image

Lokale killswitch voor Petya-ransomware ontdekt

dinsdag 27 juni 2017, 22:06 door Redactie, 8 reacties

Een onderzoeker heeft een lokale killswitch voor de Petya-ransomware ontdekt die voorkomt dat computers met de ransomware besmet raken. Amit Serper van securitybedrijf Cybereason meldde op Twitter dat het aanmaken van het bestand c:\windows\perfc de ransomware stopt.

De malware controleert namelijk of de naam perfc in c:\windows bestaat. Is dit het geval, dan wordt de ransomware niet verder uitgevoerd. Eerder had anti-virusbedrijf Kaspersky Lab al aangeraden om de AppLocker-feature van Windows te gebruiken om het uitvoeren van bestanden met de naam "perfc.dat" tegen te gaan. De onderzoeker met het alias MalwareTech, die de killswitch voor de WannaCry-ransomware ontdekte, spreekt op Twitter over 'slechte PR'. "Elke malware kan worden gestopt door je systeem aan te passen. Het hele geval met WannaCry was dat het op afstand werd gestopt."

Reacties (8)
27-06-2017, 22:58 door Anoniem
Ook op twitter gemeld : Windows 10 de sjaak

"Disturbing report: fully patched Win10, manually disabled SMBv1, up to date anti-virus, still hit. Gonna be a long week, folks"

https://twitter.com/kennwhite/status/879758715871793152
27-06-2017, 23:28 door Anoniem
Killswitch blijkt niet te werken.
28-06-2017, 01:17 door Anoniem
Malwareschrijvers zijn lui. Het werkt al 20 jaar tegen veel malware: installeer Windows op een andere schijf, in een andere directory. Je hebt geen C schijf nodig.

Vroeger kon je dat nog doen via setup, tegenwoordig moet je een scripted install gebruiken.
28-06-2017, 07:46 door Anoniem
het perfc bestand zorgt er enkel voor dat je drive niet encrypted wordt. als je besmet bent staat het gewoon op je pc.
de ransomware zal ook als het bestand aanwezig is nog steeds zichzelf proberen te verspreiden via smbv1 op je netwerk
28-06-2017, 09:23 door Anoniem
Door Anoniem: Ook op twitter gemeld : Windows 10 de sjaak

"Disturbing report: fully patched Win10, manually disabled SMBv1, up to date anti-virus, still hit. Gonna be a long week, folks"

https://twitter.com/kennwhite/status/879758715871793152
Dan ben ik ook benieuwd naar de Windows 10 S versie.
Nog niet mee kunnen spelen maar wel een leuke uitdaging.
28-06-2017, 21:44 door Anoniem
Door Anoniem: het perfc bestand zorgt er enkel voor dat je drive niet encrypted wordt. als je besmet bent staat het gewoon op je pc.
de ransomware zal ook als het bestand aanwezig is nog steeds zichzelf proberen te verspreiden via smbv1 op je netwerk

...en daarnaast via wmi en psexec.

Juist vanwege wmi en psexec werkt het ook op fully patched machines (die kunnen als het goed is niet via smb1 worden aangevallen vanwege ms17-010, en omdat je -als het goed is- smb1 al hebt uitgeschakeld).
30-06-2017, 12:42 door Anoniem
Door Anoniem: Malwareschrijvers zijn lui. Het werkt al 20 jaar tegen veel malware: installeer Windows op een andere schijf, in een andere directory. Je hebt geen C schijf nodig.

Vroeger kon je dat nog doen via setup, tegenwoordig moet je een scripted install gebruiken.

Dit zou handig kunnen zijn, ware het niet dat sommige software installaties hardcoded naar de C:\ schijf willen installeren.
17-07-2017, 12:48 door Anoniem
Hitmanpro.Alert stopt ALLE ransomware
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.