Dinsdag was het weer zover en is er een nieuw soort ransomware verspreid, gelijk werd er een zoekactie ingesteld naar de oorsprong en de werking en dat kwam helaas bedrogen uit. Het is namelijk gebaseerd op de vorige ransomware Wannacry maar helaas werkt deze niet hetzelfde en maakt gebruikt van een andere exploit (EternalBlue) en verspreidt zich over het netwerk over een protocol genaamd SMB (via lek CVE-2017-0144). Waarbij de computer zich automatisch herstart binnen 51 minuten en daardoor via de bootloader, de schijf krijgt een encryptie en ervoor zorgt dat het niet meer benaderbaar. Door een “slimme” actie, van een web-provider die dacht slim te zijn en de website te verwijderen van de maker is het ook niet meer mogelijk de bestanden te decrypten. De enige oplossing is, mocht je worden geraakt door deze ransomware je computer uitzetten en uitlaten. Dit in verband met het feit dat, zodra je opnieuw opstart, de infectie van de bestanden pas echt begint.

Wat Google er al aan doet

Natuurlijk, heeft Google geleerd en gelijk ingegrepen bij de vorige Ransomware aanval. Hieruit zijn enkele verbetering in de Google virusscanner, compliance regels en andere “back-end” opties toegevoegd om te zorgen dat dit niet meer voorkomt. Automatisch kun je via Google mail al geen .exe bestanden ontvangen. Zo scant Google automatisch bijlage op virussen, spyware en ransomware of andere verdachte data. Daarnaast spelen Google servers een hele grote rol, deze houden bij waar komt bepaalde data vandaan, wat zit hierin en wat gebeurt ermee als de gebruiker het opent (als dat mogelijk is en geen virus is) en mochten hier rare dingen in voorkomen dan blokkeert Google de gebruiker (en dit gebeurt automatisch, en erg scherp ingesteld).

Wat jij er nog aan kunt doen

Stel een regel in, in je Google omgeving voor het blokkeren van e-mail bepaalde attachments binnen een e-mail. Klik hier om een compliance rule aan te maken.

Netwerkinstellingen:

Het virus zal zich verspreiden via het SMB-1 file share protocol (wordt/werd gebruikt door Windows computers tot (Vista) 2006 en gebruikt daarbij TCP Port 445. Het daarom te overwegen om deze port te blokkeren.

Security Awareness:

Dit kan een hoofdstuk apart zijn. Een security awareness programma kent veel aspecten. In dit geval is het op z’n minst de moeite waarde collega’s te informeren om extra voorzichtig te zijn met het openen van verdachte bijlages/bestanden.

Updates

Zorg dat de computers up to date zijn.

Na de infectie

Mocht de persoon zijn geïnfecteerd start de computer niet op, dan blokkeert de bootloader de harddisk. Trek het netwerk eruit en zorg dat de computer geïsoleerd is! Goed nieuws, werk je op Google Drive en is er door Google Drive Sync een infectie? Wij hebben een handig script om alles terug te draaien!

Handige artikelen:

New ransomware, old techniques: Petya adds worm capabilities

Stop using SMB1

Petya Or NotPetya: Why The Latest Ransomware Is Deadlier Than WannaCry

Mogelijke oplossing voor notPetya

Rapport over not Petya

Link naar Github