Automatische reboot bij BSOD helpt Petya-ransomware
Het automatisch herstarten van Windows bij een Blue Screen of Death (BSOD) helpt de Petya-ransomware, zo meldt anti-malwarebedrijf Malwarebytes. Petya is een nieuwe ransomware variant die eind maart verscheen en de master file table (MFT) van de harde schijf versleutelt, waardoor het bestandssysteem niet is te lezen en Windows niet meer kan worden gestart.
Om de ransomware te verspreiden wordt er naar de hr-afdeling van bedrijven een e-mail gestuurd met een link naar Dropbox. De link zou volgens het bericht naar een c.v. wijzen, maar dit is een exe-bestand. Zodra het bestand wordt geopend crasht de computer en zal die automatisch herstarten. Vervolgens krijgt de gebruiker een melding te zien dat er een schijfcontrole plaatsvindt. In werkelijkheid wordt de de MFT echter versleuteld. Na de herstart, als Petya met de versleutelting begint, is de ransomware het gevaarlijkst.
Om te voorkomen dat de computer in deze situatie terechtkomt adviseert Malwarebytes om het automatisch herstarten van Windows bij een systeemfout uit te schakelen, zoals Microsoft op deze pagina uitlegt. Als de ransomware namelijk voor deze fase wordt gedetecteerd kunnen de gegevens van de gebruiker nog steeds worden hersteld. Slachtoffers moeten in het geval van een infectie niet de Windows Recovery Tools gebruiken om de Master Boot Record van de harde schijf te herstellen, omdat dit de gegevens permanent kan beschadigen.
Op het moment dat een normale gebruiker een systeemcrash oploopt krijgt die niet-eens meer hetgene dat de probleemoplosser het meest kan helpen (op voorhand), de foutcode...
Door die keuze heb je zelfs dat "normale gebruikers" standaard komen met de melding "Ja, er kwam een blauw scherm en ineens startte 'ie opnieuw op." , voorheen kreeg je automagisch van de gebruiker nog wel eens de cijfertjes mee... nu heb je een gevorderde gebruiker nodig om uberhaupt nog die data te verkrijgen alvoor je er bent.
Dus als ik het zo even probeer te overzien, zie ik dat vanwege (aanname;) ongeinteresseerde/overmatig geirriteerde gebruikers wij zowel een security als productivity-issue hebben laten ontstaan? en dat zelfs een paar jaar laten voortbakken voordat men t doorheeft? goed gedaan...
Ik had al m.b.v. m'n GPO's standaard de automatische herstart uit staan, altijd... Blijkbaar toch geen onderbuikgevoel geweest ;)
Op het moment dat een normale gebruiker een systeemcrash oploopt krijgt die niet-eens meer hetgene dat de probleemoplosser het meest kan helpen (op voorhand), de foutcode...
Door die keuze heb je zelfs dat "normale gebruikers" standaard komen met de melding "Ja, er kwam een blauw scherm en ineens startte 'ie opnieuw op." , voorheen kreeg je automagisch van de gebruiker nog wel eens de cijfertjes mee... nu heb je een gevorderde gebruiker nodig om uberhaupt nog die data te verkrijgen alvoor je er bent.
Dus als ik het zo even probeer te overzien, zie ik dat vanwege (aanname;) ongeinteresseerde/overmatig geirriteerde gebruikers wij zowel een security als productivity-issue hebben laten ontstaan? en dat zelfs een paar jaar laten voortbakken voordat men t doorheeft? goed gedaan...
Ik had al m.b.v. m'n GPO's standaard de automatische herstart uit staan, altijd... Blijkbaar toch geen onderbuikgevoel geweest ;)
Werknemer wil werken, werkgever wil dat werknemer werkt, IT'er wil logs uitlezen vanaf zijn (m/v) eigen systeem.
Daarnaast zijn heel veel systemen alleen via een netwerk te benaderen, dan is het wel handig dat deze niet te lang blijven 'hangen' natuurlijk. Voorbeeld: pinautomaat.
En zo voorts.
OT:
Beetje selectief bericht dit. Malware leeft al lang op BSOD's (bootware!), en alle malware is onschadelijk tot het daadwerkelijk wordt uitgevoerd, maar dat laatste terzijde.
Erik van Straten had eerder ook al opmerkingen over dergelijke adviezen (betrof executables vanuit %temp%), ik sluit me daarbij aan en vind het hier ook van toepassing.
Auto-reboot is een overweging die meer te maken heeft met functie, dan wat anders.
Door die keuze heb je zelfs dat "normale gebruikers" standaard komen met de melding "Ja, er kwam een blauw scherm en ineens startte 'ie opnieuw op." , voorheen kreeg je automagisch van de gebruiker nog wel eens de cijfertjes mee... nu heb je een gevorderde gebruiker nodig om uberhaupt nog die data te verkrijgen alvoor je er bent.geweest ;)
Op het moment dat een normale gebruiker een systeemcrash oploopt krijgt die niet-eens meer hetgene dat de probleemoplosser het meest kan helpen (op voorhand), de foutcode...
De gebruiker gaat die foutcode toch niet opschrijven.
De beheerder die kennis heeft en niet maar wat bralt op security.nl die weet dat na een dergelijke bluescreen/reboot
er een minidump bestand aangemaakt wordt (of zelfs een volledige dump als dat geconfigureerd is) en kan daar de
foutcode en stackdump uithalen met de debugger.
De pro-actieve beheerder controleert zelfs of er dat soort bestanden op de werkstations staan zelfs als de gebruiker
niet gemeld heeft dat zijn/haar PC crashte.
Maar ja, gewoon maar wat roepen dat is veel gemakkelijker! Veel succes verder met je werk.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
