteruit. Gewoon zodra er een update is -> testen 3 a 4 computers -> uitrollen. Werkt bepaalde software niet meteen aankaarten bij de provider van die software.
Echter is het testen op 3 of 4 computers niet grootschalig genoeg en blijf je kans op problemen houden. Er zijn namelijk wel meerdere soorten computers in gebruik bij een bedrijf. En problemen aankaarten bij de leverancier van de software wat niet meer werkt? Eeuhm, ja, dat kan, maar kost vaak wel duizenden euro's voor een oplossing als het al mogelijk is. Denk aan embedded systemen welke in eens niet meer functioneren na een update. Het altijd opnieuw moeten opstarten na een update zorgt ook nog eens voor problemen.

Ja, updaten zou gedaan moeten worden, maar het is wel een stuk meer werk dan een persoonlijke computer even opnieuw op te starten.
In dit is nou precies het probleem. Ook van systeembeheerders. En ook precies de rede waarom bij mij in het bedrijf alleen maar SaaS software is zodat het ook de leverancier's zijn probleem wordt. Vanwege contracten. En verschillende machines moeten echt in een bedrijf gestandariseerd worden. Oftenminste 1 brand. Tuurlijk ik kan me voorstellen dat het niet overal kan. Maar het hoeft maar 1x raak te zijn en jij krijgt de schuld. Terwijl het vermeden kon worden.

[Reactie gewijzigd door Dylan_R op 28 juni 2017 10:44]

Dus SaaS is bij jouw een methode om de schuld af te kunnen schuiven als er iets mis gaat? Bravo, je hebt de eerste stap naar het management al gemaakt door de wijze les "doe niets voordat je, als het mis gaat, een ander de schult kunt heven" al geleerd te hebben.
wie heeft het nou weer over afschuiven? Bij SaaS is het zo dat je updates erbij krijgt op het contract. Als een of ander bedrijf gewoon een pakket koopt en er 20 jaar mee zit vind ik dat geen manier van doen. Ik heb het over probleem oplossen voordat het gebeurd. Is beter dan de methode laten we maar afwachten tot het een probleem wordt. Want de baas zegt is te duur.
Met SaaS ben je beschermd tegen brand,maar ik heb liever helemaal geen brand.
> Eeuhm, ja, dat kan, maar kost vaak wel duizenden euro's voor een oplossing als het al mogelijk is.

Afwegen tegen de kosten van een ransomwareinfectie en gaan met die banaan.
Maar met dat updaten creŰer je dus weer nieuwe problemen.
Dit geld alleen voor windows 8.1(windows server etc ook) en lager en hierbij kan je toch ook alleen security patches kiezen? Neem aan dat dat niet veel hoort stuk te maken. Maar zoals ik al eerder zei ik ben geen beheerder.
Wat te denken van de betrouwbaarheid van de patches. Er zijn de afgelopen tijd een paar patches van MS geweest die meer problemen veroorzaakten dan ze oplosten. Dus alle patches moeten eerst gedegen worden getest voordat ze geinstalleerd worden.
Door patches te installeren loop je een kans op problemen. Door patches niet meteen te installeren loop je een kans op problemen. Het is dus een afweging.
Omdat de oplossing voor eventuele patchproblemen bekend is (wachten op een fix van Micorosoft) en de oplossing voor de problemen die kunnen ontstaan onbekend, niet gegandeerd is, en je bitcoins kan gaan kosten lijkt het wel meteen installeren van patches de strategisch verstandiger keuze. Ook begint er op te lijken dat de kans op problemen door het ontbreken van patches flink groter is dan de kans op problemen veroorzaakt door patches.
Klopt.
Echter vind ik het wachten met updaten wel een oud concept.
Dit deden we 5jaar geleden massaal om dat er toen elke patch day wel iets omviel in je omgeving.

En ook al wil je niet patchen om wat voor reden dan ook dan zijn er nog genoeg andere methoden om dit soort dingen(EternalBlue) buiten de deur te houden.

Ik kan begrijpen dat mensen gisteren individueel getroffen zijn door de automatische MeDoc upgrade,hier is niet tegen op de boksen.
Ben je echter op een andere manier getroffen (phishing?) en heeft het zich ook nog een keer mogen verspreiden in je netwerk via EternalBlue(al weer 3maanden oud) dan heb je gewoon je zaakjes niet op order als beheerder.
Ja ongelofelijk eigenlijk. Maar waarom konden wij wel een paar 1000 systemen controleren en eventueel patchen en andere bedrijven niet?

Persoonlijk vind ik dat de ge´nfecteerde bedrijven gewoon nat gaan en ze vol incapabele mensen zitten, sorry, maar gewaarschuwd en dan nog overkomt het. Onacceptabel.

Ik hoop nooit dat er iemand van een dergelijk bedrijf bij mij aan een sollicitatiegesprek begint, want die wordt bij voorbaat niet aangenomen.

[Reactie gewijzigd door Wim-Bart op 28 juni 2017 22:41]

Waarom er gewacht moet worden op ms om dit te patchen smbv1 wordt al meer als een jaar als vulnerability gezien. Je kan dit via de registry gewoon disablen. Je hoeft dus helemaal niet te wachten op een patch.
Bitdefender zegt nu ook dat ze het al een jaar lang kunnen stoppen. Wat wordt er gedraaid als beveiliging op die systemen? Neem aan dat Bitdefender niet de enigste is namelijk.
Heb nog nooit bitdefender gezien in een enterprise omgeving.
Neem aan dat dat bitdefender gewoon alle cve vulnerabilities patched zonder te wachten op leverancier. Zoals dus gewoon smbv1 uit te zetten via registry.
Dan kom even kijken bij mijn (inmiddels ex-)werkgever (grote multinational in de logistieke wereld), daar draait Bitdefender gewoon in een zeer grote enterprise omgeving ;)
Geloof ook wel dat er bedrijven zijn die het gebruiken ben het alleen nog niet tegengekomen.

