Microsoft: Petya-variant trof minder dan 20.000 systemen

De nieuwe Petya-variant, ook wel NotPetya genoemd, die deze week huishield, trof minder dan 20.000 systemen en 70 procent daarvan bevond zich in Oekraïne. Dat meldt Microsoft na eigen onderzoek. Voornamelijk Windows 7-machines werden geïnfecteerd, claimt het bedrijf.

De nieuwe Petya-variant is geavanceerd en de aanval van afgelopen week kan als erger gezien worden dan die van WannaCry, maar de statistieken laten zien dat de aanval minder wijdverspreid is, claimt Microsoft. De aanval startte in Oekraine en de meeste infecties vonden daar plaats. Buiten dat land waren veel minder besmettingen.

Volgens de Windows-maker gebruikten de ontwikkelaars van Petya technieken die normaal gesproken door pen-testers en hackers gebruikt worden, om een geavanceerde combinatie van deze technieken in een enkel programma te maken. De meerderheid van de besmettingen trof Windows 7-machines, maar Microsoft meldt niet welk percentage andere Windows-versies trof.

Wel claimt het bedrijf dat Windows 10 op een aantal manieren bescherming tegen de Petya-variant biedt. Zo zou Device Guard ervoor zorgen dat de eerste stap van de aanval, de installatie van kwaadaardige software met behulp van psexec en wmic, geblokkeerd kan worden. Daarnaast zijn in Windows 10 Anniversary Update en de Creators Update standaard functies geactiveerd die tegen smb-exploits beschermen, aldus het bedrijf, zoals verbeterde kaslr.

Volgens Microsoft zijn getroffen systemen die secure boot geactiveerd hebben en over uefi beschikken, te herstellen door te booten met een installatieschijf en een Startup Recovery uit te voeren. Bij gebruik van een niet-uefi-systeem waarop Kaspersky draait, is herstel mogelijk door fixmbr of fixboot vanaf een recovery console te draaien.

Bij de waarschuwing van de Petya-variant dat de bestanden versleuteld zijn, is de mft al encrypted en is herstel niet mogelijk volgens Microsoft. Ook het NCSC meldt dat er bij succesvolle besmetting met de ransomware geen zicht is op decryptiemogelijkheden en dat bedrijven zich tot nieuwe installaties en back-ups moeten wenden. Een van die getroffen bedrijven is APM. Op vrijdag zijn de containerterminals in de Rotterdamse haven van dit bedrijf nog altijd niet in bedrijf.

IT-banen

Reacties (69)

itlee 30 juni 2017 14:38

Ben ik nu de enige die de interpretatie zo leest dat Microsoft een wit voetje probeert te halen?
"Maar minder dan 20.000 werkplekken, en o, Windows 10 "kan" de aanval afslaan..."

Even mijn ongezouten mening;
- Ik vind t werkelijk te ziek voor woorden dat iemand zo'n aanval in elkaar klust en het verspreid (prinicipe kwestie, grapje, geld, bedrijven vallen gewoon om door dit soort k*tzooi...je doet dit gewoon niet)
- Ik vind t werkelijk te ziek voor woorden dat dit soort exploits bij de NSA vandaan komt (gehacked of niet)
- Ik vind t werkelijk te ziek voor woorden dat Microsoft dit onwille van security niet eerder gepatched heeft! (had al voor 14 maart moeten gebeuren, en ze hadden er niets over moeten zeggen, gewoon fixen en door).

Je hebt als software bouwer in deze orde van grote zorgplicht voor je klant, zoals Apple zijn iphone niet hacked omwille een beveiligingsonderzoek. Je moet in de huidige maatschappij als je een mobieltje wil kopen je hele hebben en houden op de balie leggen (salaris stroken enz)omwille van zorgplicht dat je geen schulden maakt maar een software leverancier patched de meest bizarre backdoors niet om de NSA/CIA maar te pleasen? en miljarden systemen bloot te leggen.

Heeft Microsoft niks geleerd van het RPC virus in de periode 2003/2004. (want dat was net zo'n brok ellende) Nu is het Microsoft, een paar maanden geleden was Synology de pisang met ransomware....whats next...

edit; tekst toegevoegd.

