Door Sander van Voorst

Nieuwsredacteur

Feedback • 28-06-2017 15:20193

Internetaanval treft grote bedrijven

Wat gebeurde er in de afgelopen 24 uur?

28-06-2017 • 15:20

193 Linkedin

Vragen over NotPetya

In de afgelopen 24 uur is de ransomware Petya, of eigenlijk NotPetya, veelvuldig in het nieuws geweest. Inmiddels is het stof enigszins neergedaald, en hebben verschillende bedrijven en onderzoekers tijd gehad om de malware onder de loep te nemen. In dit stuk komen enkele vragen aan bod die in de loop van de tijd zijn gerezen.

Wat gebeurde er op dinsdag?

Het begon allemaal op dinsdagmiddag, toen er berichten binnenkwamen uit Oekraïne dat er sprake was van een internetaanval. Even later verschenen er berichten op Twitter met afbeeldingen van computerschermen met daarop een proces dat zich voordoet als chkdsk of een waarschuwing dat bestanden zijn versleuteld.

Kort nadien bleek dat er in Rotterdam eveneens een aanval gaande was, waardoor de containerterminals van APM stil kwamen te liggen. APM Terminals is een dochterbedrijf van het Deense Maersk, dat even later meldde dat het problemen had met zijn eigen it-infrastructuur. Doordat medewerkers ook hier screenshots deelden, die overeenkwamen met eerdere afbeeldingen, begon men te vermoeden dat er een grotere aanval plaatsvond. Niet lang daarna kwamen er berichten dat onder meer bedrijven in Spanje, Polen en Duitsland waren getroffen.

Al snel werd duidelijk dat de malware systemen ontoegankelijk maakte en dat er 300 dollar aan bitcoins als betaling werd geëist. Inmiddels is 3,6 bitcoin naar het genoemde adres overgemaakt, wat neerkomt op ongeveer 8000 euro. De getoonde waarschuwing legt uit dat er een e-mail naar het adres wowsmith123456@posteo.net gestuurd moet worden met daarin het adres vanwaaruit de betaling heeft plaatsgevonden. Daarnaast moet er een installation key meegestuurd worden. Zo zouden slachtoffers dan een decryptiesleutel kunnen ontvangen. Het Berlijnse Posteo, waar het adres was geregistreerd, meldde dinsdag echter dat het e-mailadres sinds de middag was geblokkeerd. Daardoor werd betalen zinloos en waarschuwden onderzoekers dit dan ook niet te doen. Opvallend is dat de aanval een dag voor een feestdag plaatsvond; in Oekraïne is 28 juni de Dag van de Constitutie.

Het getoonde bericht na encryptie van het systeem

Waarom de verwarring rond de naam?

Hoewel verschillende beveiligingsbedrijven de malware in eerste instantie als Petya aanduidden, bleek deze benaming later niet helemaal te kloppen. Het is niet gek dat de malware aanvankelijk als de Petya-ransomware werd bestempeld, aangezien delen van de code zijn hergebruikt. Onderzoeker the grugq stelt dat de overeenkomsten echter maar skin deep zijn en dat het verder om een ander soort malware gaat. Het Russische beveiligingsbedrijf Kaspersky noemde de malware dan ook NotPetya in een persbericht en stelde dat het om een nieuwe soort gaat. Later gaf Kaspersky de naam ExPetr aan de malware.

De oorspronkelijke Petya-ransomware werd in 2016 ontdekt en gebruikte bijvoorbeeld ook het chkdsk-proces om te veinzen dat er een controle van de harde schijf werd doorgevoerd. In werkelijkheid vond dan echter encryptie van het systeem plaats. Aangezien de huidige variant in andere opzichten hiervan afwijkt, lijkt het feitelijk onjuist om de benaming Petya te gebruiken. Toch zal deze aanduiding waarschijnlijk hardnekkig in gebruik blijven. In dit stuk gebruiken we de naam NotPetya.

Hoe wordt NotPetya verspreid en op wie richt de malware zich?

Microsoft heeft een eigen analyse gepubliceerd, waarin het ingaat op de werking van de ransomware. Over de initiële infectie zegt Microsoft, net als de Oekraïense politie en andere beveiligingsbedrijven, dat deze plaatsvond via het Oekraïense boekhoudbedrijf MeDoc, maar het bedrijf ontkent dit. Microsoft claimt bewijs te hebben dat de infectie plaatsvond door de updater van MeDoc-software, die het aanduidt als EzVit.exe. Dat zou verklaren waarom zoveel bedrijven in Oekraïne en Rusland zijn getroffen, zoals blijkt uit dinsdag gepubliceerde statistieken van Kaspersky. Daardoor zijn consumenten dan ook niet de voornaamste slachtoffers. Het blijft onduidelijk of alle getroffen bedrijven via deze manier zijn geïnfecteerd. De Nederlandse beveiligingsonderzoeker Rickey Gevers vond een aanwijzing in een vacature dat bijvoorbeeld Maersk gebruikmaakt van MeDoc. In de loop van woensdag maakte Kaspersky bekend dat de malware bovendien werd verspreid door middel van een kwaadaardige website, oftewel een watering hole.

Dinsdag gingen er berichten dat voor infectie wellicht ook CVE-2017-0199 werd gebruikt in combinatie met kwaadaardige Office-bestanden. Beveiligingsbedrijf FireEye bestrijdt dit en claimt er zeker van te zijn dat het gebruik van dit lek losstaat van de malware. Er waren al eerder berichten die in deze richting wezen.

Kaspersky-statistieken

Statistieken volgens ESET

Hoe werkt NotPetya na infectie?

Uit de Microsoft-analyse en andere blogs van beveiligingsbedrijven blijkt dat NotPetya verschillende methodes gebruikt om zich na infectie van een enkel systeem verder te verspreiden via het lokale netwerk. Een van die methodes is een aangepaste versie van Eternalblue, dat ook de basis vormde voor de verspreiding van WannaCry. Eternalblue is de naam van een uitgelekte NSA-exploit, die gebruikmaakt van een lek in het smb-protocol. Daarvoor heeft Microsoft in maart al patches uitgebracht. Via het smb-lek is het mogelijk om andere pc's op een lokaal netwerk te infecteren. Daarnaast wordt gebruikgemaakt van een andere NSA-exploit, genaamd Eternalromance, die zich eveneens op smb richt.

Verder maakt NotPetya gebruik van het stelen van inloggegevens via een tool die veel overeenkomsten vertoont met Mimikatz, aldus Microsoft. Als de malware inloggegevens weet te vinden, probeert hij zich daarmee verder over het netwerk te verspreiden. Dat werkt beter als het slachtoffer gebruikmaakt van een beheerdersaccount. Volgens Kaspersky kan een enkele geïnfecteerde beheerder tot gevolg hebben dat een heel netwerk wordt besmet. Daarbij wordt de kwaadaardige software op andere systemen uitgevoerd met behulp van psexec en wmic. Zo konden ook systemen getroffen worden die wel van de uitgebrachte Microsoft-patches waren voorzien.

Heeft infectie eenmaal plaatsgevonden, dan wordt het systeem versleuteld met 128bit-aes. Microsoft vermeldt dat er eerst wordt gekeken of er een xor-hash van een bepaald proces aanwezig is. Is dit het geval, dat vindt geen encryptie plaats. Deze vermelding vertoont overeenkomsten met de methode die onderzoeker Amit Serper ontdekte om encryptie te voorkomen. Het is onduidelijk of het om precies dezelfde methode gaat. Als de hashwaarde niet aanwezig is, voert de malware een schrijfactie uit naar de master boot record en wordt het systeem ingesteld voor een herstart na minimaal tien minuten. Vindt de herstart plaats, dan wordt de nepmededeling van chkdsk getoond, waarbij encryptie plaatsvindt. Daarna verschijnt het bekende rode scherm. Uit de verschillende analyses komt naar voren dat de encryptiemethode van NotPetya geen gebreken bevat.

Is dit iets anders dan WannaCry?

Een vergelijking met WannaCry ligt voor de hand, omdat het daarbij ook ging om een grootschalige uitbraak van ransomware. Los van de overeenkomst door het gebruik van Eternalblue loopt die vergelijking echter mank. Zo verspreidde WannaCry zich door actief internet af te zoeken naar andere kwetsbare systemen. Doordat NotPetya voornamelijk via MeDoc lijkt te zijn verspreid, gaat het om een andere methode. Daarbij worden Eternalblue en andere technieken ook alleen gebruikt voor verdere verspreiding via het lokale netwerk en niet daarnaast nog via internet, aldus Rapid7. Daarnaast wordt beweerd dat NotPetya er niet op was gericht om geld te verdienen, wat normaal gesproken het hoofddoel is van ransomware.

