image

Nieuwe WannaCry-ransomware defect door programmeerfout

maandag 15 mei 2017, 10:04 door Redactie, 8 reacties

Onderzoekers hebben nieuwe varianten van de WannaCry-ransomware ontdekt, waaronder één die geen killswitch bevat maar door een programmeerfout niet blijkt te werken. Deze versie verspreidt zich ook via het SMB-lek in Windows, maar versleutelt door de programmeerfout geen bestanden op de computer.

Daarnaast werd er ook een andere versie gevonden die net als de eerste versie over een killswitch beschikt, zo meldt beveiligingsbedrijf Wordfence. De killswitch zorgt ervoor dat de ransomware stopt met werken als er verbinding met een domein gemaakt kan worden. Net als bij de eerste versie hadden de aanvallers ook dit domein niet geregistreerd. Doordat een goedwillende partij dit domein registreerde stopte ook deze nieuwe versie met werken. Mark Maunder van Wordfence verwacht dat er deze week nog allerlei andere varianten zullen verschijnen.

Ontsleutelen

Ook de eerste versie lijkt niet goed te werken. De meeste bekende ransomware-exemplaren geven slachtoffers die het gevraagde losgeld betalen hun bestanden terug. Tot nu toe zijn er echter geen berichten van WannaCry-slachtoffers die na het betalen hun bestanden ook daadwerkelijk hebben teruggekregen. Volgens beveiligingsbedrijf Check Point komt dit doordat WannaCry geen manier heeft om een betaling te koppelen aan de persoon die hem verricht.

De meeste ransomware genereert voor elk slachtoffer een uniek ID en bitcoinadres zodat duidelijk is naar wie de decryptiesleutels moeten worden gestuurd. WannaCry vraagt slachtoffers alleen om een betaling, maar de vervolgens benodigde decryptietool is nog niet gesignaleerd. Onderzoekers van Check Point vragen zich daarnaast af of de WannaCry-makers wel in staat zijn om bestanden te ontsleutelen. De ransomware biedt slachtoffers wel een demonstratie, maar hiervoor wordt een aparte encryptieroutine gebruikt. Slachtoffers krijgen dan ook het advies om niet te betalen.

Reacties (8)
15-05-2017, 10:27 door Anoniem
Dit lijkt mij niet waarschijnlijk, het artiekel https://www.bleepingcomputer.com/news/security/with-the-success-of-wannacry-imitations-are-quickly-in-development/ geeft meer duidelijkheid. Het gaat niet om programmeerfouten maar om samples die als test worden gebruikt en nog niet zijn doorontwikkeld. Waarschijnlijk niet gemaakt door de oorspronkelijke makers.
15-05-2017, 10:49 door Anoniem
Dit is wat zojuist her en der op het internet wordt gemeld.

WannaCry Ransomware Decrypt Code

If you are still searching for a decrypt code for WannaCry Ransomware, then, here it is WNcry@2ol7
15-05-2017, 10:51 door [Account Verwijderd]
[Verwijderd]
15-05-2017, 11:09 door Anoniem
Door [Account Verwijderd]: "Tot nu toe zijn er echter geen berichten van WannaCry-slachtoffers die na het betalen hun bestanden ook daadwerkelijk hebben teruggekregen."

Steeds meer krijg ik het gevoel dat dit geen daadwerkelijke "cryptolocker aanval" is. De ontwikkelaars verdienen er maar weinig aan en bovenstaande quote doet bij mij nog meer alarmbellen afgaan.

Het zou me niets verbazen wanneer uiteindelijk blijkt dat deze malware simpelweg bedoelt is om bedrijven en (semi)overheden lam te leggen, en dat het cryptolocker facet niets anders dan een decoy/dekmantel is.

Dit zal niet het geval zijn. Alles wijst er op dat de malware door een amateur is geschreven met weinig ervaring.
Het ontwerp rondom de bitcoin adressen zegt al dat zij niet zullen kunnen detecteren wie betaald heeft, hier zijn slechts 3 van in omloop.

Tevens verwacht ik niet dat dit sample een programmeerfout bevat, er zijn diversen samples in omloop waarvan deze clonen betreffen van dit concept die ook door onervaren ontwikkelaars wordt ontwikkeld. Vermoedelijk is het dan ook een test sample van een van deze clones die nog geen encryptie functionaliteiten bevat.

Bron : https://www.bleepingcomputer.com/news/security/with-the-success-of-wannacry-imitations-are-quickly-in-development/
15-05-2017, 11:21 door Anoniem
Door [Account Verwijderd]: "Tot nu toe zijn er echter geen berichten van WannaCry-slachtoffers die na het betalen hun bestanden ook daadwerkelijk hebben teruggekregen."

Steeds meer krijg ik het gevoel dat dit geen daadwerkelijke "cryptolocker aanval" is. De ontwikkelaars verdienen er maar weinig aan en bovenstaande quote doet bij mij nog meer alarmbellen afgaan.

Het zou me niets verbazen wanneer uiteindelijk blijkt dat deze malware simpelweg bedoelt is om bedrijven en (semi)overheden lam te leggen, en dat het cryptolocker facet niets anders dan een decoy/dekmantel is.
Iedereen is gek op decoys and false flags.
is dan soort test?
is al geen zero-day meer, dus stuk minder waardevol.
maar je doet wel aan aardige test om impact te weten.
hmmmm.

hje
15-05-2017, 11:49 door [Account Verwijderd] - Bijgewerkt: 15-05-2017, 11:51
[Verwijderd]
15-05-2017, 16:04 door Anoniem
Door [Account Verwijderd]: "Tot nu toe zijn er echter geen berichten van WannaCry-slachtoffers die na het betalen hun bestanden ook daadwerkelijk hebben teruggekregen."

Steeds meer krijg ik het gevoel dat dit geen daadwerkelijke "cryptolocker aanval" is. De ontwikkelaars verdienen er maar weinig aan en bovenstaande quote doet bij mij nog meer alarmbellen afgaan.

Het zou me niets verbazen wanneer uiteindelijk blijkt dat deze malware simpelweg bedoelt is om bedrijven en (semi)overheden lam te leggen, en dat het cryptolocker facet niets anders dan een decoy/dekmantel is.


Toch wel ; zie hier :
http://www.hln.be/hln/nl/39782/Internetcriminaliteit/article/detail/3157040/2017/05/13/Vlaming-getroffen-door-cyberaanval-betaalt-losgeld.dhtml

Bart Smets, zaakvoerder van twee electrozaken
Selexion Smets in Nijlen en Lier, vertelt aan VTM NIEUWS dat telkens acht tot tien computers in zijn winkels niet meer werkten. "Op de server zien we enkel nog een aftelklok staan. Voor maandag moeten we via bitcoins 300 dollar betalen", klinkt het. Smets betaalde het gevraagde bedrag en zijn bestanden worden nu opnieuw vrijgegeven.
15-05-2017, 16:11 door Anoniem
Door Anoniem: Dit is wat zojuist her en der op het internet wordt gemeld.
WannaCry Ransomware Decrypt Code
If you are still searching for a decrypt code for WannaCry Ransomware, then, here it is WNcry@2ol7

Dank, ik ben bijna geneigd hem eens te testen ;).
Maar goed, voor hetzelfde geld werkt die inderdaad en kunnen ze zo een hoop mensen heel blij maken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.