/></p></noscript>
<!-- End Piwik Code --></head>
<body class='template-news-item'>
	<!-- Google Tag Manager (noscript)-->
	<noscript><iframesrc=

SoftwareGeek.nl

Wat u moet weten om uzelf te beschermen tegen Ransomware

29-06-2017

Ransomware is opnieuw in het nieuws. Deze keer was het te wijten aan WannaCry en Petya, aanvallen die zich uitstrekken over 150 landen en bijna 57.000 computers. De aanvallers gebruiken niet alleen een Windows-kwetsbaarheid die pas onlangs is geüpdatet (maart 2017), maar vooral Petya gebruikt ook andere technieken die voorheen door het Nationaal Veiligheidsagentschap werd gebruikt om in het geheim controle over computers te nemen.

Infectie routine Petya

Naar verluidt wordt Petya onder andere verspreid via email. Slachtoffers krijgen een e-mail op maat om te kijken en te lezen als een zaken gerelateerde misleiding van een "aanvrager" die een positie in een bedrijf zoekt. Het zou gebruikers een hyperlink aan een Dropbox-opslaglocatie voorleggen, waardoor de gebruiker de curriculum vitae (CV) van de kandidaat zou kunnen downloaden.

In een van de monsters die we hebben geanalyseerd, bevat de Dropbox-map de koppelpunten twee bestanden: een zelf uitpakkend uitvoerbaar bestand, dat het cv en de foto van de aanvrager betreft.

De huidige uitbraak van deze ransomware is niet zo zeer om geld te krijgen maar om zoveel mogelijk schade aan te richten. Het virus zou gericht zijn op de Oekraïne, echter richt het ook schade aan in andere landen, waaronder Nederland.

Microsoft heeft in 65 landen infecties door de Petya-ransomware gezien, waarbij de meeste besmettingen in Oekraïne werden waargenomen. Daarnaast zegt de softwaregigant dat het bewijs heeft dat een aantal actieve infecties door de ransomware via de updatefunctie van de Medoc-software begonnen.

Dit is door het Oekraïense softwarebedrijf M.E.Doc ontwikkelde boekhoudsoftware. "Zoals we eerder hebben aangegeven zijn aanvallen via de softwareketen een recente en gevaarlijke trend onder aanvallers die geavanceerde verdedigingsmaatregelen vereist", aldus Microsoft. De eerste infecties werden in Oekraïne waargenomen, waar meer dan 12.500 machines met de dreiging te maken kregen. Vervolgens werden infecties in 64 andere landen gezien, waaronder België, Brazilië, Duitsland, Rusland en de Verenigde Staten.
Natuurlijk is het gedownloade bestand niet eigenlijk een cv, maar een zelf uitpakkend uitvoerbaar bestand dat vervolgens een Trojan op het systeem zou loslaten.

Bepaal of u beschermd bent

Controleer eerst en zorg dat u beschermd bent.
Als u Windows 10 draait, klikt u op Start, vervolgens Instellingen, klik op Windows Update, klik op Update History. Als u in mei 2017, april 2017 of maart 2017 de cumulatieve update voor een van de Windows 10 heeft geïnstalleerd die momenteel in de markt is, bent u beveiligd.
Als u Windows 7 draait, klikt u op Start, vervolgens Configuratiescherm en vervolgens op Windows Update. Klik nu op Update-geschiedenis bekijken. Scroll naar beneden en zoek of updates van maart 2017, april 2017 of mei 2017 zijn geïnstalleerd op uw machine. Als een van deze maandelijkse updates is geïnstalleerd, bent u beschermd tegen dit beveiligingslek.

Wat als u Windows XP en / of Server 2003 draait?

Voor bedrijven die XP nog steeds op kritieke locaties uitvoeren die geen aangepaste ondersteuning overeenkomst van Microsoft hebben, heeft deze aanval ze op hun knieën gebracht. Gerapporteerde verstoringen beïnvloedde ziekenhuizen in het Verenigd Koninkrijk en zelfs Federal Express leveringen. Bedragen van $ 300 per werkstation worden gevraagd van deze beïnvloedde bedrijven.
Als u nog steeds Windows XP of Server 2003 uitvoert, en vooral als u het voor werk gebruikt, surfen op het web of het lezen van e-mail is het van groot belang dat u de handmatige patches downloadt die Microsoft openbaar heeft gemaakt en onmiddellijk stappen uitvoert om ze te installeren En bescherm u tegen dit beveiligingslek.

Microsoft heeft de ongebruikelijke stap genomen om een update vrij te geven wat alleen beschikbaar was voor klanten die supportcontracten hebben gekocht voor XP en Server 2003 en de updates vrijgegeven voor iedereen die gebruik maakt van:

Server 2003 64 bit
Server 2003 32 bit
Windows XP sp2
Windows XP sp3
Windows XP embedded
Windows 8 x86
Windows 8 64bit

Als u gelokaliseerde patches nodig hebt, kunt u ze onderaan dit MSRC-blogbericht downloaden.

Ransomware gebruikt een NSA-techniek

Nadat u hebt vastgesteld of u uw patches beveiligd en bijgewerkt heeft, laten we eens kijken naar wat dit probleem en zien hoeveel bedrijven het betreft.

Ten eerste: zoals bij veel ransomware-infecties komt de aanval niet uit het algemene Internet surfen, maar uit een e-mailbijlage die een gebruiker opent. Dit is één van de redenen waarom wij aan iedereen zo’n e-mail krijgt, adviseren dat als u zo’n e-mails ontvangt waarvan u niet helemaal zeker bent van de bijlage. Overweeg dan deze radicale aanpak: Verwijder de e-mail en open deze in de eerste plaats niet.

Echter, als het verwijderen van e-mails u onnatuurlijk lijkt, overwegen dan u uw telefoon uit uw zak te nemen en de rare e-mail op uw telefoon te openen. We weten dat van geen ransomware-e-mail dat die tegelijkertijd zowel Windows als mobiele besturingssystemen kan misbruiken.

Aanvallers gebruiken normaal gesproken het ene platform of het ander, maar niet allebei.

WannaCry was uniek doordat het een onlangs gepubliceerde stealth aanvals-techniek heeft uitgebracht die werd blootgesteld toen het Shadowbroker-archief van de NSA hacking tools werd vrijgegeven. De aanval gebruikte de SMBv1 "ETERNALBLUE" exploit om zich te verspreiden. SMB staat voor Server-berichtenblok en wordt gebruikt voor het delen van bestanden tussen werkstations en servers. Een maand voordat deze tools werden vrijgegeven aan het publiek, had Microsoft dit beveiligingslek in de update van maart 2017 als onderdeel van MS17-010. De malware zelf stuurt geen e-mails uit, maar kan dat wel, wanneer het eenmaal een netwerk heeft besmet, met behulp van de normale netwerkbestanden.

De malware controleert eerst een bepaald domein

(http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com) Kan worden gecontacteerd en vervolgens controleert of er een bepaalde registersleutel aanwezig is. Als de sleutel aanwezig is of de website bereikbaar is, wordt het systeem niet geïnfecteerd.

Een beveiligingsonderzoeker kocht de domeinnaam in een poging om vast te stellen hoeveel machines werden beïnvloed door de ransomware. Deze actie had de bijwerking dat het het de verspreiding van de ransomware een halt toe riep. Als een machine toegang heeft tot die site, verspreidt het de infectie niet. Er is ook een DOUBLEPULSAR achterdeur op het systeem geïnstalleerd en Tor installeert de communicatie met de ransomware-auteur.

Ransomware bescherming aanbevelingen

Een tijdje geleden is er een witboek afgemaakt voor de website Sans.org over manieren om een ​​netwerk te beschermen tegen ransomware. Het witboek is beschikbaar op de Sans.org website en bespreekt veel van de beveiligingen die wij in ons eigen netwerk hebben geïnstalleerd. Zoals we al eerder heb gezegd, is een beveiliging die wij zouden aanbevelen voor kleine netwerken en thuiscomputers aan te sluiten op het opendns.com netwerk. Deze service scant automatisch naar en zoek naar kwaadaardige weblocaties en biedt bescherming tegen dergelijke sites. De opendns site heeft setup instructies voor allerlei Netwerken en instellingen. Ook raden wij u aan om ervoor te zorgen dat u een goede back-up van uw systeem hebt. Het kan zo makkelijk zijn om handmatige kopieën van uw kritieke documenten op een flash drive of externe harde schijf maken, helemaal naar de back-upsoftware van derden om van uw hele computer een back-up te maken. Men kan een besturingssysteem opnieuw installeren, maar het verliezen van familiefoto’s en video’s of belangrijke kritische documenten kan pijnlijk zijn. Richtlijn: Geen paniek. De kans is, dat u al bent beschermd tegen deze ransomware. Maar neemt u alstublieft de tijd om uw bescherming te herzien en uw zelf te herinneren aan manieren om veilig te blijven.

P.S. Heeft u uw systemen bijgewerkt en SMBv1 uitgeschakeld?