Jij kan vast wel vertellen hoe ze des vulnerability vorig jaar hebben gepatched ?
Hoop niet dat het Maersk was. ;)
Sys admins hebben vaker last van foute windows updates dan dat ze getroffen worden door een ransomware aanval. De terughoudendheid is soms wel te verwachten met het track record van MS. Helaas gaat het wel heel erg mis als je door deze ransomware getroffen wordt.
Onzin, daarvoor gebruik je OTAP.

In dit geval is het compleet verdiend. Als je willens en wetens (zeker na Wannacry) nog met kwetsbare systemen werkt ben je als sysadmin in mijn ogen niets waard.

De uitbraak van Wannacry en de media aandacht die dat wereldwijd heeft gekregen ismeer dan genoeg reden om te gaan patchen, Het niet patchen is een grove nalatigheid en M.I. zouden deze "sysadmins" gewoon ontslagen moeten worden.
Niet helemaal terecht aangezien het vaak niet de sysadmin zijn schuld is :>

Maar het inderdaad schandalig. Sysadmins worden sowieso als shit behandeld de laaste tijd in bedrijven.
Wij halen met OTAP de foute updates er uit. Hebben er minder dan een week voor nodig, en dat met paar 1000 servers en meer dan 15K aan werkplekken.
Lijkt me sterk dat Windows uit zichzelf iets gefixt heeft. Allicht dat Microsoft een patch uitgebracht heeft... Dat gezegd hebbende, gaat het volgens mij om een boekhoudpakket, dat niet van MS is.
Goede backups zijn altijd het beste, echter wordt dit vaak niet compleet gedaan of slecht gecontroleerd waardoor backups niet compleet zijn.

Maar ach, volgens nu.nl (die het aan een expert heeft gevraagd) zijn backups met deze malware toch niet mogelijk omdat het hele systeem ge´nfecteerd raakt 8)7
"Maar ach, volgens nu.nl (die het aan een expert heeft gevraagd) zijn backups met deze malware toch niet mogelijk omdat het hele systeem ge´nfecteerd raakt 8)7""

Als je een backup hebt veiliggesteld op een veilige locatie, dus niet ˇp het geinfecteerde systeem, van vˇˇr de infectie kan je deze gewoon terugzetten.
Je mist dan alleen de gegevens van de periode tussen je backup en de infectie.

edit: quote toegevoegd
edit: backup locatie verduidelijkt

[Reactie gewijzigd door moreasy op 28 juni 2017 13:59]

Maar natuurlijk, dat is ook de bedoeling van een backup, terug zetten voor de infectie (retentie).
het punt is uiteraard dat wanneer je backup file ook encrypted is, dat je die backup niet kan terugzetten.

Een backup heeft dus alleen zin als ie bewaard word op een locatie waar het virus niet bij kan komen.
Dus bv een externe schijf die je loskoppelt na de backup of in een cloud.
En ook dat kan heel lastig zijn. Neem een ziekenhuis dat draait, alle gegevens van patiŰnten die ze nu verliezen. Natuurlijk maak je die keuze dan maar ook dat kost geld en tijd.
Dat klopt ook, hoeveel % van de mensen met een backup zal deze off-site hebben (hint: vele malen lager dan dat jij denkt).
Tijd voor WORM ... write once, read many backups aan je computer :)

Of een hdd waar je regelmatig alles eens opzet en dan in de la legt ...
WORM slaat toch op eenmalig beschrijfbare CD's, of is mijn hoofd nu ook ge´nfecteerd?
WORM is een algemene term voor eenmalig beschrijfbare media, tegenwoordig zijn dat eigenlijk altijd CD's of DVD's. ROM chips en punch cards zijn oudere voorbeelden maar ik denk dat de term WORM voor het eerst opdook ergens halverwege dat tijdperk.

[Reactie gewijzigd door mae-t.net op 28 juni 2017 13:17]

Er is geen 'ineens' want je data evolueert. Vroeg of laat leg je dus geencrypte backups in de la om er een half jaar later nadat de malware zich openbaart er achter te komen dat ook je backups geencrypt zijn.

Een virusscanner die bestanden buiten het filesysteem om vergelijkt met die via het filesysteem zou handig zijn.
euhk ? Ransomware is redelijk duidelijk, en niet 'silent'. De laatste wijzigingen kwijt zijn is vaak veel, veel beter dan van scratch moeten beginnen.
off-site of niet, je backup hoeft niet per definitie met deze malware aangetast te zijn ook al heb je deze ergens lokaal staan. Gaat om het feit dat er wordt beweerd dat een backup niet kan worden terug gezet omdat je hele systeem is aangetast.

Dat is natuurlijk complete onzin als je een full system backup hebt. En als je alleen je data backupt dan doe je dit bewust omdat je de rest niet belangrijk vind. Dan is het een simpele herinstall en je data terug zetten (wat je bedoeling al was anders had je wel een full system backup gemaakt).
Plus moet je wel hopen dat er geen ransomware al langer op je systeem draait die zich pas weken later toont en dus al je bestanden in de backups heeft encrypted. De 'goede' ransomware werkt op zo'n manier (en hoopt dan datie dus niet gedetecteerd wordt in de tussentijd door nieuwe antimalware detectie)
Dit is zeker waar!
Op dit moment wordt de 3e wereldoorlog uitgevochten via Cyberspace.

Er zit inderdaad iets groots aan te komen, zij het overname van air traffic control, electricity companies, banking en andere grote bedrijven waar wij van afhankelijk zijn.

Het kan nog 5 jaar duren maar ook volgende week gebeuren...
It just doesn't happen only in the movies anymore.

