Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 283 reacties

Wie in de afgelopen dagen niet onder een steen heeft geleefd, is bekend met minstens een van deze aanduidingen: Wcry, WannaCry, WanaCry, WannaCrypt, WannaCrypt0r en Wana Decrypt0r. Daarbij gaat het om een ransomwarevariant die veel computersystemen over de hele wereld heeft geïnfecteerd en op die manier aanzienlijke schade heeft veroorzaakt, bijvoorbeeld door ziekenhuissystemen in het Verenigd Koninkrijk plat te leggen. Infecties met ransomware zijn niets nieuws, dus de vraag die zich in dit geval opdringt, is wat deze variant anders maakt dan andere soorten.

WannaCry bestaat uit twee componenten: een ransomwarecomponent en een worm. De eerste component bestaat al langer en werd bijvoorbeeld door beveiligingsbedrijf Trend Micro in april opgemerkt. Destijds was er nog niets bijzonders aan de malware. Dat veranderde toen de personen achter de kwaadaardige software er een nieuwe component aan toevoegden, waardoor de verspreiding van de ransomware sterk toenam. Normaal gesproken zijn alledaagse ransomwarevarianten in staat om netwerklocaties te besmetten, maar in het geval van WannaCry is er iets anders aan de hand.

Verspreiding via Windows-kwetsbaarheid

De wormcomponent van WannaCry maakt gebruik van een kwetsbaarheid in Windows-systemen, die wordt aangeduid als MS17-010. Een exploit voor de kwetsbaarheid werd onlangs vrijgegeven in een dump door de Shadowbrokers, een persoon of groepering die al langer NSA-hacktools publiceert. De exploit draagt de naam Eternalblue en maakt gebruik van een kwetsbaarheid in het SMB-protocol, waardoor het mogelijk is voor een aanvaller om op afstand code uit te voeren op een kwetsbaar systeem. De exploit is hoogstwaarschijnlijk geschreven door de NSA en kwam aan het licht door de publicatie. Daardoor was de code beschikbaar voor iedereen, dus ook voor ransomwaremakers.

"Er is nog geen mail gevonden waardoor deze malware wordt verspreid"

Op het moment dat infectie plaatsvindt, versleutelt de ransomware belangrijke bestanden op de computer en zoekt de wormcomponent naar kwetsbare systemen om de infectie verder te verspreiden. Het SMB-protocol is daar geschikt voor, aangezien het tot doel heeft bestanden en diensten via het netwerk toegankelijk te maken. In kantooromgevingen is de kans op het gebruik van deze dienst daarom groot.

Maarten van Dantzig, onderzoeker bij het Nederlandse beveiligingsbedrijf Fox-IT, legt aan Tweakers uit dat de SMB-exploit hoogstwaarschijnlijk de manier was waarop de ransomware in eerste instantie werd verspreid. Daarbij richtte de kwaadaardige software zich op kwetsbare systemen die via internet te benaderen waren. Op de vraag of verspreiding ook plaatsvindt via phishing-e-mails, zegt Van Dantzig: "Er is nog geen mail gevonden waardoor deze malware wordt verspreid." Hij legt verder uit dat de worm bij elke infectie willekeurige ip-adressen op internet scant om meer doelwitten te vinden. Deze constatering komt ook naar voren in een analyse door beveiligingsbedrijf McAfee, dat schrijft dat de malware zich op die manier ook via internet kan verspreiden. Kaspersky gaat ervan uit dat de verspreiding van WannaCry op donderdag is begonnen, gezien het aantal probes naar poort 445.

Patches

Nadat de Shadowbrokers de NSA-tools hadden gepubliceerd, bleek dat Microsoft de meeste lekken die aan de basis van de verschillende exploits lagen, al in maart had gepatcht. Het is tot nu toe niet duidelijk wie de lekken aan het Redmondse bedrijf heeft gemeld. In vervolg op de gebeurtenissen rondom WannaCry heeft Microsoft bovendien besloten om ook patches uit te brengen voor besturingssystemen die officieel niet meer ondersteund worden, zoals Windows XP en Windows Server 2003. Voor gebruikers die een kwetsbaar systeem hebben en die niet in staat zijn om de patch uit te voeren, is het ook mogelijk om de SMB-dienst uit te zetten. Windows 10-gebruikers zijn niet kwetsbaar.

Dat toch een groot aantal systemen geïnfecteerd is geraakt, wijst erop dat niet alle organisaties een werkend updatebeleid hebben, zo schampert onder meer burgerrechtenorganisatie Bits of Freedom. Dat bepaalde ict-omgevingen complexer zijn dan andere, betekent volgens de organisatie niet dat belangrijke beveiligingsupdates genegeerd kunnen worden.

De ransomware zelf

wannacryKijken we naar de ransomware zelf, dan gaat het om een variant die verschillende bestandstypes versleutelt en voorziet van de extensie 'wcry'. Vervolgens deelt een pop-up mee dat decryptie alleen mogelijk is als slachtoffers het equivalent van 300 dollar aan bitcoins naar een bepaald adres overmaken. In totaal maakt de malware gebruik van drie bitcoinadressen, in tegenstelling tot varianten die een apart adres per infectie aanmaken. Tot nu toe is ongeveer 29 bitcoin naar de drie adressen overgemaakt, wat neerkomt op een totaalbedrag van ongeveer 46.500 euro. Andere bronnen gaan uit van vijf verschillende bitcoinadressen. Website Quartz heeft een Twitter-bot in het leven geroepen die live betalingen volgt. Slachtoffers hebben drie dagen om het gevraagde bedrag over te maken. De pop-up claimt dat het losgeld daarna wordt verdubbeld. Symantec becijferde onlangs dat de gemiddelde prijs voor decryptie in de afgelopen jaren sterk is gestegen: van ongeveer 300 naar bijna 700 dollar.

Slachtoffers wordt aangeraden om het losgeld niet te betalen. Daar zijn verschillende redenen voor. Zo houdt een betaling het verdienmodel van internetcriminelen in stand, een algemeen argument dat vaker wordt gehanteerd in de discussie rond ransomware. In het geval van WannaCry is er een aanvullende reden. Zo wijst Hacker House-onderzoeker Matthew Hickey erop dat decryptieverzoeken bij deze variant handmatig goedgekeurd moeten worden en dat het daarom onwaarschijnlijk is dat dit voor alle verzoeken gebeurt. Onderzoeker Mikko Hypponen claimt dat enkele slachtoffers na betaling hun bestanden hebben teruggekregen. In de tussentijd verschijnen er verschillende diensten van derden die decryptie voor WannaCry aanbieden, deze moeten met de nodige achterdocht worden behandeld. Een tool op GitHub maakt het mogelijk om versleutelde bestanden terug te halen, maar alleen als het slachtoffer over de RSA-sleutel beschikt.

Er is nog geen informatie naar buiten gekomen over de personen achter de malware. Net als bij andere ransomwarevarianten is het moeilijk om een verantwoordelijke aan te wijzen. Dat komt mede doordat de malware via Tor communiceert en de betalingen via bitcoin verlopen.

Het opmerkelijke aan de huidige variant van de malware is dat er een url in de code aanwezig is

Het opmerkelijke aan de huidige variant van de malware is dat er een url in de code aanwezig is, die werd ontdekt door beveiligingsonderzoeker MalwareTech. Deze url is aangeduid als 'killswitch'. De onderzoeker opperde zelf de mogelijkheid dat het een zwakke poging is om analyse in een sandboxed omgeving te voorkomen, omdat het daarin kan voorkomen dat een ongeregistreerd domein als actief wordt weergegeven. Zodra de malware verbinding maakt met het domein, gaat deze niet over tot het versleutelen van bestanden. Doordat het domein nu geregistreerd is, is MalwareTech wellicht een groot aantal nieuwe infecties tegengegaan. Dit gebeurde zonder dat hij van tevoren wist welke gevolgen het registreren van het domein zou hebben. Een Twitter-account dat activiteit van het Mirai-botnet bijhoudt, toonde zaterdag dat het botnet werd ingezet om een ddos-aanval op de url in kwestie uit te voeren, al is onduidelijk wat het effect daarvan was.

Gevolgen en varianten

De gevolgen van de verspreiding van WannaCry waren vrijdag en gedurende het weekend te merken. Er werd gevreesd dat het begin van de werkweek op maandag een groot aantal nieuwe infecties met zich mee zou brengen, maar dat lijkt mee te vallen. De tracker van MalwareTech toont dat er iets minder dan 200.000 systemen geïnfecteerd zijn.

Internationaal werden verschillende organisaties door WannaCry getroffen, waaronder ziekenhuizen, de Deutsche Bahn, FedEx, de Spaanse provider Telefónica en het Russische ministerie van Binnenlandse Zaken. In Nederland is tot nu toe alleen parkeerbedrijf Q-park door de ransomware getroffen. Volgens het NCSC zijn er geen meldingen van infecties van overheidssystemen of systemen van bedrijven in vitale sectoren. De organisatie waarschuwt wel dat de kans bestaat dat er in de komende tijd nieuwe varianten van de malware verschijnen. Deze zijn dan waarschijnlijk niet voorzien van een killswitch. In het weekend en maandag werd al melding gemaakt van dergelijke varianten, maar het moet nog blijken of deze dezelfde gevolgen hebben als de huidige WannaCry-malware.

Microsoft-voorzitter Brad Smith publiceerde maandag een bericht waarin hij namens het bedrijf stelde dat dat het WannaCry-incident aantoont dat het opsparen van kwetsbaarheden door overheden gevaren met zich meebrengt. Hij spreekt van een terugkerend patroon waarin de kwetsbaarheden van overheden uiteindelijk uitlekken, met de nodige gevolgen. In Nederland speelde de discussie rond het gebruik en het zoeken van kwetsbaarheden door de overheid onder meer bij de wetsvoorstellen voor de 'hackwet' en de 'aftapwet', die allebei nog door de Eerste Kamer goedgekeurd moeten worden.


Door Sander van Voorst

- Nieuwsredacteur

Sander heeft altijd interesse gehad voor alles wat met security te maken heeft. Vanuit deze voorliefde heeft hij Informatierecht gestudeerd in Amsterdam en is hij thuis op het gebied van privacy en wetgeving. Deze kennis deelt hij op Tweakers in de vorm van nieuwsberichten en reportages.

Volg Sander op Twitter
Moderatie-faq Wijzig weergave

Reacties (283)

Mooi artikel. Vandaag ook nog de hele dag bezig geweest met deze ransomware.
Wat betreft infecties lijkt het in Nederland mee te vallen, maar het heeft in ieder geval veel los gemaakt wat betreft het bewustzijn van het belang van updates en goede back-ups.