[Reactie gewijzigd door itlee op 24 juli 2024 15:14]

TWyk @itlee • 30 juni 2017 15:50

Deze aanval heeft zich verspreid via een update voor software van derden. Een software update die de getroffen bedrijven zelf vrijwillig hebben geinstalleerd.
Daar kan een software bouwer toch eigenlijk niet zo veel aan doen.

Binnen de getroffen bedrijven maakte de geinstalleerde malware vervolgens van meerdere aanvalsvectoren gebruik om zich verder te verspreiden waaronder een gepatcht SMB lek maar vooral ook het gebruik via gegevens van lokale adminaccounts voor installatie van de malware.
Je suggereert nu dat Microsoft opzettelijk het SMB niet gepatched zou hebben maar daar blijkt niets van en dat heeft in mijn ogen ook niks te maken met een situatie die maanden nadat de patch al is uitgerold plaatsvind.

NLKornolio @itlee • 30 juni 2017 15:47

Als beetje it-er had je dit lek zelf al jaren geleden dicht kunnen zetten. Is gewoon een D-Word in je registry.
Probleem is dat smb een nogal belangrijke feature is van windows.
Patch je het voor het merendeel van de mensen maar haal je hele architecturen onderuit omdat computers niet meer met andere legacy OS kunnen werken.

Verwijderd @NLKornolio • 4 juli 2017 12:49

Waarom zou "een beetje IT-er" random dingen uitschakelen met registerhacks in de context van dit probleem, voordat het een probleem was?

[Reactie gewijzigd door Verwijderd op 24 juli 2024 15:14]

NLKornolio @Verwijderd • 4 juli 2017 18:42

Een beetje proactieve it-er werkt zo naar mijn mening. Een beetje it-er zijn is zo 2010 vroeger moest je zelf wat meer spitten ipv van wachten op de NOS die dingen verteld.
Hou je vulnerabilities in de gaten http://www.cvedetails.com/cve/CVE-2016-3345/ deze was vorig jaar al bekend.

[Reactie gewijzigd door NLKornolio op 24 juli 2024 15:14]

Verwijderd @NLKornolio • 4 juli 2017 19:14

Jij zegt expliciet dat je dit al jaren geleden had kunnen voorkomen met een registerhack.
De vraag is dus, hoe dan? Volgens mij moet je eerst uberhaupt kennis hebben van een lek, alvorens je uberhaupt kan gaan overwegen er wat aan te doen en volgens mij hebben de meeste beetje it'ers geen toegang tot NSA's zwarte boekje met backdoors. En dan heb je nog WAT ga je er aan doen.
Problemen met software heb je doorgaans toch echt gewoon een update voor nodig van de schrijver, in dit geval Microsoft.
De situaties waar zelfverzonnen registerhacks in een productieomgeving een super cool plan zijn kan je volgens mij op één hand tellen.

[Reactie gewijzigd door Verwijderd op 24 juli 2024 15:14]

NLKornolio @Verwijderd • 4 juli 2017 20:00

Onderzoek doen, cve,s in de gaten houden is de weg van de minste weerstand.

Gelukkig heb je bij sommige werkgevers en zeker bij apm, 1 of twee test domeinen. Een thuislab bouwen is ook niet zo moeilijk.

Een echt secure omgeving zet uit wat ze niet gebruiken. Smbv1 is al sinds 2010 vervangen door v2

Denk dat het niet makkelijk is registry hacks te gaan verzinnen, gelukkig hebben we tegenwoordig Google.

Verwijderd @NLKornolio • 5 juli 2017 10:36

Nu even weer naar de werkelijkheid, er staan pak hem beet 90k meldignen op die website, je moet wel eerst weten wat je zoekt voordat je wat concreets aan die vulnerabilities database hebt. Als je in een urenverantwoording gaat noteren dat je elke dag een uur op die website zit te browsen voor het buitenkansje dat je eens in de tien jaar iets vind voordat het gewoon gepatcht wordt door de softwareboer ga je in de meeste gevallen op weerstand stuiten van hen die je salaris betalen. Zeker als je er op interim of zzp basis zit en dus uurtje factuurtje bezig bent.

[Reactie gewijzigd door Verwijderd op 24 juli 2024 15:14]

NLKornolio @Verwijderd • 5 juli 2017 10:47

In werkelijkheid nemen niet alle bedrijven een security manager hier voor aan. Als je het als IT-er regelmatig door kijkt hoef je hier geen uren per dag aan te besteden. Je kan het natuurlijk gewoon uitbesteden aan bedrijven doe hier in gespecialiseerd zijn. Er zijn meerdere software programma te verkrijgen die je netwerk scannen voor deze vulnerabilities en laten zien wat de oplossing is en het risico aangeven en mooie kleurtjes.

