Gisteren gaf Virustotal gisteren meerdere keren and aan dat het killswitch domein door Kaspersky als Malware Site werd aangegeven. Als ze het blokkeren dan werkt het niet. Ze waren niet de enige, ondertussen wordt het door alle producten als clean site doorgegeven.

Er is idd een hoop onduidelijkheid.

Malwaretechblog heeft zojuist bevestigd dat er een nieuwe variant actief is, daarnaast zijn er na de kill-switch, nieuwe besmettingen waargenomen.

Nieuwe versie of niet, feit is dat alle versies van de worm nog actief zijn.

Als zij de broncode hebben, kunnen ze zo een nieuwe varriant compilen. Waarom doen de fake cyber security, gamers, alsof het niet mogelijk is?

Ik hoop ook dat die sinkhole echt in de lucht blijft, bij uitval en/of een ddos gaat de worm weer lekker verder.

uhm windows 8 is nog niet uit de support toch?

"Windows 8.1 falls under the same lifecycle policy as Windows 8, and will reach end of Mainstream Support on January 9, 2018, and end of Extended Support on January 10, 2023."

Omdat zij de oplossing willen verkopen. De marketingmachine rondom deze ransomeware draait volop. Ik word op linkedin doodgegooid met publicaties van accountmanagers van security bedrijven met "wij hebben de fix voor WanaCry!", oftewel regelrechte reclame voor hun toko.

De kill switch werkt ook alleen als de geïnfecteerde cliënt publieke DNS queries kan doen. Als er dus systemen in het netwerk horizontaal te grazen zijn genomen via SMS en deze systemen kunnen geen publieke DNS verzoeken doen, dan gaat de software vrolijk verder met encrypted en verspreiden. De killer switch heeft dan dus ook beperkingenieur in werkzaamheid. Denk je als bedrijf dat afschermen van publieke DNS verzoeken de veiligheid verhoogd dan heeft dat in dit soort gevallen een averechts effect.
Ik denk dat dit de reden is dat het nog steeds actief is.
Groet, Bjorn

De kill switch werkt ook alleen als de geïnfecteerde cliënt publieke DNS queries kan doen. Als er dus systemen in het netwerk horizontaal te grazen zijn genomen via SMS en deze systemen kunnen geen publieke DNS verzoeken doen, dan gaat de software vrolijk verder met encrypted en verspreiden. De killer switch heeft dan dus ook beperkingenieur in werkzaamheid. Denk je als bedrijf dat afschermen van publieke DNS verzoeken de veiligheid verhoogd dan heeft dat in dit soort gevallen een averechts effect.
Ik denk dat dit de reden is dat het nog steeds actief is ondanks de aanwezigheid van het domein.

Edit: ik zie dat het waarschijnlijk niet alleen een dns request is maar ook een http request. Dan isde werkzaamheid van de kill switch nog beperkter voor de systemen die dit niet mogen. Denk aan de qpark terminals of de systemen bij deutch bahn op de stations.

Windows 8 wordt niet meer ondersteund. Windows 8.1 nog wel.

Ja wat verwacht je? Gewoon account opheffen.

Dat is net als naar de McDonalds gaan en dan klagen over de hamburger die je krijgt.

Volgens mij doet niemand alsof het niet mogelijk is. De onduidelijkheid gaat over de vraag of een aangepaste variant al wel of nog niet aangetroffen is in het wild.

Ik las dat Wannacry gebaseerd is op malware uit Februari, Wanacryptor 2.0

Lijkt me dat er wel een unieke codestring of heuristic flag te bedenken is om variaties die nog eventueel komen de kop in te drukken...?

Nee, als malwaremaker pruts je er net zo lang aan (en in de praktijk is dat helemaal niet lang en ook niet moelijk) tot geen enkele bekende virusscanner er nog malware in ziet. Daar heb je oneindig veel mogelijkheden voor, terwijl antivirusboeren (en dus eindgebruikers) steeds meer risico lopen dat ze goedaardige bestanden als malware aanmerken (false positive). Immers er komt voortdurend nieuwe malware bij die wel gedetecteerd moet worden, terwijl ondertussen het aantal niet-kwaadaardige bestanden nog veel harder groeit - waarvan je niet wilt dat ze als kwaadaarding in quarantaine worden geplaatst.

Het enige wat in dit geval wel goed zou kunnen werken is detectie van de byte-sequence met de SMB exploit - mits ook dat niet toevallig een false positive oplevert. Lastig is wel dat de virusscanner dan een sensor op de juiste plaats moet hebben (net vóór verzenden van het netwerkpakketje of, aan de ontvangende zijde, net na ontvangst van het netwerkpakketje) maar ook dat de sequence zo uniek is dat de kans op false positives minimaal is.

Helaas zijn de meeste virusscanners sterk file-georiënteerd en is het gebruikelijk dat malwaremakers kwaadaardige code gecodeerd en/of versleuteld in bestanden opnemen en de decryptieroutine elke keer wijzigen (als je met een hex-editor kijkt zien bestanden er elke keer totaal anders uit). Als detectie van een exploit niet mogelijk is op basis van definities, en er dus aanvullende code voor geschreven (en getest) moet worden, gaat daar wel even tijd overheen en veel scanners zullen deze mogelijkheid dan ook (verwacht ik) niet bieden en zeker niet op korte termijn.

In de praktijk zit er niets anders op dan af te wachten tot jouw AV-boer een stuk malware heeft ontvangen, geanalyseerd, er false-positive-vrije detectie voor heeft gemaakt en getest en voor download heeft aangeboden, en jouw virusscanner het tijd vond om die update op te halen en te installeren. Negen van de tien keer hebben de malwaremakers dan allang een aangepaste variant uitgebracht...

In aanvulling op mijn bijdrage van 18:31: AV-Test meldt 147 verschillende varianten van WannaCry te hebben gespot, zie https://plus.google.com/+avtestorg/posts/N57HCkYchSr

Volgens mijn bron (https://www.heise.de/security/meldung/WannaCry-Gewaltiger-Schaden-geringer-Erloes-3713689.html) zouden er nu ook varianten zijn opgedoken zowel zonder als met een ander kill-switch domein.

Volledig antwoord:
Windows 8.1 wordt als een service pack gezien op Windows 8. Elke versie van Windows zijn support stopt 1 jaar na het uitbrengen van een service pack. Dus 1 jaar na het uitbrengen van Windows 8.1 is de standaard support voor Windows 8 RTM gestopt. Dit was al zo vanaf Windows XP / SP1, misschien ook vroeger.

Edit: nog eens opgezocht, bij Windows 8 naar 8.1 is die termijn 2 jaar geweest.

Blacklists kunnen blacklisten voordat schadelijke domeinen worden gebruikt. Het is niet voor niets dat ik zo nu en dan een lijst nog niet gebruikte phishing domeinen voor Nederlandse banken plaats.

Antivirus daarentegen heeft zelden de beschikking over malware voordat die wordt gebruikt, dat is dus niet vergelijkbaar met een blacklist.

Antivirus kan wel heuristisch en op andere manieren detecteren zodat op t=0 toch detectie is. De malwareschrijver kan eindeloos prutsen totdat antivirus niets meer vind. Als jouw antivirus met heuristische detectie niet in de toolbox van de malware schrijver zit heb je betere detectie.