• ASICS Corporation logo
  • naturalis
  • OLX Logo EPS vector image 1
  • dmg
  • randstad logo
  • citizenM logo references
  • Riwal Logo

Detail informatie over de laatste Ransomware uitbraak notPetya (EternalBlue) en wat eraan te doen (als G Suite beheerder)

De laatste tijd is het meer regel dan uitzondering, ransomware het nieuwe afpersen. En de meeste mensen hebben geen idee, dat ze eigenlijk in deze zogenaamde afpersing klikken. Vorige maand was er al een aanval door WannaCry, dat zorgde al voor veel ophef in de wereld omdat vele bedrijven en personen er in zijn getrapt en daardoor hun systemen zijn geblokkeerd.

Dinsdag was het weer zover en is er een nieuw soort ransomware verspreid, gelijk werd er een zoekactie ingesteld naar de oorsprong en de werking en dat kwam helaas bedrogen uit. Het is namelijk gebaseerd op de vorige ransomware Wannacry maar helaas werkt deze niet hetzelfde en maakt gebruikt van een andere exploit (EternalBlue) en verspreidt zich over het netwerk over een protocol genaamd SMB (via lek CVE-2017-0144).

Waarbij de computer zich automatisch herstart binnen 51 minuten en daardoor via de bootloader, de schijf krijgt een encryptie en ervoor zorgt dat het niet meer benaderbaar. Door een “slimme” actie, van een web-provider die dacht slim te zijn en de website te verwijderen van de maker is het ook niet meer mogelijk de bestanden te decrypten. De enige oplossing is, mocht je worden geraakt door deze ransomware je computer uitzetten en uitlaten. Dit in verband met het feit dat, zodra je opnieuw opstart, de infectie van de bestanden pas echt begint.

Wat Google er al aan doet

Natuurlijk, heeft Google geleerd en gelijk ingegrepen bij de vorige Ransomware aanval.
Hieruit zijn enkele verbetering in de Google virusscanner, compliance regels en andere “back-end” opties toegevoegd om te zorgen dat dit niet meer voorkomt.

Automatisch kun je via Google mail al geen .exe bestanden ontvangen.

Zo scant Google automatisch bijlage op virussen, spyware en ransomware of andere verdachte data. Daarnaast spelen Google servers een hele grote rol, deze houden bij waar komt bepaalde data vandaan, wat zit hierin en wat gebeurt ermee als de gebruiker het opent (als dat mogelijk is en geen virus is) en mochten hier rare dingen in voorkomen dan blokkeert Google de gebruiker (en dit gebeurt automatisch, en erg scherp ingesteld).

Wat jij er nog aan kunt doen

Stel een regel in, in je Google omgeving voor het blokkeren van e-mail bepaalde attachments binnen een e-mail. Klik hier om een compliance rule aan te maken.

unnamed

Netwerkinstellingen:
Het virus zal zich verspreiden via het SMB-1 file share protocol (wordt/werd gebruikt door Windows computers tot (Vista) 2006 en gebruikt daarbij TCP Port 445. Het daarom te overwegen om deze port te blokkeren.

Security Awareness:
Dit kan een hoofdstuk apart zijn. Een security awareness programma kent veel aspecten. In dit geval is het op z’n minst de moeite waarde collega’s te informeren om extra voorzichtig te zijn met het openen van verdachte bijlages/bestanden.

Updates
Zorg dat de computers up to date zijn.

Na de infectie
Mocht de persoon zijn geïnfecteerd start de computer niet op, dan blokkeert de bootloader de harddisk. Trek het netwerk eruit en zorg dat de computer geïsoleerd is!
Goed nieuws, werk je op Google Drive en is er door Google Drive Sync een infectie? Wij hebben een handig script om alles terug te draaien!

Handige artikelen:


https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/

https://blogs.technet.microsoft.com/filecab/2016/09/16/stop-using-smb1/

https://www.forbes.com/sites/thomasbrewster/2017/06/27/petya-notpetya-ransomware-is-more-powerful-than-wannacry/#53fc999d532e

Mogelijke oplossing voor not Petya https://www.bleepingcomputer.com/news/security/vaccine-not-killswitch-found-for-petya-notpetya-ransomware-outbreak/

Rapport over not Petya

https://gist.github.com/vulnersCom/65fe44d27d29d7a5de4c176baba45759

Laten we sparren

Enthousiast over de mogelijkheden om als organisatie slimmer te werken met Google Apps? Tof! Wij ook. We bieden je een gratis hang-out sessie aan met een van onze consultants. Geheel vrijblijvend!

Boek Spar-Hangout

logo-nextnovate-2x-grey.png

How to reach us

info@nextnovate.com
+31 85 27 33 099
(of contact één van onze consultants direct)

Oude Middenweg 17
2491 AC Den Haag

Get Social with us