[Reactie gewijzigd door Cyber Shadow op 28 juni 2017 10:53]

Ik denk dat je bedoelt.
It doesn't only happen in movies anymore.

Er zijn nog steeds genoeg films waar het namelijk ook gebeurd :+
Ach zo'n vaart zal het wel niet lopen, net door zo'n aanvallen (waar de schade beperkt blijft) is er een duidelijke incentive om kritische systemen net niet aan het netwerk te hangen ...
Groen links, D66 andere knuffelpartij stemmer?

Dit is een harde wereld. En het gaat nog veel en veel harder worden. En ik geloof niet dat je inzicht hebt in wat er nu al aan pogingen ondernomen worden, ik op het moment wel en als ik zie wat er bij de overheid aan de buitenkant op de digital deuren staat te rammen, niet kloppen, beuken, maar echt rammen. Dan schrik je je kapot. We zitten al gewoon in het begin van ww3 alleen beseffen mensen het nog niet.
ww3 echt ? Jeezus ga toch even buiten in de zon voor de verandering.
Gezien het aantal dodelijke slachtoffers en de materiŰle schade tijdens de wereldoorlogen, gaat de vergelijking nogal mank.

Daarnaast zijn er ongeveer al computervirussen sinds er computers zijn. De schade hierdoor groeit naarmate de risico's groeien: Naarmate bedrijfsleven en burgers meer en meer gebruik maken van computers en nog steeds vrij laks zijn qua backups en andere voorzorgsmaatregelen.

Ziekenhuizen in Engeland die nu een probleem hebben vanwege dat virus laatst bijvoorbeeld, dachten geld te besparen door oude software te blijven gebruiken. Dat kost ze nu waarschijnlijk juist meer geld. Verkeerde zuinigheid.
Dat vraag ik me af, veel van deze ransomware blijft eerst een tijd inactief dus een goede kans dat je backup ook besmet is. Uiteraard kun je altijd nog verder terug gaan in backup maar dan mis je toch weer delen. Geen backup is uiteraard sowieso niet handig.

[Reactie gewijzigd door Finger op 28 juni 2017 10:22]

Op zich is het niet erg dat een backup besmet is, omdat er geen operating system draait op de backup-schijf. Er gebeurt dus niets uit zichzelf op die schijf.

Aan de andere kant kan de randsomware je backup al hebben versleuteld of gewist bij zo'n opzet.

Heb je een off-site backup dan zal dat vaak een clouddienst via internet zijn met een eigen OS wat je als klant niet aan kunt passen, dus dat zal zelf niet snel kapot gaan. Dat bewaart gewoon je incremental backups en laat je vaak versie voor versie terugstappen in de geschiedenis van je backups.

Dus je gooit je harde schijf leeg, installeert je software opnieuw en zet je backups terug uit de cloud, simpel gezegd..
De bestanden die gebackupt worden zijn dus versleuteld, ga jij in de tussentijd dingen uit die backup halen, dan kan het lijken alsof er niets aan de hand is (omdat de ransomware deze dus dan ook decrypt, totdat die zichzelf dus publiekelijk maakt). Dus bij een offsite backup ben je niet veel veiliger. Enige wanneer je er eerder achter komt is als je op een schone computer dan iets uit die backup probeert te halen, maarja, je weet dan dat dat ding encrypted is, maar verder kun je er niets mee.
Dus zo simpel als Dus je gooit je harde schijf leeg, installeert je software opnieuw en zet je backups terug uit de cloud, simpel gezegd.. is het niet
totdat die zichzelf dus publiekelijk maakt
Het artikel suggereert dat "Hij is bedoeld om zich snel te verspreiden en schade aan te richten, onder het voorwendsel van ransomware" dus hij gaat waarschijnlijk niet eerst een half jaar wachten.

Uiteraard zijn er altijd scenario's te bedenken waarin het minder eenvoudig wordt, sowieso is het altijd een kat-en-muis-spel met hackers, daarom eindig ik ook met 'simpel gezegd..' ;)

Afgezien daarvan blijft een backup terugzetten een laatste redmiddel. Je bent vaak toch wat kwijt, afhankelijk van hoe oud je laatste backup is en daarbij is kost het vaak een hoop tijd en moeite om je hele computer weer te installeren en alle meuk terug te zetten.
Cloud diensten als backup......

Dit wil zeggen dat de backup data benaderbaar is. Dus is het per definitie niet veilig voor een virus of ander soort software.

De enige veilige backup is off-line, eventueel in een fysieke brandveilige kluis. Sorry voor al deze mooie cloud backup diensten, maar zo is het nu eenmaal.

Niks ergers dan tegen de directie te moeten zeggen, sorry onze backup is ook corrupt, want onze cloud backup dienst is ook aangevallen.

In cyberwar zegt men niet: laten we de data van bedrijf x onklaar maken. Nee ze zeggen: maak de data van bedrijf x onklaar en spoor alle kopieŰn op en maak die ook onklaar. En fysiek los staand in een kluis is een stukje moeilijker met je laptopje vanuit de Oekra´ne :-)
Mij hoor je dan ook niet pleiten voor een cloud-dienst als enige backup, of voor alleen een backup op een losse harde schijf :) Zelf heb ik daarnaast ook een blueray brander. Maar ik heb de indruk dat ik daarmee eerder een uitzondering ben.

Als een bedrijf een directie heeft, zal het ook wel de middelen hebben om regelmatig een off-line backup te laten maken etc. Toch is de praktijk weerbarstig. Allerlei ZZP-ers en andere kleine maar ook grote bedrijven werken van dag tot dag en juist als zo'n bedrijf goed loopt en het druk is, is het goede voornemen om wekelijks een schijfje te branden en liefst naar een ander adres te brengen het eerste wat er bij inschiet.
Zelf heb ik eens bekeken wat er daadwerkelijk belangrijk is aan data. Eigenlijk bar weinig, ja foto's en zo, wat documenten maar niet erg spectaculair. Voor een klein bedrijf zal het ook niet veel zijn, dus snap het probleem van backup ook niet echt, of het excuus van geen backup hebben. Zelf is voor mij een backup naar een NAS wat bij familie staat (45KM verderop) en naar 2 cloud diensten (OneDrive en een cloud backup) voldoende. Maar ik neem aan dat een groot professioneel bedrijf als Maersk dat toch wel beter heeft ingeregeld.

