image

Automatische reboot bij BSOD helpt Petya-ransomware

maandag 4 april 2016, 10:57 door Redactie, 5 reacties

Het automatisch herstarten van Windows bij een Blue Screen of Death (BSOD) helpt de Petya-ransomware, zo meldt anti-malwarebedrijf Malwarebytes. Petya is een nieuwe ransomware variant die eind maart verscheen en de master file table (MFT) van de harde schijf versleutelt, waardoor het bestandssysteem niet is te lezen en Windows niet meer kan worden gestart.

Om de ransomware te verspreiden wordt er naar de hr-afdeling van bedrijven een e-mail gestuurd met een link naar Dropbox. De link zou volgens het bericht naar een c.v. wijzen, maar dit is een exe-bestand. Zodra het bestand wordt geopend crasht de computer en zal die automatisch herstarten. Vervolgens krijgt de gebruiker een melding te zien dat er een schijfcontrole plaatsvindt. In werkelijkheid wordt de de MFT echter versleuteld. Na de herstart, als Petya met de versleutelting begint, is de ransomware het gevaarlijkst.

Om te voorkomen dat de computer in deze situatie terechtkomt adviseert Malwarebytes om het automatisch herstarten van Windows bij een systeemfout uit te schakelen, zoals Microsoft op deze pagina uitlegt. Als de ransomware namelijk voor deze fase wordt gedetecteerd kunnen de gegevens van de gebruiker nog steeds worden hersteld. Slachtoffers moeten in het geval van een infectie niet de Windows Recovery Tools gebruiken om de Master Boot Record van de harde schijf te herstellen, omdat dit de gegevens permanent kan beschadigen.

Reacties (5)
04-04-2016, 11:24 door Anoniem
Ik snap eigenlijk uberhaupt waarom iemand ooit bedacht heeft dat het handig is om die automatische reboot in te voeren...
Op het moment dat een normale gebruiker een systeemcrash oploopt krijgt die niet-eens meer hetgene dat de probleemoplosser het meest kan helpen (op voorhand), de foutcode...

Door die keuze heb je zelfs dat "normale gebruikers" standaard komen met de melding "Ja, er kwam een blauw scherm en ineens startte 'ie opnieuw op." , voorheen kreeg je automagisch van de gebruiker nog wel eens de cijfertjes mee... nu heb je een gevorderde gebruiker nodig om uberhaupt nog die data te verkrijgen alvoor je er bent.

Dus als ik het zo even probeer te overzien, zie ik dat vanwege (aanname;) ongeinteresseerde/overmatig geirriteerde gebruikers wij zowel een security als productivity-issue hebben laten ontstaan? en dat zelfs een paar jaar laten voortbakken voordat men t doorheeft? goed gedaan...

Ik had al m.b.v. m'n GPO's standaard de automatische herstart uit staan, altijd... Blijkbaar toch geen onderbuikgevoel geweest ;)
04-04-2016, 12:40 door Anoniem
Door Anoniem: Ik snap eigenlijk uberhaupt waarom iemand ooit bedacht heeft dat het handig is om die automatische reboot in te voeren...
Op het moment dat een normale gebruiker een systeemcrash oploopt krijgt die niet-eens meer hetgene dat de probleemoplosser het meest kan helpen (op voorhand), de foutcode...

Door die keuze heb je zelfs dat "normale gebruikers" standaard komen met de melding "Ja, er kwam een blauw scherm en ineens startte 'ie opnieuw op." , voorheen kreeg je automagisch van de gebruiker nog wel eens de cijfertjes mee... nu heb je een gevorderde gebruiker nodig om uberhaupt nog die data te verkrijgen alvoor je er bent.

Dus als ik het zo even probeer te overzien, zie ik dat vanwege (aanname;) ongeinteresseerde/overmatig geirriteerde gebruikers wij zowel een security als productivity-issue hebben laten ontstaan? en dat zelfs een paar jaar laten voortbakken voordat men t doorheeft? goed gedaan...

Ik had al m.b.v. m'n GPO's standaard de automatische herstart uit staan, altijd... Blijkbaar toch geen onderbuikgevoel geweest ;)
Jij bekijkt het alleen als eindgebruiker. Het gaat om uptime.
Werknemer wil werken, werkgever wil dat werknemer werkt, IT'er wil logs uitlezen vanaf zijn (m/v) eigen systeem.
Daarnaast zijn heel veel systemen alleen via een netwerk te benaderen, dan is het wel handig dat deze niet te lang blijven 'hangen' natuurlijk. Voorbeeld: pinautomaat.

En zo voorts.


OT:
Beetje selectief bericht dit. Malware leeft al lang op BSOD's (bootware!), en alle malware is onschadelijk tot het daadwerkelijk wordt uitgevoerd, maar dat laatste terzijde.

Erik van Straten had eerder ook al opmerkingen over dergelijke adviezen (betrof executables vanuit %temp%), ik sluit me daarbij aan en vind het hier ook van toepassing.
Auto-reboot is een overweging die meer te maken heeft met functie, dan wat anders.
04-04-2016, 13:06 door Anoniem
Door Anoniem:
Door die keuze heb je zelfs dat "normale gebruikers" standaard komen met de melding "Ja, er kwam een blauw scherm en ineens startte 'ie opnieuw op." , voorheen kreeg je automagisch van de gebruiker nog wel eens de cijfertjes mee... nu heb je een gevorderde gebruiker nodig om uberhaupt nog die data te verkrijgen alvoor je er bent.geweest ;)
Windows 8 of 10 dan :( .. Dat is pas een grap van Microsoft. Trouwens die dmp (dump files) van blue screens kun je gewoon uitlezen met nirsoft bluescreenview of een ander alternatief om zo de bron van het probleem op te kunnen sporen. Hoe dit bij Windows 8 of 10 zit, geen idee.
04-04-2016, 15:20 door Anoniem
Door Anoniem: Ik snap eigenlijk uberhaupt waarom iemand ooit bedacht heeft dat het handig is om die automatische reboot in te voeren...
Op het moment dat een normale gebruiker een systeemcrash oploopt krijgt die niet-eens meer hetgene dat de probleemoplosser het meest kan helpen (op voorhand), de foutcode...

De gebruiker gaat die foutcode toch niet opschrijven.
De beheerder die kennis heeft en niet maar wat bralt op security.nl die weet dat na een dergelijke bluescreen/reboot
er een minidump bestand aangemaakt wordt (of zelfs een volledige dump als dat geconfigureerd is) en kan daar de
foutcode en stackdump uithalen met de debugger.
De pro-actieve beheerder controleert zelfs of er dat soort bestanden op de werkstations staan zelfs als de gebruiker
niet gemeld heeft dat zijn/haar PC crashte.

Maar ja, gewoon maar wat roepen dat is veel gemakkelijker! Veel succes verder met je werk.
05-04-2016, 17:15 door Anoniem
... Voorbeeld: pinautomaat.

Nou dat is juist een van de apparaten waar we zowat een allergische reactie voor moeten hebben als er een BSOD is geweest.

Dit wegmoffelen door een automatische reboot lijkt makkelijk, maar is een foute keuze.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.