Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

'Sabotagevirus' treft energiebedrijf

Een nieuw virus heeft ten minste één bedrijf uit de energiesector getroffen. Het virus overschrijft bestanden en verminkt master boot records, zodat pc's niet meer kunnen opstarten. Er zijn aanwijzingen dat het om een doelgerichte aanval gaat.

Het virus, dat door antivirusbedrijven 'Shamoon' of 'Disttrack' wordt genoemd, maakt op Windows-systemen een lijst met interessante bestanden en vernietigt deze vervolgens. De bestanden worden overschreven met data uit een jpeg-bestand, stelt Symantec, zodat ze niet meer kunnen worden hersteld.

Daarnaast wordt het master boot record van de harde schijf overschreven, waardoor de computer niet meer kan opstarten zonder een herinstallatie of het terugplaatsen van backups. Of het virus ook informatie steelt, is vooralsnog onduidelijk. Volgens SecuLert worden de namen van de gewiste bestanden naar een andere pc gestuurd, maar die zou zich opvallend genoeg in hetzelfde netwerk bevinden. Mogelijk gaat het om een getrapte aanval, waarbij een pc die niet rechtstreeks aan het internet is gekoppeld, wordt aangevallen via een pc in hetzelfde netwerk die dat wel is.

Het is nog geen wijdverspreid virus; Symantec schat dat er minder dan vijftig besmettingen zijn. Wel zou er al een aantal instellingen zijn getroffen. Mogelijk gaat het om een doelgerichte aanval; een van de besmettingen betreft een niet bij naam genoemd bedrijf uit de energiesector. Eerder werd bekend dat het energiebedrijf Saudi Aramco uit Saudi-Arabië door het virus zou zijn getroffen, maar het is onduidelijk of het daarbij inderdaad om het Shamoon/Disttrack-virus gaat.

Een module van het virus heeft de bestandsnaam 'wiper.pdb', wat sommige beveiligingsbedrijven zien als een verwijzing naar Wiper, een module van het Flame-virus dat onlangs opdook. Kaspersky denkt echter niet dat er een relatie tussen de twee is, en uit een analyse van het bedrijf zou zelfs blijken dat het nieuwe virus mogelijk het werk van scriptkiddy's is.

Door Joost Schellevis

Redacteur

17-08-2012 • 17:12

44 Linkedin Google+

Reacties (44)

Wijzig sortering
De programma's die je noemt, zijn zogeheten 'domme' programma's, houden geen rekening met de originele partitie-indeling, en zullen de MBR terugzetten naar een standaard, die Microsoft handig vond. Dat houdt in: één NTFS-partitie die start na 64 sectoren, en verder de complete grootte van de harde schijf beslaat. Jammer joh, je gegevens zijn dus niet beschikbaar als je partitie toevallig op een andere sector begon (bijvoorbeeld op sector 204800, zoals bij Windows 7 vaak).
Daarnaast heb je een grote kans dat ze die partitie dus ook nog eens echt gaan aanmaken, omdat je immers Windows dan alleen kunt herstellen door een nieuwe installatie of het terug-plaatsen van een back-up.

Wie zich echt verdiept in een besturingssysteem, kan met een HEX-editor sneller en zekerder even zelf die MBR herschrijven. Zo ben je namelijk WEL zeker dat je de adresseringen correct hebt. Als je dan ook nog eens een professioneel programma hiervoor gebruikt als WinHex of een andere echte HEX-editor, dan is dat nog niet eens moeilijk ook.

Sorry, maar als iemand met 7 jaar in het herstellen van data heb ik dit soort beschadigingen vaak genoeg gezien. Er zijn meerdere virussen die de MBR aanpassen, maar tot nu toe heb ik er nog geen één gezien die de kopie van de MBR aan heeft getast. Die is normaal gesproken te vinden aan het eind van de bruikbare schijfgrootte (vaak: totaal aantal sectoren van de schijf - 64), en daardoor makkelijk terug te kopiëren. Als de bootsectoren van de partities ook overschreven zijn, kan het wat lastiger zijn om die terug te zetten, maar ook die zijn gekopieerd naar het eind van de partitie...

Zet je een back-up teug over je gehele systeem, verlies je vaak meer data, en ik vermoed zelfs dat ee beetje ICT-afdeling hier met enkel een aangepaste MBR sneller klaar is door deze terug te berekenen en opnieuw te schrijven, en daarna het virus zelf te verwijderen.
Ik ben zelf werkzaam in de energie sector, ik kan jullie uit de droom helpen alle schakelaars zijn nog steeds te bedienen zonder computer overal zitten nog steeds knoppen op, en deze zijn zelfs te bedienen zonder elektriciteit,bij een (langdurige) stoomstoring zal het wel eens kunnen gebeuren dat je moet schakelen en... er is geen spanning.

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True