Cloud backup voor kleine bedrijven en consenten is niks mis mee. Ook cloud diensten zoals OneDrive en Dropbox is niks mis mee, maar heb een alternatief achter de hand. Niks ergers dan je gebruikersnaam en wachtwoord nodig hebben als die in de backup staat :) waar je niet bij kan bijvoorbeeld
Eigenlijk bar weinig, ja foto's en zo, wat documenten maar niet erg spectaculair. Voor een klein bedrijf zal het ook niet veel zijn, dus snap het probleem van backup ook niet echt, of het excuus van geen backup hebben.
Vergis je niet. Dit is voor veel tweakers inzichtelijk, maar voor de gemiddelde NL'er een mysterie.

Wat je backup betreft: Het voegt natuurlijk weinig toe om meerdere backups te hebben die allemaal netwerk gekoppeld zijn, qua versleuteling.

Anderzijds lijkt me dat juist bij gebruik van clouddiensten / netwerkservers het meteen misgaat dus opvalt dat bestanden ongewenst encrypted zijn, omdat je ze vanaf meerdere apparaten gebruikt. Wat is immers anders het nut van cloud/netwerk?
Daarom heb ik mijn cloud diensten in twee onderdelen verdeeld. Een werkgedeelte en een archief gedeelte. Dat laatste deel wordt zelden gesynchroniseerd op aangesloten systemen en dient als online backup.

Maar tja zoals je.al aangeeft niet iedereen heeft een strategie. Tot je ze op het forum opeens ziet huilen als ze alles kwijt zijn.
is het alleen Windows, of zijn er ook Linux of Apple versies in omloop?
eternalBlue kan ook op samba (oudere versies) worden gebruikt als exploit.

Daarnaast: de echte clue van dit verhaal is dat 3rd party autoupdates nu als aanvalsvector worden gebruikt. Wie garandeert jou dat een Adobe, NVidia, Spotify, VLC, Steam, Notepad++ dit niet teweeg kunnen brengen?
Niemand. En daarom draai je die update software ook niet op productie systemen. Ik draai ook daarom handmatig de microsoft auto updater en heb de deamon uit staan.
Dat nog naast het feit dat een update van die programma's niet altijd gewenst is (aanpassing interface/functionaliteit etc.).
Sowieso lijkt het me niet handig om standaard je programma's zichzelf te laten updaten. (op mogelijk de windowsupdate na, alhoewel ook daar wel eens problemen door kunnen komen)

Vraag me wel af of met alleen laten controleren op updates (dus enkel de melding, zonder iets te downloaden) je ook al zoiets binnen kan halen als ze de updateserver weten te misbruiken.
Als er iets mis is met een patch/update dan is dat meestal binnen 1 a 2 dagen wel bekend. En niet kritieke dingen kunnen een week of 2 later ook wel zonder problemen worden gedownload/geinstalleert lijkt mij. Kan je gelijk op je gemak kijken of de wijziging nodig is/bevalt.

Kritieke lekken in windows/adobe etc worden hier en op andere techsites uitgebreid behandeld en gemeld. Dus een handmatige update is dan ook snel zat gedaan. (Als kleine end user van alleen mijn eigen pc natuurlijk, heb het niet over beheren van netwerk etc.)
Hte probleem hier is dat de Oekrainiers hun eigen updates niet checkten. Het probleem had voorkomen kunnen worden als de auto-updater had gecheckt of het update bestand de correct digitale handtekening had. Dat is geen rocket science.
Alleen Windows
Voorlopig alleen Windows (want marktaandeel/impact), maar ook Mac en Linux zijn potentieel kwetsbaar.
Linux and Windows are both secure enough if you exercise caution and keep your system updated. It’s easier to keep Linux updated, though, since you can update with one or two commands and not have to restart immediately.

This particular attack won’t affect Linux AFAIK, but attacks targeted at Linux systems do happen occasionally.
Wel een hele kort door de bocht reactie in je quote. Het probleem met het uitvoeren van updates in een bedrijfsomgeving zit echt niet in het feit dat een restart nodig is of dat het met meer commando's zou moeten gebeuren. Het probleem zit hem in het testen van alle software, hardware, etc. Zeker de verschillende combinaties.
in mijn ogen zou een security update geen software plat mogen leggen -> het is enkel om bugs te pletten en dergelijke. Als software door security updates niet meer werken dan is je software dus ergens ook wellicht "brak".

Overigens -> de meeste software op windows stopt ermee door "feature updates" en .net updates...
This, just this. Helemaal eens!

Patches != Updates. Alle Security Patches voor alle software pakketten moet je gewoon blind installeren. En herstarts 'gewoon' automatiseren.

Als er een applicatie omvalt door de patch (niet door de herstart) dan verdient die applicatie gewoon een assessment. En als de patch echt niet kan, dan de servers gelijk isoleren en een hogere factuur sturen naar de klant om dat het een 'special' is geworden.

Wanneer softwarebouwers de officiele en gedocumenteerde APIs van de Operating Systems respecteren, dan gaat je app niet onderuit door de patch.

Edit:
En daarbij kun je zelfs nog een onderscheid maken tussen server en clients. Clients gewoon no questions asked and installed. Servers kun je dan een OTAP-trajectje doorlopen.