Zo zou het oogmerk van NotPetya het toebrengen van schade zijn, wat wordt bevestigd door het feit dat getroffen systemen niet meer bruikbaar zijn. Bij WannaCry waren systemen los van de versleutelde bestanden nog wel bruikbaar. De beweegredenen achter WannaCry zijn nog steeds onduidelijk, zo is het betalingssysteem niet goed uitgedacht en was er een 'killswitch' aanwezig, die net zo goed een maatregel tegen analyse in een sandbox kan zijn. Als het oogmerk van WannaCry het toebrengen van zo veel mogelijk schade was, dan is de malware daarin slechts met mate geslaagd. Verder richtte WannaCry zich op 176 soorten bestanden; bij NotPetya zijn dat er minder en bovendien andere dan bij Petya. Onderzoeker Rik van Duijn liet eerder aan Tweakers weten dat er een aantal opvallende bestandstypes tussen zitten, bijvoorbeeld py, conf en sql. Daardoor lijkt het meer op een 'zakelijke' variant.

Wie zit erachter?

Het is momenteel nog niet duidelijk wie er achter NotPetya zit en waarschijnlijk zal daar ook niet snel duidelijkheid over komen. Over WannaCry is deze er ook nog niet, al blijven er berichten verschijnen die de malware verbinden aan de Lazarus-groep en daarmee aan Noord-Korea.

Welke Nederlandse organisaties zijn getroffen en wat is de schade?

Onder de getroffen Nederlandse bedrijven zijn APM Terminals, Raab Karcher, MSD en TNT. Bij APM zijn de terminals volgens de NOS nog steeds dicht en werkt moederbedrijf Maersk aan een manier om de schade ongedaan te maken. Een woordvoerder van de brancheorganisatie schat dat de schade nu al in de miljoenen loopt. TNT ondervindt nog steeds last van de infectie. Internationaal getroffen bedrijven zijn bijvoorbeeld oliemaatschappij Rosneft, advocatenkantoor DLA Piper en reclamebedrijf WPP. Een woordvoerder van het ministerie van Veiligheid en Justitie laat desgevraagd aan Tweakers weten dat er momenteel één melding bij het NCSC bekend is. Daarbij moet in acht worden genomen dat het NCSC zich alleen bezighoudt met het rijk en kritieke infrastructuur. "We zijn druk bezig met kijken wat het precies is en overleggen met andere organisaties over de grens", aldus de woordvoerder. Het NCSC wil binnenkort meer technische informatie publiceren.

Maersk Kokura, Kees Torn, CC BY-SA 2.0

Lees meer

'WannaCry-held' Marcus Hutchins krijgt geen straf voor eigen malware-verleden Nieuws van 28 juli 2019
'Tot nu toe verborgen gebleven hackergroep richt zich op energiesector Oekraïne' Nieuws van 17 oktober 2018
'Digitale weerbaarheid van Nederland lijdt onder ontbrekende basismaatregelen' Nieuws van 13 juni 2018
Maersk: meeste hoofdsystemen werken weer na NotPetya-aanval Nieuws van 3 juli 2017
Geheime dienst Oekraïne: Rusland waarschijnlijk verantwoordelijk voor NotPetya Nieuws van 1 juli 2017
Microsoft: Petya-variant trof minder dan 20.000 systemen Nieuws van 30 juni 2017
'NotPetya is bedoeld om gegevens te wissen met schijn van ransomware' Nieuws van 29 juni 2017
'Aanval met Petya-ransomware is niet bedoeld om geld te verdienen' Nieuws van 28 juni 2017
Grote ransomwareaanval treft organisaties meerdere landen - update Nieuws van 27 juni 2017
Systemen van containerconcern Maersk zijn getroffen door ransomware Nieuws van 27 juni 2017
Meer producten en artikelen
Netwerk en systeembeheer Malware Ransomware Security

Reacties (193)

-Moderatie-faq
193
181
99
18
2
51
Wijzig sortering
kr4t0s
28 juni 2017 16:43
File wordt gestart vanuit: C:\DOCUME~1\User\LOCALS~1\Temp\

Goed dat wij niet toestaan dat files vanuit temp uitgevoerd kunnen worden.

Your personal installation key:
wowsmith123456@posteo.net.
Send your Bitcoin wallet ID and personal installation key to e-mail
1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX
Ooops, your important files are encrypted.
If you see this text, then your files are no longer accessible, because
they have been encrypted. Perhaps you are busy looking for a way to recover
your files, but don't waste your time. Nobody can recover your files without
our decryption service.
We guarantee that you can recover all your files safely and easily.
All you need to do is submit the payment and purchase the decryption key.
Please follow the instructions:
Send $300 worth of Bitcoin to following address:
MIIBCgKCAQEAxP/VqKc0yLe9JhVqFMQGwUITO6WpXWnKSNQAYT0O65Cr8PjIQInTeHkXEjfO2n2JmURWV/uHB0ZrlQ/wcYJBwLhQ9EqJ3iDqmN19Oo7NtyEUmbYmopcq+YLIBZzQ2ZTK0A2DtX4GRKxEEFLCy7vP12EYOPXknVy/+mf0JFWixz29QiTf5oLu15wVLONCuEibGaNNpgq+CXsPwfITDbDDmdrRIiUEUw6o3pt5pNOskfOJbMan2TZu6zfhzuts7KafP5UA8/0Hmf5K3/F9Mf9SE68EZjK+cIiFlKeWndP0XfRCYXI9AJYCeaOu7CXF6U0AVNnNjvLeOn42LHFUK4o6JwIDAQAB

files die versleuteld worden:
.3ds.7z.accdb.ai.asp.aspx.avhd.back.bak.c.cfg.conf.cpp.cs.ctl.dbf.disk.djvu.doc.docx.dwg.eml.fdb.gz.h.hdd.kdbx.mail.mdb.msg.nrg.ora.ost.ova.ovf.pdf.php.pmf.ppt.pptx.pst.pvi.py.pyc.rar.rtf.sln.sql.tar.vbox.vbs.vcb.vdi.vfd.vmc.vmdk.vmsd.vmx.vsdx.vsv.work.xls.xlsx.xvd.zip.
Microsoft Enhanced RSA and AES Cryptographic Provider

Shutdown van de PC
C:\Windows\ /c %ws ComSpec \cmd.exe
wevtutil cl Setup & wevtutil cl System & wevtutil cl Security & wevtutil cl Application & fsutil usn deletejournal /D %c:
schtasks %ws/Create /SC once /TN "" /TR "%ws" /ST %02d:%02d
at %02d:%02d %ws
shutdown.exe /r /f /RU "SYSTEM" dllhost.dat u%s \\%s -accepteula -s -d C:\Windows\System32\rundll32.exe "C:\Windows\%s",#1wbem\wmic.exe
%s /node:"%ws" /user:"%ws" /password:"%ws" process call create "C:\Windows\System32\rundll32.exe \"C:\Windows\%s\" #1 \\%s\admin$\\%ws\admin$\%ws
NLAnaconda
@kr4t0s28 juni 2017 17:22
Ik backup mijn bestanden altijd naar een .rar archief. Zou je deze backups dan ook kunnen beschermen door simpel weg de extensie te veranderen naar iets raars zoals 'backup-28-6-17.mijnbackup'? Worden ze dan niet ge-encrypt zelfs al wordt je systeem besmet?
mjl
@NLAnaconda28 juni 2017 22:27
Dat werkt totdat ze overstappen op alle files encrypten buiten het os, of nog mooier, bitlocker encryptie van de hele schijf aan te zetten zonder dat jij het password er van hebt... (en daarnaast naar openstaande shares gaat zoeken en alle files daar ook nog eens te grazen neemt).

Vervolgens een maand of wat wacht met het tonen van de ransom note zodat al je backups ook weg zijn.... of zelfs met een gecoördineerde delay waarbij de ransom note wereldwijd tegelijk te voorschijn komt. Gecombineerd met verschillende exploits en implementaties waarbij dagelijks nieuwe 'aanvallen' bekend worden.

Gelukkig zijn ze nog niet zo ver vanweg de complexiteit en detecteerbaarheid binnen die maand voor de aanvallers ook een risico is. Maar ik kan al aardig wat scenario's bedenken waarbij particulieren en ook bedrijven flink schade kunnen oplopen.

Ik verwacht eigenlijk dat dit op OS of FS nivo opgelost gaat worden. Moet toch kunnen om met machine learning of simpele checks een encryptie activiteit te detecteren die afwijkt van normale activiteit.
Cerberus_tm
@mjl29 juni 2017 02:36
Als de ransomware op de achtergrond permanent draait en een bestand ontsleutelt en in je werkgeheugen zet wanneer je het probeert te openen, zul je als normale gebruiker nooit iets merken, terwijl de bestanden op je harde schijf al versleuteld staan.