De benaming loopt inderdaad door elkaar, maar als je de code bestudeerd zie te telkens wana voorbij komen. De "officiële" benaming zou dus eigenlijk WanaCry moeten zijn. De infectie komt zeer waarschijnlijk via SMB op poort 445, dat zie je ook terug in de firewall logs. Echter is het aantal infecties opmerkelijk te noemen. Dit zou namelijk inhouden dat alle infecties een systeem in het netwerk moeten hebben gehad welke bloot aan het internet hing, zonder een firewall of NAT.
Ik verwacht overigens dat deze worm op zeer korte termijn aangepast langskomt in een phishing mailtje. De schade is potentieel nog groter indien er in het netwerk systemen zijn welke niet gepatched zijn.

De huidige analyses laten zien dat het gedrag van WanaCry op zijn zachts "complex" genoemd mag worden. WanaCry is grotendeels geschreven in C/C++ en gebruikt op enkele plaatsen nog VBS. Alle bestanden worden versleuteld d.m.v. het AES-128-CBC algoritme via een 2048 bit RSA sleutel (Thnx @Sloerie ). Tevens beschikt WanaCry over vertalingen voor de meest voorkomende talen (Waaronder nederlands).
Tijdens de infectie installeert WanaCry ook een tor client om vervolgens via het tor netwerk te communiceren met zijn C&C server.
Om recovery te bemoeilijken / onmogelijk te maken worden de volgende commando's uitgevoerd:
  • cmd.exe /c vssadmin delete shadows /all /quiet & wmic shadowcopy delete & bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quiet
  • vssadmin delete shadows /all /quiet
  • wmic shadowcopy delete
  • bcdedit /set {default} bootstatuspolicy ignoreallfailures
  • bcdedit /set {default} recoveryenabled no
  • wbadmin delete catalog -quiet
Het 100% voorkomen van een infectie met WanaCry en/of toekomstige varianten is nagenoeg onmogelijk. Wel kun je de kans heel erg klein maken. Comodo firewall, HitmanPro Alert of Winpatrol WAR (mits goed geconfigureerd) zijn goede producten om ransomware over het algemeen tegen te houden. Ook WanaCry lijkt niet opgewassen tegen een systeem beveiligd met deze software. Echter zorgt deze software in het algemeen ook voor problemen met andere software, en is deze in mindere mate geschikt voor grote bedrijfsnetwerken.
Voor grotere bedrijfsnetwerken doet een goede blocklist wonderen, het blokkeren van TOR exit nodes maakt veel ransomware onschadelijk doordat deze geen verbinding kan opbouwen met het TOR netwerk om zo zijn sleutels te communiceren (WanaCrypt lijkt vreemd genoeg alsnog te encrypten zonder internet). Cisco heeft ook nieuwe snort rules toegevoegd voor het herkennen van WanaCry (42329-42332, 42340, 41978) waardoor je IDS het verkeer zou moeten herkennen.

[Reactie gewijzigd door eltweako op 15 mei 2017 20:47]

In het verleden met Cryptolocker staan testen. Daaruit bleek dat enkel op moment deze naar buiten kon (internet toegang), pas begont te encrypten. Tot dan bleeft die gewoon actief in geheugen, maar deed verder niets.

De vraag is nu echter, werkte deze ook zo? Cryptolocker stuurde de key naar een server, maar zolang die daar niet aan kon, encrypte die niets.

Maw, moest deze ook zo werken (hoe weet anders de server wat de key is na betalen, om te helpen decrypten), dan is WFC meer dan voldoende. Deze gaat laat niets verbinden naar buiten, tenzij je toelating geeft, dan slaat hij die firewall rule op.

Maar weet iemand dus of deze ook pas begint encrypten als die offline uitgevoerd wordt?
Tijdens mijn tests begon WanaCry gewoon te encrypten zonder internetverbinding. Ik heb alleen nog niet kunnen vaststellen of WanaCry de sleutel nog ergens op de achtergrond vasthoud totdat er internet is.
Wellicht wordt de sleutel door WanaCry gegenereerd op basis van de hardware van je computer, en zou deze sleutel opnieuw gegenereerd kunnen worden op het moment dat je betaald.
Zonder internet kan er in ieder geval geen decryptie uitgevoerd worden aangezien WanaCry de betaling niet kan verifiëren.
Wat ik tot dusver gelezen heb zet wannacry de key op je eigen HD, ge-encrypt met een public key die in het programma zit.

Ik gok dat na betaling om te decrypten, dit bestand via TOR of iets dergelijks naar de hackers wordt gestuurd. de hackers decrypten het met hun private key, en sturen de ge-decrypte key terug.

hier wat intresante info https://www.endgame.com/b...omware-technical-analysis

00000000.eky User private key encrypted by the Ransomware Publickey
00000000.pky Public Key used for Encrypting Files

Hard Coded Public Key to Encrypt User Private Key (Converted to Base64 for Display)
BgIAAACkAABSU0ExAAgAAAEAAQB1l0w7hEbeLCr0lahdwM1t2tfUkh4TgjRqcI2PfPcEklV/8aInsp5BrJCAkRiTwrF7rSvz/6/bK1G+HaMn46dXCFq+wR32BPgcvluxZ/vkyNp1AHCxF3AkbAljdKxLCh1xrn+uZbjFhnnFfp+YYExSuSliyyMp7TGRdHt7CyYb8n1nv9p6QNryYU2UpX2tWWutnqM6OcZbbp

je zal de 00000000.eky dus moeten decrypten om de key te krijgen die je andere files kan decrypten.

[Reactie gewijzigd door MvGroenigen op 17 mei 2017 17:03]

WannaCry blijkt in de praktijk maar drie verschillende bitcoinadressen te gebruiken. Volgens onderzoekers komt dit door een bug en was het de bedoeling dat de malware voor iedere infectie een uniek adres zou aanmaken.

De hidden site op het Tor-netwerk lijkt de malware alleen te gebruiken om te kijken of er betaald is.

Vraag blijft hoeveel zin betalen heeft, aangezien ze met maar drie adressen niet zomaar kunnen kijken of jij het was die het losgeld betaalde en niet iemand anders.
Juist door deze bevindingen vraag ik me af in hoeverre deze malware "klaar" was voor het grote publiek. Je zou zeggen dat je dit toch even van te voren test?

Het zou me werkelijk niet verbazen als iemand wat stukken code heeft gecombineerd om te "testen" hoe goed de malware zou werken. Wellicht is/was WanaCry een POC.
Helemaal omdat de enige bekende verspreidingsmethode via SMB is; er zijn geen gevallen gemeld waarbij de worm bijvoorbeeld via e-mail of exploit kits verspreid werd. Dat maakt het een stuk waarschijnlijker dat de worm onbedoeld "ontsnapt" is uit een malwareontwikkelaar's testomgeving.
Vermoedelijk bedoel je AES256128-CBC (custom) via een RSA 2048bit RSA_AES scheme.

Bron: https://www.endgame.com/b...omware-technical-analysis

[Reactie gewijzigd door Sloerie op 15 mei 2017 19:22]

Bedankt, is aangepast.
Heb je toevallig een voorkeur voor een Firewall, en hoe je deze correct instelt voor een optimale beveiliging? (Evt wat sites die ik kan doorlezen :) ) Wat is het voordeel van een aparte Firewall programma tegenover de Firewall die je vaak bij (betaalde) antivirus krijgt? (in mijn geval ESET Internet Security)
Mijn persoonlijke voorkeur gaat uit naar Comodo firewall, dit is een solide firewall met goede aanvullende extra's die echt wat toevoegen (HIPS, Sandbox en Viruscope).
Wat betreft firewall is de firewall in ESET Internet Security zeker niet "slecht". Het gevaar van de meeste firewalls zit hem in het feit dat gebruiksvriendelijk proberen te zijn.
Een app wilt toegang tot internet? Geen probleem!
Wat je zou moeten doen is de firewall volledig op handmatig zetten zodat de firewall bij elke applicatie vraagt of deze toegang mag tot een bepaalde dienst.
"Chrome.exe wilt toegang tot het internet (HTTP)" toestaan, "Battle.net wilt toegang tot het internet" toestaan, "trjndwnldr.pdf.exe wilt toegang tot het internet" weigeren.

Grote nadeel is dat je echt de tijd moet nemen om alle meldingen te beoordelen. Vooral in het begin zal het even schrikken zijn hoeveel applicaties op je computer proberen te praten met de buitenwereld. Je kunt dan ook meteen bij alle Windows services de keuze maken of ze wel of niet mogen communiceren, zo kun je ook alle telemetry diensten blokkeren (ja je kunt ze ook met een tool uitschakelen).

[Reactie gewijzigd door eltweako op 16 mei 2017 00:31]

Overigens is zo'n uitgaande firewall vrij makkelijk te omzeilen vanuit een programma. Een DLL bij een ander process (van dezelfde user) inladen is vrij eenvoudig te doen (training hook bijvoorbeeld), en die kun je dan weer gebruiken als een tunnel voor je HTTP access. De firewall weet niet beter of "firefox.exe" wil toegang tot het internet.

Als je proof-of-concept wil, "soundleech" is op dit principe gescheven en breekt op deze wijze in bij alle lopende programma's, en communiceert met zijn "host" applicatie in de taskbar. Soundleech gebruikt dit om audio te onderscheppen, maar 't kan vanuit de gastprocessen natuurlijk doen wat het maar wil.
Wat je zou moeten doen is de firewall volledig op handmatig zetten zodat de firewall bij elke applicatie vraagt of deze toegang mag tot een bepaalde dienst.
"Chrome.exe wilt toegang tot het internet (HTTP)" toestaan, "Battle.net wilt toegang tot het internet" toestaan, "trjndwnldr.pdf.exe wilt toegang tot het internet" weigeren.

Grote nadeel is dat je echt de tijd moet nemen om alle meldingen te beoordelen. Vooral in het begin zal het even schrikken zijn hoeveel applicaties op je computer proberen te praten met de buitenwereld. Je kunt dan ook meteen bij alle Windows services de keuze maken of ze wel of niet mogen communiceren, zo kun je ook alle telemetry diensten blokkeren (ja je kunt ze ook met een tool uitschakelen).
Ik heb dit vroeger ook gedaan met het programma ZoneAlarm.
Het was opzich een prima programma van goede kwaliteit met een fijne gui, je krijgt namelijk meldingen rechts onderin en dan kun je toestaan of blokkeren en het ook gelijk onthouden voor de volgende keer, maar dus ook maar 1 keer toestemming geven wat ik erg fijn vond.

