image

Nieuwe ransomware maakt computer ontoegankelijk

vrijdag 25 maart 2016, 10:07 door Redactie, 4 reacties
Laatst bijgewerkt: 25-03-2016, 14:24

Onderzoekers hebben een nieuwe ransomware-variant ontdekt die niet bepaalde bestanden versleutelt, zoals de meeste ransomware doet, maar de gehele harde schijf ontoegankelijk maakt. Bedrijven zijn daarbij het doelwit van de ransomware, die de naam Petya heeft gekregen.

Om de ransomware te verspreiden wordt er naar de hr-afdeling van bedrijven een e-mail gestuurd met een link naar Dropbox. De link zou volgens het bericht naar een c.v. wijzen, maar dit is een exe-bestand. Zodra het bestand wordt geopend crasht de computer en zal die herstarten. Vervolgens krijgt de gebruiker een melding te zien dat er een schijfcontrole plaatsvindt. In werkelijkheid wordt de harde schijf echter versleuteld, aldus het Duitse anti-virusbedrijf G Data.

Het blijkt hier echter niet om versleuteling te gaan, maar het overschrijven van de master boot record (mbr), zo stelt anti-virusbedrijf Trend Micro. Na de schijfcontrole verschijnt er een doodshoofd en de melding dat de harde schijf is versleuteld. Via een website op het Tor-netwerk kunnen gebruikers voor 0,99 bitcoin (370 euro) een decryptiesleutel aanschaffen. De prijs hiervan wordt na een week verdubbeld.

Of de harde schijf inderdaad is versleuteld zoals G Data claimt is onduidelijk. De onderzoekers van het anti-virusbedrijf stellen in hun eigen analyse dat waarschijnlijk alleen de bestandstoegang is geblokkeerd, maar de bestanden zelf niet zijn versleuteld. Het onderzoek naar de Petya-ransomware loopt echter nog.

Update

Anti-virusbedrijf Trend Micro laat in een analyse weten dat Petya de master boot record (mbr) van een besmette harde schijf overschrijft. Er wordt echter niet gesproken over het versleutelen van de harde schijf zoals G Data doet.

Update 2

G Data laat in een reactie aan Security.NL weten dat het onderzoek nog loopt, maar dat uit de voorlopige resultaten blijkt dat alleen de mbr en systeembestanden worden aangepast. Andere bestanden laat de ransomware buiten beschouwing. De onderzoekers van het Duitse anti-virusbedrijf kunnen zich dan ook voorlopig in de conclusie van Trend Micro vinden dat Petya de mbr overschrijft en aanpast, maar de harde schijf zelf niet wordt versleuteld.

Image

Reacties (4)
25-03-2016, 11:35 door [Account Verwijderd] - Bijgewerkt: 25-03-2016, 11:38
Natuurlijk moet je wel over het hoofd zien dat je geen curriculum vitae (Bewerbungsmappe) opent maar een .exe bestand start. Daarnaast krijg je de gebruikelijke melding dat 'zich iets' wil installeren en of je daar toestemming voor geeft.

Maar ondanks deze twee alarmsignalen zullen er altijd mensen zijn die dit over het hoofd zien... in de haast van het werk, dus loont het blijkbaar nog steeds om deze Malware te verspreiden.

Voorkomen kun je dus niet maar met alleen Malware/Virusscanners alleen lopen we óók met betrekking tot Ransomware vaak hopeloos achter de feiten aan.

In elk bedrijf zou er algemene voorlichting over 'Hoe voorkom ik malwarebesmetting' gegeven kunnen worden.
Ik denk dat veel IT bedrijven daar zinnige kennis over zouden kunnen meedelen middels halfjaarlijkse circulaires of indien vaker vereist door gesignaleerde volledig nieuwe Malware.

Nu blijft deze kennis vaak alleen nog beschikbaar hier op Security.nl bijvoorbeeld.
Niet echt ideaal want de meeste werknemers interesseren zich niet voor deze zaken. Waarom zouden zij ook ? "We hebben toch een IT bedrijf die ervoor zorgt dat ons netwerk goed functioneel blijft", zal de vaak gehoorde opmerking zijn.
25-03-2016, 13:42 door Anoniem
"Het blijkt hier echter niet om versleuteling te gaan, maar het overschrijven van de master boot record (mbr)":

Volgens mij wel. Hoe wil je middels een key de mbr weer repareren ?
25-03-2016, 16:28 door Anoniem
Ziet er naar uit dat g-Data weer veel te vlug de publicaties doet zonder precies alles te weten. Lijkt me in dit geval toch een cruciaal verschil of er wel (zoals g-Data beweerd) of niet wordt versleuteld (zoals Trend Micro beweert). En als g-Data zich daarna kan vinden in de conclusie vam Trend Micro, lijkt het in eens geen-Data te zijn...
26-03-2016, 10:50 door Anoniem
Okee allemaal goed en wel, maar waarom heeft de hr-afdeling de mogelijkheid om een .exe te downloaden uit
dropbox en uit te voeren op de computer? Is er dan geen sprake van wanbeheer?

En waarom raakt er een bedrijf in zodanige problemen dat het losgeld zou willen betalen als er een werkstation
van een hr-medewerker door zo iets wordt getroffen? Dat kan toch ook alleen maar bij wanbeheer?

Kennelijk komen mensen in de problemen als ze het beheer van hun IT omgeving maar slecht genoeg oplossen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.