Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Sander van Voorst

Nieuwsredacteur

Internetaanval treft grote bedrijven

Wat gebeurde er in de afgelopen 24 uur?

Door , 193 reacties

Vragen over NotPetya

In de afgelopen 24 uur is de ransomware Petya, of eigenlijk NotPetya, veelvuldig in het nieuws geweest. Inmiddels is het stof enigszins neergedaald, en hebben verschillende bedrijven en onderzoekers tijd gehad om de malware onder de loep te nemen. In dit stuk komen enkele vragen aan bod die in de loop van de tijd zijn gerezen.

Wat gebeurde er op dinsdag?

Het begon allemaal op dinsdagmiddag, toen er berichten binnenkwamen uit Oekraïne dat er sprake was van een internetaanval. Even later verschenen er berichten op Twitter met afbeeldingen van computerschermen met daarop een proces dat zich voordoet als chkdsk of een waarschuwing dat bestanden zijn versleuteld.

Kort nadien bleek dat er in Rotterdam eveneens een aanval gaande was, waardoor de containerterminals van APM stil kwamen te liggen. APM Terminals is een dochterbedrijf van het Deense Maersk, dat even later meldde dat het problemen had met zijn eigen it-infrastructuur. Doordat medewerkers ook hier screenshots deelden, die overeenkwamen met eerdere afbeeldingen, begon men te vermoeden dat er een grotere aanval plaatsvond. Niet lang daarna kwamen er berichten dat onder meer bedrijven in Spanje, Polen en Duitsland waren getroffen.

Al snel werd duidelijk dat de malware systemen ontoegankelijk maakte en dat er 300 dollar aan bitcoins als betaling werd geëist. Inmiddels is 3,6 bitcoin naar het genoemde adres overgemaakt, wat neerkomt op ongeveer 8000 euro. De getoonde waarschuwing legt uit dat er een e-mail naar het adres wowsmith123456@posteo.net gestuurd moet worden met daarin het adres vanwaaruit de betaling heeft plaatsgevonden. Daarnaast moet er een installation key meegestuurd worden. Zo zouden slachtoffers dan een decryptiesleutel kunnen ontvangen. Het Berlijnse Posteo, waar het adres was geregistreerd, meldde dinsdag echter dat het e-mailadres sinds de middag was geblokkeerd. Daardoor werd betalen zinloos en waarschuwden onderzoekers dit dan ook niet te doen. Opvallend is dat de aanval een dag voor een feestdag plaatsvond; in Oekraïne is 28 juni de Dag van de Constitutie.

       Het getoonde bericht na encryptie van het systeem

Waarom de verwarring rond de naam?

Hoewel verschillende beveiligingsbedrijven de malware in eerste instantie als Petya aanduidden, bleek deze benaming later niet helemaal te kloppen. Het is niet gek dat de malware aanvankelijk als de Petya-ransomware werd bestempeld, aangezien delen van de code zijn hergebruikt. Onderzoeker the grugq stelt dat de overeenkomsten echter maar skin deep zijn en dat het verder om een ander soort malware gaat. Het Russische beveiligingsbedrijf Kaspersky noemde de malware dan ook NotPetya in een persbericht en stelde dat het om een nieuwe soort gaat. Later gaf Kaspersky de naam ExPetr aan de malware.

De oorspronkelijke Petya-ransomware werd in 2016 ontdekt en gebruikte bijvoorbeeld ook het chkdsk-proces om te veinzen dat er een controle van de harde schijf werd doorgevoerd. In werkelijkheid vond dan echter encryptie van het systeem plaats. Aangezien de huidige variant in andere opzichten hiervan afwijkt, lijkt het feitelijk onjuist om de benaming Petya te gebruiken. Toch zal deze aanduiding waarschijnlijk hardnekkig in gebruik blijven. In dit stuk gebruiken we de naam NotPetya.

Hoe wordt NotPetya verspreid en op wie richt de malware zich?

Microsoft heeft een eigen analyse gepubliceerd, waarin het ingaat op de werking van de ransomware. Over de initiële infectie zegt Microsoft, net als de Oekraïense politie en andere beveiligingsbedrijven, dat deze plaatsvond via het Oekraïense boekhoudbedrijf MeDoc, maar het bedrijf ontkent dit. Microsoft claimt bewijs te hebben dat de infectie plaatsvond door de updater van MeDoc-software, die het aanduidt als EzVit.exe. Dat zou verklaren waarom zoveel bedrijven in Oekraïne en Rusland zijn getroffen, zoals blijkt uit dinsdag gepubliceerde statistieken van Kaspersky. Daardoor zijn consumenten dan ook niet de voornaamste slachtoffers. Het blijft onduidelijk of alle getroffen bedrijven via deze manier zijn geïnfecteerd. De Nederlandse beveiligingsonderzoeker Rickey Gevers vond een aanwijzing in een vacature dat bijvoorbeeld Maersk gebruikmaakt van MeDoc. In de loop van woensdag maakte Kaspersky bekend dat de malware bovendien werd verspreid door middel van een kwaadaardige website, oftewel een watering hole.

Dinsdag gingen er berichten dat voor infectie wellicht ook CVE-2017-0199 werd gebruikt in combinatie met kwaadaardige Office-bestanden. Beveiligingsbedrijf FireEye bestrijdt dit en claimt er zeker van te zijn dat het gebruik van dit lek losstaat van de malware. Er waren al eerder berichten die in deze richting wezen.

Kaspersky-statistieken

 Statistieken volgens ESET

Hoe werkt NotPetya na infectie?

Uit de Microsoft-analyse en andere blogs van beveiligingsbedrijven blijkt dat NotPetya verschillende methodes gebruikt om zich na infectie van een enkel systeem verder te verspreiden via het lokale netwerk. Een van die methodes is een aangepaste versie van Eternalblue, dat ook de basis vormde voor de verspreiding van WannaCry. Eternalblue is de naam van een uitgelekte NSA-exploit, die gebruikmaakt van een lek in het smb-protocol. Daarvoor heeft Microsoft in maart al patches uitgebracht. Via het smb-lek is het mogelijk om andere pc's op een lokaal netwerk te infecteren. Daarnaast wordt gebruikgemaakt van een andere NSA-exploit, genaamd Eternalromance, die zich eveneens op smb richt.

Verder maakt NotPetya gebruik van het stelen van inloggegevens via een tool die veel overeenkomsten vertoont met Mimikatz, aldus Microsoft. Als de malware inloggegevens weet te vinden, probeert hij zich daarmee verder over het netwerk te verspreiden. Dat werkt beter als het slachtoffer gebruikmaakt van een beheerdersaccount. Volgens Kaspersky kan een enkele geïnfecteerde beheerder tot gevolg hebben dat een heel netwerk wordt besmet. Daarbij wordt de kwaadaardige software op andere systemen uitgevoerd met behulp van psexec en wmic. Zo konden ook systemen getroffen worden die wel van de uitgebrachte Microsoft-patches waren voorzien.

Heeft infectie eenmaal plaatsgevonden, dan wordt het systeem versleuteld met 128bit-aes. Microsoft vermeldt dat er eerst wordt gekeken of er een xor-hash van een bepaald proces aanwezig is. Is dit het geval, dat vindt geen encryptie plaats. Deze vermelding vertoont overeenkomsten met de methode die onderzoeker Amit Serper ontdekte om encryptie te voorkomen. Het is onduidelijk of het om precies dezelfde methode gaat. Als de hashwaarde niet aanwezig is, voert de malware een schrijfactie uit naar de master boot record en wordt het systeem ingesteld voor een herstart na minimaal tien minuten. Vindt de herstart plaats, dan wordt de nepmededeling van chkdsk getoond, waarbij encryptie plaatsvindt. Daarna verschijnt het bekende rode scherm. Uit de verschillende analyses komt naar voren dat de encryptiemethode van NotPetya geen gebreken bevat.

