Nieuwe WannaCry-ransomware defect door programmeerfout
Onderzoekers hebben nieuwe varianten van de WannaCry-ransomware ontdekt, waaronder één die geen killswitch bevat maar door een programmeerfout niet blijkt te werken. Deze versie verspreidt zich ook via het SMB-lek in Windows, maar versleutelt door de programmeerfout geen bestanden op de computer.
Daarnaast werd er ook een andere versie gevonden die net als de eerste versie over een killswitch beschikt, zo meldt beveiligingsbedrijf Wordfence. De killswitch zorgt ervoor dat de ransomware stopt met werken als er verbinding met een domein gemaakt kan worden. Net als bij de eerste versie hadden de aanvallers ook dit domein niet geregistreerd. Doordat een goedwillende partij dit domein registreerde stopte ook deze nieuwe versie met werken. Mark Maunder van Wordfence verwacht dat er deze week nog allerlei andere varianten zullen verschijnen.
Ontsleutelen
Ook de eerste versie lijkt niet goed te werken. De meeste bekende ransomware-exemplaren geven slachtoffers die het gevraagde losgeld betalen hun bestanden terug. Tot nu toe zijn er echter geen berichten van WannaCry-slachtoffers die na het betalen hun bestanden ook daadwerkelijk hebben teruggekregen. Volgens beveiligingsbedrijf Check Point komt dit doordat WannaCry geen manier heeft om een betaling te koppelen aan de persoon die hem verricht.
De meeste ransomware genereert voor elk slachtoffer een uniek ID en bitcoinadres zodat duidelijk is naar wie de decryptiesleutels moeten worden gestuurd. WannaCry vraagt slachtoffers alleen om een betaling, maar de vervolgens benodigde decryptietool is nog niet gesignaleerd. Onderzoekers van Check Point vragen zich daarnaast af of de WannaCry-makers wel in staat zijn om bestanden te ontsleutelen. De ransomware biedt slachtoffers wel een demonstratie, maar hiervoor wordt een aparte encryptieroutine gebruikt. Slachtoffers krijgen dan ook het advies om niet te betalen.
WannaCry Ransomware Decrypt Code
If you are still searching for a decrypt code for WannaCry Ransomware, then, here it is WNcry@2ol7
Steeds meer krijg ik het gevoel dat dit geen daadwerkelijke "cryptolocker aanval" is. De ontwikkelaars verdienen er maar weinig aan en bovenstaande quote doet bij mij nog meer alarmbellen afgaan.
Het zou me niets verbazen wanneer uiteindelijk blijkt dat deze malware simpelweg bedoelt is om bedrijven en (semi)overheden lam te leggen, en dat het cryptolocker facet niets anders dan een decoy/dekmantel is.
Dit zal niet het geval zijn. Alles wijst er op dat de malware door een amateur is geschreven met weinig ervaring.
Het ontwerp rondom de bitcoin adressen zegt al dat zij niet zullen kunnen detecteren wie betaald heeft, hier zijn slechts 3 van in omloop.
Tevens verwacht ik niet dat dit sample een programmeerfout bevat, er zijn diversen samples in omloop waarvan deze clonen betreffen van dit concept die ook door onervaren ontwikkelaars wordt ontwikkeld. Vermoedelijk is het dan ook een test sample van een van deze clones die nog geen encryptie functionaliteiten bevat.
Bron : https://www.bleepingcomputer.com/news/security/with-the-success-of-wannacry-imitations-are-quickly-in-development/
Steeds meer krijg ik het gevoel dat dit geen daadwerkelijke "cryptolocker aanval" is. De ontwikkelaars verdienen er maar weinig aan en bovenstaande quote doet bij mij nog meer alarmbellen afgaan.
Het zou me niets verbazen wanneer uiteindelijk blijkt dat deze malware simpelweg bedoelt is om bedrijven en (semi)overheden lam te leggen, en dat het cryptolocker facet niets anders dan een decoy/dekmantel is.
is dan soort test?
is al geen zero-day meer, dus stuk minder waardevol.
maar je doet wel aan aardige test om impact te weten.
hmmmm.
hje
Steeds meer krijg ik het gevoel dat dit geen daadwerkelijke "cryptolocker aanval" is. De ontwikkelaars verdienen er maar weinig aan en bovenstaande quote doet bij mij nog meer alarmbellen afgaan.
Het zou me niets verbazen wanneer uiteindelijk blijkt dat deze malware simpelweg bedoelt is om bedrijven en (semi)overheden lam te leggen, en dat het cryptolocker facet niets anders dan een decoy/dekmantel is.
Toch wel ; zie hier :
http://www.hln.be/hln/nl/39782/Internetcriminaliteit/article/detail/3157040/2017/05/13/Vlaming-getroffen-door-cyberaanval-betaalt-losgeld.dhtml
Bart Smets, zaakvoerder van twee electrozaken
Selexion Smets in Nijlen en Lier, vertelt aan VTM NIEUWS dat telkens acht tot tien computers in zijn winkels niet meer werkten. "Op de server zien we enkel nog een aftelklok staan. Voor maandag moeten we via bitcoins 300 dollar betalen", klinkt het. Smets betaalde het gevraagde bedrag en zijn bestanden worden nu opnieuw vrijgegeven.
WannaCry Ransomware Decrypt Code
If you are still searching for a decrypt code for WannaCry Ransomware, then, here it is WNcry@2ol7
Dank, ik ben bijna geneigd hem eens te testen ;).
Maar goed, voor hetzelfde geld werkt die inderdaad en kunnen ze zo een hoop mensen heel blij maken.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