Het enige vervelende is dat dit programma en ook andere firewall programma's die je handmatig kunt instellen hun instellingen vergeten zodra een bestand / programma word geupdate.
Natuurlijk is dit logisch want anders zou een ongewenst programma zich kunnen laten vervangen door het programma waaraan je toegang hebt gegeven en zodoende zonder jouw toestemming met internet kan verbinden.
Dit is echter toch de reden dat ik er ben mee gestopt want het is super vervelend om om de zoveel tijd als je net een online game start weer toegang moet verlenen en zodoende later in game komt wat niet prettig is.
In sommige gevallen moest ik zelfs het spel helemaal weer opnieuw opstarten of zelfs mijn computer om het weer werkend te krijgen!
Daarnaast kreeg ik ook wel eens van die meldingen van '' system.exe wants to connect to the internet ''
Dan zat ik echt van... wat moet ik hiermee.
Dus gebruik ik op dit moment ESET met standaard instellingen en hoef ik er dus ook niet meer op te letten.
Om programma's en Windows telemetrie te blokkeren gebruik ik nu de hostfile, maar als die hun ip adressen en/of website veranderen dan vang je weer achter het net.

[Reactie gewijzigd door JohanNL op 16 mei 2017 02:28]

Van ZoneAlarm werden 'we' op de Chello (UPC) support-desk ook niet bepaald vrolijk. Ongeveer een kwart van de telefoontjes daar rond 2001/2002 ging over ZoneAlarm, veel gebruikers hiervan konden geen webpagina's meer openen...
Misschien even erbij vermelden dat Comodo wel bij elke installatie standaard aanvinkt dat hij yahoo als standaardpagina in wilt stellen.
Allereerst enorm bedankt voor de interessante replies i.v.m. dit onderwerp.

Voor de geinteresseerden, er staat een filmpje op youtube van iemand die WannaCry loslaat op een pc met & zonder Comodo: https://www.youtube.com/w...hXwFJXMg&feature=youtu.be
Zou linux of BSD installeren ook kunnen beschermen tegen deze worm?
Zou linux of BSD installeren ook kunnen beschermen tegen deze worm?
Je bedoelt: Als ik Linux of BSD op mijn computer draai, ben ik dan kwetsbaar ?

Nee, dan ben je niet kwetsbaar omdat deze exploit gebruikt maakt van de SMB in Windows en de malware zelf ook een Windows programma is. Deze malware kan helemaal niet draaien op Linux/Unix. Hij heeft Windows als "gastheer" nodig.
Het cryptolocker-deel wordt ondersteund door Wine (een windows emulatie-laag voor linux), maar het worm-deel niet.
Dat is als wine uberhaupt geconfigureerd is dat het mag schrijven buiten zijn eigen virtuele dir.
Ik heb dat uit staan waardoor ie hooguit de wine-instance kan vernielen.
Vervelend, maar meer niet.
plus de homedir met alle data, want volgens mij maakt wine standaard een symlink naar ~/Documents etc.

Juist de data is het vervelende om kwijt te raken. Dit is dan ook de reden dat cryptolockers op linux prima kunnen werken. Userspace vernietigen is ruimschoots genoeg.

[Reactie gewijzigd door nandervv op 16 mei 2017 13:56]

Lezen is lastig?
Dat is als wine uberhaupt geconfigureerd is dat het mag schrijven buiten zijn eigen virtuele dir.
Dat heb ik dus uit staan.
WanaCrypt werkt alleen onder Microsoft Windows. Dus Linux en BSD systemen lopen geen risico.
Ook mij lijkt het onmogelijk dat dit zich alleen verspreid via SMB op poort 445, dat kan ik simpelweg niet geloven, dat is gewoon een foutje van Fox IT. Iedereen waarschuwt voor de mail en hun roepen dat het NIET via mail gaat yeah right.

Verder zou elk bedrijfsnetwerk uitgaand verkeer moeten blokkeren op gewenst verkeer na en dit screenen uiteraard. En dit is toch basic security 101.
Niemand roept dat het via de mail gaat, alleen de pers geeft it aan. Tot op heden is daar echter geen enkel bewijz voor gevonden wat het nog vervelender maakt. Want kennelijk worden er dan dus fouten gemaakt door ICT.
Voor grotere bedrijfsnetwerken doet een goede blocklist wonderen, het blokkeren van TOR exit nodes maakt veel ransomware onschadelijk doordat deze geen verbinding kan opbouwen met het TOR netwerk om zo zijn sleutels te communiceren (WanaCrypt lijkt vreemd genoeg alsnog te encrypten zonder internet).
Gebruikt TOR waarschijnlijk alleen voor Bitcoin betalingen.
De laatste varianten van Ransomware die de ronde doen communiceren met hun C&C server via het TOR netwerk. Hierover worden ook de sleutels gecommuniceerd.

[Reactie gewijzigd door eltweako op 16 mei 2017 08:42]

Als
Hierover worden ook de sleutels gecommuniceerd
zo is zou
WanaCrypt lijkt vreemd genoeg alsnog te encrypten zonder internet
niet kunnen.
Dubbele sleutel waarvan 1 er al in zit en zo zonder TOR alvast kan kan gaan encrypten?
Zijn vssadmin.exe en vmic.exe admin tools of worden deze ook onder water gebruikt? bij het eerste geval zou je deze kunnen hernoemen als preventieve maatregel. of zie ik iets over het hoofd.
Het zijn admin tools

https://technet.microsoft...ry/cc754968(v=ws.10).aspx

Vssadmin

Displays current volume shadow copy backups and all installed shadow copy writers and providers. To view the command syntax for any of the commands in the following table, click the command name.

vmic

http://www.jeroenmarbus.nl/index.php/jm-s-blog/43-wmic-exe
Ook enig idee of het anti-ransomware tooltje van Malwarebytes hier iets tegen kan beginnen?
Dat kan ik zo niet zeggen. Ik denk het van niet omdat er nog redelijk weinig bekend is over WannaCry en hoe WannaCry te werk gaat qua processen. Je hebt best kans dat WannaCry andere processen kaapt en die de encyptie laat uitvoeren. En dat WannaCry de encryptie checkt. Ik ben benieuwd wat er allemaal word gevonden in WannaCry.
P.S. je zou dat tooltje kunnen testen in een VM en WannaCry starten.
Het 100% voorkomen van een infectie met WanaCry en/of toekomstige varianten is nagenoeg onmogelijk. Wel kun je de kans heel erg klein maken. Comodo firewall, HitmanPro Alert of Winpatrol WAR (mits goed geconfigureerd) zijn goede producten om ransomware over het algemeen tegen te houden. Ook WanaCry lijkt niet opgewassen tegen een systeem beveiligd met deze software. Echter zorgt deze software in het algemeen ook voor problemen met andere software, en is deze in mindere mate geschikt voor grote bedrijfsnetwerken.
Voor grotere bedrijfsnetwerken doet een goede blocklist wonderen, het blokkeren van TOR exit nodes maakt veel ransomware onschadelijk doordat deze geen verbinding kan opbouwen met het TOR netwerk om zo zijn sleutels te communiceren (WanaCrypt lijkt vreemd genoeg alsnog te encrypten zonder internet). Cisco heeft ook nieuwe snort rules toegevoegd voor het herkennen van WanaCry (42329-42332, 42340, 41978) waardoor je IDS het verkeer zou moeten herkennen.
Het voorkomen van deze malware is juist heel gemakkelijk. Anti-malware producten hebben al meer dan een maand detectie voor WanaCry, en ook al geruime tijd detectie voor de MS17-010 exploit. Alhoewel het detecteren van de exploit vaak alleen maar in de duurdere producten zit en niet in de basis anti-virus versie. Daarnaast is het online zetten van SMB nooit een goed idee. Wie dat ook doet, schaam je! En daarnaast is al meer dan een maand een patch beschikbaar. Dat zijn dus 3 methodes om je volledig te beschermen tegen infectie van deze malware:
  • Doe geen domme dingen met SMB online gooien
  • Update je systemen tijdig
  • Gebruik een "premium" anti-malware product (met hips, firewall, etc...)
Deze malware wordt een stuk gevaarlijk (voor ons Nederlanders) wanneer het worm element wordt gecombineerd met traditionele manieren van ransomware verspreiden om vervolgens via de exploit het volledige interne netwerk van een bedrijf te infecteren. Intern staat SMB natuurlijk veel vaker open waardoor systemen eerder kwetsbaar zijn.
De benaming loopt inderdaad door elkaar, maar als je de code bestudeerd zie te telkens wana voorbij komen. De "officiële" benaming zou dus eigenlijk WanaCry moeten zijn.
Because it makes you Wanna Cry. that's why.
@eltweako Ik heb zelf Bitdefender 2017 Internet security. Wat is je mening daarover? Zal die firewall ook voldoende zijn voor Ransomware bescherming? Bitdefender heeft daar wel een extra functie voor ingebouwd. Of is het raadzaam om als extra Comodo firewall te installeren? Los van de backups maken etc.

Hier een vergelijking:

https://www.bitdefender.n...rus-comparison.html#is-av

(Ik gebruik de internet security)
Als je niet van plan bent om de firewall helemaal handmatig te configureren (wat veel werk met zich meebrengt) dan ben je wellicht nog het beste af met de ingebouwde firewall van Bitdefender.
Ik heb geen mening over de firewall van Bitdefender, ik heb deze nooit zelf getest. Matousec heeft helaas al een tijd geen tests meer uitgevoerd, maar in de laatste test uit 2014 kwam bitdefender er niet zo best uit (http://www.matousec.com/p...-challenge-64/results.php).

Ik zou je afraden om Comodo naast Bitdefender Internet Security te installeren, de twee firewalls gaan elkaar in de weg zitten.
De ingebouwde Ransomware bescherming van AV fabrikanten is bedroevend slecht. Helaas zie je dit wel veel. Fabrikanten gooien een extra module boven op hun logge antivirus suites (welke inmiddels aan elkaar hangt van de modules) en claimen dat hun product je beschermd. Ik zou er niet op vertrouwen.
In het verleden heb ik gezien dat windows pc's met een UMTS-stick een publiek ip-adres kregen en dus via het internet te besmetten zijn. Als zo'n besmette pc vervolgens via een vpn verbinding maakt met kantoor of dat de laptop op kantoor in het netwerk wordt geprikt, is dit m.i. een mogelijke besmettingshaard van het kantoornetwerk. Ook via (openbare)wifi hotspots kan de worm van de ene pc naar de andere overspringen.
Dit zou namelijk inhouden dat alle infecties een systeem in het netwerk moeten hebben gehad welke bloot aan het internet hing, zonder een firewall of NAT.
Mijn guesstimate: Infecties van corporate systemen gaat via systemen die zowel met het interne netwerk als het internet verbinden. De homeworkers/teleworkers die via VPN over het internet verbinden, en dus hun office laptop aan hun prive netwerk geknoopt hebben. Dit is een zwakke plek in het design van je netwerk omdat deze typen machines niet meer permanent achter de firewall zitten, maar vaak wel volledig toegang tot het domein krijgen, vooral als deze op het kantoornetwerk ingeprikt worden als thuiswerkers op kantoor zijn.
En je geeft die laptops uberhaupt toegang zonder fatsoenlijk antivirus en firewall op die machine?
Antivirus is wel op orde. Maar als je geen controle hebt over de fysieke netwerken wordt de firewall lastiger. Overigens ben ik slechts helpdeskertje, ik geef niets toegang... ik mag alleen het puin ruimen als het mis gaat.
Euh nee. Eerder de combinatie van beiden.
Rdp zou ik niet openzetten naar internet toe ;)
Nee hoor.
Ik bedoel alleen maar dat rdp (wmb) niet open mag naar internet. Dus als je wil rdp'en moet dat over vpn.
Er zijn zat mogelijkheden om remote gebruikers aan hun data en software te helpen. Welke het meest geschikt is, hangt van zoveel zaken af...