Als je elke dag alleen bestanden versleutelt die gewijzigd zijn, en alleen van de belangrijke documentsbestandstypen, zou het backup-systeem misschien ook geen alarm slaan. Dan wacht je nog 30 dagen, zodat tenminste 30 dagen aan werk ontoegankelijk zijn en niet in back-ups staan.

Zou een combinatie van die twee dingen misschien detectie kunnen ontlopen en niet tegengegaan worden door back-ups?

In plaats van alleen gewijzigde bestanden versleutelen, zou je ook elke dag 1% van de oude bestanden van de belangrijke bestandstypen kunnen versleutelen. Na 100 dagen is dan alles versleuteld. Dan wacht je nog een tijdje totdat de oude back-ups weggegooid zijn, en dan heb je ook oude bestanden te pakken.
apa
@Cerberus_tm29 juni 2017 08:01
ls de ransomware op de achtergrond permanent draait en een bestand ontsleutelt en in je werkgeheugen zet wanneer je het probeert te openen, zul je als normale gebruiker nooit iets merken, terwijl de bestanden op je harde schijf al versleuteld staan.
Dat zou enkel kunnen indien de decryptie-sleutel op de besmette PC aanwezig is en uitgelezen kan worden zonder betaling... Dat zet de deur open om die sleutel te bemachtigen en je bestanden zelf te decrypteren.
xalvo
@apa29 juni 2017 08:37
[...]
Dat zou enkel kunnen indien de decryptie-sleutel op de besmette PC aanwezig is en uitgelezen kan worden zonder betaling... Dat zet de deur open om die sleutel te bemachtigen en je bestanden zelf te decrypteren.
Maar kan wel prima werken om voor een tijdje niet gedetecteerd te worden, in ieder geval op lokale schijven. Netwerk shares zullen lastiger zijn omdat de sleutel wellicht niet bekend is bij alle systemen die er gebruik van maken of dat niet alle systemen die er gebruik van maken geïnfecteerd zijn.
Cerberus_tm
@apa29 juni 2017 13:58
Wat xalvo zegt, de sleutel is inderdaad aanwezig zolang het virus bezig is met versleutelen van bestanden en onontdekt wil blijven. Tegen de tijd dat het zijn boodschap aan je vertoont, is het al klaar en heeft het de sleutel al gewist.
apa
@Cerberus_tm29 juni 2017 14:08
En daarmee bestaat de kans dat die sleutel ook in backups werd weggeschreven...
Cerberus_tm
@apa29 juni 2017 15:26
Je zorgt ervoor dat de sleutel alleen in het werkgeheugen aanwezig is. Bij opnieuw opstarten wordt de sleutel telkens opnieuw gedownload. Of je zet hem ergens waar hij niet in back-ups terechtkomt, zoals in de MBR, in het BIOS, in een page file? Er zijn dunkt mij genoeg mogelijkheden.
RADRIGUZ
@Cerberus_tm29 juni 2017 16:07
En waar wordt die sleutel vandaan gedownload dan? Die locatie kan ook geencrypt worden hoor ;)
Cerberus_tm
@RADRIGUZ29 juni 2017 16:34
Van een domein van de crimineel? En nadat het versleutelen klaar is wist hij de sleutel op zijn domain en op de computer.
Wingman555
@apa30 juni 2017 10:54
Jullie brengen ze lekker allemaal op goeie ideeen zeg. Lekker handig...

Net als op het nieuws vertellen van een 'gevaarlijk' hype en het dan ook nog eens laten zien. er zijn altijd 'zieke' mensen die dan juist denken: "He dat is leuk ga ik ook eens proberen!".
ArtGod
@mjl29 juni 2017 07:09
Ze kunnen ook de MFT encrypten. Dat is snel en maakt een computer praktisch onbruikbaar.
xalvo
@ArtGod29 juni 2017 08:41
Ze kunnen ook de MFT encrypten. Dat is snel en maakt een computer praktisch onbruikbaar.
Daar zitten een paar groten nadelen aan als kidnapper:
  • Als een systeem totaal niet bruikbaar is, wordt het ook lastiger om mensen tot betaling over te laten gaan
  • Maar belangrijker nog, je kunt de meest belangrijke files eenvoudig herstellen, ook zonder MFT. Tools all over de place die je daarmee helpen
GamingZeUs
@mjl30 juni 2017 03:53
Zo'n wachttijd is nog zo simpel niet, omdat je virus al snel honeypots infecteert en misschien onschadelijk gemaakt wordt voor activering. Toch, een sluimerende infectie zal waarschijnlijk heel goed werken.

[Reactie gewijzigd door GamingZeUs op 30 juni 2017 03:53]

digidokter.net
@NLAnaconda29 juni 2017 00:01
Dat deed ik al met alle existenties toe ik besmet was in 2010 met het STRUXNET virus:
Uit mijn dagboek 28-01-2010:
Ik heb met behulp van https://www.hijackthis.nl...viewtopic.php?f=42&t=5602 eset online scan en malwarebytes gedraaid en beiden zeggen dat mijn computer schoon is. Daarmee is het voor het team afgedaan met de problemen op mijn computer. het is een oude laptop van 2 jaar en de installatie cd is kwijt. Ik kan dus windows vista niet op nieuw installeren of naar de fabrieksoinstellingen gaan want het boekje ben ik ook kwijt.
Wat kan ik nog doen om te zien waar mijn huidige problemen vandaan komen?;

Huidige problemen 2010:
- mijn verificatiemails van google accounst zoals youtube en hoofdaccount komen niet aan.
- ik heb vreemde bestandstypen op mijn computer en de grootte van de bestanden komen niet overeen met de orginele/download websitecheck groote grootte.
- De bestanden die ik download zijn binnen enkele seconden binnen terwijl het een groote iso is van 600mb.
Dus dat is vreemd.
- In mijn account met beperkte rechten kan ik niet als administrator iets uitvoeren in snelmenu.
- Vreemde programma's willen verschijnen zomaar in mijn startup.

Dit allemaal opgeteld ben en vermoed ik dat de online scanners als eset en malwarebytes zijn omgeleid naar een andere startpagina die beheerd wordt door hackers
Toen in 2010 bleef het STUXNET virus steeds terugkomen na mijn backups te herstellen. Uit eindelijk ben ik erachtergekomen hoe het werkte en heb ik alle extenties veranderd van uitvoerbare bestanden naar bv onbekende extenties zoals worddoc.doc.abc of exel.xls.abc2 etc. Ik hield en verslag van tabelconversie bij. En uiteindelijk heb ik de betreffende virusfile buitenwerking kunnen stellen uitschakelen. Zodoende mijn originele bestanden te herstellen.

Wat ik nu doe om dat weer te voorkomen (STUXnet/ransomware is volgende:
Met een linux mint opstart CD op windowsbakken(ook bij internetbankieren):
- Ik maak elke dag een zip van een werkmappen
- deze zip codeer ik met extensie *.zip1, zip2 etc.
- Die plaats ik op een externe HD's

Zo doe ik al sinds 2010 op vele DVD's back ups van al mijn data. enb extrabackup op externe DH's (4x 2Tbyte) Dus 4 maal backups...1 maal per maand een backup van alle zips, 1 maal per jaar van alle DVD's en die twee extra backuppen op twee externe HD die ik 1 maal per jaar benader via linux opstart CD.

Ik ben sinds STUXNET niet meer besmet! _/-\o_
Pas in 2016 kwam ik erachter dat het om het SUXNET ging n.a.v. symptomen in 2010!
Ik weet nu hoe wormen zich ongeveer gedragen:
1. Ze infecteren een uitvoerbaar bestand en vermommen zich als onzichtbaar bestand.
2. wijzigen de rechten en ook MBR
3. Doen hun ding op elk uitvoerbaar bestand:
Dus als je twee bestanden hebt word.doc & een .worddoc het onzichtbare (.*) een deel van virus.
Het verschil tussen de twee is dat een bestand een 2,4mb file is en het onzichtbare een 0.01 kb bestand. Zo merk je het niet dat je bent geïnfecteerd.
4. Ook USB's worden besmet op dergelijke wijze en zo hele netwerk.

Als je hulp nodig hebt kan je me een PM sturen? _/-\o_

.

[Reactie gewijzigd door digidokter.net op 29 juni 2017 00:13]

Cerberus_tm
@digidokter.net29 juni 2017 02:46
Via een opstart-cd back-ups maken klinkt wel grondig en verstandig. Het enige is, wat als je BIOS geflasht is door het virus?
digidokter.net
@Cerberus_tm29 juni 2017 02:49
Mijn bios is beveiligd met wachtwoord, enige manier dat virus daar kan komen is via een besmette update?! Naar mijn noob menning? En mijn PC is nieuw 91 jaar) dus bios update komende jaren nog lang niet...
Cerberus_tm
@digidokter.net29 juni 2017 02:59
Okee, als je BIOS echt niet geflasht kan worden zonder dat wachtwoord, dan klikt dat wel heel veilig. Maar ik ben geen expert. En hoe zat het met dat de firmware van de CPU beveiligingsgaten kan vertonen? Daar was laatste iets over op Tweakers, geloof ik. Wat nou als die firmware dan veranderd wordt door het virus en gekke dingen gaat doen terwijl jij je back-ups aan het maken bent? Of heb ik dat verkeerd begrepen?
ArtGod
@digidokter.net29 juni 2017 21:18
Gebruik gewoon Linux als je hoofd-besturingssysteem, dan wordt je binnenkort niet geïnfecteerd.

Ik adviseer installatie van Linux Mint met Cinnamon desktop voor jullie familieleden en kennissen. Dit is één van de weinige distro's die net zo mooi en gemakkelijk te gebruiken is als Windows, en misschien nog wel makkelijker (omdat je vaak geen drivers hoeft te installeren voor hardware).

[Reactie gewijzigd door ArtGod op 30 juni 2017 20:36]

mjz2cool
@ArtGod30 juni 2017 15:16
standaard antwoord dit, maar met windows ben ik ook nog nooit geinfecteerd.
ArtGod
@mjz2cool30 juni 2017 20:34
Omdat je niet een doorsnee gebruiker bent. De meeste computer gebruikers snappen niets van computers en besturingssystemen (en willen dat ook niet). Als men niet automatisch update dan is de kans groot dat ze op een linkje klikken en geïnfecteerd worden.
q3a_manchurian
@digidokter.net30 juni 2017 22:33
oldskool, deze onthoudt ik _/-\o_
Johnwulp
@NLAnaconda28 juni 2017 18:40
Ja, ik had dit ook op twitter gelezen. Zo simpel kan het zijn inderdaad!
Tsurany
@Johnwulp28 juni 2017 20:12
Zo simpel kan het deze keer zijn. Het volgende virus encrypt gewoon alle bestanden die niet essentieel zijn voor het besturingssysteem. Dan kom je dus niet weg met simpelweg de extensie veranderen.

Sowieso zou je een backup op een extern opslagmedium moeten plaatsen waar je enkel met aparte credentials bij kan en waar versioning mogelijk is. Ik doe dat zelf door alles te synchroniseren met de Synology van mijn ouders (X versies bewaren) en vanaf daar via SSH weer een backup te maken naar mijn FreeNAS server met disk snapshots.

Enkel een USB hardeschijf is niet genoeg bijvoorbeeld. Zodra die aangekoppeld is zal het virus die ook direct gaan encrypten.
habbekrats
@NLAnaconda28 juni 2017 17:44
Ik backup tegenwoordig met deltacopy naar mijn NAS, met delta copy maak je een aparte user aan op je nas maar dan geen netwerkschare maken vanuit je windows pc. In deltacopy gebruik je dan de aangemaakte user en pass. Als je nas goed in elkaar zit kan er jiemand bij je backup files, behalve als je ze in je nas naar je eigen gebruikers map kopieerd.

Op de nas draait dan RSync, alleen moet ik nog een oplossing vinden om verschillende dagen te bewaren, bv 10 x(versies) en daarna de eerste weer overschijven

[Reactie gewijzigd door habbekrats op 28 juni 2017 18:06]

SaiKoTiK
@habbekrats28 juni 2017 19:09
Dat kan je toch ook alleen maar doen als je nas over 10x meer ruimte beschikt dan je gebruikt?
Mijn nas staat 80% vol bv, niet eens genoeg ruimte om van alles shadow copies bij te houden mocht alles geencrypt worden, laat staan alles 10x bij te houden.
habbekrats
@SaiKoTiK28 juni 2017 23:28
dat doe ik dus alleen met mijn data waar ik dagelijks mee werk. Foto's, filims en muziek niet.
Echter als ik hier een windows share op heb zijn je foto's net zo corrupt als je pc data na een ransom whatever aanval.
mjz2cool
@SaiKoTiK30 juni 2017 15:18
dan moet je óf meer opslag in je nas gebruiken, óf handmatig de backups elke keer overzetten.
EelcoB
@habbekrats29 juni 2017 15:09
Ik draai zelf de belangrijkste data op de NAS, offsite kopie naar Amazon Drive, en zorg er voor dat mijn shares niet als driveletter gemapped zijn onder de clients, en alleen toegankelijk met username/pass welke niet opgeslagen worden op de clients.

Dat zou in de meeste gevallen afdoende moeten zijn, hooguit de data op de lokale drives zou dan encrypted kunnen raken, en die is niet bijster spannend.
Sebazzz
@NLAnaconda28 juni 2017 20:11
Dat kan, totdat de malware herkenning op basis van Magic Numbers implementeert. Dan ben je alsnog de sjaak.
digidokter.net
@Sebazzz29 juni 2017 00:15
https://en.wikipedia.org/wiki/List_of_file_signatures
Dat wil ik ook graag weten?!
Heel scherp gezien! kuddo's _/-\o_
Sebazzz
@kr4t0s28 juni 2017 20:12
Goed dat wij niet toestaan dat files vanuit temp uitgevoerd kunnen worden.
Hoe vang je dan af dat dlls aangetrapt kunnen worden door ze met rundll32 uit te voeren?
kimborntobewild
@kr4t0s29 juni 2017 10:06
En als je shutdown.exe was disabled (policy), was 't dan ook tegengehouden?
leuk_he
@kimborntobewild29 juni 2017 16:02
het proces heeft genoeg rechten (Debug ofzo) verzameld om de mbr te herschrijven. Dus ik vraag het me af.

En dan nog ben je dus bij een powercycle voor dit proces de pineut.

Er is ook een kill switch voor specifiek deze besmetting. "simply create a file called perfc in the C:\Windows folder and make it read only".
Guru Evi
@kr4t0s30 juni 2017 04:35
Waarom heeft de tmp directory executable rechten? Dat Microsoft daar nog mee weg kan is crimineel. chmod a-x /tmp is toch een beetje standaard in besturingssystemen.
kimborntobewild
@Guru Evi27 juli 2017 23:25
Als je een website bezoekt, is dat tegenwoordig niet ook al ongeveer gelijk aan het runnen van executable? Met alle dynamische content op een website tegenwoordig.
johnkeates
28 juni 2017 16:35
"Wat gebeurde er". Nou, bedrijven maken hun kosten-baten analyse op basis van het idee dat het allemaal wel mee zal vallen als je 99% nagedacht hebt over wat je moet kunnen afvragen in plaats van 100%, en dat leidt tot scenario's die dan niet snel opgelost kunnen worden. Dat dus. Want IT is infrastructuur en infrastructuur is 'niet sexy', dus gewoon alleen op conformiteit en compliance inzetten, want dan is alles lekker afgedekt en 'zal het wel goed zijn'. Nieuwsflash: down gaan kost meer dan het goed doen. Compliance helpt alleen met contracten en verzekeringen, niet met de realiteit.

Stel dat je dit had voorbereid, bijvoorbeeld door op belangrijke locaties reservesystemen op de plank te leggen en een quorum-based shared dataset te hebben, dan kan je in elk geval doorwerken zonder dat centrale faciliteiten beschikbaar moeten zijn. Het zal misschien niet leuk zijn, maar het is beter dan down gaan, en voor ±30% van de kosten (TCO, dus ook onderhoud en instructie) die je sowieso al had zit je ruim onder de dagwaarde van downtime. Natuurlijk gaat geen enkele VAR, consultant of vendor dat verkopen, want daar is geen zak aan te verdienen, en het zit in geen enkel standaardproduct zoals de software van Oracle, Microsoft of SAP. Daarnaast wordt er geen woord over gerept in de standaarden waar je aan moet voldoen, en is het ook gewoon geen onderdeel van de standaardkennis van de staf van een bedrijf. Het enige waar je zoiets een beetje kan vinden is in ATC's en ziekenhuizen, en de meeste militaire onderdelen... het is net alsof het alleen gedaan wordt als je zeker weet dat er anders mensen dood gaan.

[Reactie gewijzigd door johnkeates op 28 juni 2017 16:36]

curkey
@johnkeates28 juni 2017 20:25
Er is wel een verschil met een single calamiteit zoals een power-outage en een virusuitbraak.
Met laatstgenoemde zijn je machines niet alleen down, maar je kunt ze ook pas weer opstarten als ze gecontroleerd schoon zijn.
Plus, als er essentiële infra geraakt is, zul je dat eerst moeten repareren voordat je aan de rest kunt beginnen. En dan mag je daarna nog eens tig werkstations opnieuw installeren vooraleer je aan het werk kunt. De enterprise systemen zijn dan allang weer up, maar voordat de business processen weer lopen ben je al een stuk verder in de tijd.
johnkeates
@curkey29 juni 2017 00:58
En dat kan je dus afvangen. Stel dat je 30 dagen op 4G met thin clients en laptops moet werken die je in 1 uur per locatie per 30 stuks kan uitrollen, dan kost dat even wat geld, misschien wel een paar ton, maar da's een heel stuk minder dan de miljoenen die ze nu kwijt zijn.

Het punt is niet dat het moeilijk is, want alles is moeilijk. Het punt is dat het kunstmatig tegengehouden wordt, soms door vendor lock-in, soms door belangen buiten de vendors om.

Vooraf een paar ton aan hardware (die je ook weer moet afschrijven) en software+kennis (die je up to date moet houden), die je hopelijk nooit nodig hebt is iets wat de meeste bedrijven niet doen, maar wel iets wat goedkoper is dan down gaan. Nu wordt er gewoon gegokt.

Voor het geld dat ze nu kwijt zijn kan je wel tien keer de complete IT infra opzetten!

[Reactie gewijzigd door johnkeates op 29 juni 2017 00:58]

mmjjb
28 juni 2017 15:48
Betalen is zeker een slechte optie, maar wat ik nog slechter vind is dat het e-mail adres is afgesloten.

Wat nou als je systeembeheerder net een backup aan draaien was waardoor het back-upstation ook encrypted is? Tuurlijk, in een perfect ICT situatie gebeurt dit niet, maar er zijn tal van bedrijven waar dit wel gebeurd.

Resultaat, al je data is versleuteld inclusief de backups. Dan is de enigste optie die je hebt betalen...
Ook al wil je het niet.. je hebt geen andere keuze..

Vervolgens maak je het geld over.. en krijg je geen decryptie sleutel, omdat de email provider het account heeft gesloten... fraai.. daar gaat je bedrijf, alle data kwijt, bedrijf falliet.. en dat is voornamelijk de schuld door de email provider, Posteo.. |:(

Zonder Posteo had je een decryptie sleutel kunnen krijgen, maar door haar toedoen ben je alles en alles kwijt..

##comment:
@Sithistar
Ik zeg niet dat de schuld alleen maar bij de email provider zit. Ik een normale/goede ICT situatie dit probleem niet zal optreden.

Tuurlijk ben ik geen voorstander van betalen, maar zoals je op de bitcoin stream kunt zien, zijn er zeker mensen die wel betalen. Die hadden in een normale situatie de decryptie sleutel ontvangen, maar door het sluiten van het email account krijgen ze nu niks.

Ik probeer zeker niet recht te praten dat cryptolockers te rechtvaardigen zijn, het is natuurlijk gewoon chantage, maar wat heb je liever? Chantage waarbij de chanteerder zich aan de afspraak houd, of dat je gechanteerd wordt en niks krijgt? ;(

Dat de overheid een onderzoek moet starten om de daders te pakken, absoluut. Maar laat de mensen die opgelicht zijn en wel betaald hebben tenminste de bestanden terug krijgen. Ook al sponsor je indirect de criminelen daarmee.

[Reactie gewijzigd door mmjjb op 28 juni 2017 17:39]

Vale vista
@mmjjb28 juni 2017 16:20
Posteo heeft ongetwijfeld een beleid waarin staat dat bepaalde zaken niet mogen. O.a. faciliteren van criminaliteit. Wat denk je dat er zou gebeuren als Posteo t toe staat en wie er dan n rechtszaak aan de broek krijgt? Juist, Posteo. Nu halen de criminelen nauwelijks winst, en dus is het minder zinvol voor hun om met hun oraktijken door te gaan.
WhatsappHack
@mmjjb28 juni 2017 16:20
De aanvallers zullen vast netjes een alternatief mailadres in de wereld helpen.

En dat meen ik serieus. Uit onderzoek van de FBI is gebleken dat die gasten uiterst betrouwbaar en behulpzaam zijn bij het decrypten na betaling, omdat ze dan een "goede reputatie" krijgen en mensen sneller lappen. :+
nieuws: FBI-afdeling adviseert bedrijven regelmatig om ransomware-losgeld te ...

Het is nogal ironisch, betrouwbare criminelen.
194673
@WhatsappHack28 juni 2017 17:37
Er zijn analyses uitgevoerd door experts die menen dat het hele crypto gedeelte enkel een afleiding is, en dat het hoofd doel is om vooral schade te veroorzaken. Het is dus nog maar de vraag of het alternatieve email adres er komt.
kakanox
@mmjjb28 juni 2017 16:30
Dat is dan de schuld van de systeembeheerder/IT-verantwoordelijke, want slecht beheer.
Welk zichzelf serieus nemend bedrijf heeft er nou maar één backup?

Dat heb ik zelfs thuis beter geregeld.

En ja, ik weet het. Het zijn er ongetwijfeld genoeg. De vraag is of die zichzelf wel zo serieus moeten nemen.
Anoniem: 310408
@kakanox28 juni 2017 17:07
Dat is dan de schuld van de systeembeheerder/IT-verantwoordelijke, want slecht beheer.
Welk zichzelf serieus nemend bedrijf heeft er nou maar één backup?
Backups zijn meestal wel goed geregeld. Maar heb je wel eens geprobeerd 500 systemen te restoren terwijl de hele firma inclusief het management naar je staat te schreeuwen?

De tweakers die het hier beter denken te weten dan hele IT afdelingen werken me behoorlijk op de zenuwen. Als je je eigen laptop met Malwarebytes en Crashplan beveiligd hebben dan net iets anders dan een ingewikkelde IT omgeving in een groot bedrijf dat het zich niet verantwoorden kan om een paar dagen offline te zijn.
kakanox
@Anoniem: 31040828 juni 2017 20:03
Ten eerste: als je 500 systemen hebt, is het dan niet veel verstandiger om lokale opslag te ontmoedigen? Wij hoeven behalve voor de developers alleen maar images terug te schieten, komen we nauwelijks voor van onze stoel.
Ten tweede: ook lokale opslag is te synchroniseren, bij voorkeur incrementeel.

Last but zeker not least, newsflash: Als het hele bedrijf inclusief management tegen jou staat te schreeuwen zit je bij het verkeerde bedrijf.
Behalve prutsen op tweakers stuur ik overdag zo'n IT-afdeling aan. Als er paniek in de tent is zit m'n team in een aparte ruimte de ellende op te lossen.
Het is mijn rol om te zorgen dat ze hun werk zo snel en efficient mogelijk kunnen doen, en daar hoort (jammer genoeg voor mij) ook het geschreeuw van de rest van de toko aanhoren bij.

[Reactie gewijzigd door kakanox op 28 juni 2017 20:12]

Blokker_1999
@Anoniem: 31040828 juni 2017 17:57
Tjah, dat worden veel overuren ;)

En wat denk je dat die IT afdeling gaat doen met alle infected systemen? Zelfs als je de key hebt, durf je die zonder herinstallatie nog op je netwerk hangen?

En ja, je zou de eerste firma niet zijn die effectief een week zonder IT zit door een malware infectie, gewoon omdat je het goed moet opkuisen ipv snel.
draadloos
@Anoniem: 31040829 juni 2017 01:22
Amen!
Northside
@mmjjb28 juni 2017 16:10
Beetje de 'wij onderhandelen niet met gijzelnemers'-mentaliteit. In principe een goede instelling, maar erg jammer als jij de gegijzelde bent. Er zal wel meer achter zitten, ik kan me niet voorstellen dat ze dit gedaan hebben zonder eerst met de Duitse autoriteiten overlegd te hebben.
Martao
@mmjjb28 juni 2017 16:17
Gelukkig maar dat Posteo dat gedaan heeft. Het sponsoren van dit soort tuig lijkt me toch het laatste wat je moet doen.
Deveon
@mmjjb28 juni 2017 16:50
daar gaat je bedrijf, alle data kwijt, bedrijf falliet.. en dat is voornamelijk de schuld door de email provider, Posteo.. |:(
Dus de continuïteit niet goed gewaarborgt. Er is geen oplossing voor slecht management. Zelfs een ZZP'er kan zich met beperkt budget waarborgen om failliet te gaan op zo een grapje.
Sithistar
@mmjjb28 juni 2017 17:25
Dan pak je de backup van de vorige keer. Sorry, maar als je die niet hebt was het al wachten op een probleem bij de eerste de beste blikseminslag. En nooit, nooit alle backups in dezelfde ruimte houden, of allemaal tegelijkertijd online.

Vind het nogal typisch om de schuld nu maar bij een e-mailprovider te leggen, wel de makkelijkste manier om verantwoordelijkheid af te schuiven. Wat had de schrijver van de ransomware dan gedacht, dat de e-mailprovider zich partij laat worden in deze situatie? Wat zou je zelf doen? Willens en wetens crimelen helpen?

Overigens, kun je voorbeelden noemen van de tal van bedrijven waar het wel zo gebeurt?
XeNoN62
@mmjjb28 juni 2017 17:34
Je kan Posteo wel de schuld geven dat je data kwijt bent maar je heb zelf de zaakjes dan ook niet op orde.
svennd
@mmjjb28 juni 2017 16:19
Dat is een beetje een schuldige zoeken, dit e-mail adres werd duidelijk voor illegale zaken gebruikt. De kans dat je antwoordt krijgt was sowieso nihil... het enige zekere is dat je die 300$ niet terugziet :)
xleeuwx
@svennd28 juni 2017 16:57
In het verleden is het vaker bewezen dat betalen juist werkte en er zelfs een soort support afdeling was.
svennd
@xleeuwx29 juni 2017 09:16
Ja maar dan lieten ze ook je computer nog volledig gebruiken en niet in een pre-os systeem vasthangen. Dit was duidelijk geen geldgewin actie. Als dat zo wel geweest was waren er heus wel meerdere opties geweest om te betalen. (als in alternatieven op het e-mail adres)

// edit
nieuws: 'NotPetya is bedoeld om gegevens te wissen met schijn van ransomware'

[Reactie gewijzigd door svennd op 29 juni 2017 10:06]

svennd
@NimRod133729 juni 2017 10:06
nieuws: 'NotPetya is bedoeld om gegevens te wissen met schijn van ransomware'
leuk_he
@mmjjb29 juni 2017 16:14
Aanvullende analyzes hebben aangegeven dat de key waarmee versleuteld is geen samenhang heeft met de het nummer dat op het scherm staat, en dat er maar 1 bitcion adres is.

Dat is eerder een indicatie dat decrypten nooit zou hebben gewerkt. zie ook onder het kopje "Is dit iets anders dan WannaCry?". Er zijn ook andere artikelen die stelliger aangeven dat dit industriele vandalisme is onder de vlag van cryptoware.

https://arstechnica.com/s...rofit-seeking-ransomware/
TWyk
28 juni 2017 15:52
Hebben nou echt al die bedrijven MeDoc boekhoudsoftware in gebruik aangezien er geen alternatieve verspreidingmethode wordt beschreven.
justme256
@TWyk28 juni 2017 16:32
Als je in de Oekraïne zaken doet en daar belasting moet betalen is MeDoc een van de twee, door de overheid goedgekeurde, applicaties voor accounting en belastingaangifte. Ga er maar vanuit dat bijvoorbeeld Maersk in dat land een kantoor (of meerdere) heeft en belasting moet betalen (denk aan im- en export heffingen). Als dat kantoor zonder enige beveiliging gekoppeld is met de rest van het wereldwijde Maersk net, dan gaat het heel hard, zeker omdat het zich laat aanzien dat de patch tegen EternalBlue nog niet toegepast was. Ik vermoed dat er meer bedrijven op die manier geraakt zijn.

Het probleem met hele grote bedrijven, die vaak ook weer van dochterondernemingen aan elkaar hangen, is dat ze niet altijd een goed idee hebben van het applicatielandschap. Zeker als dochterondernemingen door overnames erbij gekomen zijn.

Daarnaast worden updates daar niet altijd meteen toegepast vanwege testtrajecten met eigen applicaties (OTAP straat). Die kunnen langdurig zijn en dan bouw je vanzelf een achterstand op ten opzichte van de laatste updates. Het wordt een domino effect. Testen duurt bijvoorbeeld 4 weken en dan komen de volgende updates alweer uit. Dan weer 4 weken, etc. Al gauw loop je 16 weken achter en krijg je dus de problemen van gisteren.

[Reactie gewijzigd door justme256 op 28 juni 2017 16:34]

ArcticWolf
@justme25629 juni 2017 00:34
Nou hier in NL ook niet... denk dat m'n werk laptop (W7 Enterprise) de afgelopen 2 jaar welgeteld 2 security patches heeft gehad (heb nog in de update log gekeken), 1,5 jaar geleden 1 en een paar weken geleden die voor WannaCry, terwijl we echt geen aparte software gebruiken (CAD en Java based applicaties) en dat te bedenken dat je op een netwerk met 5000 gebruikers zit.
Kregen zelfs een mail dat de update van de servers 1 week werd uitgesteld omdat het hele netwerk plat moest...

je kan sinds een paar maanden ook gewoon om een W10 image vragen, dus testen... doen we niet aan lijkt het 8)7

[Reactie gewijzigd door ArcticWolf op 29 juni 2017 00:36]

justme256
@ArcticWolf29 juni 2017 11:46
5000 gebruikers is voor Nederlandse begrippen behoorlijk groot, maar dan nog. Je mag toch verwachten dat updates vaker dan dat toegepast worden. Hier bij ons komen elke maand in ieder geval op de werkplekken (toch meestal het eerste punt dat getroffen wordt) de nieuwste updates er gewoon op. We hebben zelf intern de WSUS servers van Microsoft daarvoor in gebruik, zodat we in ieder geval kunnen sturen wat waar en wanneer naartoe gaat.

Windows 10 is bij ons inmiddels ook in gebruik (overigens wel na eerst testen door ondergetekende) en ook daar komen de maandelijkse updates op. De versie update (Creators update) doen we wel on demand, aangezien dat wat lastiger en tijdrovend is.
mjz2cool
@justme25630 juni 2017 15:38
dit soort kritieke updates worden vaak niet uitgesteld door het testen, maar omdat servers dan opnieuw moeten opstarten, wat weer downtime betekend.
walteij
28 juni 2017 15:34
Volgens Kaspersky kan een enkele geïnfecteerde beheerder tot gevolg hebben dat een heel netwerk wordt besmet. Daarbij wordt de kwaadaardige software op andere systemen uitgevoerd met behulp van psexec en wmic. Zo konden ook systemen getroffen worden die wel van de uitgebrachte Microsoft-patches waren voorzien.
Zijn er echt nog bedrijven waar beheerders geen dubbele accounts hebben?
Een gewoon account voor het reguliere werk (documentatie schrijven, e-mail, tickets inzien etc) op de eigen werkplek en een apart beheer account voor de werkzaamheden die echt administrator rechten nodig hebben....
Tweekzor
@walteij28 juni 2017 15:38
Ik durf zelfs te wedden dat nog altijd meer bedrijven zijn waar iedereen local admin is dan bedrijven waar werknemers dat niet zijn.

Zoals we al een aantal jaar proberen te roepen:
Voordat je firewalls van 10-20K naar binnen gooit, kijk eerst een naar je basis.
Zorg voor fatsoenlijke wachtwoorden ipv Welkom123, Lente2017, Zomer2017 etc...
Zorg voor awareness bij je medewerkers (zie vorige punt)
Scheid je netwerken, een medewerker hoeft helemaal geen directe toegang te hebben tot de SQL server.
Gooi toch a.u.b. niet alles maar open aan het internet. Daar krijg je allemaal maar troep en geautomatiseerde aanvallen van binnen. Dit is waar een VPN perfect voor werkt.
En maak uiteraard niet iedereen local admin, beter nog controleer je rechten op alle systemen binnen je domein. Ja ook op de fileshare en op cloudportal X, Y en Z.
SunnieNL
@Tweekzor28 juni 2017 18:41
Sterker nog, ik denk dat het steeds verstandiger wordt om een beheerder ook default een user account te geven. Heb je perse admin rechten nodig op een server dan kan een geautomatiseerd systeem tijdelijk rechten geven of (nog beter) een tijdelijk account aanmaken en deze destroyen als je klaar bent met het werk.
Een onderschept token dmv mimikatz is dan nauwelijks iets waard en je kan er in ieder geval niet mee naar andere systemen.
Daniel_Elessar
@SunnieNL28 juni 2017 19:27
Dat is inderdaad een betere. Zo ie zo hernoem ik de admin account altijd naar een gewone naam en heb je een 'admin' accoutn dat niks kan. Dat is ook al een lichte eerste stap. Daarnaast heb je dat account inderdaad enkel nodig als je echt iets doet op de servers, ben je met andere dingen bezig gebruik je daar een gewoon account voor.
Anoniem: 120539
@Daniel_Elessar28 juni 2017 19:45
Helaas is dat slechts een schijnveiligheid. Al hoeft de Security Identifier (SID) van de originele Administrator niet altijd hetzelfde te zijn, is die van de lokale groep 'Administrators' dat wel.
Je kunt hernoemen wat je wil, de SID van deze groep is nog steeds S-1-5-32-544.

Op basis van die eigenschap is zijn dus ook de leden te achterhalen, en is het voor (een beetje slimme) malware dus een koud kunstje om te bepalen welke accounts aangevallen moeten worden.
SunnieNL
@Anoniem: 12053928 juni 2017 20:02
Daarom nieuw account automatisch laten generen door een PAM oplossing en laten killen als je klaar bent met je taak.
Door het account alleen lid te maken van de local admin groep van die server ben je veilig tegen verspreiding omdat op andere servers de rechten niet geldig zijn en het account na x uur sowieso niet meer bestaat
Daniel_Elessar
@Anoniem: 12053928 juni 2017 21:36
Klopt, maar prutsers houd je er al wel mee buiten. Dat is een begin. Als ze echt willen komen ze altijd binnen. Maar het zo moeilijk mogelijk maken kan wel. De oplossing die @SunnieNL geeft is mooi. Maar soms moet je ook over domein heen iets doen en dan gaat dat niet met een local account. Maar daar zijn ook vast mogelijkheden voor. Al kan een heel slimme dan ook dat weer misbruiken en zo toegang krijgen tot je systeem.

Hoe dan ook het is een zeer gevaar waar we mee opgescheept zitten. En sommige in een goede omgeving terwijl andere houtje touwtje oplossingen moeten bedenken omdat er geen geld is volgens management.
Dylan93
@Daniel_Elessar28 juni 2017 22:12
Zo ie zo hernoem ik de admin account altijd naar een gewone naam en heb je een 'admin' accoutn dat niks kan.
Het local admin account hernoemen heeft geen enkele zin, geautomatiseerde tools/scripts kijken niet naar account namen maar gebruiken het SID nummer van het account, deze is bij alle versies van Windows en Windows Server hetzelfde voor het local admin account:

https://support.microsoft...windows-operating-systems
Daniel_Elessar
@Dylan9328 juni 2017 22:29
Weet ik, aangeleerd gekregen van iemand die ook aan server mee werkt. Idee is ook meer dat mochten prutsers zelf kijken zonder script, dan vallen ze er eerder voor. Of als ze fysiek toegang hebben is het eerste toch 'Admin' dat geprobeerd wordt. Die weer je zo toch wel af.
digidokter.net
@Daniel_Elessar29 juni 2017 00:20
En nooit met admin/root account op internet gaan!!! Ik gebruik altijd opstartCD lunux mint!
jDuke
@walteij28 juni 2017 15:44
Ja zo zijn er wel veel meer dingen. Ik zou persoonlijk zeggen, stap af van Windows maarja wie ben ik dan. Het is niet echt praktisch om 2 accounts te hebben, en dan maakt het nog niet uit als je de blog van Microsoft hebt gelezen. Het virus/ransomware what ever nestelt zicht en wacht op input voor credentials, je zult toch keer moeten inloggen op je beheer machine (want als je het goed doet is die gewoon gelocked als je wegloopt).

Hier bij een grote instantie van het rijk is alles opgeknipt in allerlei domeinen en kan niets, iedere medewerker wordt wantrouwt vanuit IT perspectief, je zou denken goed voor je security maar je maakt je organisatie helemaal lam. Alles dicht timmeren heeft ook geen zin, zwakste schakel blijft gewoon de mens, een USB stick erin en poef je veroorzaakt ook veel ellende. Of wat nou als een beheerder nou gewoon de boel bewust wilt slopen, die heb je ook, je hebt niet overal een antwoord op. Alleen een heel goed plan wat je doet in het geval van een ramp (disaster recovery).

Ik roep al heel lang zorg juist voor diversiteit in je IT infrastructuur en wordt keer wakker en zorg dat je geen homogene infrastructuur hebt, daarmee ben je wendbaarder en dan is een probleem beperkt tot een deel ipv alles. Ja roepen allerlei mensen weer ja maar dat is lastig te beheren. Ik zou zeggen zorg dat je de kennis in huis hebt en samen bereik je een heel eind.
Anoniem: 120539
@jDuke28 juni 2017 16:06
Ja zo zijn er wel veel meer dingen. Ik zou persoonlijk zeggen, stap af van Windows maarja wie ben ik dan.
Tuurlijk. Want dan zijn al je problemen ineens opgelost.

Als MS nu niet al maanden een patch beschikbaar had die ook deze besmetting voorkomen had dan zou je nog een valide basis hebben voor deze opmerking; met bijvoorbeeld een Linux installatie zou je met voldoende capaciteit (en dus geld) inderdaad je eigen update kunnen schrijven, of dieper onderzoeken wat er nu werkelijk gebeurt.

Waar we technisch belang bij zouden kunnen hebben is als we allemaal iets anders zouden gebruiken, en dan ook nog gemengd binnen je eigen omgeving. Op die manier is schade te beperken.

Edit: waarbij ik nog even vergeet te melden dat dat functioneel gezien natuurlijk uitermate onpraktisch is; zowel qua implementatie als onderhoud.

[Reactie gewijzigd door Anoniem: 120539 op 28 juni 2017 16:06]

kakanox
@jDuke28 juni 2017 16:28
Beveiliging valt of staat met goed beheer.
Als je het zo lek als een mandje laat draaien gaat met OSX, ChromeOS, Linux en BSD net zo hard mis als met Windows.
Delgul
@jDuke28 juni 2017 15:56
"Ik zou persoonlijk zeggen, stap af van Windows maarja wie ben ik dan"

Iemand die gelijk heeft al zijn er weinig die dat willen horen :P
HDoc
@Delgul28 juni 2017 22:11
Tja ik ben net na 15 jaar OSX weer overgestapt op Windows.

Ik moet zeggen dat Windows er in de loop van die jaren echt wel stukken op vooruit is gegaan, waar OSX (tegenwoordig MacOS) qua innovatie goeddeels stil is komen te staan. Waar je met OSX "vroeger" je echt geen zorgen over malware hoefde te maken is dat tegenwoordig al lang niet meer zo. Linux is een mooi alternatief en heb wel met een stuk of drie distro's proefgedraaid maar de software die ik zoek is niet goed te verkrijgen op Linux, anders tikte ik nu niet in Windows maar in Linux.

Dus maar flink in de security software, geen rare dingen aanklikken, niet alles downloaden en alles in kopie op de NAS. En long-term backup op Blu-ray disks.
Martinspire
@Delgul29 juni 2017 18:36
Als je geen updates draait maakt het geen reet uit welk OS je gebruikt. Net zoals met meer fouten
Delgul
@Martinspire30 juni 2017 15:22
Ook waar ;-)
dataworm
@jDuke28 juni 2017 16:21
Hier bij een grote instantie van het rijk is alles opgeknipt in allerlei domeinen en kan niets, iedere medewerker wordt wantrouwt vanuit IT perspectief, je zou denken goed voor je security maar je maakt je organisatie helemaal lam. Alles dicht timmeren heeft ook geen zin, zwakste schakel blijft gewoon de mens, een USB stick erin en poef je veroorzaakt ook veel ellende.
Er kan niets, maar iedereen kan wel gewoon een USB stick aansluiten :?
RobWu
@dataworm29 juni 2017 13:15
Ja, als er niets kan/mag is dat toch ook geblokt op de pc zelf via policies?
Kees
@walteij28 juni 2017 15:36
Er zijn blijkbaar ook bedrijven waar EternalBlue nog niet is gedicht, dus het lijkt mij geen vreemde conclusie om te denken dat er bedrijven zijn waar administrators niet meerdere accounts hebben.
Zodiac
@Kees28 juni 2017 15:46
Net zoals er nog genoeg bedrijven zijn waar een (embedded) Windows XP blootgesteld is aan het Internet. Of een club met een lekke firewall. Of... Verzin het maar, bestaat vast wel.

Informatiebeveiliging is helaas nog steeds een "achterafje" voor veel bedrijven, waar niet altijd het juiste budget of kennis aan wordt gespendeerd.
Treadstone
@Kees28 juni 2017 15:50
Mimikatz was nog een derde aanvals techniek.

https://www.fireeye.com/b...-eternalblue-exploit.html

[Reactie gewijzigd door Treadstone op 28 juni 2017 15:51]

chaoscontrol
@walteij28 juni 2017 15:38
Ja die zijn er zeker en misschien wel veel meer dan je denkt. Ik durf bijna te stellen dat dit bij 90% van de MKB's voorkomt die het IT in eigen beheer hebben.
TWyk
@walteij28 juni 2017 15:50
Bovendien is de kans groot dat een beheerder dan evengoed ingelogd met beheerdersrechten de update van de MeDoc software binnenhaalt en die update uitvoert/uitrolt.
ashiek
@walteij28 juni 2017 16:04
Het zal je nog verbazen wat je tegenkomt.
Only_Pevede
28 juni 2017 15:44
Vraag me af of er ook lering uit getrokken kan worden.
Ik zie alleen dat bitcoin niet traceerbaar is en dat er wereldwijd in een hele korte tijd veel verdiend kan worden.

En dat het nu bedrijven zijn met flinke schade maar in privé wil je dit toch ook niet mee maken. Alleen al 15 jaar foto's die je kwijt bent.
Oké backuppen die handel maar ik ben best lui en vast niet de enige.
Jasphur
@Only_Pevede28 juni 2017 15:52
Tijd voor een van A naar Back-up campagne van de overheid. :P
jpsch
@Jasphur28 juni 2017 16:26
Overheid luistert toch alles al af, kunnen ze me ook hun copy sturen bij problemen. O-)
NimRod1337
@jpsch28 juni 2017 16:32
Begint beetje cliché opmerking te worden. Backup is je eigen verantwoordelijkheid.
kakanox
@Jasphur28 juni 2017 16:30
Prachtige opmerking :)
Northside
@Only_Pevede28 juni 2017 16:13
Dit zal niet helpen met de acceptatie van cryptovaluta nee. Binnenkort gaat een machtig iemand roepen dat het terrorisme gesteund wordt door cryptocoins, zakt de koers, knapt de zeepbel en dat was het dan.
NimRod1337
@Only_Pevede28 juni 2017 16:31
Flickr geeft al een terabyte voor je foto's, Google Foto's, Transip Stack. Mogelijkheden zat. Dataverlies moet je inderdaad eerst voelen wil je in actie komen.
Quilt
@Only_Pevede29 juni 2017 11:36
Eerste les lijkt mij dat overheden niet eindeloos op hun exploits moeten zitten.

We spenderen miljarden aan het leger, politie, voedsel en medicijncontrole. Allemaal om onze leefwereld veiliger te maken.

Als het om IT-veiligheid gaat, zetten bepaalde overheden vooral in op offensieve wapens, die dan als een boomerang in eigen gezicht terugvliegen.

Beleid loopt hier 10-20j achter. Het wordt tijd dat iemand inziet wat de waarde van dergelijke veiligheid is, en actie onderneemt.
Waterbeesje
28 juni 2017 15:52
In al mijn onwetendheid zou ik in staat zijn het volgende te doen:

Geeft mijn computer een herstart op of begint deze bij opstarten met een checkdisk, dan gelijk de stekker er uit en proberen op een linux-bakkie de data te kopieren die nog intact is (voor wijzigingen tussen nu en de vorige backup).

Werkt dit zo (voor de bestanden die nog niet zijn getroffen)?

Is al bekend welke bestanden precies worden geraakt, of welke mappen, of het gehele systeem?
svennd
@Waterbeesje28 juni 2017 16:22
Ja, een live medium booten (linux) en van daaruit kun je eventueel nog data terughalen; hou er wel rekening mee dat encrypteren zeer, zeer snel gaat. de disk zal zeker de bottleneck zijn bij dit soort problemen.
PerlinNoise
28 juni 2017 16:51
Kan ransomware je Onedrive ook enqrypten? Ik bedoel als bedrijf zijnde is een backup alleen op Onedrive/sharepoint voldoende? Of is het verstandig een Linux server er naast te draaien voor backups?
SunnieNL
@PerlinNoise28 juni 2017 18:48
Ransomware die op basis van bestanden encrypt kan ook op je onedrive encrypten. Onedrive kopieert immers het aangepaste encrypte bestand netjes naar de cloud.
Ook kan die ransomeware bestanden op je nas encrypten als jij daar verbinding mee hebt vanaf die pc.

Deze malware encrypt na het booten. Dus bij deze heb je geluk dat je dan geen onedrive sync en geen netwerkverbinding hebt als de encryptie loopt
friend
@SunnieNL28 juni 2017 19:19
Er is versionering op OneDrive, zodat je de originele versie van je bestanden kunt terughalen:
https://www.microsoft.com...pc/shared/ransomware.aspx
https://support.office.co...S&rs=en-US&ad=US&fromAR=1

...lijkt echter alleen te werken voor 'Office' files...
Misschien beter eens kijken naar Google Drive of Amazon Cloud Drive.

[Reactie gewijzigd door friend op 28 juni 2017 19:26]

Quilt
@SunnieNL29 juni 2017 11:25
Daarentegen staat dat de cloud in principe slim genoeg kan zijn om door te hebben wanneer je geencrypteerd wordt. Als ze plots van alle bestanden andere files binnenkrijgen met dezelfde naam...

Dan zou er toch een alarmbelletje kunnen afgaan.

Lijkt me toch een kans om als cloudprovider toegevoegde waarde te bieden aan je klanten.
Th3Eagle
28 juni 2017 15:32
Ook Saint Gobain is is getroffen. Onderhoud van de glas ovens is vroeg dit jaar...
ozzynator
@Th3Eagle28 juni 2017 16:16
en das weer de moeder van Raab Karcher. En Beamix en nog wat firma's.
biglia
28 juni 2017 15:45
De getoonde waarschuwing legt uit dat er een e-mail naar het adres wowsmith123456@posteo.net gestuurd moet worden met daarin het adres vanwaaruit de betaling heeft plaatsgevonden.
Misschien ook even vermelden dat posteo.net de e-mailaccount binnen die 24 uur al heeft afgesloten: https://posteo.de/en/blog...eady-blocked-since-midday

Dus alle bedrijven die nu nog steeds betalen, gaan nooit een e-mail kunnen versturen en nooit de sleutel ontvangen.

[Reactie gewijzigd door biglia op 28 juni 2017 15:45]

Morgan4321
@biglia28 juni 2017 15:53
Flauw van posteo. Ze hadden het adres ook kunnen monitoren.
HellFury
@Morgan432128 juni 2017 16:16
Nee, er moet door de media worden vermeld dat betalen het probleem nooit meer op gaat lossen in dit geval. Dan betaalt niemand, en is er geen financiële drijfveer om een volgende internetaanval op te zetten.
mashell
@HellFury28 juni 2017 16:28
Maar is dat een beslissing die een emailprovider mag maken?
lappro
@mashell28 juni 2017 22:03
Als ze dat mail account niet offline hadden gegooid hadden ze het risico gelopen aansprakelijk gesteld te worden voor (een deel van) de schade. Omdat ze dan aangeven dat ze illegale activiteiten gedogen.

Dat lijkt in ieder geval de consensus te zijn op internet, mijn kennis van rechtspraak is beperkt dus kan geen garanties geven.
mashell
@lappro29 juni 2017 09:31
Inderdaad zal er in de voorwaarden staan dat bij gebruik voor illegale activiteiten het account gesloten kan worden. Toch vraag ik me af of het wel verstandig is? Voor sommige mensen kan de criminelen betalen de enige oplossing zijn en voor de opsporingsinstanties is dat email adres wel een mogelijk spoor naar de daders. Als ik die provider was, zou ik niet meteen sluiten maar eerst even bij de politie op de koffie gaan.
HellFury
@mashell28 juni 2017 16:29
Ik denk niet dat deze handelingen in de Terms of Service worden goedgekeurd, nee.
Morgan4321
@HellFury28 juni 2017 16:19
En ligt je bedrijf plat. Het "hogere doel" zo afdwingen is niet de taak van andere bedrijven.
HellFury
@Morgan432128 juni 2017 16:22
Ja, klopt, er zullen bedrijven zijn die nu hard onder uit gaan. Misschien dat een deel daarvan bij WannaCry dacht: "Wij maken goede backups. En als de backup ook encrypted is dan kunnen we altijd nog betalen. Is goedkoper dan onze hele infrastructuur dichttimmeren". Er zijn altijd bedrijven die zo blijven denken, en deze gedachte moet niet meer mogelijk zijn in 2017.
Morgan4321
@HellFury28 juni 2017 16:26
Waarom moet dat niet meer mogelijk zijn? Zodat je bedrijf lekker onderuit kan gaan als MS hun updates voor de zoveelste keer verprutst?
SunnieNL
@Morgan432128 juni 2017 18:46
Dat idee had ik dus ook. Waarom niet monitoren wie er op inloggen om zo te kijken of ze een steekje laten vallen en we het ip adres van die gasten kunnen achterhalen.
1 2 3 4 5

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee