image

GandCrab-ransomware gebruikt Windows-lekken voor hogere rechten

donderdag 11 oktober 2018, 14:05 door Redactie, 2 reacties
Laatst bijgewerkt: 11-10-2018, 14:43

De GandCrab-ransomware die onlangs nog in het nieuws kwam gebruikt twee kwetsbaarheden in Windows om systeemrechten te krijgen, waardoor de ransomware meer mogelijkheden heeft. Daarnaast blijkt dat de nieuwste versies van GandCrab door een programmeerfout niet goed op Windows XP werken.

Het was al bekend dat de ransomware één beveiligingslek in Windows gebruikte om systeemrechten te krijgen, maar nu meldt McAfee dat er ook een tweede kwetsbaarheid in het spel is. Beide kwetsbaarheden zijn inmiddels al door Microsoft gedicht. De oudste kwetsbaarheid die GandCrab probeert werd op 8 mei door Microsoft gepatcht. Op 11 september verscheen een update voor het tweede beveiligingslek. Wanneer systemen up-to-date zijn kan de ransomware deze kwetsbaarheden niet gebruiken en zal GandCrab niet met systeemrechten worden uitgevoerd.

De ransomware gebruikt de systeemrechten om systeemcommando's uit te voeren, zoals het verwijderen van Shadow Volume-kopieën en het dynamisch creëren van de ransomware-achtergrond die op het bureaublad wordt getoond. Ook worden de systeemrechten gebruikt om bestanden te versleutelen zonder dat anti-virussoftware dit proces kan stoppen, zo laat John Fokker van McAfee tegenover Security.NL weten.

Verder blijkt dat de ontwikkelaars van GandCrab verschillende fouten hebben gemaakt, waardoor de ransomware niet goed werkt op Windows XP. Eind september verscheen GandCrab versie 5. Deze versie maakte gebruik van een dll-bestand dat niet op Windows XP of Vista aanwezig is, waardoor de malware op deze systemen niet werkt. Niet veel later verscheen GandCrab versie 5.0.2 die wel op Windows XP werkt, maar door een fout geen bestanden versleutelt.

GandCrab verspreidt zich via e-mailbijlagen, ongepatchte software, besmette downloads en remote desktopverbindingen. Gebruikers kunnen zich dan ook beschermen door geen ongevraagde bijlagen te openen, software up-to-date te houden, alleen bij de officiële leverancier te downloaden en een sterk RDP-wachtwoord in te stellen. Voor gebruikers die extra bescherming zoeken heeft een onderzoeker genaamd Valthek een "vaccin" gemaakt dat ervoor zorgt dat de ransomware geen bestanden op het systeem kan versleutelen. McAfee bevestigt dat dit vaccin werkt.

Image

Reacties (2)
12-10-2018, 02:22 door Anoniem
Is een problem mft Windows 7 Pro..??
12-10-2018, 11:50 door Anoniem
Zodra de .exe wordt geopend creëert hij een wallpaper genaamd pidor.bmp. Pidor betekent 'homo' in het Russisch.

Toeval? Ik denk het niet. De Russen zitten erachter. /alluhoedje off
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.