[Reactie gewijzigd door the_stickie op 17 mei 2017 12:44]

Rdp kan gewoon open naar het internet. Ssl certificaat door een firewall en en er is totaal geen risico. Niks vpn noodzakelijk.
Naast de veiligheid van de connecties, moet je ook kijken naar de veiligheid van de service (rdp is al vaak niet zo veilig gebleken) en de impact van een mogelijke breach.
Ik geloof niet in dingen die risicoloos zijn.
Iemand probeert de aanvallers een boodschap te sturen :P

Wie de daders zijn is nog steeds onduidelijk. Op twitter claimt SpamTech de aanval, maar het zou ook zomaar uit Noord Korea kunnen komen.

Technische analyse van de malware.

Er zijn inmiddels (minimaal) 4 "Killswitch" domeinen ontdekt (en sinkholed).

[Reactie gewijzigd door ongekend41 op 15 mei 2017 21:30]

Ik heb je link naar de boodschap gevolgd, maar snap nog steeds niet wat de boodschap zou moeten zijn... Kun je dit a.u.b. toelichten?
De tering.... bedankt, had mijn Matrix bril niet op ;)
Even voor de duidelijkheid er is ook een patch voor xp64, ws2003 en die staat onder optional (en niet onder high priority)......
Het is die onder nummer KB2808679
Lijkt onnozel dan, dat ie niet bij de essentiële updates staat...
Leest u even mee: Fox-IT (u weet wel, dat bedrijf dat wordt ingehuurd voor security vraagstukken) is van mening dat dit soort veiligheidslekken mogen bestaan zodat de overheid kan inbreken bij 'criminelen'.

Neem dat vooral mee wanneer u uw volgende bedrijfsgeheimen wilt beschermen van (buitenlandse) bemoeienis en kies vooral een andere club die veiligheid wél hoog in het vaandel heeft staan. #boycotfoxit
Heb je ook een bron voor deze uitspraken? Ik vind het persoonlijk nogal wat om dit zo op tweakers.net te posten zonder daar enige vorm van bewijs bij te plaatsen. Het kan heel goed zijn dat je gelijk hebt en dat het echt zo is, maar enige vorm van ondersteuning bij een dergelijk verwijt is wel zo netjes.
Ik schreef dit naar aanleiding van een Interview op RTL Nieuws om 20:00. Aflevering gemist even checken dan staan je oren te klapperen.
Moet je het wel goed zeggen. Het interview met Ronald Prins was bij het NOS Journaal: vanaf 09:35 http://nos.nl/uitzending/24792-nos-journaal.html
Zie ook NOS Journaal van 20:00 (~9:38)
https://www.npo.nl/nos-journaal/15-05-2017/POW_03375612

Edit; Ah, zie dat @FvdM het ook al heeft benoemd.

[Reactie gewijzigd door Sentienel op 15 mei 2017 22:43]

Hoewel er iets valt te zeggen inlichtingendiensten en "geheime" spionage tools, is het natuurlijk naïef om te denken dat de NSA de enige was die dit lek misbruikte.

Dat is ook het gevaar van exploits geheim houden. Ik ben dan ook van mening dat vatbaarheden gewoon gemeld moeten worden bij de fabrikant zodat deze het lek kan patchen.
Waarom zou de nsa dan nog actief naar gaten in software zoeken? Het is geen charitatieve instelling voor zover ik weet.
Omdat de National Security Agency voor de Security van de Amerikanen zou moeten werken. En mensen zijn veiliger als ze geen lekken in hun software hebben zitten.
Als iemand dat nou eens aan ze uitgelegd zou krijgen...
Ja,snap het punt. Maar ik denk dat ze dat toch vooral de verantwoordelijkheid van de softwaremakers vinden. Overheidssteun aan bedrijven ligt niet goed in de usa.
Of anderen het lek ook misbruikte isniet te zeggen. De gelekte source-code wijst er in elk geval op dat sowieso de NSA het lek (daadwerkelijk) misbruikte, wat imo ook al kwalijk genoeg is.

[Reactie gewijzigd door CH40S op 15 mei 2017 23:48]

Inderdaad! Een overheid zou een exploit die onschuldige mensen en bedrijven ernstig kan schaden ten alle tijden door moeten geven aan de softwaremaker! De sneer van Microsoft naar de overheden is dan ook meer dan terecht!
De patch voor de supported OS'es was in Maart al uitgegeven, MS heeft afgelopen weekend de patch voor Windows XP (en andere unsupported OS'es) released in public domain, simpelweg omdat de ernst van dit lek dusdanig groot is. Het zal mij niet verbazen dat de patch er al wél was voor degenen die support hebben gekocht voor Windows XP / Server 2003. Windows 10 is nooit kwetsbaar voor dit lek geweest. ;)

Wat MS echter wel vergeet, is dat in een productie omgeving een patch niet zomaar geïnstalleerd kan worden. Dat moet uitvoerig getest worden, zowel binnen bedrijven als overheden. An sich is het dus ook best verdedigbaar dat de patch nog niet in grote (en daarmee complexe) omgevingen is uitgerold. Maar daar heb ik in een vorig artikel aangaande WannaCry al uitvoerig over gesproken. :)

[Reactie gewijzigd door CH40S op 15 mei 2017 23:46]

Als de overheid de zero-days niet koopt dan doet een ander het wel, heb je dat liever? Het is kiezen tussen twee kwaden. Een zero day kan wel tig keer verkocht worden en per direct misbruikt worden. Nu is de NSA er niet in geslaagd deze lekken zelf te bewaren en hebben ze dit gemeld, de vraag is of dat per direct was.

Imho zou een lek als deze ook gewoon uitgevoerd moeten worden op een systeem wat wel direct patchbaar is, neem een firewall of virusscanner die dit kan herkennen. Dan hoef je niet direct te patchen omdat het nog niet getest is, maar als je dan ten minste weet dat het virus binnen het netwerk actief is kan je direct ingrijpen voor het geval direct patchen niet mogelijk is.

Overigens blijf ik het een noob-worm vinden, zoals anderen al gemeld hebben: Made with public vulnerabilities, using a public exploit, based on open source ransomware and opensource worm-like code.

Ik kan er niet heel veel medelijden mee hebben als organisaties geraakt zijn en hun financieel geleden hebben. Dit is je wake-up call :) Het kan nog veel vervelender worden als ransomware écht goed wordt.
Staat ze netjes, kan een doodsteek zijn voor het bedrijf.
Foxit is goed in achteraf onderzoeken maar huurt zelf vaak expertise in voor penetratie testen.
Ik ben het oneens met Foxit maar deze club heeft dan ook (semi)overheden als klant. Preken voor eigen parochie.
Een medewerker van FOX-IT vertelde doodleuk op het 8 uur journaal dat je met een gepatchte PC veilig bent voor Ransomware, het vergat te vertellen VOOR DEZE SPECIFIEKE VERSIE , hij zet nu vele Windows gebruikers op het verkeerde been, tenenkrommend. Ook het woord BACK-UP heb ik niet gehoord. Bij mij is deze toko flink van zijn voetstuk gevallen.
Eigenlijk is het helemaal niet zo interessant wat een bedrijf als Fox-IT vindt. Het bedrijf leeft al van IT onveiligheden, op haar mening zou ik alleen om die reden al kritisch zijn.

Bovendien haalt deze focus op een bedrijf als Fox-IT de focus weg waar ze echt zou moeten liggen. Namelijk bij de rol van de overheden in deze. In plaats van bedrijven als Fox-IT te boycotten zouden wij onze overheid moeten stressen om een echt antwoord op de vraag te geven wat haar definitie van algemeen belang nu precies is. Is dit armpje drukken met andere veiligheidsdiensten door gebruik van dit soort exploits of bescherming bieden aan haar burgers tegen de lekken waarom die exploits überhaupt mogelijk waren?

Ik kan mij niet aan de indruk onttrekken dat in deze in ieder geval de Amerikaanse overheid een beetje lijkt te vergeten waar haar rol echt om gaat, die van het beschermen en faciliteren van haar burgers. Dit laatste lijkt nu door de Amerikaanse overheid te worden vertaalt in het beschermen van zichzelf. Ik ben benieuwd hoe de Nederlandse overheid haar rol in deze ziet.

[Reactie gewijzigd door teacup op 16 mei 2017 09:55]

Duussss.. Een bedrijf in Britse handen adviseert onze overheid om onze Nederlandse privacy te verminderen? (retorische vraag)

Ik doe mee met #boycotfoxit !
Dit is dus wat er gebeurt wanneer mensen zomaar overal op klikken. Het belangrijkste is dan ook: maak back-ups! Zet je bestanden in de cloud, zet je bestanden op een nas of houdt er een externe hdd op usb-stick op na. Zorg dat je belangrijke data altijd veilig is!
Edit: kan iemand mij uitleggen hoe het SMB protocol werkt?
Edit: Na me verdiept te hebben in de materie kan ik tot nog een conclusie komen: update je computer regelmatig en zet automatische updates gewoon aan. Verder maakt klikken bij deze ransomware niet veel uit, maar bij de meeste andere dus wel. Verder is het enorm kwalijk dat er nog kritieke overheidssystemen op Windows XP draaien!

[Reactie gewijzigd door daanb14 op 15 mei 2017 20:56]

Dit heeft niets te maken met "zomaar overal op klikken" want deze ransomware maakt gebruikt van een bug in de Windows SMB (die luistert op poort 445). Als jij je Windows niet update sinds maart (ongeveer), dan heb jij die bug en met deze bug kan de ransonware dan zichzelf op jouw machine installeren en activeren. Vanaf jouw machine gaat de ransonware dan opnieuw zoeken naar andere PC's op het Internet en LAN met diezelfde bug enzovoort.