Is dit iets anders dan WannaCry?

Een vergelijking met WannaCry ligt voor de hand, omdat het daarbij ook ging om een grootschalige uitbraak van ransomware. Los van de overeenkomst door het gebruik van Eternalblue loopt die vergelijking echter mank. Zo verspreidde WannaCry zich door actief internet af te zoeken naar andere kwetsbare systemen. Doordat NotPetya voornamelijk via MeDoc lijkt te zijn verspreid, gaat het om een andere methode. Daarbij worden Eternalblue en andere technieken ook alleen gebruikt voor verdere verspreiding via het lokale netwerk en niet daarnaast nog via internet, aldus Rapid7. Daarnaast wordt beweerd dat NotPetya er niet op was gericht om geld te verdienen, wat normaal gesproken het hoofddoel is van ransomware.

Zo zou het oogmerk van NotPetya het toebrengen van schade zijn, wat wordt bevestigd door het feit dat getroffen systemen niet meer bruikbaar zijn. Bij WannaCry waren systemen los van de versleutelde bestanden nog wel bruikbaar. De beweegredenen achter WannaCry zijn nog steeds onduidelijk, zo is het betalingssysteem niet goed uitgedacht en was er een 'killswitch' aanwezig, die net zo goed een maatregel tegen analyse in een sandbox kan zijn. Als het oogmerk van WannaCry het toebrengen van zo veel mogelijk schade was, dan is de malware daarin slechts met mate geslaagd. Verder richtte WannaCry zich op 176 soorten bestanden; bij NotPetya zijn dat er minder en bovendien andere dan bij Petya. Onderzoeker Rik van Duijn liet eerder aan Tweakers weten dat er een aantal opvallende bestandstypes tussen zitten, bijvoorbeeld py, conf en sql. Daardoor lijkt het meer op een 'zakelijke' variant.

Wie zit erachter?

Het is momenteel nog niet duidelijk wie er achter NotPetya zit en waarschijnlijk zal daar ook niet snel duidelijkheid over komen. Over WannaCry is deze er ook nog niet, al blijven er berichten verschijnen die de malware verbinden aan de Lazarus-groep en daarmee aan Noord-Korea.

Welke Nederlandse organisaties zijn getroffen en wat is de schade?

Onder de getroffen Nederlandse bedrijven zijn APM Terminals, Raab Karcher, MSD en TNT. Bij APM zijn de terminals volgens de NOS nog steeds dicht en werkt moederbedrijf Maersk aan een manier om de schade ongedaan te maken. Een woordvoerder van de brancheorganisatie schat dat de schade nu al in de miljoenen loopt. TNT ondervindt nog steeds last van de infectie. Internationaal getroffen bedrijven zijn bijvoorbeeld oliemaatschappij Rosneft, advocatenkantoor DLA Piper en reclamebedrijf WPP. Een woordvoerder van het ministerie van Veiligheid en Justitie laat desgevraagd aan Tweakers weten dat er momenteel één melding bij het NCSC bekend is. Daarbij moet in acht worden genomen dat het NCSC zich alleen bezighoudt met het rijk en kritieke infrastructuur. "We zijn druk bezig met kijken wat het precies is en overleggen met andere organisaties over de grens", aldus de woordvoerder. Het NCSC wil binnenkort meer technische informatie publiceren.

     Maersk Kokura, Kees Torn, CC BY-SA 2.0

Reacties (193)

Wijzig sortering
File wordt gestart vanuit: C:\DOCUME~1\User\LOCALS~1\Temp\

Goed dat wij niet toestaan dat files vanuit temp uitgevoerd kunnen worden.

Your personal installation key:
wowsmith123456@posteo.net.
Send your Bitcoin wallet ID and personal installation key to e-mail
1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX
Ooops, your important files are encrypted.
If you see this text, then your files are no longer accessible, because
they have been encrypted. Perhaps you are busy looking for a way to recover
your files, but don't waste your time. Nobody can recover your files without
our decryption service.
We guarantee that you can recover all your files safely and easily.
All you need to do is submit the payment and purchase the decryption key.
Please follow the instructions:
Send $300 worth of Bitcoin to following address:
MIIBCgKCAQEAxP/VqKc0yLe9JhVqFMQGwUITO6WpXWnKSNQAYT0O65Cr8PjIQInTeHkXEjfO2n2JmURWV/uHB0ZrlQ/wcYJBwLhQ9EqJ3iDqmN19Oo7NtyEUmbYmopcq+YLIBZzQ2ZTK0A2DtX4GRKxEEFLCy7vP12EYOPXknVy/+mf0JFWixz29QiTf5oLu15wVLONCuEibGaNNpgq+CXsPwfITDbDDmdrRIiUEUw6o3pt5pNOskfOJbMan2TZu6zfhzuts7KafP5UA8/0Hmf5K3/F9Mf9SE68EZjK+cIiFlKeWndP0XfRCYXI9AJYCeaOu7CXF6U0AVNnNjvLeOn42LHFUK4o6JwIDAQAB

files die versleuteld worden:
.3ds.7z.accdb.ai.asp.aspx.avhd.back.bak.c.cfg.conf.cpp.cs.ctl.dbf.disk.djvu.doc.docx.dwg.eml.fdb.gz.h.hdd.kdbx.mail.mdb.msg.nrg.ora.ost.ova.ovf.pdf.php.pmf.ppt.pptx.pst.pvi.py.pyc.rar.rtf.sln.sql.tar.vbox.vbs.vcb.vdi.vfd.vmc.vmdk.vmsd.vmx.vsdx.vsv.work.xls.xlsx.xvd.zip.
Microsoft Enhanced RSA and AES Cryptographic Provider

Shutdown van de PC
C:\Windows\ /c %ws ComSpec \cmd.exe
wevtutil cl Setup & wevtutil cl System & wevtutil cl Security & wevtutil cl Application & fsutil usn deletejournal /D %c:
schtasks %ws/Create /SC once /TN "" /TR "%ws" /ST %02d:%02d
at %02d:%02d %ws
shutdown.exe /r /f /RU "SYSTEM" dllhost.dat u%s \\%s -accepteula -s -d C:\Windows\System32\rundll32.exe "C:\Windows\%s",#1wbem\wmic.exe
%s /node:"%ws" /user:"%ws" /password:"%ws" process call create "C:\Windows\System32\rundll32.exe \"C:\Windows\%s\" #1 \\%s\admin$\\%ws\admin$\%ws
Ik backup mijn bestanden altijd naar een .rar archief. Zou je deze backups dan ook kunnen beschermen door simpel weg de extensie te veranderen naar iets raars zoals 'backup-28-6-17.mijnbackup'? Worden ze dan niet ge-encrypt zelfs al wordt je systeem besmet?
Dat werkt totdat ze overstappen op alle files encrypten buiten het os, of nog mooier, bitlocker encryptie van de hele schijf aan te zetten zonder dat jij het password er van hebt... (en daarnaast naar openstaande shares gaat zoeken en alle files daar ook nog eens te grazen neemt).

Vervolgens een maand of wat wacht met het tonen van de ransom note zodat al je backups ook weg zijn.... of zelfs met een geco÷rdineerde delay waarbij de ransom note wereldwijd tegelijk te voorschijn komt. Gecombineerd met verschillende exploits en implementaties waarbij dagelijks nieuwe 'aanvallen' bekend worden.