Verwijderd @itlee • 1 juli 2017 06:46

Wat kan je doen als iemand een installer van een door jouw bedrijf gebruikt programma infecteert? Weinig volgens mij. Als ze eenmaal binnen zijn dan kan je feitelijk niet meer zoveel doen. Veel bedrijven hebben de netwerken van hun verschillende locaties aan elkaar gekoppeld, ook als deze geografisch verspreid zijn.

aawe mwan @Verwijderd • 1 juli 2017 07:54

Best wel raar eigenlijk, dat we het tegenwoordig normaal vinden dat op een computer applicatie X de bestanden van alle andere applicaties kan modificeren.

Verwijderd @aawe mwan • 1 juli 2017 08:46

Het is feitelijk ook raar dat alle computers in de wereld met elkaar verbonden zijn via internet. Dat maakt het geheel heel erg kwetsbaar.

In combinatie met programma's die veelal zijn geschreven in de kwetsbare C programmeertaal heb je een 'perfect storm' en krijg je af en toe meltdowns zoals we met NonPetya gezien hebben.

Dit was maar een voorproefje want NonPetya was feitelijk alleen gericht tegen Oekraïne. Een land zoals Noord-Korea zou kunnen besluiten om het hele westen aan te vallen, zeker als Trump hen gaat bedreigen met een aanval.

Met SE-Linux kan je policies maken waarmee programma's alleen maar beperkte vrijheid hebben om bestanden te modificeren en resources te benaderen op het netwerk.

[Reactie gewijzigd door Verwijderd op 24 juli 2024 15:14]

rotterdams @aawe mwan • 1 juli 2017 16:24

Daarom is sandboxing ook steeds meer in opkomst (niet dat het perse een geheel nieuw iets is).

Six9 @itlee • 30 juni 2017 15:46

Toevoeging:
Ik vindt het te ziek voor woorden dat bedrijven uit kostenbesparing op oude systemen blijven draaien die niet meer ondersteund zijn zoals xp.

chickpoint

@Six9 • 30 juni 2017 16:26

Het is niet altijd vanuit kostenbesparing, een hoop legacy apparatuur werkt niet ander dan op XP. De enige optie hiervoor is toch echt een XP machine te gebruiken.

Wij hebben ook nog enkele XP machines draaien voor lab-tools, maar deze staan volledig los van het bedrijfsnetwerk (aka netwerkpoort van het moederbord af gesoldeerd). Het is een soort pseudo-security, maar als je dit omzeilt ben je wel heel bewust bezig.

In sommige situaties kom je er gewoon niet onderuit.

Verwijderd @itlee • 30 juni 2017 23:04

Mensenkinderen gedraag je een beetje zeg. Dan bouw je toch lekker je eigen software.

Daan1510 30 juni 2017 13:03

Stel een PC in je netwerk raakt geïnfecteerd en je hebt een NAS met alle backups in je netwerk hangen maar met aparte inlog (ofwel geïnfecteerde PC beschikt niet over netwerktoegang tot de NAS). Kan die NAS dan alsnog geïnfecteerd raken?

anboni @Daan1510 • 30 juni 2017 13:12

Aangezien dit ding gebruik maakt van een aantal specifieke windows exploits, zal dat voor non-windows NASsen wel meevallen. Dat wil niet zeggen dat je data op een NAS volledig veilig is, ook voor die platformen bestaan er geheid kwetsbaarheden.

sygys @anboni • 30 juni 2017 15:10

Is het niet zo dat een nas gezien kan worden als een netwerk hardeschijf? Ik heb een netwerkverbinding opgezet met mijn nas en kan vanuit mijn windows machine zo door de mappen bladeren alsof ik een hardeschijf open.

Of kan deze hack daar dan alsnog niets mee?

anboni @sygys • 30 juni 2017 15:13

Als je er vanaf windows doorheen kunt bladeren, kan een cryptolocker die op jouw pc draait er ook bij. Maar da's een andere situatie dan de vraag van Daan, die kan er juist niet bij vanaf Windows.