Dus kortom, zorg dat je Windows up-to-date is en ook dat port 445 niet bereikbaar is vanaf het Internet.

En nogmaals, deze ransonware wordt niet verspreid per mail of via websites.
Vraagje; Hoe zorg ik ervoor dat poort 445 niet bereikbaar is vanaf het internet.
Je kunt gebruik maken van aantal online portscan sites. Bijvoorbeeld https://mxtoolbox.com/PortScan.aspx

Wat is je eigen IP? Neem b.v. http://www.myip.nl/
Dan kun je invullen en laat je scannen.

Als alles rood is, ben je veilig. Dus 445 mag niet eens groen worden.
Zijn er paar poorten groen, dan moet er wel een goede reden voor hebben. Bijvoorbeeld als je eigen webserver draait.

Als je 445 open is, kun je beter snel naar je router setup gaan (meestal 192.168.1.1 of 192.168.178.1) en naar pagina gaan waar je de poorten kan openzetten, welke onder firewall pagina kan staan of onder port sharing pagina.
Dankbaarheid is groot _/-\o_ , maakte me even zorgen. Alleen ik zit vaak op een ander netwerk met mijn laptop. Is het niet mogelijk om in Windows zelf af te vangen?
Je zou de poort in windows firewall kunnen sluiten. Eerlijk gezegd zou ik je dan aanraden gewoon even een guide te googlen om heel de SMB service te disablen. Ik zou je een linkje geven, maar je moet het even googlen samen met de windows-versie die je gebruikt (scheelt net een beetje, namelijk).

Mocht je al Win10 gebruiken (of gewoon windows update op automatisch installeren hebben staan, zoals het écht, écht wel verstandiger is om te doen als je deze vragen moet stellen - sorry! - ) ben je overigens niet kwetsbaar en hoef je je niet zoveel zorgen te maken, en in elk geval niet aan symptoombestrijding te gaan doen waar je toch al niet meer vatbaar bent :)
Helemaal mee eens, maar mij windows 8.1 bak wil maar geen nieuwe updates vinden |:( Dus ik probeer ook op andere manieren mezelf te beveiligen. Waarbij ik uiteraard ook probeer om een update op windows te forceren
Systeem herstellen met behoud van apps en bestanden. Goede kans dat de updates weer binnenstromen (serieus, zo'n situatie kun je gewoon niet mee blijven zitten en het is een kleine moeite!)
Het is meer een én én situatie. En wil ik ervoor zorgen dat de poort 445 dicht is en ga mijn systeem updaten.

Systeem herstel was niet nodig, heb het opgelost met WSUS offline update creator. Echt een aanrader trouwens.
Goede kans echter dat je Windows update dan problemen blijft geven?
Nogmaals, google op het disablen van de service (als je toch al belt-and-suspenders maatregelen neemt, begin dan ook echt bij de bron) en gooi anders in Windows firewall de poort inkomend dicht. Of allebei, of zo. Als je echt met een aambeeld te werk wil gaan, zo subtiel :+

Onthoud wel dat dit Windows shares ontoegankelijk maakt. Mocht je die ooit willen gebruiken (of print servers, of nog wat andere netwerkdingetjes) zul je dit weer aan moeten zetten.

Nogmaals, gewoon updaten is de raadzame actie - allerlei dingen gaan slopen die toch al niet meer kwetsbaar zijn is dubieus. Maar goed, jouw PC, jouw feestje ;)
Gebruik Windows Repair eens of de Windows Update Fixit van MS zelf. Best wel kans dat die het een en ander fixt. :)
Kun je instellen in je router.

Dat is ook makkelijker dan dat binnen Windows te doen, en in Windows die poort dichtzetten heeft ook gevolgen voor DHCP...
In de firewall van je router. Bij sommige ISPs (bijv. Xs4all) kan je ook aan de kant van de provider poorten blokkeren op je verbinding.
Vraagje; Hoe zorg ik ervoor dat poort 445 niet bereikbaar is vanaf het internet.
Als je achter een NAT router zit is ie dat standaard al niet.

Trouwens; als je gewoon je OS netjes gepatched en up-to-date hebt, dan werkt deze aanvalsvector überhaupt al niet meer. Maak je eigen daar dus eerder druk over.
Heel erg bedankt voor het antwoord! Wel vind ik het nogal nalatig dat bedrijven en overheden de patch van Microsoft blijkbaar nog niet geïnstalleerd hebben, terwijl Microsoft deze bug al op 14 maart geplet heeft. https://technet.microsoft...ry/security/ms17-010.aspx Er valt voor overheden nog veel te behalen op het gebied van beveiliging en het is ook niet verstandig om SBM open te zetten voor de buitenwereld |:(
Heeft met veel zaken te maken, is volgens mij op het forum al uitvoerig besproken. Heeft te maken met mogelijke software die door een update niet meer werkt. Test trajecten van updates voordat deze uitgerold worden binnen een heel bedrijf.

Natuurlijk kost het geld wanneer je stil staat omdat een werknemer even niks meer kan maar dat heb je ook (alleen dan groter) wanneer een update een programma niet meer laat werken waar je bedrijfsvoering van af hangt. Keuzes.
Daar ben ik me zeker ook bewust van. Het duurt nou eenmaal even om alles te testen. Wel is het gewoon feit dat veel bedrijven en overheden enorm bezuinigen op de it afdeling en dat werkt natuurlijk helemaal niet mee. Een goede it afdeling gaat na het uitkomen van een kritieke patch meteen een plan maken om de patch zo spoedig mogelijk uit te rollen. Verder is het gewoonweg onacceptabel dat er overheden zijn met kritieke data van burgers die nog op Windows XP draaien.
Bij ons (> 4000 Windows servers) worden op patch tuesday alle O- servers gepatcht , daags erop de T server enz., Het komt zelden tot nooit voor dat een patch een probleem geeft, het test protocol is een verouderd fenomeen.
Ik maak zelf backups in mappen met een datum op een externe HDD. Ik vraag me af of en zo ja hoe snel de gehele externe HDD inclusief oudere backups na aansluiten encrypted wordt door Wannacry.

[Reactie gewijzigd door pmeter op 15 mei 2017 17:48]

WannaCry zou ik zo niet weten, maar bijvoorbeeld Cerber kan 10000 bestanden in slechts 40 seconden versleutelen. https://youtu.be/eYCq4WYBg4I
WannaCry zou ik zo niet weten, maar bijvoorbeeld Cerber kan 10000 bestanden in slechts 40 seconden versleutelen. https://youtu.be/eYCq4WYBg4I
Klopt, maar dit waren zeer kleine bestandjes. Ik ben benieuwd hoe snel dit zou gaan met .jpg bestanden van 3-5 MB groot. Ook daar enig idee van?
Zoals rannascha hierboven al aangaf hoef je niet de gehele bestanden te encrypten. Het is bij een jpeg al genoeg om stukjes te encrypten en dit gaat voor heel veel bestanden op. Veel bestanden zijn totaal onleesbaar zonder de eerste en laatste paar kb. Een outlook pst zal waarschijnlijk corrupt zijn als je 1% encrypt.
Mijn externe backup schijf van 2TB door Bitlocker halen duurde 2 dagen...
De meeste crypto-malware versleutelt niet de hele schijf, maar richt ze enkel op bepaalde bestandstypen: foto's, documenten, enz... Zeg maar, relatief kleine bestanden die veel waarde hebben voor de gebruiker.

Daarnaast beperkt sommige crypto-malware (weet niet of Wannacry daar ook onder valt) zich tot het versleutelen van slechts een gedeelte van het bestand. Genoeg om het bestand min of meer onbruikbaar te maken, maar niet te veel, zodat het hele proces snel verloopt. Het doel is immers om zo min mogelijk tijd tussen begin van het starten en voltooien van het encryptieproces te hebben, zodat de gebruiker niet halverwege de boel opmerkt, de computer uit zet en zo een groot deel van de bestanden kan redden.
Als je je bestanden in de cloud zet, zorg er dan voor dat je lokale bestanden met vertraging worden gesynchroniseerd. Want al je bestanden lokaal gecodeerd worden, zal dat via de sync ook naar de cloud gaan. En anders heb je nog aardig wat werk om de oude versies terug te zetten (mits beschikbaar in de cloud-oplossing die je gebruikt).

Ik gebruik Office 365/OneDrive/SharePoint en maak 's nachts een kopie van mijn sync data naar een map die niet gesynchroniseerd wordt. Better safe than sorry.
Als je je data veilig wilt backuppen, vermijd dan elke vorm van cloud. De laatste jaten hebben we meermaals gezien dat cloudoplossingen niet altijd leiden tot het veiligstellen van gegevens.

Daarnaast is privacy ook maar de vraag: een cloud kan misschien jouw gegevens gebruiken voor zaken waarvoor je het niet wil laten gebruiken, zoals personaliseren van reclame.

Een goede backup doe je op een van internet losgekoppelde harde schijf, welke je het best op een ander adres bewaart (in geval van brand).
Als je je data veilig wilt backuppen, vermijd dan elke vorm van cloud. De laatste jaten hebben we meermaals gezien dat cloudoplossingen niet altijd leiden tot het veiligstellen van gegevens.
Welke cloudbackup service is dan gehacked? Ik kan me er geen voor de geest halen. Volgens mij zijn die bijzonder betrouwbaar en op dit moment groeien ze als kool door dit soort strapatsen.

Lang leve de bitcoin! We weten precies hoeveel de boeven opstrijken maar kunnen daar niets tegen doen.
Het hoeft niet gehackt te zijn om bij de data te komen, zo blijkt uit de iCloud publicaties...
Fappening was geen hack van een cloud dienst.
Fotos kwamen van iCloud via password reminder mails.
Dat was geen hack. Gewoon social engineering. Ze gebruikten security vragen van celebs waarvan ze de antwoorden wisten. Ook wat bruteforce aanvallen op zwakke wachtwoorden.
Zover de details bekend zijn was de paswoord reset functie op de apple site niet helemaal zuiver en kon je de mails met de hints naar een ander adres krijgen dan origineel ingesteld. Dat heet gewoon een hack. Niet grootschalig maar iets meer dan gewoon paswoorden raden.
Dat is wat men in eerste instantie dacht dat er aan de hand was. Later volgens documenten in de rechtzaak bleek dat een gebruiker een fake email account heeft gemaakt en daarmee phising emails heeft gestuurd naar de celebrities.
Dat was geen hack. Gewoon social engineering. Ze gebruikten security vragen van celebs waarvan ze de antwoorden wisten. Ook wat bruteforce aanvallen op zwakke wachtwoorden.
Ze gebruikte de API om het wachtwoord te proberen achterhalen. De API controleerde niet op pogingen.
Was geen hack maar phishing..
Lang leve de bitcoin! We weten precies hoeveel de boeven opstrijken maar kunnen daar niets tegen doen.
Bij het 'gecontroleerde' systeem van banken is dit niet veel anders hoor. (bron: ervaring met een klant)
MegaUpload. Niet echt gehacked maar data toch weg.
Daarnaast is privacy ook maar de vraag: een cloud kan misschien jouw gegevens gebruiken voor zaken waarvoor je het niet wil laten gebruiken, zoals personaliseren van reclame.
Misschien, misschien. Dat geldt net zo goed voor je internet provider, je VPN dienst, etc. Die zouden ook van alles kunnen doen. Ga je daarom maar ergens in een grot wonen, voor de zekerheid?
Een goede backup doe je op een van internet losgekoppelde harde schijf, welke je het best op een ander adres bewaart (in geval van brand).
Ja, ga jij maar ieder weekend een backup maken van alles en dan even de hd naar een veilige opslag brengen. Cloud backup alleen is niet voldoende tegen ransom ware, maar het is ook weer niet helemaal zinloos. Brand je huis af, of gaat een hd kapot, dan heb je meer aan een real time cloud backup dan een offline backup die je maar af en toe maakt.

In feite kun je beste beide doen, waarbij je de offline backup beperkt tot de belangrijke bestanden.
Ga je daarom maar ergens in een grot wonen, voor de zekerheid?
Misschien niet, maar ik wil het anderen die mijn privacy stelen het niet makkelijk maken, het gedrag goedpraten of bagatelliseren...
Ja, ga jij maar ieder weekend een backup maken van alles en dan even de hd naar een veilige opslag brengen.
Als ik het veilig gebackupped wil hebben: ja.
Cloud moet je zeker niet mijden wil je mensen in de praktijk laten backuppen. Net als een tape, een hdd of wat dan ook heeft cloud z'n beperkingen. Hou daar rekening mee en maak gebruik van het gebruikersgemak vd cloud. Liever een recente cloudbackup dan (alleen) een sterk verouderde hdd in een la.
Sorry,

maar je kunt NOOIT tegen een goede clouddienst op. Zelfs een offline USB stick is onveiliger.
Een pakket als Deja Dup (linux) maakt incremental backups die je als encrypted chunks op kunt laten slaan (zelfs op DAV).

Dit is best een goede weg om data toch redelijk veilig op cloud storage op te slaan.
Het enige wat van de cloudprovider verwacht wordt is dat de storage bereikbaar en betrouwbaar is.

Beter natuurlijk een NAS in eigen beheer, met als het even kan een snapshot schema.
Gebruikers hoeven nergens op te klikken. Zie deze video waarin de infectie van twee computers getoond wordt. De tweede computer word rond 1:25 geïnfecteerd:

https://www.youtube.com/watch?v=K8DJCqSPmdI

En een NAS is in dit geval geen betrouwbare manier van backuppen. Als jij erbij kan vanaf je computer, dan kan deze worm dat ook.
En een NAS is in dit geval geen betrouwbare manier van backuppen. Als jij erbij kan vanaf je computer, dan kan deze worm dat ook.
Als je een backup tool gebruikt die backupped en niet alleen losse file kopieert is er geen probleem.

Een van de grootste problemen van deze hack is de grote hoeveelheid nonsense die er over de rondte doet. Als je een backup tool gebruikt, zelfs die van Windows, is er niets aan de hand,
Ik reageerde op de opmerking "zet je bestanden op een nas" van @daanb14. Dat is dus geen veilige manier van backuppen in dit geval. Die vorm van backup beschermt je tegen een hardware storing, niet tegen ransomware.

Als je een backup tool gebruikt die alle bestanden in een disk-image wegschrijft, en die disk-image staat op je NAS dan kan ook je disk-image versleuteld worden. Dat is dus ook niet veilig genoeg. De backup, in welke vorm dan ook, moet dus offline staan om veilig te zijn.

Met al die beperkingen is het voor 99% van de Nederlandse bevolking ondoenlijk geworden om hun bestanden te beveiligen tegen ransomware. Het enige advies wat iedereen wel kan volgen is: Zorg dat Windows updates automatisch geïnstalleerd worden.

Ik ben al 40 jaar bezig met computers. Ik heb dus van al mijn computers en tablets disk-images. Van 6 maanden geleden. |:(
Een NAS als backup kan wel veilig zijn tegen virussen, bijvoorbeeld:
- als je versiebeheer hebt lopen. Er worden bij overschrijven of verwijderen dan nooit bestanden weggegooid alleen verplaatst naar een plek waar je vanaf het netwerk niet meer bij kan. Oude versies kun je terugzetten.
- als je NAS de bestanden van je PC afhaalt ipv dat je PC ze naar je NAS schrijft. Dat kan met een ander account.
- als je PC naar de NAS backupped met een ander (admin) account terwijl je user accounts geen schrijf toegang hebben tot je NAS
- als je je NAS alleen voor backup gebruikt kun je hem automatisch laten opstarten en afsluiten na de backup, paar keer per week b.v. Dat verkleint de kans op binnendringers.
- combinatie van boven :)
Dat is geavanceerd spul zeg. Is Kaspersky er vaak vroeg bij met het herkennen van ransomware of kan ik beter een andere internet security nemen?
Je kunt beter Windows updates installeren. (in dit geval vooral)
En een NAS is in dit geval geen betrouwbare manier van backuppen. Als jij erbij kan vanaf je computer, dan kan deze worm dat ook.
Tenzij je backup onder een apart account draait en alleen dat account toegang heeft tot de nas, dan kan de worm er niet bij.
De worm kan dan wel je data versleutelen op de harddisk die daarna naar de backup gaan :-(
Als de bestanden echt belangrijk zijn houd je dan aan de 3-2-1 regel:
3 kopieën van de data op twee verschillende mediums , waarvan 1 op een andere locatie.

En onthoud ook dat als je de backup makkelijk kunt raadplegen vanf je PC dat malware dat waarschijnlijk ook kan! Dus read only backups maken, syncen met de cloud is geen backup!

Wat prima werkt is 1x op de pc, 1x op een NAS/externe HD en 1x een cloud backup. De laatste is dan het tweede medium en de andere locatie.
Ik ben niet helemaal eens met de stelling syncen naar de cloud geen backup is. Dit ligt namelijk aan de cloud software die gebruikt wordt: ik bv gebruik seafile met eigen server met oneindig bestand geschiedenis. In dit geval lijkt mij dan ook dat dit wel degelijk als een backup aangemerkt kan worden.
Precies, syncen zelf is geen backup dus. Als er aan de cloudkant e.a. gedaan wordt aan backup dan is dat de backup, de sync zelf is echter geen backup.
Als je handmatig synced en daarvoor een wachtwoord moet invullen ben je er ook. Zo doe ik het iig. Los van andere backups nog.
Ransomware doet vaak aan transparante decryptie!

In dat geval zie je niet dat je lokale bestanden encrypted zijn. Het hangt dan van de Cloud sync software af of encrypted of decrypted bestanden gesynct worden. In het eerste geval hoop ik dat je file history aanstaat.

Ik weet niet of het veranderd is, maar zowel bij MS, Google als Dropbox een paar jaar terug moest je bestanden 1 voor 1 terugzetten naar oude versies. Je kon niet zomaar zeggen ik will alle bestanden de versie van voor datumX.

Als je veel bestanden hebt gesynct, niet een ideale situatie.

Met fatsoenlijke backup software herstel je wel makkelijk de stand per een vaste datum. Hetzelfde geldt voor een NAS met snapshots. Mijn FreeNAS server kan ik binnen een paar seconden terug zetten naar een eerdere datum. Tevens is encryptie onmiddelijk duidelijk omdat het schijfgebruik dan verdubbelt!
Hoe bedoel je precies transparant? Dat de extensie hetzelfde blijft?

Heb zakelijk al heel wat infecties meegemaakt maar nooit 1 die niet duidelijk was (en nooit dataverlies).

Ik sync alleen maar encrypted bestanden en eigenlijk maar heel zelden dus heb er wel vertrouwen in zo, en anders teruggrijpen op een iets oudere off-line, off-site backup.
Tijdens het encrypten van de data op schrijf kan je op jouw pc de al encrypte bestanden lezen, omdat de malware die decrypt voor je zolang hij nog niet klaar is.

Dit alles om te zorgen dat het niet te snel merkt en bij voorkeur de backups ook corrupt zijn.

Uiteraard merk je dit op een netwerkschijf meteen als een andere gebruiker het bestand probeert te benaderen.
Nee.
Dit is wat gebeurt als mensen machines rechtstreeks aan het internet koppelen en vervolgens nog zwakke protocollen gebruiken (SMB) en niet voldoende patchen.
Maw als mensen ervanuit gaan dat wat werkt ook een goed idee is.
Igv particulieren zie ik niet in waarom providers 445 zouden moeten toestaan. SMB over internet is sowieso een _slecht_ idee.
Aan de andere kant, mensen lopen al jaren te zeuren dat isps sowieso geen poorten moeten blocken. Waarom de ene poort wel, en de andere niet?
Wat mij betreft zou een isp (voor particulieren)standaard vanalles moeten blocken, maar bij voorkeur wél de mogelijkheid moeten bieden poorten 'per aanvraag' weer te openen.

Het lijkt me dat 99,9% van de gebruikers blij is te maken/houden met een handjevol poorten. Langs de andere kant is er een lijst services die eigenlijk niet (meer) geschikt zijn voor publiek gebruik (telnet, ftp, smb, wol ...), En daarnaast nog eens een hele lijst services waarvan het beheer/beveiligen meer inhoudt dan wat software installeren, vaak met potentieel verstrekkend misbruik (smtp, dns, ntp,...)

Het gros van de Telenet klanten is door zulke maatregelen beschermd.
(En dan komt men van overheidswege vertellen dat vooral bedrijven getarget worden, dat is niet het geval. Bedrijven zijn wel vaker kwetsbaar!)

[Reactie gewijzigd door the_stickie op 15 mei 2017 20:18]

Ja, ik ben het met je eens, maar we weten beide wel dat als ziggo ofzo alles blocked, en we moeten het aanvragen, dat ze zeggen : Nee, je mag niet eens IRC draaien, dus 6667 blijft dicht.. hetzelfde met thuis dns en andere 'diensten' die we voor gewone normale redenen willen draaien.
Dns is een goed voorbeeld. Een foutief geconfigureerde server kan zomaar een bron van serieuze ellende opleveren en als je werkelijk je eigen domeintje wil beheren, kan je net zogoed dns services afnemen bij je domeinboer ofzo.
Bovendien zit je bij dergelijke verbindingen met een dynamisch ip (ok, vaak is de lease wel lang), maar dat is voor een dns server niet echt handig ;)

[Reactie gewijzigd door the_stickie op 16 mei 2017 02:07]

Daar moet de gebruiker zelf zijn verantwoording nemen.
Praktisch elke provider in Nederland levert de verbinding met een router waarop verkeer ge-NAT wordt.
Dus het open zetten van poort 445 (forward, dmz of default server) is een bewuste actie van de gebruiker.
Standaard zorgt het karakter van NAT ervoor dat je van buitenaf niet zo maar op een poort 445 terecht komt, immers weet de router niet naar welk endpoint je op zoek bent.

(Overigens ben ik het wel met je eens dat poort 445 eigenlijk nooit aan het internet mag hangen, tenzij als honeypot of met een andere service erop).
Klopt, NAT biedt enige bescherming en wordt ook bij telenet bijv toegepast. Alleen betekent NAT evengoed dat ze wel verplicht zijn je een manier van portforwarden aan te bieden, of je kan helemaal niks meer met inkomend verkeer. Lijkt me dat de ISP firewall toch de meest robuuste oplossing is. ;)
Zoals in het artikel staat : "Er is nog geen mail gevonden waardoor deze malware wordt verspreid." Helaas was deze variant dus niet enkel (of helemaal niet) het gevolg van verkeerde clicks.

Het SMBv1-protocol is een oud protocol om bijvoorbeeld bestanden te delen, wat wordt gebruikt door printer shares, oude NAS apparaten en file shares. Dit protocol is al langere tijd vervangen door SMBv2 en SMBv3, maar werd nog gebruikt door systemen als Windows XP, Windows Server 2003, 2008 en Windows 7.

In de Maart patch ronde heeft Microsoft, naar aanleiding van de NSA leaks van de Shadowbrokers een patch uitgebracht om het SMBv1-protocol uit te zetten-lek te dichten. Afgelopen vrijdag heeft MS dat ook voor de oude niet supporte versies van Windows uitgebracht, vanwege de omvang van deze aanval.

Als er een machine was, waarbij het SMBv1 protocol nog aan stond lek nog aanwezig was, naast aangesloten aan het internet , kon deze nog aangevallen worden.

[Reactie gewijzigd door WonnaPlay op 15 mei 2017 21:02]

In de Maart patch ronde heeft Microsoft, naar aanleiding van de NSA leaks van de Shadowbrokers een patch uitgebracht om het SMBv1-protocol uit te zetten.
Je haalt dingen door elkaar.
SMB 1 is zo'n beetje het oudste, kwetsbaarste, gaarste, inefficientste SMB protocol dialect wat je kan hebben.
MS (@NerdPyle) wil dit liefst gisteren nog de nek om gedraaid hebben, maar zolang zowat elke NAS, MRI scanner, Mediabox, Sonos speakerset en allerlei Enterprisey meuk als NetApp dat nog gebruiken (gemiddeld 10% van alle SMB traffic) kan dat niet.

De patch maakt de specifieke Eternal Blue exploit vulnerability ongedaan, maar schakelt SMB v1 dus niet uit. Dat moet je nog steeds zelf doen.
Je hebt gelijk, het was een lange dag..
Volgens mij is de hele stelling van dit artikel juist dat je bij deze variant nergens op hoefde te klikken.
Dit is dus wat er gebeurt wanneer mensen zomaar overal op klikken. Het belangrijkste is dan ook: maak back-ups! Zet je bestanden in de cloud, zet je bestanden op een nas of houdt er een externe hdd op usb-stick op na. Zorg dat je belangrijke data altijd veilig is!
Edit: kan iemand mij uitleggen hoe het SMB protocol werkt?
Een NAS comuniceert ook via SMB dus ik denk dat het daar ook niet veilig is. Externe HD alleen als hij niet aangesloten is of uit staat.
Met simpelweg een NAS gebruiken ben je dus nog niet veilig (is bv geen backup). Je moet echt even actief over je dataveiligheid nadenken.
Één van mijn nassen "spreekt" geen smb hoor. Dat is expres zo, want dit is een backup apparaat voor de rest van het netwerk. Worden mooi in de nacht bestanden naar toe geschreven zodat in dit geval er nog behoorlijk wat tijd was om versleutelde bestanden weer te vervangen door hun laatste schone kopie.
Maar stel dat de back up ook versleuteld wordt (mogelijk op Nas via SMB, of cloud via IP), dan maakt het weinig uit. Kun je 'm alsnog niet terugzetten...
NAS met snapshotting.

Dan kunnen recente bestanden wel ge-encrypt zijn, maar je kunt dan een oudere niet encrypted versie uit een snapshot trekken.
Ik heb in huis de SMB shares op de NAS standaard op read only staan. Alleen als ik er wat op wil zetten maak ik de share tijdelijk read/write. Toch wel een fijn gevoel met kinderen in huis die zich nog niet zo bewust zijn van de gevaren.
Voor thuis inderdaad prima, maar voor veel bedrijven geen optie. Zeker als er 100+ werknemers dagelijks (word) documenten vanaf lezen en naartoe opslaan.
Ik heb in huis de SMB shares op de NAS standaard op read only staan. Alleen als ik er wat op wil zetten maak ik de share tijdelijk read/write. Toch wel een fijn gevoel met kinderen in huis die zich nog niet zo bewust zijn van de gevaren.
Met het kleine beetje spul wat ik er elke keer op moet schrijven heb ik zelf maar één share schrijfbaar staan die dienst doet als 'drop folder'. Vanuit de NAS zelf plemp ik alles op de juiste plek neer voor long-term.

Beetje omslachtig, maar zo ongeveer zo veilig als je het kunt maken tegen crypto malware dat naar schrijfbare netwerklocaties zoekt.
ik denk dat het juist belangrijk is om een offline backup te hebben.

Immers ransomware kan ook bestanden versleutelen die via network / op de cloud bereikbaar zijn. Als dan ook nog de shadowcopies/versioning worden verwijderd/uitgezet dan ben je alsnog de klos.
En de mensen maar lachen met mijn tweedehands LTO-3 tapedrive. Mijn data is wel safe. ;)
Dit is dus wat er gebeurt wanneer mensen zomaar overal op klikken.
Uhhm
Op de vraag of verspreiding ook plaatsvindt via phishing-e-mails, zegt Van Dantzig: "Er is nog geen mail gevonden waardoor deze malware wordt verspreid."
Wat nou klikken
Als je het artikel gelezen had, was je tot de conclusie gekomen dat er praktisch geen phishingmails zijn verstuurd. De software zoekt zelf naar kwetsbare IP-adressen.
De overheid heeft tenminste nog support vanuit MS voor Windows XP / Server 2003. Het MKB heeft dat niet, want te duur; upgraden is te duur en verstoort het werkproces teveel. Veel MKB hebben hun werkproces om net dat ene programma gemaakt, ipv dat dat programma aansluiting heeft op hun werkproces. ;) Of dat Apparaat X het beste werkt met driver versie X.Z, die enkel voor XP beschikbaar is. Zijn legio redenen voor te bedenken, waarom veel apparaten nog op Windows XP zitten.

Al dacht ik trouwens wel, dat Windows XP Embedded nog wel support heeft. :)
Wat ik nog niet zo goed begrijp is waarom het begrip "Follow* the money" stopt bij de bitcoin-wallet. Natuurlijk begrijp ik dat het tot daar helemaal anoniem is. Maar als ze het al tot de wallet kunnen volgen en kunnen optellen hoeveel daar in zit, dan moeten ze toch ook de geldstroom dáárna kunnen vinden? Ergens zal het geld toch de tastbare of economische wereld raken als de eigenaar de bitcoin ten gelde wil maken lijkt mij.

*aangepast

[Reactie gewijzigd door Dennisdn op 15 mei 2017 18:14]

Er zijn maar een beperkt aantal diensten die bitcoin in regulier geld omzetten. Aangezien het bekend is welke wallets deze bitcoins bevatten kan er uiteindelijk gewoon gevolgd worden of dit geld ooit wordt opgenomen.

Echter, als mensen massaal bitcoins zouden gaan kopen om hun bestanden terug te krijgen dan stijgt natuurlijk de waarde van alle bestaande bitcoins. Het dus zijn dat mensen hier heel veel geld mee verdienen zonder die wallets aan te raken.
Leuk idee, maar de market cap staat op 28 miljard, deze 46.000 zet geen zoden aan de dijk.
Dat is wel flink ja. 46.000 euro is natuurlijk ook maar 153 mensen. Er zijn genoeg computers geïnfecteerd om aan de miljarden te komen, wellicht hadden ze gehoopt dat er meer mensen zouden betalen.

Wellicht is de motivatie dan toch slechts 'omdat het kan'?
Je kunt het geld wel volgen maar dat is niet erg nuttig, na een paar keer 'mixen' ben je het spoor compleet bijster: het geld wordt in kleine beetjes gesplitst en rond gestuurd, uiteindelijk krijg jij dan weer betaalt van een adres wat nooit gelinkt hoeft te zijn aan je verzendadres: https://en.bitcoin.it/wiki/Mixing_service
En wie zegt dat de hackers dit willen verhandelen voor euros/dollars? Je kunt bitcoin al inwisselen voor een heleboel goederen. Als ik die gene was zou ik zoveel mogelijk uitgeven in bitcoin, dat scheelt weer met omwisselen.
Goederen zijn wel een beetje lastig anoniem te kopen. Of je moet naar een winkel of je moet het naar je op laten sturen. Mixen lijkt me ook riskant, je moet bij de mixer instructies achterlaten. Als je meerdere mixers aanstuurt, dan laat je ook meerdere sporen achter. Je moet hopen dat alle mixers hun gegevens wissen.
Je koopt natuurlijk pas goederen met die coins nadat ze gemixt zijn. Dan is het wel anoniem. Er van uit gaande dat het zonder sporen gemixt is idd.
Het verleden bewijst dat je zeker succesvol je coins kunt mixen, dat is nl al vele malen gedaan door hackers van bitcoin exchanges, en die zijn (in de meesten gevallen) niet terug gevonden.
Follow ;) *kuch*

De geldstroom op bitcoin is gewoon publiek, zo is bitcoin ontworpen. Geen kunstje aan dus en daarmee niet ineens makkelijk om de rest ook te traceren.
De eigenaar kan er voor kiezen om op allerlei verschillende manieren dit heel erg moeilijk te maken, net als dat met cash geld kan. Ook 'witwassen' van bitcoins kan door ze via exchanges (al dan niet met valse of anonieme profielen) om te zetten naar cryptocurrencies die ook nog eens een anonieme ledger hebben. Goed dit kan met cash ook naar andere valutas. Daarnaast bestaat er ook nog zoiets als mules, ook niets nieuws. In verdere details zal ik niet treden, google zelf maar.
Met behulp van bitcoin mixers is het mogelijk om je bitcoins te "mixen"/omruilen met andere bitcoins.
Doe dit enkele keren bij verschillende diensten en je bent de crimineel kwijt.
Het stopt niet bij de Bitcoin, het stopt vanaf de Bitcoin. ;) Voordat het in de Bitcoin zit, is an sich prima te volgen. :Y Doordat betalingen in Bitcoin altijd anoniem en versleuteld zijn, is het vrij lastig te achterhalen hoe het betalingsverkeer in Bitcoin gegaan is.

[Reactie gewijzigd door CH40S op 15 mei 2017 23:59]

Eh nee, elke transactie van een bitcoin is in principe juist te volgen, als de daders nu goederen zouden bestellen met hun bitcoins hangen ze. Helaas kan er door middel van bitcoin mixers wel geanonymiseerd worden.
Windows xp, vista, w7 en w8 hebben die lek?
Dus meer dan 25 16 jaar lang bestaat al die lek?

[Reactie gewijzigd door raro007 op 15 mei 2017 17:44]

Security through obscurity ;)

Zolang niemand weet dat het lek bestaat ben je nog veilig; niemand kan perfect programmeren.
Vraag is hoelang NSA dit lek kent.
Dat lek hoeft niet persé 16 jaar lang te bestaan. Kan net zo goed zijn dat de originele versie van Windows XP het ook niet had en dat het pas geïntroduceerd werd in een latere update. Hypothetisch gezien is het lek minstens 3 jaar oud (gemaakt voor april 2014).
Omdat iets 5 of 15 jaar oud is, wilt niet zeggen dat het al zolang op de markt is natuurlijk. Een issue kan ook pas na 5 of 15 jaar gevonden worden. Tijdje terug hadden we super serieuze bash exploit met root garantie die er ook al super lang inzat. Er zullen in elke OS vast wel meerdere nog onbekende of bekende (maar niet publieke) foutjes zitten waar iets wel of niet mee gedaan kan worden. Beetje vingerwijzen heeft echt geen nut. Binnen een maand na publiek maken van NSA exploit is er een ransomware voor geschreven, binnen 24 uur is het over 100+ landen en 200k systemen gegaan, en heeft MS voor oudere versies een patch uitgegeven en de tech industrie heeft het verhaal opgepikt en deelt hun vondsten etc. Ik vind het allemaal prima gaan eigenlijk.
Windows xp komt uit 2001, 16 jaar dus ;)
Mogelijk wel ja. Het kan ook zijn dat het lek ontstaan is in een latere update. Zo kan een stukje code dat in bijv. in SP2 is toegevoegd een foutje hebben bevat waardoor het lek is ontstaan. Feit is dat de implementatie van SMBv1 dus al jaren een vatbaarheid had. Het is naïef om te denken dat de NSA de enige was die dit lek misbruikte.
O.a. Van Mossel automotive Group (bezit een hoop auto dealers in Nederland) is ook getroffen. (Zowel hoofdkantoor als de Peugeot dealer in Leiderdorp gaven dit volmondig toe vandaag toen ik een afspraak wilde maken)
Blijkbaar hebben een hoop bedrijven het binnenskamers gehouden, maar volgens mij zijn er in Nederland meer bedrijven dan alleen Qpark geïnfecteerd.
Er zijn zeker meerdere bedrijven getroffen door WanaCry. En precies zoals je het zegt willen ze het liever niet aan de grote klok hangen. En terecht, want volgens de AP is er bij ransomware sprake van een datalek en ben je verplicht dit te melden. (https://autoriteitpersoon...ansomware-wat-moet-u-doen)
Hoezo datalek? Uit analyze is toch nog niet gebleken dat dit het geval is?
Bestanden worden versleuteld, maar niet uitgelekt.
Een geautomatiseerd proces heeft toegang gehad tot de bestanden op je server. Zonder analyse van de specifieke malware die op je netwerk actief is geweest kun je niet met zekerheid stellen dat de versleutelde gegevens niet gelekt zijn.
Er is uitvoerig analyse gedaan inmiddels en nergens blijkt uit dat er sprake is van een datalek.
De onderzochte varianten van WanaCry lekken geen data naar buiten. Maar je kunt niet zonder meer stellen dat jij een bekende variant opgelopen hebt.
Als je de infectie op het systeem weet te vinden en de Hashwaarde kunt matchen met een onderzochte variant dan weet je zeker dat deze malware niets gelekt heeft.

Echter is het natuurlijk ook een ideale dekmantel voor een hacker, je systeem hacken, data stelen en dan WanaCry los laten gaan op het systeem. Zonder onderzoek te doen kun je niet zomaar stellen dat er niets gebeurd is. Daar komt bij dat als je vandaag WanaCry oploopt je toch echt even moet kijken of je niet een nieuwe variant hebt die bijv. ook log-in gegevens en/of contactpersonen doorstuurt.

Het is te makkelijk om te zeggen dat je "gewoon" WanaCry opgelopen hebt en er verder niets aan de hand is.
De onderzochte varianten van WanaCry lekken geen data naar buiten. Maar je kunt niet zonder meer stellen dat jij een bekende variant opgelopen hebt.
Je kan NOOIT met absolute zekerheid stellen dat je geen datalek hebt. Elke werknemer is er één en die hebben allemaal een vrije wil en wat er onder de motorkap van Windows of ergenlijk welke software dan ook gebeurd heb je geen flauw benul van.
Wat je hebt is relatieve zekerheid, en het is relatief zeker dat er geen sprake is van een datalek met deze crypo infectie.
Zou ook wel willen zien waar ze al die data naartoe zouden pompen al zou het wel zo zijn.

[Reactie gewijzigd door Ton Deuse op 16 mei 2017 11:12]

Ik verwachtte al zo'n artikel, heerlijk! Bedankt :D.

Het wordt tijd dat degene die te eigenwijs zijn om te updaten (die wel kunnen updaten, maar niet willen), nu op de blaren zitten (wat dus ook gebeurd).

[Reactie gewijzigd door AnonymousWP op 15 mei 2017 17:44]

Heeft in sommige gevallen niks te maken met eigenwijs zijn, maar domweg niet kunnen vanwege de apparatuur die er aan hangt bijvoorbeeld.
Klopt echter moet je je dan wel heel goed af gaan vragen of deze systemen een internet toegang nodig hebben of niet.

Nu is het zo dat deze malware wanneer hij eenmaal binnen is ook via het lokale net kan verspreiden dus ook hier moet je voorzichtig zijn blijkt maar weer.

Wij hebben wel wat pc's die vast zitten op oude windows versies ivm software (voor aansturen van apparatuur) waarvoor het niet rendabel is of niet mogelijk is om deze te upgraden. De finianciele middelen zijn niet eindeloos en upgraden bied verder geen meerwaarde. We hebben deze pc's bewust uit het netwerk gehaald en er is dan ook geen verbinding met internet. Dit werkt op zich prima. Het aan het internet verbonden houden van systemen met oudere software vind ik echt geen goed idee ivm zaken zoals deze ransomware.
Soms ontkom je er niet aan dat verouderde computersoftware toch aan een netwerk moeten hangen. Wel moet je je netwerksegmentatie dan zeer goed op orde hebben.
Dan kom je er wel mee weg.
Juist, ik heb vandaag al gemerkt dat er nu wel aandacht is voor een goed patch beleid. Ondanks de omvang en de aangerichte schade is dit een goed voorbeeld om mensen het belang te laten zien van goed patch management.
Als ik het goed begrijp:
Windows 10-gebruikers zijn niet kwetsbaar.
De wormcomponent van WannaCry maakt gebruik van een kwetsbaarheid in Windows-systemen, die wordt aangeduid als MS17-010.
Dus: Windows 10 gebruikers zijn wel kwetsbaar voor de WORM SMB-exploit (MS17-010 vermeldt Windows 10 x64 als CRITICAL), maar niet voor de SMB-exploit WORM, het 2e component van WannaCry?

*edit* Als de wormcomponent leunt op MS17-010, dan maakt de wormcomponent gebruik van het lek in de SMB server. Het tweede component (ransomware) lijkt me triviaal en geen gebruik maken van een lek; want hoe moeilijk is het om bestanden te encrypten en het originele bestand te verwijderen? Mits read/write access natuurlijk.

[Reactie gewijzigd door letsa op 16 mei 2017 10:02]

Hopelijk gaat iemand hier nog een sluitend antwoord op geven. Ik heb me ook verbaasd over deze diffuse verslaglegging.
Door te stellen dat Windows 10 niet kwetsbaar is, wekt Tweakers de indruk dat je totaal geen risico loopt. Terwijl een combinatie van Win7 (zonder internet) en Win10 (mét internet) wel degelijk tot problemen kan leiden
Zojuis gerealiseerd dat MS17-010 meldt dat SMB Server kwetsbaar is in alle Windows versies (inclusief Windows 10). Dus waarom Tweakers zegt dat Windows 10-gebruikers niet kwetsbaar zijn... Misschien omdat de patch 'al uit Maart stamt, en iedereen braaf updates actueel heeft'? :?
Gisteren had ik bij een W10 systeem een falend auto-update mechanisme, die, als ik het via de telefoon begeleidend goed heb begrepen, sinds versie 14393.447 geen update meer had ontvangen. Die versie stamt uit begin november 2016. Zou onkwetsbaarheid afhangen van de de update status dan zou dit systeem dus kwetsbaar zijn geweest.

Vooralsnog is het systeem niet geraakt geweest (niet kwetsbaar geweest). Gisteren wel als de wiedeweerga dat updatesysteem gefixed. Het nadeel van die autoupdate is wel dat een gebruiker minder mogelijkheden heeft om het zelf met activeren en de-activeren opnieuw te laten initialiseren. Gelukkig bood een tool van Microsoft uitkomst, al was dit net zo'n black box als de functionaliteit zelf al is.

Duimen dat het systeem veilig up to date kan raken. Dit heeft nog wel enkele updateslagen nodig. De persoon had zelf al aangegeevn dat ze zo weinig updates zag langskomen. En ik maar denken, zal wel niet, immers auto update. Assumption is the mother of etc.etc.


Om te kunnen reageren moet je ingelogd zijn



Nintendo Switch Samsung Galaxy S8+ LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One (Scorpio) Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True

*