/></p></noscript>
<!-- End Piwik Code --></head>
<body class='template-news-item'>
	<!-- Google Tag Manager (noscript)-->
	<noscript><iframesrc=

SoftwareGeek.nl

GandCrab v4.1 in het wild is de eerste Windows XP en Server 2003 die van invloed zijn op ransomware SMB-worm

6-07-2018

GandGrab 4 is deze maand geland. Er zijn een paar opmerkelijke zaken: het heeft niet langer een C2-server nodig (het kan bijvoorbeeld in een open omgeving werken) en het verspreidt zich nu via een SMB-exploit, onder meer op XP en Windows Server 2003 (samen met moderne besturingssystemen). Voor zover wij weten is dit de eerste echte ransomware-worm die zich verspreidt naar Windows XP en Windows Server 2003 - u herinnert zich misschien nog wel de aandacht in de pers en speculatie over WannaCry en XP, maar de realiteit was dat de NSA SMB-exploit (EternalBlue.exe) nooit werkte tegen XP-doelen voor consumenten.

Voor degenen die GandGrab niet hebben gevolgd, het is een ransomware-operatie waarbij mensen betalen voor de ransomware-kit en geld verdienen door het te verspreiden. Het heeft met name effect op organisaties en mensen met een slechte beveiliging en / of veiligheidspraktijken: bijv. mensen hebben de neiging om het in keygens in BitTorrent te integreren, en dat soort zaken. Vrijwel alle antivirussoftware kunnen het detecteren.
Hoewel het de mogelijkheid heeft zich te verspreiden zonder internettoegang en oudere XP- en 2003-systemen kan beïnvloeden, kan het zijn dat sommige oudere omgevingen in gevaar komen als er slechte beveiligingspraktijken zijn zoals bijvoorbeeld geen werkende antivirussoftware.
De versie 4-stam gebruikt de bestandsextensie .KRAB. Netwerkspreiding heeft nog steeds deze heerlijk genaamde module:



Afgezien van het gebruik van UNC-toegankelijke netwerkshares om te verspreiden, lijkt het nu ook op ongepatchte Windows-systemen te jagen.

Ze hebben een 24/7 ondersteuningsdienst, die beter is dan de hulplijn van u en mijn bank.

Beperkende factoren

Installeer patch MS17-010.

Deze patch is sinds begin 2017 beschikbaar voor alle besturingssystemen inclusief Windows XP en Windows Server 2003. Er is geen patch voor Windows 2000.


Houdt uw antivirussoftware up-to-date, ook in oudere omgevingen.

Veel antivirusproducten bieden geen ondersteuning voor Windows XP en 2003, wat het problematisch maakt.

Beleid

U wilt waarschijnlijk zeker weten dat medewerkers geen zaken downloaden van BitTorrent, en onbekende software installeren, keygens uitvoeren, of toegang hebben tot willekeurige USB-sticks enzovoort.

Netwerk zonering

Als u oudere apparatuur hebt, wilt u mogelijk de inkomende toegang beperken. Het kan ook zijn dat u uw bedrijfseenheden gescheiden wilt houden, zodat een incident in een gebied zich niet verspreidt (zoals bij NHS en WannaCry).

Stop met het gebruik van SMB1

U kunt meer informatie krijgen van de man die SMB bij Microsoft beheert. Dit is geen optie voor XP- en 2003-systemen, maar voor latere systemen die niet teruggaan naar legacy-kits, kunt u SMB1 veilig testen en uitschakelen (aanrader) ook centraal via Groepsbeleid; het is gewoon een registersleutel.

Server 2012 R2 en Server 2016

• Serverbeheer: ondersteuning voor SMB 1.0 / CIFS-bestandsdeling uitschakelen (functie)
• PowerShell: Remove-Windows Feature FS-SMB1

Windows Client (8.1 en 10)


• Verwijder de Windows Feature SMB 1.0 / CIFS-bestandsdelingsondersteuning;
• PowerShell: uitschakelen-Windows Optioneel Feature -Online -Feature Name smb1protocol.

Windows Vista / 7/2008/2008 R2


• U kunt het register gebruiken en deze waarde instellen op 0: HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Lanman Server \ Parameters \ SMBv1 (1 is ingeschakeld).

IOCs (Input/Output Control System)

8ecbfe6f52ae98b5c9e406459804c4ba7f110e71716ebf05015a3a99c995baa1

SMB1-verkeer (u kunt dit op de draad herkennen of door SMB1-monitoring in te schakelen in het register en het gebeurtenislogboek in Windows te bekijken);
lsass.exe verwerkt het schrijven naar de tijdelijke map, u kunt lsass.exe monitoren via Microsoft Sysmon, als het begint met het schrijven en het uitvoeren van nieuwe bestanden, zult u een slechte dag hebben.