Mieske666 @anboni • 1 juli 2017 00:32

Nou ja ligt er maar aan hoe je het bekijkt. Ik werk bijna alleen met Linux (CentOs in dit geval) maar dat is absoluut niet veiliger. Misschien iets minder interessant? Als je daar een backup share maakt en de backup bestanden worden daar met encryptie van de ransomware naar toe gestuurd zijn die backups evengoed besmet. Alleen heeft Linux er in dit geval weinig last van.

Wil niet zeggen dat linux er geen last van heeft. In tegendeel. Er bestaat ook ransomware voor Linux. Al zie je dat bijna nooit in de nieuws berichten voorbij komen.

Wat doe ik.. Een gevirtualiseerde omgeving met 29 dagen VEAM backups. Alles bij elkaar ruim 60 servers. Bijna allemaal Linux. De windows servers die ik heb draaien zijn standalone en hebben misschien drie gebruikers.. Het zijn services die ik nodig heb maar alleen op windows draaien.

Dicht getimmerd tot in het gaatje. En toch weet ik dat het mis kan gaan..

We lopen er altijd achteraan. Hoe goed je het ook beveiligd en audits uitvoert.. Als een slimmerd er doorheen wilt dan lukt dat vroeg of laat.

GiLuX @Mieske666 • 1 juli 2017 07:03

In tegendeel. Er bestaat ook ransomware voor Linux

vertel... (en niet aankomen met fairway)

Mieske666 @GiLuX • 1 juli 2017 10:38

Linux.Encoder.1

Maar daargelaten dat er niet op gericht wordt op dit moment wil niet zeggen dat het niet kan.

TWyk @Daan1510 • 30 juni 2017 13:06

Alleen als die NAS een al maandenlang ongepatchte Windows versie draait met daarop nog het in maart gepatche SMB lek.
Meeste NAS'sen zullen uberhaupt geen windows draaien.

MAX3400

Microsoft

@Daan1510 • 30 juni 2017 13:08

Ja, in een flink aantal recente nieuwberichten, zijn er vulnerabilities beschreven die geen "normaal login-account" nodig hebben maar waarbij op een vreemde manier toegang wordt verkregen tot root of SYSTEM.

Tja, dan ben je wel gezien; root, SYSTEM (en aanverwante accounts) hebben de hoogste priviliges op een device en kunnen, in essentie, alles doen wat ze willen.

Delgul @Daan1510 • 30 juni 2017 14:06

Aangezien de meeste NAS-sen geen Windows draaien, waarschijnlijk niet. Eventuele shares die je naar op de NAS heb openstaan (gemapped of niet) lopen natuurlijk wel gevaar want die zijn met het SMB protocol benaderbaar. Maar dat heb je natuurlijk niet gedaan voor een volume waar je backups maakt. ;-)

De veiligste constructie is er eentje waarbij je de NAS de backup laat initiëren en een kopie laat maken (uiteraard met minimaal enkele dagen behoud van wijzigingen).

mjansen2016 @Daan1510 • 30 juni 2017 14:50

Dit heb ik zelf meegemaakt met wannacry, een SCO-unix server die door een geinfecteerde client alles encrypte. Een verre voorganger van mij had triple 7 aan alle accounts gegeven, het betrof hier een 15 jaar oud systeem waar niemand ooit nog naar omkeek, want het deed het gewoon(progress). De nas zelf is dan niet besmet, maar via de besmette client kunnen wel de shares encrypt worden.

Zodiac @Daan1510 • 30 juni 2017 13:49

Als een geinfecteerd bestand op de NAS staat wat vervolgens binnen Windows wordt geladen, wordt de werkplek (opnieuw) geinfecteerd. Maar een NAS gebruikt geen Windows (Propietary Linux distributie, zoals QNap of Synology, óf Linux als eigen brouwsel).

Niemand_Anders @Daan1510 • 30 juni 2017 13:51

Als je bijvoorbeeld een remote share standaard gemapped hebt naar een drive letter, dan is het mogelijk dat ook de bestanden waarvoor jij schrijfrechten hebt ook zijn aangepast

Een dergelijk remote share drive mapping is ook mogelijk met afwijkende credentials..

Ik weet niet of deze malware zo geavanceerd is, dat deze bestanden niet corrupt maakt, maar wel zodanig aanpast dat andere systemen geinfecteerd kunnen worden als zij het bestand proberen te openen..

Een NAS of SAN zelf zal niet snel ten prooi vallen aan malware. De bestanden op die NAS/SAN is een ander verhaal.. Daarom is het belangrijk dat je ook regelmatig een offline backup maakt. Maar ik moet eerlijk bekennen dat afgezien van de backup welke ik dinsdag maakte, de vorige thuis ook al een jaar geleden was. Foei naar mezelf!

Verwijderd 30 juni 2017 13:10

Even een vraag over de SMB exploits - Gaat dat ook op als je SMB3 draait?
Ik kon mij herinneren dat het in Petya ging om exploits in SMB1.

jkommeren @Verwijderd • 30 juni 2017 13:26

Hij gebruikt SMB1 exploits inderdaad. Standaard staat SMB1 (server) aan, ook op windows 10 voorlopig, en ben je kwetsbaar voor niet-gepatchte exploits.

Je kunt SMB1 in Windows 10 simpelweg uitschakelen door via "Turn Windows Features on or off" in het lijstje SMB1 uit te schakelen

gevolgd door een restart.

[Reactie gewijzigd door jkommeren op 24 juli 2024 15:14]

Verwijderd @jkommeren • 30 juni 2017 13:55

Top, ik loop alle PC's voor de zekerheid nog eens na.

Cristan 30 juni 2017 13:17

Wat vast ook meehelpt tegen wereldwijde verspreiding is dat je niet infecteert als de en_US keyboard layout de enige toetsenbordlayout is op je systeem (bron).

SSDtje

30 juni 2017 13:17

Dat zijn er in Oekraïne dus alleen al 14.000.
Het overgrote deel dus.
Maar goed, dit wens je niemand natuurlijk, dus ook zij niet.

[Reactie gewijzigd door SSDtje op 24 juli 2024 15:14]

LankHoar 30 juni 2017 14:18

Het lijkt erop dat MS of niet over alle informatie beschikt (lijkt me onwaarschijnlijk), of bewust een verkeerd nummer de wereld instuurt. Motivatie daarvoor snap ik echter niet. Alleen bij ons zijn er al veel meer dan dat aantal systemen getroffen.

tc-t @LankHoar • 30 juni 2017 15:33

Het blijft natuurlijk gaan om iets dat verspreid werd met behulp van een exploit in hun besturingssysteem.

Of daar ondertussen een patch voor bestaat of niet doet niet heel veel ter zake, het is en blijft een lek in hun systeem.

Het komt veel minder erg over al het dan "maar een beperkt aantal" machines betreft.

LankHoar @tc-t • 30 juni 2017 15:43

Dat snap ik, maar netjes is het niet natuurlijk. Gewoon eerlijk blijven, dat toont karakter en bouwt vertrouwen

Nu twijfel ik gelijk ook aan andere uitspraken van MS, dus wat schieten ze er mee op?

[Reactie gewijzigd door LankHoar op 24 juli 2024 15:14]

TWyk @tc-t • 30 juni 2017 15:59

Het blijft natuurlijk gaan om iets dat verspreid werd met behulp van een exploit in hun besturingssysteem

Dat hoeft niet.
Deze malware gebruikte ook andere methodes om zich op interne netwerken te verspreiden.

tc-t @TWyk • 30 juni 2017 16:07

OK, maar er is een verschil tussen de technische details en de 'samenvatting' die in de voornamelijk mainstream media verspreid wordt.
In het tweede geval is er weinig aandacht voor de technische details, maar wordt wel duidelijk gemaakt dat het over Windows computers gaat. Met wat geluk wordt ook het woord 'lek' en misschien zelfs 'NSA' vernoemd.
(Zie nieuwsuitzendingen op de radio, klein beetje achtergrondduiding op TV, etc...)

Als de reden van dit bericht een gevalletje 'damage limitation' is, dan is het vooral tegen de mainstream perceptie dat gereageerd wordt.

.. en wordt meteen van de gelegenheid gebruik gemaakt om toch even mee te geven dat Windows 10 toch veel beter is dan Windows 7.
Misschien dat tante Tessie dan alsnog een overstap overweegt...

[Reactie gewijzigd door tc-t op 24 juli 2024 15:14]

sprikkel25 @LankHoar • 30 juni 2017 17:46

of ze zien 1 netwerk als 1 systeem, ipv een client als systeem de hele client/server opstelling als 1 systeem zien.

dan kan je een gigantisch hoeveelheid computers terugbrengen naar 20000 systemen.