[Reactie gewijzigd door teusink op 28 juni 2017 11:32]

Sorry maar dat is een redelijk utopische gedachte. Als een software patch gegarandeerd geen bijwerkingen zou kunnen hebben dan had de originele software ook gewoon bugvrij geschreven kunnen worden. De praktijk is gewoon dat ontwikkelaars fouten maken en die ook soms in een (met de de beste intenties geschreven) patch kunnen zitten. Dat risico is zelfs redelijk groot, vanwege de enorme tijdsdruk waaronder dat soort patches geschreven en getest moeten worden.
Er zijn geen garanties. Ook niet bij/na testen.

Zonder specifieke tests icm daily business is het prima uit te rollen op basis van OTAP. Dus gewoon elke week een omgeving bijwerken. Issues poppen op of niet. Na 3 weken is de P omgeving aan de beurt. Issues heb je of zelf al ondervonden, of er is al nieuws.

Maar uitgebreide test procedures doorlopen is te duur tov het risico dat gelopen wordt. Het risico van te lang wachten met patchen is veel groter (cryptoware ed), dan een applicatie dat hikt van een Security patch.
Dat principe heeft MS een tijdje geleden om zeep geholpen met hun cummulative updates omdat ze hun nieuwe spyware functionaliteit zo graag willen pushen.
in mijn ogen zou een security update geen software plat mogen leggen -> het is enkel om bugs te pletten en dergelijke. Als software door security updates niet meer werken dan is je software dus ergens ook wellicht "brak".
Ga er maar van uit dat heel veel software brak is, maar wel essentieel voor het bedrijfsproces.
En zelfs als software wel verwacht wordt goed te zijn is het verstandig om toch eerst te testen voor het geval dat het met deze update toch fout gaat. Anders leg je het hele bedrijf plat. Simpelweg ÚÚn of meerdere werkstations updaten en testen (= gebruiken) met alle software voordat je de update naar de werkvloer uitrolt, levert weinig risico op en voorkomt veel problemen (tenzij je dus te lang bezig bent met testen en in de tussentijd malware toeslaat, maar daarvoor zijn er backups)

Het patchen van een server is daarbij al wat lastiger, simpelweg omdat er daar vaak maar ÚÚn van is, zeker als het een server is met een specifieke functie. Dat is alleen haalbaar als er een hele parallel draaiende testomgeving is.
Overigens -> de meeste software op windows stopt ermee door "feature updates" en .net updates...
Allemaal brakke software dus, die gebruik maakt van .net en dergelijke.[ :+
Het verschil met windows is alleen dat UNIX systemen veel minder integratie hebben tussen hard en software. Hierdoor kan men veel makkelijker upgraden zonder dat dit gevolgen heeft voor de bedrijfsvoering. Enige uitzondering is custom kernelcode en libraries, maar die kan je vrij snel uitsluiten aangezien je die zelf maakt. Testen is daarmee ook een stuk sneller te doen en dergelijke systemen zijn daarmee vrij snel te beveiligen.
(want marktaandeel/impact)
dan zou je toch verwachten dat juist linux wordt getroffen daar er vele malen meer apparaten linux draaien dan windows... of mis ik iets?
Welk bedrijf dat jij kent draait Linux op alle werkplekken dan? Zelfs in de servermarkt heeft Windows 1/3e marktaandeel, maar servers zijn vele malen beter beveiligd en in 80% van de gevallen voorzien van failover, redundancy, backup/snapshots, snapshot replication en steeds vaker gevirtualiseerd. En ßls een server al besmet zou raken met ransomware, dan staat de data in veel gevallen niet eens lokaal maar extern, achter nog meer lagen security en zelf ook gevirtualiseerd en gerepliceerd.

Daarom vallen ze workstations/werkplekken aan en daarop is Windows veruit in de meerderheid.
des te meer reden om ook op werkplekken geen windows te draaien maar mac of linux.

feit is dat er vele malen meer apparaten linux draaien dan windows dus blijf er bij dat het niets met markt aandeel te maken heeft.

1 werkstation dat de dupe is is 1 ding, maar een paar servers plat kan gevolg hebben dat 1000den werkstations offline gaan /onbruikbaar zijn.

bv geen internet meer of zelfs niet meer in kunnen loggen.

in deze day and age dat alles ongeveer in de cloud draait en daar afhankelijk van is doe je vele malen meer schade om de servers aan te vallen dan losse werkstations.
Bedrijven zitten veelal met alle workstations op Windows. Dat leg je op deze manier geheel plat. Linux staat vooral op servers, ja er zijn ook bedrijven die het op hun workstations hebben staan. Dat aandeel is echter nihil.

Linux is dan vaak de speciale server en daarnaast windows servers voor Active directory/windows server update service(wsus). En als ik me niet vergis konden Linux servers ook behoorlijke gevolgen ondervinden van die smb worm zoals de vorige. Gezien dat protocol gebruikt werd.

Hoe dan ook, als dit inderdaad enkel is om chaos te veroorzaken en miljoenen verlies voor bedrijven, dan is dat best gelukt denk ik zo. Een aantal jaren geleden werd door een fout de hoofdfabriek van Audi in Duitsland plat gelegd. Door een stomme fout die de servers liet afsluiten. Dat opnieuw opstarten kostte behoorlijk wat tijd en zodoende stond alles daar een paar uur stil en dat liep ook in de papieren. Dus als je nu kijkt naar Maersk, dat zal nog iets meer zijn.
Dit is nu de 2de maal "that the shit is seriously hitting the fan" en ook nu weer zijn er geen MacOS of Linux slachtoffer. Het wordt tijd dat er toegeven wordt dan Linux en MacOS hun zaakjes beter op orde hebben; Des te meer omdat deze gebruikers per definitie geen virus scanner draaien.

Verwijzen naar een onbeduidend akkefietje met transmission ivm met mac is intellectueel oneerlijk. Hiervoor waren alleen gebruikers vatbaar die zelf tussen bepaalde dagen/uren het bestandje van de transmission server haalden. Deze massa infectie is toch iets heel anders.

Ook marktaandeel/impact durf ik te betwijfelen: Zeker de eerste keer. Als het puur om geld ging, dan was er een hoop geld te verdienen met Mac users te infecteren. Van deze groep gebruikers wordt toch gezegd dat ze finacieel er beter voor zitten dan bijvoorbeeld een budget Medion computeraar. Denk eens in hoeveel meer procent ransom ze zouden kunnen vragen.
Dit is nu de 2de maal "that the shit is seriously hitting the fan" en ook nu weer zijn er geen MacOS of Linux slachtoffer. Het wordt tijd dat er toegeven wordt dan Linux en MacOS hun zaakjes beter op orde hebben; Des te meer omdat deze gebruikers per definitie geen virus scanner draaien.

Verwijzen naar een onbeduidend akkefietje met transmission ivm met mac is intellectueel oneerlijk. Hiervoor waren alleen gebruikers vatbaar die zelf tussen bepaalde dagen/uren het bestandje van de transmission server haalden. Deze massa infectie is toch iets heel anders.
Dat er geen OS X of Linux slachtoffers deze ronde zijn gevallen is logisch, de software is Win32. Maar denk nu maar niet dat je veilig bent met Linux of OS X puur om het feit dat je een van de twee draait. Daar is ook malware voor, waaronder cryptolockers. Zo werd niet zo lang geleden een grote hosting partij in Zuid Korea slachtoffer van een cryptolocker die al hun Linux servers gijzelde.

Abonneer jezelf eens op de nieuwsbrief voor techneuten van bijvoorbeeld Red Hat. Regelmatig krijg je mails met adviezen om bepaalde patches te installeren. Daar kom je ook gevallen tegen dat een exploit het mogelijk maakt om remote code uit te voeren om een Linux machine en af en toe zelfs eentje waarbij die code root rechten kan verkrijgen.

Waan je niet veilig enkel om het feit dat je een bepaald OS draait.
en ook nu weer zijn er geen MacOS of Linux slachtoffer.
Dat is volstrekt nietszeggend zonder context, en daar gaat de discussie nu juist over.
Verwijzen naar een onbeduidend akkefietje met transmission ivm met mac is intellectueel oneerlijk. Hiervoor waren alleen gebruikers vatbaar die zelf tussen bepaalde dagen/uren het bestandje van de transmission server haalden. Deze massa infectie is toch iets heel anders.
Dat 'onbeduidende akkefietje' was enkel om aan te tonen dat Mac in principe evengoed kwetsbaar is voor ransomware.
Ook marktaandeel/impact durf ik te betwijfelen
Want? 90% vs. 5% Mac en 5% overig vind ik vrij significant. Want...
Als het puur om geld ging, dan was er een hoop geld te verdienen met Mac users te infecteren. Van deze groep gebruikers wordt toch gezegd dat ze finacieel er beter voor zitten dan bijvoorbeeld een budget Medion computeraar. Denk eens in hoeveel meer procent ransom ze zouden kunnen vragen.
...
1) Het gaat ze nou juist niet om het geld, het gaat ze om disruptiveness. En het is allemaal prachtig en schitterend dat de halve creatieve wereld op Mac draait, maar hoeveel workstations en terminals draaien op Mac/Linux en hoeveel op Windows? Dus welk systeem target je voor maximale disruptiveness?
2) En als het ze wÚl om het geld te doen was geweest, waarom hebben ze dan niet die miljarden consumenten getarget maar specifiek een aantal machines bij Maersk en wat andere instellingen?

Precies, dit was een surgical strike, gericht op een x-aantal grote bedrijven.
En over dat Mac gebruikers meer te besteden hebben... Buiten dat ik dat een zeer vermoeiend en vervelend argument vind, wat zou lucratiever zijn:

- 950 miljoen van elke 1 miljard gebruikers targeten met 1% die 300$ kan missen (= 95 miljoen)
of
- 50 miljoen van elke 1 miljard machines targeten met 50% die 300$ kan missen (= 25 miljoen)

En dan ga ik dus uit van slechts 1% van PC gebruikers die 300$ kan missen, wat al volstrekte nonsens is. En zelfs met deze volstrekt overdreven cijfers is het eerste scenario nog altijd lucratiever dan het tweede.
Laten we hopen dat beheerders en organisaties vooral hun beveiliging wat serieuzer gaan nemen zodat dit niet zo maar kan gebeuren.

Patch je systemen, reboot, zorg voor goede policies/firewalling/zones in je systemen.

Laat systemen niet klakkeloos TCP met elkaar praten, maar zorg dat er bijvoorbeeld alleen maar HTTP(S) verkeer op bepaalde plaatsen door mag.

Dßt zijn dingen die er moeten gebeuren.
dafuq denk je dat http is, geen TCP/IP?
Zeker weten is dat TCP! Maar je kan wel protocol inspectie laten plaats vinden of dat wat er IN het TCP pakket zit wel HTTP(S) is en niet random TCP.

Veel systemen mogen nu gewoon direct TCP/UDP packets naar elkaar sturen en dan bestaat de kans op rare exploits die je van te voren niet verwacht.

Al zal een host-based firewall in veel gevallen al voldoende zijn.
Hoe precies wil je checken of HTTPS wel echt HTTPS is? 't Is HTTP in een TLS verbinding. Maar dat kan je alleen weten als je de keys hebt voor de TLS verbinding, zo werkt encryptie nu eenmaal. Het beschermt tegen MITM aanvallen, ook van het soort dat jij nu voorstelt.
Oekra´ne schijnt het voornaamste doel te zijn van deze 'aanval'. We weten allemaal wie in oorlog is met met Oekra´ne. 1+1 = ?
Die kans is inderdaad aanwezig. Aan de andere kant...
lex parsimoniae

Er zijn wel wat puntjes die deze kant op wijzen.
Maar ben het met je eens dat het niet zeker is. Het kan ook zijn dat het gewoon een mooie kans was voor hackers die een lek ontdekte in de MeDoc software.

[Reactie gewijzigd door kr4t0s op 28 juni 2017 11:38]

Dat is me net iets te opzichtig. Jouw reflex is wel een goede afleiding voor de werkelijke daders.

Ik zeg niet dat Rusland niet in staat zou zijn om een dergelijke aanval op te zetten en uit te voeren, maar dan zou het er niet zo dik bovenop liggen en dan zouden ze zelf niet het land met het op ÚÚn na grootste aantal besmettingen zijn.
Met die redenering kun je ook weer zeggen dat Rusland expres deel van het land ge´nfecteerd heeft om voor afleiding te zorgen. En zo is het cirkeltje weer rond ;)

Het is natuurlijk speculatie op dit moment. Hopelijk zijn vinden onderzoekers meer info. Maar wellicht wordt de bron nooit gevonden. Over Wannacry is men het ook nog niet 100% eens, vermoedelijk Noord-Korea.
We weten ook allemaal wie er belang bij heeft te willen dat wij denken dat Rusland de moeder van alle kwaad is, al rechtvaardiging voor allerlei onlogische besluiten, tweets en afleiding voir de teringzooi in zijn eigen land.
Geen geld verdienen is een erg snelle conclusie. Kan ook gewoon test zijn om een aanval in de toekomst te verkopen.
Als het niet gemaakt is om geld aan te verdienen, zou het nog wel eens een voorbode voor iets veel groters kunnen zijn.
Het IS al iets veel groters. Betalen kan al niet meer dus de schade blijft. Backups terug zetten kost tijd, dus geld.
Waarom plaatst Tweakers een artikel met een gedachte van iemand zonder dat diegene er onderbouwing aan toevoegt...

OkÚ voor de mensen die het artikel niet hebben gelezen

-> Er word gezegd dat de encyptiecode te lang is
---> maakt dit uit met hoeveel geld er binnenkomt? gaat iemand een code twv 300 euro daadwerkelijk fout typen? en een goede encryptiecode moet ook wat lengte hebben.

-> Er word gezegd dat er twee Russische bedrijven het heel snel hebben opgelost
---> en dan? zaten de russen erachter omdat 2 bedrijven goede IT hebben?

-> Eerste slachtoffer was een Oekra´ens bedrijf
---> dus russen wilden schade aanrichten aan Oekra´ne? mooie conclusie man.

-> E-mail adres was al snel gedeactiveerd
---> dit had niemand zien aankomen omdat iedere ge-encrypte gebruiker nu genaaid is.

[Reactie gewijzigd door retry op 28 juni 2017 10:28]

-> Er word gezegd dat de encyptiecode te lang is
---> maakt dit uit met hoeveel geld er binnenkomt? gaat iemand een code twv 300 euro daadwerkelijk fout typen? en een goede encryptiecode moet ook wat lengte hebben.
Is dit een kleine letter l of een hoofdletter I? Kan je niet zien in het font hier op Tweakers. Indien het font onduidelijk is soms in onderscheid kan er zo een tikfout in komen. Veel ransomware die Windows nog laat starten biedt een copy paste oplossing aan. Fouten zijn dus niet ondenkbaar, maar dit is eerder gebruiksonvriendelijkheid... Hoe vreemd dat ook klinkt voor malware.
-> Eerste slachtoffer was een Oekra´ens bedrijf
---> dus russen wilden schade aanrichten aan Oekra´ne? mooie conclusie man.
Hacks en malware worden de nieuwe bommen en granaten. Oekra´ne heeft de afgelopen weken al meer cyberaanvallen te verduren gehad op bedrijven en infrastructuur. Je ziet wat een succesvolle aanval kan doen. Meerdere grote bedrijven zijn lam geraakt, je kan voor miljoenen zo niet miljarden aan economische schade aanrichten. Hack het energienetwerk en je kan hele steden in het donker zetten. Het kan zijn dat Oekra´ne het hoofddoel is en alle infecties buiten het laten bijkomstigheden zijn. Wat dat betreft gaan we steeds meer richting sci-fi Tom Clancy verhalen.
-> E-mail adres was al snel gedeactiveerd
---> dit had niemand zien aankomen omdat iedere ge-encrypte gebruiker nu genaaid is.
De meeste malware is slimmer. Er staat weinig in qua adressen in de code. De domeinen van C&C servers worden veelal via een algoritme bepaald en zo kan malware contact blijven maken ook al wordt een domein afgesloten. Dit is haast standaard geworden in elk stukje malware wat je kan kopen.

Een mailbox bij naam zo noemen is niet handig, eerste wat gebeurt is dat het adres afgesloten wordt of onderzocht wordt door justitie. Nu kan de malware maker geen geld meer ontvangen om de bestanden vrij te geven, erg onhandig als dit het primaire doel is.
Een mailbox bij naam zo noemen is niet handig, eerste wat gebeurt is dat het adres afgesloten wordt of onderzocht wordt door justitie. Nu kan de malware maker geen geld meer ontvangen om de bestanden vrij te geven, erg onhandig als dit het primaire doel is.
De betalingen staan los van het emailadres. Het emailadres is om te melden dat je een betaling hebt verricht en om te melden wat je walletID en encryptykey zijn, zodat je een decryptiekey teruggestuurd kunt krijgen.
Wanneer gebruikers nog niet weten dat het emailadres geblokkeerd is en denken dat ze hun bestanden nog steeds kunnen redden door te betalen (en dat ook willen) zullen er nog steeds betalingen binnenkomen.
Volg gewoon de link als je die wil lezen , hij maakt een redelijk overtuigend argument.
"and the instructions require sending an email with a large amount of complex strings (something that a novice computer victim is unlikely to get right.) "

zwakste argument wat ik ooit heb gehoord, een novice gebruiker kan niet een lange key overtypen? ook echt alsof het verkeerd typen de geldinstroom gaat hinderen lmao.
Het geeft in ieder geval aan dat er geen nadruk is gelegd op gebruikersvriendelijkheid, iets dat overige ransomware beter voor elkaar hebben (tot en met telefonische klantenservice aan toe). Dat geeft reden tot twijfel aan het motief.

[Reactie gewijzigd door nst6ldr op 28 juni 2017 10:56]

Indien het zo is om geld te verzamelen maak je er een makkelijk en fail proof methode voor. Zoals de vorige ransomwares dat wel hadden. Hier lijkt het een bijgedachte en snel iets in elkaar geflanst dat moeilijk en heel snel neit meer zal werken.


Neem nu dat mail adres in tegenstelling tot wat jij denkt weet iedereen die iet of wat hiermee bezig is dat elk bedrijf een dergelijk adres zal stopzetten. Welk bedrijf wil meewerken aan dergelijke oplichting?
Debiel? Nogmaals welk bedrijf gaat meewerken aan het oplichten/afpersen van mensen?

Denk AUB 2 seconden na.
Het is letterlijk noch figuurlijk de enige manier (dat je het woord letterlijk fout gebruikte was al een clue dat het van daarfa bergaf zou gaan). Een triviale manier is het terugzetten van backups, en er zijn er vast nog wel een paar.

[Reactie gewijzigd door mae-t.net op 28 juni 2017 13:24]

De enige manier?
Bedrijven zouden backups moeten hebben, dat is de juiste manier om data terug te krijgen.
Het is niet eens gegarandeerd dat je een decrypt key krijgt nadat je betaald.

Juist door te betalen gaan meer personen denken: hier valt wat mee te verdienen, en dergelijke software is gewoon te koop in de donkere hoeken van internet. Iedereen die weet hoe je software installeert, een email adres aanvraagt en weet hoe botcoins werken kan ermee aan de slag.
Dus je kunt beter het vuur doven en zorgen dat het niet rendabel is.

[Reactie gewijzigd door gjmi op 28 juni 2017 14:13]

Gelukkig geef jij veel onderbouwing waarom het onzin is.

Edit: retry heeft z'n reactie aangepast.

[Reactie gewijzigd door lukjah op 28 juni 2017 10:21]

De ransomware maakt gebruik van een hardcoded bitcoinadres voor betaling in combinatie met een e-mailadres, dat echter dinsdagmiddag al door het bedrijf Posteo is geblokkeerd.
Het feit dat betalen nu al zinloos is lijkt me een heel duidelijke onderbouwing.
-> E-mail adres was al snel gedeactiveerd
---> dit had niemand zien aankomen omdat iedere ge-encrypte gebruiker nu genaaid is.
Klopt, mocht je genaaid zijn door deze aanval kan je volgens mij je systeem herstellen door een oude back-up terug te zetten. Kwam voorbij op webwereld:
http://webwereld.nl/security/99573-betalen-van-notpetya-ransomware-losgeld-is-zinloos
Ze heten niet voor niets viRussen :P
Las ik niet ergens dat men de prijs van Bitcoin onder druk probeert te zetten door middel van deze aanval? Het is een interessante case om te kijken hoe stabiel de cryptocoin is, aangezien we al sterke stijgingen en dalingen hebben gezien de afgelopen paar dagen.

Op dit moment lijkt het alsof kleine verschuivingen nog steeds veel impact hebben op de waarde. Als deze actie daadwerkelijk tot dergelijke impact kan leiden, dan weet ik vrij zeker dat dit niet de laatste keer is.

Ik vermoed dat we nog mazzel hebben dat het doel niet is om de infrastructuur plat te leggen, want dan zijn we fucked.
Waarom zou dat zo zijn? Voorheen werd doorgaans gevraagd om bijv. 1 bitcoin over te maken, nu is er sprake van een dollarbedrag wat in xbt moet worden overgemaakt, dus onafhankelijk van de bitcoinwaarde.
Joh vraag het me niet, maar ik kan me voorstellen dat het schadelijk is voor het vertrouwen in BC, met als gevolg dat de waarde(n) weer significant dalen, waarop kan worden gespeculeerd.

Het is i.i.g. min of meer 'bewezen' dat deze ransomware niet een doel op zich was. Het was niet de bedoeling er aan te verdienen.
BitCoins zijn een eindige grootheid, met maar 21 miljoen mogelijke BTC'.s BitCoins die niet gelinkt zijn aan ransomware zijn daarom nog schaarser. Je hoeft dus niet direct aan de aanval zelf te verdienen; je kunt dubbel winnen door voorkennis over de schommelingen van de koers en door achteraf niet-besmette BTC's te hebben.
Dat is inderdaad waar het op neer kwam ja. Volgens mij zijn alle overige waarden van altcoins gelinked aan de waarde van Eth of BC, met als gevolg dat ook die koersen dalen.
Bitcoin en stabiel kun je alleen in 1 zin gebruiken als er 'niet' tussenstaat.

Je hoeft geen test uit te voeren om te zien dat bitcoin niet stabiel is, dat spreekt voor zich.
Fair enough; Ik bedoel te zeggen dat de stijging de afgelopen 3 maanden (tot een paar dagen geleden) flink heeft doorgezet en in die zin stabiel was.
In ieder geval zal bepaalde media (dus politici) het gebruiken om crypto geld in een kwaad daglicht te stellen.

Berichten zoals deze:

https://venturebeat.com/2...se-of-bitcoins-anonymity/

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*