Gelukkig zijn ze nog niet zo ver vanweg de complexiteit en detecteerbaarheid binnen die maand voor de aanvallers ook een risico is. Maar ik kan al aardig wat scenario's bedenken waarbij particulieren en ook bedrijven flink schade kunnen oplopen.

Ik verwacht eigenlijk dat dit op OS of FS nivo opgelost gaat worden. Moet toch kunnen om met machine learning of simpele checks een encryptie activiteit te detecteren die afwijkt van normale activiteit.
Als de ransomware op de achtergrond permanent draait en een bestand ontsleutelt en in je werkgeheugen zet wanneer je het probeert te openen, zul je als normale gebruiker nooit iets merken, terwijl de bestanden op je harde schijf al versleuteld staan.

Als je elke dag alleen bestanden versleutelt die gewijzigd zijn, en alleen van de belangrijke documentsbestandstypen, zou het backup-systeem misschien ook geen alarm slaan. Dan wacht je nog 30 dagen, zodat tenminste 30 dagen aan werk ontoegankelijk zijn en niet in back-ups staan.

Zou een combinatie van die twee dingen misschien detectie kunnen ontlopen en niet tegengegaan worden door back-ups?

In plaats van alleen gewijzigde bestanden versleutelen, zou je ook elke dag 1% van de oude bestanden van de belangrijke bestandstypen kunnen versleutelen. Na 100 dagen is dan alles versleuteld. Dan wacht je nog een tijdje totdat de oude back-ups weggegooid zijn, en dan heb je ook oude bestanden te pakken.
ls de ransomware op de achtergrond permanent draait en een bestand ontsleutelt en in je werkgeheugen zet wanneer je het probeert te openen, zul je als normale gebruiker nooit iets merken, terwijl de bestanden op je harde schijf al versleuteld staan.
Dat zou enkel kunnen indien de decryptie-sleutel op de besmette PC aanwezig is en uitgelezen kan worden zonder betaling... Dat zet de deur open om die sleutel te bemachtigen en je bestanden zelf te decrypteren.
[...]
Dat zou enkel kunnen indien de decryptie-sleutel op de besmette PC aanwezig is en uitgelezen kan worden zonder betaling... Dat zet de deur open om die sleutel te bemachtigen en je bestanden zelf te decrypteren.
Maar kan wel prima werken om voor een tijdje niet gedetecteerd te worden, in ieder geval op lokale schijven. Netwerk shares zullen lastiger zijn omdat de sleutel wellicht niet bekend is bij alle systemen die er gebruik van maken of dat niet alle systemen die er gebruik van maken ge´nfecteerd zijn.
Wat xalvo zegt, de sleutel is inderdaad aanwezig zolang het virus bezig is met versleutelen van bestanden en onontdekt wil blijven. Tegen de tijd dat het zijn boodschap aan je vertoont, is het al klaar en heeft het de sleutel al gewist.
En daarmee bestaat de kans dat die sleutel ook in backups werd weggeschreven...
Je zorgt ervoor dat de sleutel alleen in het werkgeheugen aanwezig is. Bij opnieuw opstarten wordt de sleutel telkens opnieuw gedownload. Of je zet hem ergens waar hij niet in back-ups terechtkomt, zoals in de MBR, in het BIOS, in een page file? Er zijn dunkt mij genoeg mogelijkheden.
En waar wordt die sleutel vandaan gedownload dan? Die locatie kan ook geencrypt worden hoor ;)
Van een domein van de crimineel? En nadat het versleutelen klaar is wist hij de sleutel op zijn domain en op de computer.
Jullie brengen ze lekker allemaal op goeie ideeen zeg. Lekker handig...

Net als op het nieuws vertellen van een 'gevaarlijk' hype en het dan ook nog eens laten zien. er zijn altijd 'zieke' mensen die dan juist denken: "He dat is leuk ga ik ook eens proberen!".
Ze kunnen ook de MFT encrypten. Dat is snel en maakt een computer praktisch onbruikbaar.
Ze kunnen ook de MFT encrypten. Dat is snel en maakt een computer praktisch onbruikbaar.
Daar zitten een paar groten nadelen aan als kidnapper:
  • Als een systeem totaal niet bruikbaar is, wordt het ook lastiger om mensen tot betaling over te laten gaan
  • Maar belangrijker nog, je kunt de meest belangrijke files eenvoudig herstellen, ook zonder MFT. Tools all over de place die je daarmee helpen
Zo'n wachttijd is nog zo simpel niet, omdat je virus al snel honeypots infecteert en misschien onschadelijk gemaakt wordt voor activering. Toch, een sluimerende infectie zal waarschijnlijk heel goed werken.

[Reactie gewijzigd door GamingZeUs op 30 juni 2017 03:53]

Dat deed ik al met alle existenties toe ik besmet was in 2010 met het STRUXNET virus:
Uit mijn dagboek 28-01-2010:
Ik heb met behulp van https://www.hijackthis.nl...viewtopic.php?f=42&t=5602 eset online scan en malwarebytes gedraaid en beiden zeggen dat mijn computer schoon is. Daarmee is het voor het team afgedaan met de problemen op mijn computer. het is een oude laptop van 2 jaar en de installatie cd is kwijt. Ik kan dus windows vista niet op nieuw installeren of naar de fabrieksoinstellingen gaan want het boekje ben ik ook kwijt.
Wat kan ik nog doen om te zien waar mijn huidige problemen vandaan komen?;

Huidige problemen 2010:
- mijn verificatiemails van google accounst zoals youtube en hoofdaccount komen niet aan.
- ik heb vreemde bestandstypen op mijn computer en de grootte van de bestanden komen niet overeen met de orginele/download websitecheck groote grootte.
- De bestanden die ik download zijn binnen enkele seconden binnen terwijl het een groote iso is van 600mb.
Dus dat is vreemd.
- In mijn account met beperkte rechten kan ik niet als administrator iets uitvoeren in snelmenu.
- Vreemde programma's willen verschijnen zomaar in mijn startup.

Dit allemaal opgeteld ben en vermoed ik dat de online scanners als eset en malwarebytes zijn omgeleid naar een andere startpagina die beheerd wordt door hackers
Toen in 2010 bleef het STUXNET virus steeds terugkomen na mijn backups te herstellen. Uit eindelijk ben ik erachtergekomen hoe het werkte en heb ik alle extenties veranderd van uitvoerbare bestanden naar bv onbekende extenties zoals worddoc.doc.abc of exel.xls.abc2 etc. Ik hield en verslag van tabelconversie bij. En uiteindelijk heb ik de betreffende virusfile buitenwerking kunnen stellen uitschakelen. Zodoende mijn originele bestanden te herstellen.

Wat ik nu doe om dat weer te voorkomen (STUXnet/ransomware is volgende:
Met een linux mint opstart CD op windowsbakken(ook bij internetbankieren):
- Ik maak elke dag een zip van een werkmappen
- deze zip codeer ik met extensie *.zip1, zip2 etc.
- Die plaats ik op een externe HD's

Zo doe ik al sinds 2010 op vele DVD's back ups van al mijn data. enb extrabackup op externe DH's (4x 2Tbyte) Dus 4 maal backups...1 maal per maand een backup van alle zips, 1 maal per jaar van alle DVD's en die twee extra backuppen op twee externe HD die ik 1 maal per jaar benader via linux opstart CD.

Ik ben sinds STUXNET niet meer besmet! _/-\o_
Pas in 2016 kwam ik erachter dat het om het SUXNET ging n.a.v. symptomen in 2010!
Ik weet nu hoe wormen zich ongeveer gedragen:
1. Ze infecteren een uitvoerbaar bestand en vermommen zich als onzichtbaar bestand.
2. wijzigen de rechten en ook MBR
3. Doen hun ding op elk uitvoerbaar bestand:
Dus als je twee bestanden hebt word.doc & een .worddoc het onzichtbare (.*) een deel van virus.
Het verschil tussen de twee is dat een bestand een 2,4mb file is en het onzichtbare een 0.01 kb bestand. Zo merk je het niet dat je bent ge´nfecteerd.
4. Ook USB's worden besmet op dergelijke wijze en zo hele netwerk.

Als je hulp nodig hebt kan je me een PM sturen? _/-\o_

.

[Reactie gewijzigd door paranoia68 op 29 juni 2017 00:13]

Via een opstart-cd back-ups maken klinkt wel grondig en verstandig. Het enige is, wat als je BIOS geflasht is door het virus?
Mijn bios is beveiligd met wachtwoord, enige manier dat virus daar kan komen is via een besmette update?! Naar mijn noob menning? En mijn PC is nieuw 91 jaar) dus bios update komende jaren nog lang niet...
Okee, als je BIOS echt niet geflasht kan worden zonder dat wachtwoord, dan klikt dat wel heel veilig. Maar ik ben geen expert. En hoe zat het met dat de firmware van de CPU beveiligingsgaten kan vertonen? Daar was laatste iets over op Tweakers, geloof ik. Wat nou als die firmware dan veranderd wordt door het virus en gekke dingen gaat doen terwijl jij je back-ups aan het maken bent? Of heb ik dat verkeerd begrepen?
Gebruik gewoon Linux als je hoofd-besturingssysteem, dan wordt je binnenkort niet ge´nfecteerd.

Ik adviseer installatie van Linux Mint met Cinnamon desktop voor jullie familieleden en kennissen. Dit is ÚÚn van de weinige distro's die net zo mooi en gemakkelijk te gebruiken is als Windows, en misschien nog wel makkelijker (omdat je vaak geen drivers hoeft te installeren voor hardware).

[Reactie gewijzigd door ArtGod op 30 juni 2017 20:36]

standaard antwoord dit, maar met windows ben ik ook nog nooit geinfecteerd.
Omdat je niet een doorsnee gebruiker bent. De meeste computer gebruikers snappen niets van computers en besturingssystemen (en willen dat ook niet). Als men niet automatisch update dan is de kans groot dat ze op een linkje klikken en ge´nfecteerd worden.
oldskool, deze onthoudt ik _/-\o_
Ja, ik had dit ook op twitter gelezen. Zo simpel kan het zijn inderdaad!
Zo simpel kan het deze keer zijn. Het volgende virus encrypt gewoon alle bestanden die niet essentieel zijn voor het besturingssysteem. Dan kom je dus niet weg met simpelweg de extensie veranderen.

Sowieso zou je een backup op een extern opslagmedium moeten plaatsen waar je enkel met aparte credentials bij kan en waar versioning mogelijk is. Ik doe dat zelf door alles te synchroniseren met de Synology van mijn ouders (X versies bewaren) en vanaf daar via SSH weer een backup te maken naar mijn FreeNAS server met disk snapshots.

Enkel een USB hardeschijf is niet genoeg bijvoorbeeld. Zodra die aangekoppeld is zal het virus die ook direct gaan encrypten.
Ik backup tegenwoordig met deltacopy naar mijn NAS, met delta copy maak je een aparte user aan op je nas maar dan geen netwerkschare maken vanuit je windows pc. In deltacopy gebruik je dan de aangemaakte user en pass. Als je nas goed in elkaar zit kan er jiemand bij je backup files, behalve als je ze in je nas naar je eigen gebruikers map kopieerd.

Op de nas draait dan RSync, alleen moet ik nog een oplossing vinden om verschillende dagen te bewaren, bv 10 x(versies) en daarna de eerste weer overschijven

[Reactie gewijzigd door habbekrats op 28 juni 2017 18:06]

Dat kan je toch ook alleen maar doen als je nas over 10x meer ruimte beschikt dan je gebruikt?
Mijn nas staat 80% vol bv, niet eens genoeg ruimte om van alles shadow copies bij te houden mocht alles geencrypt worden, laat staan alles 10x bij te houden.
dat doe ik dus alleen met mijn data waar ik dagelijks mee werk. Foto's, filims en muziek niet.
Echter als ik hier een windows share op heb zijn je foto's net zo corrupt als je pc data na een ransom whatever aanval.
dan moet je ˇf meer opslag in je nas gebruiken, ˇf handmatig de backups elke keer overzetten.
Ik draai zelf de belangrijkste data op de NAS, offsite kopie naar Amazon Drive, en zorg er voor dat mijn shares niet als driveletter gemapped zijn onder de clients, en alleen toegankelijk met username/pass welke niet opgeslagen worden op de clients.

Dat zou in de meeste gevallen afdoende moeten zijn, hooguit de data op de lokale drives zou dan encrypted kunnen raken, en die is niet bijster spannend.
Dat kan, totdat de malware herkenning op basis van Magic Numbers implementeert. Dan ben je alsnog de sjaak.
https://en.wikipedia.org/wiki/List_of_file_signatures
Dat wil ik ook graag weten?!
Heel scherp gezien! kuddo's _/-\o_
Goed dat wij niet toestaan dat files vanuit temp uitgevoerd kunnen worden.
Hoe vang je dan af dat dlls aangetrapt kunnen worden door ze met rundll32 uit te voeren?
En als je shutdown.exe was disabled (policy), was 't dan ook tegengehouden?
het proces heeft genoeg rechten (Debug ofzo) verzameld om de mbr te herschrijven. Dus ik vraag het me af.

En dan nog ben je dus bij een powercycle voor dit proces de pineut.

Er is ook een kill switch voor specifiek deze besmetting. "simply create a file called perfc in the C:\Windows folder and make it read only".
Waarom heeft de tmp directory executable rechten? Dat Microsoft daar nog mee weg kan is crimineel. chmod a-x /tmp is toch een beetje standaard in besturingssystemen.
Als je een website bezoekt, is dat tegenwoordig niet ook al ongeveer gelijk aan het runnen van executable? Met alle dynamische content op een website tegenwoordig.
Betalen is zeker een slechte optie, maar wat ik nog slechter vind is dat het e-mail adres is afgesloten.

Wat nou als je systeembeheerder net een backup aan draaien was waardoor het back-upstation ook encrypted is? Tuurlijk, in een perfect ICT situatie gebeurt dit niet, maar er zijn tal van bedrijven waar dit wel gebeurd.

Resultaat, al je data is versleuteld inclusief de backups. Dan is de enigste optie die je hebt betalen...
Ook al wil je het niet.. je hebt geen andere keuze..

Vervolgens maak je het geld over.. en krijg je geen decryptie sleutel, omdat de email provider het account heeft gesloten... fraai.. daar gaat je bedrijf, alle data kwijt, bedrijf falliet.. en dat is voornamelijk de schuld door de email provider, Posteo.. |:(

Zonder Posteo had je een decryptie sleutel kunnen krijgen, maar door haar toedoen ben je alles en alles kwijt..

##comment:
@Sithistar
Ik zeg niet dat de schuld alleen maar bij de email provider zit. Ik een normale/goede ICT situatie dit probleem niet zal optreden.

Tuurlijk ben ik geen voorstander van betalen, maar zoals je op de bitcoin stream kunt zien, zijn er zeker mensen die wel betalen. Die hadden in een normale situatie de decryptie sleutel ontvangen, maar door het sluiten van het email account krijgen ze nu niks.

Ik probeer zeker niet recht te praten dat cryptolockers te rechtvaardigen zijn, het is natuurlijk gewoon chantage, maar wat heb je liever? Chantage waarbij de chanteerder zich aan de afspraak houd, of dat je gechanteerd wordt en niks krijgt? ;(

Dat de overheid een onderzoek moet starten om de daders te pakken, absoluut. Maar laat de mensen die opgelicht zijn en wel betaald hebben tenminste de bestanden terug krijgen. Ook al sponsor je indirect de criminelen daarmee.

[Reactie gewijzigd door mmjjb op 28 juni 2017 17:39]

Posteo heeft ongetwijfeld een beleid waarin staat dat bepaalde zaken niet mogen. O.a. faciliteren van criminaliteit. Wat denk je dat er zou gebeuren als Posteo t toe staat en wie er dan n rechtszaak aan de broek krijgt? Juist, Posteo. Nu halen de criminelen nauwelijks winst, en dus is het minder zinvol voor hun om met hun oraktijken door te gaan.
Dan pak je de backup van de vorige keer. Sorry, maar als je die niet hebt was het al wachten op een probleem bij de eerste de beste blikseminslag. En nooit, nooit alle backups in dezelfde ruimte houden, of allemaal tegelijkertijd online.

Vind het nogal typisch om de schuld nu maar bij een e-mailprovider te leggen, wel de makkelijkste manier om verantwoordelijkheid af te schuiven. Wat had de schrijver van de ransomware dan gedacht, dat de e-mailprovider zich partij laat worden in deze situatie? Wat zou je zelf doen? Willens en wetens crimelen helpen?

Overigens, kun je voorbeelden noemen van de tal van bedrijven waar het wel zo gebeurt?
De aanvallers zullen vast netjes een alternatief mailadres in de wereld helpen.

En dat meen ik serieus. Uit onderzoek van de FBI is gebleken dat die gasten uiterst betrouwbaar en behulpzaam zijn bij het decrypten na betaling, omdat ze dan een "goede reputatie" krijgen en mensen sneller lappen. :+
nieuws: FBI-afdeling adviseert bedrijven regelmatig om ransomware-losgeld te ...

Het is nogal ironisch, betrouwbare criminelen.
Er zijn analyses uitgevoerd door experts die menen dat het hele crypto gedeelte enkel een afleiding is, en dat het hoofd doel is om vooral schade te veroorzaken. Het is dus nog maar de vraag of het alternatieve email adres er komt.
Dat is dan de schuld van de systeembeheerder/IT-verantwoordelijke, want slecht beheer.
Welk zichzelf serieus nemend bedrijf heeft er nou maar ÚÚn backup?

Dat heb ik zelfs thuis beter geregeld.

En ja, ik weet het. Het zijn er ongetwijfeld genoeg. De vraag is of die zichzelf wel zo serieus moeten nemen.
Dat is dan de schuld van de systeembeheerder/IT-verantwoordelijke, want slecht beheer.
Welk zichzelf serieus nemend bedrijf heeft er nou maar ÚÚn backup?
Backups zijn meestal wel goed geregeld. Maar heb je wel eens geprobeerd 500 systemen te restoren terwijl de hele firma inclusief het management naar je staat te schreeuwen?

De tweakers die het hier beter denken te weten dan hele IT afdelingen werken me behoorlijk op de zenuwen. Als je je eigen laptop met Malwarebytes en Crashplan beveiligd hebben dan net iets anders dan een ingewikkelde IT omgeving in een groot bedrijf dat het zich niet verantwoorden kan om een paar dagen offline te zijn.
Ten eerste: als je 500 systemen hebt, is het dan niet veel verstandiger om lokale opslag te ontmoedigen? Wij hoeven behalve voor de developers alleen maar images terug te schieten, komen we nauwelijks voor van onze stoel.
Ten tweede: ook lokale opslag is te synchroniseren, bij voorkeur incrementeel.

Last but zeker not least, newsflash: Als het hele bedrijf inclusief management tegen jou staat te schreeuwen zit je bij het verkeerde bedrijf.
Behalve prutsen op tweakers stuur ik overdag zo'n IT-afdeling aan. Als er paniek in de tent is zit m'n team in een aparte ruimte de ellende op te lossen.
Het is mijn rol om te zorgen dat ze hun werk zo snel en efficient mogelijk kunnen doen, en daar hoort (jammer genoeg voor mij) ook het geschreeuw van de rest van de toko aanhoren bij.

[Reactie gewijzigd door kakanox op 28 juni 2017 20:12]

Tjah, dat worden veel overuren ;)

En wat denk je dat die IT afdeling gaat doen met alle infected systemen? Zelfs als je de key hebt, durf je die zonder herinstallatie nog op je netwerk hangen?

En ja, je zou de eerste firma niet zijn die effectief een week zonder IT zit door een malware infectie, gewoon omdat je het goed moet opkuisen ipv snel.
Beetje de 'wij onderhandelen niet met gijzelnemers'-mentaliteit. In principe een goede instelling, maar erg jammer als jij de gegijzelde bent. Er zal wel meer achter zitten, ik kan me niet voorstellen dat ze dit gedaan hebben zonder eerst met de Duitse autoriteiten overlegd te hebben.
Gelukkig maar dat Posteo dat gedaan heeft. Het sponsoren van dit soort tuig lijkt me toch het laatste wat je moet doen.
daar gaat je bedrijf, alle data kwijt, bedrijf falliet.. en dat is voornamelijk de schuld door de email provider, Posteo.. |:(
Dus de continu´teit niet goed gewaarborgt. Er is geen oplossing voor slecht management. Zelfs een ZZP'er kan zich met beperkt budget waarborgen om failliet te gaan op zo een grapje.
Je kan Posteo wel de schuld geven dat je data kwijt bent maar je heb zelf de zaakjes dan ook niet op orde.
Dat is een beetje een schuldige zoeken, dit e-mail adres werd duidelijk voor illegale zaken gebruikt. De kans dat je antwoordt krijgt was sowieso nihil... het enige zekere is dat je die 300$ niet terugziet :)
In het verleden is het vaker bewezen dat betalen juist werkte en er zelfs een soort support afdeling was.
Ja maar dan lieten ze ook je computer nog volledig gebruiken en niet in een pre-os systeem vasthangen. Dit was duidelijk geen geldgewin actie. Als dat zo wel geweest was waren er heus wel meerdere opties geweest om te betalen. (als in alternatieven op het e-mail adres)

// edit
nieuws: 'NotPetya is bedoeld om gegevens te wissen met schijn van ransomware'

[Reactie gewijzigd door svennd op 29 juni 2017 10:06]

Aanvullende analyzes hebben aangegeven dat de key waarmee versleuteld is geen samenhang heeft met de het nummer dat op het scherm staat, en dat er maar 1 bitcion adres is.

Dat is eerder een indicatie dat decrypten nooit zou hebben gewerkt. zie ook onder het kopje "Is dit iets anders dan WannaCry?". Er zijn ook andere artikelen die stelliger aangeven dat dit industriele vandalisme is onder de vlag van cryptoware.

https://arstechnica.com/s...rofit-seeking-ransomware/
"Wat gebeurde er". Nou, bedrijven maken hun kosten-baten analyse op basis van het idee dat het allemaal wel mee zal vallen als je 99% nagedacht hebt over wat je moet kunnen afvragen in plaats van 100%, en dat leidt tot scenario's die dan niet snel opgelost kunnen worden. Dat dus. Want IT is infrastructuur en infrastructuur is 'niet sexy', dus gewoon alleen op conformiteit en compliance inzetten, want dan is alles lekker afgedekt en 'zal het wel goed zijn'. Nieuwsflash: down gaan kost meer dan het goed doen. Compliance helpt alleen met contracten en verzekeringen, niet met de realiteit.

Stel dat je dit had voorbereid, bijvoorbeeld door op belangrijke locaties reservesystemen op de plank te leggen en een quorum-based shared dataset te hebben, dan kan je in elk geval doorwerken zonder dat centrale faciliteiten beschikbaar moeten zijn. Het zal misschien niet leuk zijn, maar het is beter dan down gaan, en voor ▒30% van de kosten (TCO, dus ook onderhoud en instructie) die je sowieso al had zit je ruim onder de dagwaarde van downtime. Natuurlijk gaat geen enkele VAR, consultant of vendor dat verkopen, want daar is geen zak aan te verdienen, en het zit in geen enkel standaardproduct zoals de software van Oracle, Microsoft of SAP. Daarnaast wordt er geen woord over gerept in de standaarden waar je aan moet voldoen, en is het ook gewoon geen onderdeel van de standaardkennis van de staf van een bedrijf. Het enige waar je zoiets een beetje kan vinden is in ATC's en ziekenhuizen, en de meeste militaire onderdelen... het is net alsof het alleen gedaan wordt als je zeker weet dat er anders mensen dood gaan.

[Reactie gewijzigd door johnkeates op 28 juni 2017 16:36]

Er is wel een verschil met een single calamiteit zoals een power-outage en een virusuitbraak.
Met laatstgenoemde zijn je machines niet alleen down, maar je kunt ze ook pas weer opstarten als ze gecontroleerd schoon zijn.
Plus, als er essentiŰle infra geraakt is, zul je dat eerst moeten repareren voordat je aan de rest kunt beginnen. En dan mag je daarna nog eens tig werkstations opnieuw installeren vooraleer je aan het werk kunt. De enterprise systemen zijn dan allang weer up, maar voordat de business processen weer lopen ben je al een stuk verder in de tijd.
En dat kan je dus afvangen. Stel dat je 30 dagen op 4G met thin clients en laptops moet werken die je in 1 uur per locatie per 30 stuks kan uitrollen, dan kost dat even wat geld, misschien wel een paar ton, maar da's een heel stuk minder dan de miljoenen die ze nu kwijt zijn.

Het punt is niet dat het moeilijk is, want alles is moeilijk. Het punt is dat het kunstmatig tegengehouden wordt, soms door vendor lock-in, soms door belangen buiten de vendors om.

Vooraf een paar ton aan hardware (die je ook weer moet afschrijven) en software+kennis (die je up to date moet houden), die je hopelijk nooit nodig hebt is iets wat de meeste bedrijven niet doen, maar wel iets wat goedkoper is dan down gaan. Nu wordt er gewoon gegokt.

Voor het geld dat ze nu kwijt zijn kan je wel tien keer de complete IT infra opzetten!

[Reactie gewijzigd door johnkeates op 29 juni 2017 00:58]

Hebben nou echt al die bedrijven MeDoc boekhoudsoftware in gebruik aangezien er geen alternatieve verspreidingmethode wordt beschreven.
Als je in de Oekra´ne zaken doet en daar belasting moet betalen is MeDoc een van de twee, door de overheid goedgekeurde, applicaties voor accounting en belastingaangifte. Ga er maar vanuit dat bijvoorbeeld Maersk in dat land een kantoor (of meerdere) heeft en belasting moet betalen (denk aan im- en export heffingen). Als dat kantoor zonder enige beveiliging gekoppeld is met de rest van het wereldwijde Maersk net, dan gaat het heel hard, zeker omdat het zich laat aanzien dat de patch tegen EternalBlue nog niet toegepast was. Ik vermoed dat er meer bedrijven op die manier geraakt zijn.

Het probleem met hele grote bedrijven, die vaak ook weer van dochterondernemingen aan elkaar hangen, is dat ze niet altijd een goed idee hebben van het applicatielandschap. Zeker als dochterondernemingen door overnames erbij gekomen zijn.

Daarnaast worden updates daar niet altijd meteen toegepast vanwege testtrajecten met eigen applicaties (OTAP straat). Die kunnen langdurig zijn en dan bouw je vanzelf een achterstand op ten opzichte van de laatste updates. Het wordt een domino effect. Testen duurt bijvoorbeeld 4 weken en dan komen de volgende updates alweer uit. Dan weer 4 weken, etc. Al gauw loop je 16 weken achter en krijg je dus de problemen van gisteren.

[Reactie gewijzigd door justme256 op 28 juni 2017 16:34]

Nou hier in NL ook niet... denk dat m'n werk laptop (W7 Enterprise) de afgelopen 2 jaar welgeteld 2 security patches heeft gehad (heb nog in de update log gekeken), 1,5 jaar geleden 1 en een paar weken geleden die voor WannaCry, terwijl we echt geen aparte software gebruiken (CAD en Java based applicaties) en dat te bedenken dat je op een netwerk met 5000 gebruikers zit.
Kregen zelfs een mail dat de update van de servers 1 week werd uitgesteld omdat het hele netwerk plat moest...

je kan sinds een paar maanden ook gewoon om een W10 image vragen, dus testen... doen we niet aan lijkt het 8)7

[Reactie gewijzigd door ArcticWolf op 29 juni 2017 00:36]

5000 gebruikers is voor Nederlandse begrippen behoorlijk groot, maar dan nog. Je mag toch verwachten dat updates vaker dan dat toegepast worden. Hier bij ons komen elke maand in ieder geval op de werkplekken (toch meestal het eerste punt dat getroffen wordt) de nieuwste updates er gewoon op. We hebben zelf intern de WSUS servers van Microsoft daarvoor in gebruik, zodat we in ieder geval kunnen sturen wat waar en wanneer naartoe gaat.

Windows 10 is bij ons inmiddels ook in gebruik (overigens wel na eerst testen door ondergetekende) en ook daar komen de maandelijkse updates op. De versie update (Creators update) doen we wel on demand, aangezien dat wat lastiger en tijdrovend is.
dit soort kritieke updates worden vaak niet uitgesteld door het testen, maar omdat servers dan opnieuw moeten opstarten, wat weer downtime betekend.
Volgens Kaspersky kan een enkele ge´nfecteerde beheerder tot gevolg hebben dat een heel netwerk wordt besmet. Daarbij wordt de kwaadaardige software op andere systemen uitgevoerd met behulp van psexec en wmic. Zo konden ook systemen getroffen worden die wel van de uitgebrachte Microsoft-patches waren voorzien.
Zijn er echt nog bedrijven waar beheerders geen dubbele accounts hebben?
Een gewoon account voor het reguliere werk (documentatie schrijven, e-mail, tickets inzien etc) op de eigen werkplek en een apart beheer account voor de werkzaamheden die echt administrator rechten nodig hebben....
Ik durf zelfs te wedden dat nog altijd meer bedrijven zijn waar iedereen local admin is dan bedrijven waar werknemers dat niet zijn.

Zoals we al een aantal jaar proberen te roepen:
Voordat je firewalls van 10-20K naar binnen gooit, kijk eerst een naar je basis.
Zorg voor fatsoenlijke wachtwoorden ipv Welkom123, Lente2017, Zomer2017 etc...
Zorg voor awareness bij je medewerkers (zie vorige punt)
Scheid je netwerken, een medewerker hoeft helemaal geen directe toegang te hebben tot de SQL server.
Gooi toch a.u.b. niet alles maar open aan het internet. Daar krijg je allemaal maar troep en geautomatiseerde aanvallen van binnen. Dit is waar een VPN perfect voor werkt.
En maak uiteraard niet iedereen local admin, beter nog controleer je rechten op alle systemen binnen je domein. Ja ook op de fileshare en op cloudportal X, Y en Z.
Sterker nog, ik denk dat het steeds verstandiger wordt om een beheerder ook default een user account te geven. Heb je perse admin rechten nodig op een server dan kan een geautomatiseerd systeem tijdelijk rechten geven of (nog beter) een tijdelijk account aanmaken en deze destroyen als je klaar bent met het werk.
Een onderschept token dmv mimikatz is dan nauwelijks iets waard en je kan er in ieder geval niet mee naar andere systemen.
Dat is inderdaad een betere. Zo ie zo hernoem ik de admin account altijd naar een gewone naam en heb je een 'admin' accoutn dat niks kan. Dat is ook al een lichte eerste stap. Daarnaast heb je dat account inderdaad enkel nodig als je echt iets doet op de servers, ben je met andere dingen bezig gebruik je daar een gewoon account voor.
Helaas is dat slechts een schijnveiligheid. Al hoeft de Security Identifier (SID) van de originele Administrator niet altijd hetzelfde te zijn, is die van de lokale groep 'Administrators' dat wel.
Je kunt hernoemen wat je wil, de SID van deze groep is nog steeds S-1-5-32-544.

Op basis van die eigenschap is zijn dus ook de leden te achterhalen, en is het voor (een beetje slimme) malware dus een koud kunstje om te bepalen welke accounts aangevallen moeten worden.
Daarom nieuw account automatisch laten generen door een PAM oplossing en laten killen als je klaar bent met je taak.
Door het account alleen lid te maken van de local admin groep van die server ben je veilig tegen verspreiding omdat op andere servers de rechten niet geldig zijn en het account na x uur sowieso niet meer bestaat
Klopt, maar prutsers houd je er al wel mee buiten. Dat is een begin. Als ze echt willen komen ze altijd binnen. Maar het zo moeilijk mogelijk maken kan wel. De oplossing die @SunnieNL geeft is mooi. Maar soms moet je ook over domein heen iets doen en dan gaat dat niet met een local account. Maar daar zijn ook vast mogelijkheden voor. Al kan een heel slimme dan ook dat weer misbruiken en zo toegang krijgen tot je systeem.

Hoe dan ook het is een zeer gevaar waar we mee opgescheept zitten. En sommige in een goede omgeving terwijl andere houtje touwtje oplossingen moeten bedenken omdat er geen geld is volgens management.
Zo ie zo hernoem ik de admin account altijd naar een gewone naam en heb je een 'admin' accoutn dat niks kan.
Het local admin account hernoemen heeft geen enkele zin, geautomatiseerde tools/scripts kijken niet naar account namen maar gebruiken het SID nummer van het account, deze is bij alle versies van Windows en Windows Server hetzelfde voor het local admin account:

https://support.microsoft...windows-operating-systems
Weet ik, aangeleerd gekregen van iemand die ook aan server mee werkt. Idee is ook meer dat mochten prutsers zelf kijken zonder script, dan vallen ze er eerder voor. Of als ze fysiek toegang hebben is het eerste toch 'Admin' dat geprobeerd wordt. Die weer je zo toch wel af.
En nooit met admin/root account op internet gaan!!! Ik gebruik altijd opstartCD lunux mint!
Ja zo zijn er wel veel meer dingen. Ik zou persoonlijk zeggen, stap af van Windows maarja wie ben ik dan. Het is niet echt praktisch om 2 accounts te hebben, en dan maakt het nog niet uit als je de blog van Microsoft hebt gelezen. Het virus/ransomware what ever nestelt zicht en wacht op input voor credentials, je zult toch keer moeten inloggen op je beheer machine (want als je het goed doet is die gewoon gelocked als je wegloopt).

Hier bij een grote instantie van het rijk is alles opgeknipt in allerlei domeinen en kan niets, iedere medewerker wordt wantrouwt vanuit IT perspectief, je zou denken goed voor je security maar je maakt je organisatie helemaal lam. Alles dicht timmeren heeft ook geen zin, zwakste schakel blijft gewoon de mens, een USB stick erin en poef je veroorzaakt ook veel ellende. Of wat nou als een beheerder nou gewoon de boel bewust wilt slopen, die heb je ook, je hebt niet overal een antwoord op. Alleen een heel goed plan wat je doet in het geval van een ramp (disaster recovery).

Ik roep al heel lang zorg juist voor diversiteit in je IT infrastructuur en wordt keer wakker en zorg dat je geen homogene infrastructuur hebt, daarmee ben je wendbaarder en dan is een probleem beperkt tot een deel ipv alles. Ja roepen allerlei mensen weer ja maar dat is lastig te beheren. Ik zou zeggen zorg dat je de kennis in huis hebt en samen bereik je een heel eind.
Ja zo zijn er wel veel meer dingen. Ik zou persoonlijk zeggen, stap af van Windows maarja wie ben ik dan.
Tuurlijk. Want dan zijn al je problemen ineens opgelost.

Als MS nu niet al maanden een patch beschikbaar had die ook deze besmetting voorkomen had dan zou je nog een valide basis hebben voor deze opmerking; met bijvoorbeeld een Linux installatie zou je met voldoende capaciteit (en dus geld) inderdaad je eigen update kunnen schrijven, of dieper onderzoeken wat er nu werkelijk gebeurt.

Waar we technisch belang bij zouden kunnen hebben is als we allemaal iets anders zouden gebruiken, en dan ook nog gemengd binnen je eigen omgeving. Op die manier is schade te beperken.

Edit: waarbij ik nog even vergeet te melden dat dat functioneel gezien natuurlijk uitermate onpraktisch is; zowel qua implementatie als onderhoud.

[Reactie gewijzigd door Davey400 op 28 juni 2017 16:06]

Beveiliging valt of staat met goed beheer.
Als je het zo lek als een mandje laat draaien gaat met OSX, ChromeOS, Linux en BSD net zo hard mis als met Windows.
"Ik zou persoonlijk zeggen, stap af van Windows maarja wie ben ik dan"

Iemand die gelijk heeft al zijn er weinig die dat willen horen :P
Tja ik ben net na 15 jaar OSX weer overgestapt op Windows.

Ik moet zeggen dat Windows er in de loop van die jaren echt wel stukken op vooruit is gegaan, waar OSX (tegenwoordig MacOS) qua innovatie goeddeels stil is komen te staan. Waar je met OSX "vroeger" je echt geen zorgen over malware hoefde te maken is dat tegenwoordig al lang niet meer zo. Linux is een mooi alternatief en heb wel met een stuk of drie distro's proefgedraaid maar de software die ik zoek is niet goed te verkrijgen op Linux, anders tikte ik nu niet in Windows maar in Linux.

Dus maar flink in de security software, geen rare dingen aanklikken, niet alles downloaden en alles in kopie op de NAS. En long-term backup op Blu-ray disks.
Als je geen updates draait maakt het geen reet uit welk OS je gebruikt. Net zoals met meer fouten
Hier bij een grote instantie van het rijk is alles opgeknipt in allerlei domeinen en kan niets, iedere medewerker wordt wantrouwt vanuit IT perspectief, je zou denken goed voor je security maar je maakt je organisatie helemaal lam. Alles dicht timmeren heeft ook geen zin, zwakste schakel blijft gewoon de mens, een USB stick erin en poef je veroorzaakt ook veel ellende.
Er kan niets, maar iedereen kan wel gewoon een USB stick aansluiten :?
Ja, als er niets kan/mag is dat toch ook geblokt op de pc zelf via policies?
Er zijn blijkbaar ook bedrijven waar EternalBlue nog niet is gedicht, dus het lijkt mij geen vreemde conclusie om te denken dat er bedrijven zijn waar administrators niet meerdere accounts hebben.
Net zoals er nog genoeg bedrijven zijn waar een (embedded) Windows XP blootgesteld is aan het Internet. Of een club met een lekke firewall. Of... Verzin het maar, bestaat vast wel.

Informatiebeveiliging is helaas nog steeds een "achterafje" voor veel bedrijven, waar niet altijd het juiste budget of kennis aan wordt gespendeerd.
Mimikatz was nog een derde aanvals techniek.

https://www.fireeye.com/b...-eternalblue-exploit.html

[Reactie gewijzigd door Treadstone op 28 juni 2017 15:51]

Ja die zijn er zeker en misschien wel veel meer dan je denkt. Ik durf bijna te stellen dat dit bij 90% van de MKB's voorkomt die het IT in eigen beheer hebben.
Bovendien is de kans groot dat een beheerder dan evengoed ingelogd met beheerdersrechten de update van de MeDoc software binnenhaalt en die update uitvoert/uitrolt.
Het zal je nog verbazen wat je tegenkomt.
Vraag me af of er ook lering uit getrokken kan worden.
Ik zie alleen dat bitcoin niet traceerbaar is en dat er wereldwijd in een hele korte tijd veel verdiend kan worden.

En dat het nu bedrijven zijn met flinke schade maar in privÚ wil je dit toch ook niet mee maken. Alleen al 15 jaar foto's die je kwijt bent.
OkÚ backuppen die handel maar ik ben best lui en vast niet de enige.
Tijd voor een van A naar Back-up campagne van de overheid. :P
Overheid luistert toch alles al af, kunnen ze me ook hun copy sturen bij problemen. O-)
Begint beetje clichÚ opmerking te worden. Backup is je eigen verantwoordelijkheid.
Prachtige opmerking :)
Dit zal niet helpen met de acceptatie van cryptovaluta nee. Binnenkort gaat een machtig iemand roepen dat het terrorisme gesteund wordt door cryptocoins, zakt de koers, knapt de zeepbel en dat was het dan.
Flickr geeft al een terabyte voor je foto's, Google Foto's, Transip Stack. Mogelijkheden zat. Dataverlies moet je inderdaad eerst voelen wil je in actie komen.
Eerste les lijkt mij dat overheden niet eindeloos op hun exploits moeten zitten.

We spenderen miljarden aan het leger, politie, voedsel en medicijncontrole. Allemaal om onze leefwereld veiliger te maken.

Als het om IT-veiligheid gaat, zetten bepaalde overheden vooral in op offensieve wapens, die dan als een boomerang in eigen gezicht terugvliegen.

Beleid loopt hier 10-20j achter. Het wordt tijd dat iemand inziet wat de waarde van dergelijke veiligheid is, en actie onderneemt.
In al mijn onwetendheid zou ik in staat zijn het volgende te doen:

Geeft mijn computer een herstart op of begint deze bij opstarten met een checkdisk, dan gelijk de stekker er uit en proberen op een linux-bakkie de data te kopieren die nog intact is (voor wijzigingen tussen nu en de vorige backup).

Werkt dit zo (voor de bestanden die nog niet zijn getroffen)?

Is al bekend welke bestanden precies worden geraakt, of welke mappen, of het gehele systeem?
Ja, een live medium booten (linux) en van daaruit kun je eventueel nog data terughalen; hou er wel rekening mee dat encrypteren zeer, zeer snel gaat. de disk zal zeker de bottleneck zijn bij dit soort problemen.
Kan ransomware je Onedrive ook enqrypten? Ik bedoel als bedrijf zijnde is een backup alleen op Onedrive/sharepoint voldoende? Of is het verstandig een Linux server er naast te draaien voor backups?
Ransomware die op basis van bestanden encrypt kan ook op je onedrive encrypten. Onedrive kopieert immers het aangepaste encrypte bestand netjes naar de cloud.
Ook kan die ransomeware bestanden op je nas encrypten als jij daar verbinding mee hebt vanaf die pc.

Deze malware encrypt na het booten. Dus bij deze heb je geluk dat je dan geen onedrive sync en geen netwerkverbinding hebt als de encryptie loopt
Er is versionering op OneDrive, zodat je de originele versie van je bestanden kunt terughalen:
https://www.microsoft.com...pc/shared/ransomware.aspx
https://support.office.co...S&rs=en-US&ad=US&fromAR=1

...lijkt echter alleen te werken voor 'Office' files...
Misschien beter eens kijken naar Google Drive of Amazon Cloud Drive.

[Reactie gewijzigd door friend op 28 juni 2017 19:26]

Daarentegen staat dat de cloud in principe slim genoeg kan zijn om door te hebben wanneer je geencrypteerd wordt. Als ze plots van alle bestanden andere files binnenkrijgen met dezelfde naam...

Dan zou er toch een alarmbelletje kunnen afgaan.

Lijkt me toch een kans om als cloudprovider toegevoegde waarde te bieden aan je klanten.
Ook Saint Gobain is is getroffen. Onderhoud van de glas ovens is vroeg dit jaar...
en das weer de moeder van Raab Karcher. En Beamix en nog wat firma's.
De getoonde waarschuwing legt uit dat er een e-mail naar het adres wowsmith123456@posteo.net gestuurd moet worden met daarin het adres vanwaaruit de betaling heeft plaatsgevonden.
Misschien ook even vermelden dat posteo.net de e-mailaccount binnen die 24 uur al heeft afgesloten: https://posteo.de/en/blog...eady-blocked-since-midday

Dus alle bedrijven die nu nog steeds betalen, gaan nooit een e-mail kunnen versturen en nooit de sleutel ontvangen.

[Reactie gewijzigd door biglia op 28 juni 2017 15:45]

Flauw van posteo. Ze hadden het adres ook kunnen monitoren.
Nee, er moet door de media worden vermeld dat betalen het probleem nooit meer op gaat lossen in dit geval. Dan betaalt niemand, en is er geen financiŰle drijfveer om een volgende internetaanval op te zetten.
Maar is dat een beslissing die een emailprovider mag maken?
Als ze dat mail account niet offline hadden gegooid hadden ze het risico gelopen aansprakelijk gesteld te worden voor (een deel van) de schade. Omdat ze dan aangeven dat ze illegale activiteiten gedogen.

Dat lijkt in ieder geval de consensus te zijn op internet, mijn kennis van rechtspraak is beperkt dus kan geen garanties geven.
Inderdaad zal er in de voorwaarden staan dat bij gebruik voor illegale activiteiten het account gesloten kan worden. Toch vraag ik me af of het wel verstandig is? Voor sommige mensen kan de criminelen betalen de enige oplossing zijn en voor de opsporingsinstanties is dat email adres wel een mogelijk spoor naar de daders. Als ik die provider was, zou ik niet meteen sluiten maar eerst even bij de politie op de koffie gaan.
Ik denk niet dat deze handelingen in de Terms of Service worden goedgekeurd, nee.
En ligt je bedrijf plat. Het "hogere doel" zo afdwingen is niet de taak van andere bedrijven.
Ja, klopt, er zullen bedrijven zijn die nu hard onder uit gaan. Misschien dat een deel daarvan bij WannaCry dacht: "Wij maken goede backups. En als de backup ook encrypted is dan kunnen we altijd nog betalen. Is goedkoper dan onze hele infrastructuur dichttimmeren". Er zijn altijd bedrijven die zo blijven denken, en deze gedachte moet niet meer mogelijk zijn in 2017.
Waarom moet dat niet meer mogelijk zijn? Zodat je bedrijf lekker onderuit kan gaan als MS hun updates voor de zoveelste keer verprutst?
Dat idee had ik dus ook. Waarom niet monitoren wie er op inloggen om zo te kijken of ze een steekje laten vallen en we het ip adres van die gasten kunnen achterhalen.

Op dit item kan niet meer gereageerd worden.


Nintendo Switch Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*