TWyk 30 juni 2017 12:59

Het is logisch dat er minder dan 20.000 systemen zijn geinfectieerd omdat er op het internet geen verspreidingsmethode was anders dan de update van de Oekraïense Me-doc boekhoudingssoftware.

Dat betekent in essentie dat alleen bedrijven die deze software op hun netwerk gebruiken geïnfecteerd zijn geraakt. Met name dus Oekraïense bedrijven en een paar grote bedrijven met een vestiging in de Oekraïne.

De malware lijkt daarmee ook meer een aanval ofwel op het betreffende softwarebedrijf dat de boekhoudingssoftware ontwikkelt (misschien een concurrent?) ofwel een aanval op Oekraïense bedrijven in het algemeen (bv vanuit de Krim of Rusland)

[Reactie gewijzigd door TWyk op 24 juli 2024 15:14]

klaw @TWyk • 30 juni 2017 13:13

Ja, het begint er nu echt op te lijken dat dit dus vanuit Rusland komt en gericht was tegen Oekraïne... Het was al niet gebruiksvriendelijk en niet bedoeld om geld mee te verdienen.

stresstak @klaw • 30 juni 2017 13:20

Het was al niet gebruiksvriendelijk en niet bedoeld om geld mee te verdienen.

Extra hufterig. Ze hebben er toch maar mooi domme maar onschuldige mensen en bedrijven mee op het verkeerde been gezet. Niet eens kunnen betalen.

Wees dan dapper en zeg het. ''Hi Ukrain, You are fucked.!"

mashell @klaw • 30 juni 2017 14:45

het begint er nu echt op te lijken dat dit dus vanuit Rusland komt

Als het er op lijkt dat het uit Rusland komt dan zal het wel niet uit Rusland komen denk ik dan. De Russen zijn immers goed in het verbergen van sporen. Dit komt van een vijand van Rusland, een land als Nederland ofzo.

klaw @mashell • 30 juni 2017 15:04

!? je kunt ook te moeilijk doen.
Dus in een poging om Rusland in een kwaad daglicht te zetten doet NL een cyber aanval op Oekraïne? De Russen komen weg met een oorlog ik denk niet dat dit hier veel aan verandert.

Iets simpeler; Oekraïne heeft er vooral last van en wie "wint" daarmee het meest? Rusland.

mashell @klaw • 30 juni 2017 15:20

Dus in een poging om Rusland in een kwaad daglicht te zetten doet NL een cyber aanval op Oekraïne?

Ja zo werkt internationale politiek. De staat Rusland en haar staatshackers zouden niet zo gemakkelijk aan te wijzen zijn. Misschien zijn het scriptkiddies in een flatje 3 hoog achter in Moskou maar die handelen dan niet on opdracht van het Kremlin.

Oekraïne heeft er vooral last van en wie "wint" daarmee het meest? Rusland.

Tja, zo simpel, als in een NCIS aflevering, zo zit de wereld niet in elkaar. De kans dat dit door Trump geregeld is om Rusland in een kwaad daglicht te stellen acht ik groter dan dat de order van Poetin kwam.

YangWenli @mashell • 30 juni 2017 18:15

Daar heb je zeker een punt maar neemt niet weg dat ieder land verantwoordelijk is voor het ophouden van de internationale rechtsorde. Als Russische hackers misdaden plegen moeten die door Rusland opgespoord en berecht worden.

Maar ik verwacht dat we nooit de waarheid zullen weten.

klaw @mashell • 30 juni 2017 15:39

Kromste redenatie ooit. Met diezelfde logica zou de VS allemaal troepen naar Oost-Oekraïne sturen om Rusland in het kwade daglicht te zetten...

Ben je serieus of aan het trollen?

rsign 30 juni 2017 13:17

Microsoft maakt nog even gebruik van de situatie om mensen te proberen over te halen hun Windows 7 te updaten?

Neko Koneko @rsign • 30 juni 2017 13:32

Denk dat de meeste Windows 8 gebruikers naar 10 over zijn en 10 installeert updates automatisch (en dat is lastiger helemaal uit te zetten) dus ik denk dat menig 10 gebruiker zijn systeem redelijk up-to-date heeft.

Daarnaast denk ik dat veel bedrijven die traag zijn met het overgaan naar 10, ook traag zijn met het implementeren van updates (natuurlijk zijn er ook bedrijven die bewust op 7 blijven ivm compatibiliteit).

rsign @Neko Koneko • 30 juni 2017 14:18

Volgens mij zijn er nog genoeg mensen die Windows 7 gebruiken, maar goed. Vind het apart dat mijn reactie weggemod wordt.

bigbadbull @rsign • 30 juni 2017 14:17

inderdaad , ik heb maar weet van 1 bedrijf die geïnfecteerd is.
en dat zijn hipsters met een surface 2 of 3.
Bij mijn weten draait daar geen Win7 op, maar W10.

Het is niet omdat je de patches tegen MS17-010 staan hebt, dat je beschermd bent.
Nee de patch is tegen de worm functies die van MS17-010 gebruik maken.
De MS Antivirus & Co zoals defender zijn maar op Dinsdag US time van een update tegen NonPetya voorzien, wat bijna betekend dat het pas op Woensdag in EU beschikbaar was.
En ja het voorgenoemde bedrijf was dus op Maandag al slachtoffer.

YangWenli @rsign • 30 juni 2017 18:17

Nou het is bijna 2020 denk niet dat het MS veel kan schelen. Straks mag iedereen die nog een oude Windows draait een duur onderhoudscontract afsluiten net zoals met XP destijds

Cornelisjuh 30 juni 2017 12:57

*Zet aluminiumhoedje op
Wat is NotPetya gebruikt is door overheden om zonder argwaan gegevens te wissen op hun eigen systemen zonder dit hoeven te verantwoorden?
*Zet aluminiumhoedje af

Unipuma @Cornelisjuh • 30 juni 2017 12:59

Zoals eerder gemeld opTweakers was het waarschijnlijk bedoelt als cyber aanval op andere partijen:
nieuws: 'NotPetya is bedoeld om gegevens te wissen met schijn van ransomware'

Verwijderd @Cornelisjuh • 30 juni 2017 13:11

Overheid doet dat soort dingen toch wel, en als ze er voor op het matje geroepen wordt schoppen ze gewoon iemand met een gouden handdruk naar een andere afdeling en roepen ze dat de verantwoordelijke medewerker is ontslagen.

[Reactie gewijzigd door Verwijderd op 24 juli 2024 15:14]

Only_Pevede @Cornelisjuh • 30 juni 2017 13:00

Misschien ook bedrijven de een waardeloze boekhouden erop na hielden.
Ook met een notpetya wordt geld verdiend.

Dit zal niet de laatste ronde zijn.

himlims_ @Cornelisjuh • 30 juni 2017 13:02

hoezo? ze kunnen bonnetjes al niet terug vinden; vind niemand raar - wanneer met data weg wilt hebben wordt dat gewoon naar /dev/null verplaatst

heb je echt geen overengineerd stukje randsomware voor nodig

-

"Dat heb seker op feesboek gestaan?"

Atilim @Cornelisjuh • 30 juni 2017 13:28

ik ga ervan uit dat een elke organisatie een backup heeft staan en dat ze niet zomaar een gat in hun systeem van X dagen kunnen en mogen veroorloven

Bedrijven hebben bijvoorbeeld een bewaarplicht, vernietigen van info is

http://www.zzpservicedesk.nl/630/de-regels-bewaarplicht.htm

3. Brand is geen excuus
Zorg ervoor dat je op een externe harde schijf of ergens in de cloud een reservebestand hebt van je boekhouding. Stel dat er brand uitbreekt dan verlies je al je mappen met facturen en bonnetjes en computers met excelbestanden en pdf’s. En dat zou een ramp kunnen zijn. Brand of diefstal gelden namelijk niet als excuus om onder de bewaarplicht uit te komen. Je zult altijd je administratie van de afgelopen zeven jaar moeten kunnen overleggen. Overigens is wanneer je alles digitaal opslaat op een externe harde schijf het ook heel makkelijk om daar een kopie van te maken.

Mickroz

30 juni 2017 14:37

APM Terminals Rotterdam gaat gefaseerd open uitsluitend voor truck aanlevering voor export. bron
APM Terminals Maasvlakte 2 is vooralsnog gesloten.

Op dit item kan niet meer gereageerd worden.

Microsoft: Petya-variant trof minder dan 20.000 systemen

Lees meer

Internetaanval treft grote bedrijven

IT-banen

Reacties (69)

Sorteer op:

Weergave: