Nieuws

Automatische reboot bij BSOD helpt Petya-ransomware

maandag 4 april 2016, 10:57 door Redactie, 5 reacties

Het automatisch herstarten van Windows bij een Blue Screen of Death (BSOD) helpt de Petya-ransomware, zo meldt anti-malwarebedrijf Malwarebytes. Petya is een nieuwe ransomware variant die eind maart verscheen en de master file table (MFT) van de harde schijf versleutelt, waardoor het bestandssysteem niet is te lezen en Windows niet meer kan worden gestart.

Om de ransomware te verspreiden wordt er naar de hr-afdeling van bedrijven een e-mail gestuurd met een link naar Dropbox. De link zou volgens het bericht naar een c.v. wijzen, maar dit is een exe-bestand. Zodra het bestand wordt geopend crasht de computer en zal die automatisch herstarten. Vervolgens krijgt de gebruiker een melding te zien dat er een schijfcontrole plaatsvindt. In werkelijkheid wordt de de MFT echter versleuteld. Na de herstart, als Petya met de versleutelting begint, is de ransomware het gevaarlijkst.

Om te voorkomen dat de computer in deze situatie terechtkomt adviseert Malwarebytes om het automatisch herstarten van Windows bij een systeemfout uit te schakelen, zoals Microsoft op deze pagina uitlegt. Als de ransomware namelijk voor deze fase wordt gedetecteerd kunnen de gegevens van de gebruiker nog steeds worden hersteld. Slachtoffers moeten in het geval van een infectie niet de Windows Recovery Tools gebruiken om de Master Boot Record van de harde schijf te herstellen, omdat dit de gegevens permanent kan beschadigen.

GVB gaat door met opslaan dna spugende reizigers

Eerste hostingproviders op AbuseHUB aangesloten

Reacties (5)

04-04-2016, 11:24 door Anoniem

Ik snap eigenlijk uberhaupt waarom iemand ooit bedacht heeft dat het handig is om die automatische reboot in te voeren...
Op het moment dat een normale gebruiker een systeemcrash oploopt krijgt die niet-eens meer hetgene dat de probleemoplosser het meest kan helpen (op voorhand), de foutcode...

Door die keuze heb je zelfs dat "normale gebruikers" standaard komen met de melding "Ja, er kwam een blauw scherm en ineens startte 'ie opnieuw op." , voorheen kreeg je automagisch van de gebruiker nog wel eens de cijfertjes mee... nu heb je een gevorderde gebruiker nodig om uberhaupt nog die data te verkrijgen alvoor je er bent.

Dus als ik het zo even probeer te overzien, zie ik dat vanwege (aanname;) ongeinteresseerde/overmatig geirriteerde gebruikers wij zowel een security als productivity-issue hebben laten ontstaan? en dat zelfs een paar jaar laten voortbakken voordat men t doorheeft? goed gedaan...

Ik had al m.b.v. m'n GPO's standaard de automatische herstart uit staan, altijd... Blijkbaar toch geen onderbuikgevoel geweest ;)

04-04-2016, 12:40 door Anoniem

Door Anoniem: Ik snap eigenlijk uberhaupt waarom iemand ooit bedacht heeft dat het handig is om die automatische reboot in te voeren...
Op het moment dat een normale gebruiker een systeemcrash oploopt krijgt die niet-eens meer hetgene dat de probleemoplosser het meest kan helpen (op voorhand), de foutcode...

Door die keuze heb je zelfs dat "normale gebruikers" standaard komen met de melding "Ja, er kwam een blauw scherm en ineens startte 'ie opnieuw op." , voorheen kreeg je automagisch van de gebruiker nog wel eens de cijfertjes mee... nu heb je een gevorderde gebruiker nodig om uberhaupt nog die data te verkrijgen alvoor je er bent.

Dus als ik het zo even probeer te overzien, zie ik dat vanwege (aanname;) ongeinteresseerde/overmatig geirriteerde gebruikers wij zowel een security als productivity-issue hebben laten ontstaan? en dat zelfs een paar jaar laten voortbakken voordat men t doorheeft? goed gedaan...

Ik had al m.b.v. m'n GPO's standaard de automatische herstart uit staan, altijd... Blijkbaar toch geen onderbuikgevoel geweest ;)

Jij bekijkt het alleen als eindgebruiker. Het gaat om uptime.
Werknemer wil werken, werkgever wil dat werknemer werkt, IT'er wil logs uitlezen vanaf zijn (m/v) eigen systeem.
Daarnaast zijn heel veel systemen alleen via een netwerk te benaderen, dan is het wel handig dat deze niet te lang blijven 'hangen' natuurlijk. Voorbeeld: pinautomaat.

En zo voorts.

OT:
Beetje selectief bericht dit. Malware leeft al lang op BSOD's (bootware!), en alle malware is onschadelijk tot het daadwerkelijk wordt uitgevoerd, maar dat laatste terzijde.

Erik van Straten had eerder ook al opmerkingen over dergelijke adviezen (betrof executables vanuit %temp%), ik sluit me daarbij aan en vind het hier ook van toepassing.
Auto-reboot is een overweging die meer te maken heeft met functie, dan wat anders.

04-04-2016, 13:06 door Anoniem

Door Anoniem:
Door die keuze heb je zelfs dat "normale gebruikers" standaard komen met de melding "Ja, er kwam een blauw scherm en ineens startte 'ie opnieuw op." , voorheen kreeg je automagisch van de gebruiker nog wel eens de cijfertjes mee... nu heb je een gevorderde gebruiker nodig om uberhaupt nog die data te verkrijgen alvoor je er bent.geweest ;)

Windows 8 of 10 dan :( .. Dat is pas een grap van Microsoft. Trouwens die dmp (dump files) van blue screens kun je gewoon uitlezen met nirsoft bluescreenview of een ander alternatief om zo de bron van het probleem op te kunnen sporen. Hoe dit bij Windows 8 of 10 zit, geen idee.

04-04-2016, 15:20 door Anoniem

De gebruiker gaat die foutcode toch niet opschrijven.
De beheerder die kennis heeft en niet maar wat bralt op security.nl die weet dat na een dergelijke bluescreen/reboot
er een minidump bestand aangemaakt wordt (of zelfs een volledige dump als dat geconfigureerd is) en kan daar de
foutcode en stackdump uithalen met de debugger.
De pro-actieve beheerder controleert zelfs of er dat soort bestanden op de werkstations staan zelfs als de gebruiker
niet gemeld heeft dat zijn/haar PC crashte.

Maar ja, gewoon maar wat roepen dat is veel gemakkelijker! Veel succes verder met je werk.

05-04-2016, 17:15 door Anoniem

... Voorbeeld: pinautomaat.

Nou dat is juist een van de apparaten waar we zowat een allergische reactie voor moeten hebben als er een BSOD is geweest.

Dit wegmoffelen door een automatische reboot lijkt makkelijk, maar is een foute keuze.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Wie wordt de volgende president van de Verenigde Staten?

Advertentie

Specialiseer je in Forensisch ICT

Online informatieavond 19 november

Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:

Bachelor Informatica Forensisch ICT (deeltijd)
Master Digital Forensics (vol- en deeltijd)
Module Mobile Forensics
Module Data Analytics

Interesse? Meld je aan!

Lees meer

Vacature

Chief Information Security Officer

Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Security.NL - X

10-01-2024 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons ook op X!

Lees meer

Automatische reboot bij BSOD helpt Petya-ransomware

Wie wordt de volgende president van de Verenigde Staten?

Wachtwoord Vergeten

Password Reset

Registreren